12 dicas para proteger sua redação de ciberataques

porJorge Luis Sierra
Jun 20, 2016 em Segurança do jornalista

Novas redações digitais que dependem quase que inteiramente da internet para trabalhar precisam proteger não só suas matérias, mas também todo o seu sistema de informação, incluindo como as informações são armazenadas, tratadas ou trocadas através dos meios eletrônicos.

Ataques tecnológicos contra websites, servidores editoriais e contas pessoais dos jornalistas investigativos estão em ascensão. Governos, empresas corruptas e grupos criminosos estão tentando explorar qualquer vulnerabilidade das organizações de mídia para obstruir investigações independentes e, se possível, destruir informações sensíveis. Em alguns casos, um ataque virtual é o primeiro passo para uma cadeia de agressões que pode acabar com um ataque físico grave ou fatal. Vimos vários casos desse tipo no México, um dos países mais perigosos para jornalistas independentes.

Como as redações digitais estão cada vez mais envolvidas em mineração de dados e reportagens investigativas digitais, estão atraindo a atenção de adversários com experiência em tecnologia que podem bloquear as investigações, atrasar publicações ou mesmo destruir a informação antes de ser publicada.

Connectas Hub é um exemplo desta tendência. Esta plataforma de jornalismo investigativo na América Latina estava coordenando a publicação de várias histórias sobre o abuso e a corrupção no governo mexicano quando seu site sofreu um grande ataque de negação de serviço distribuído (DDoS). Anteriormente, o Connectas detectou tentativas de infectar seus computadores com um vírus malicioso após o lançamento de uma série sobre a corrupção na agência alfandegária da Nigarágua e a construção do Canal da Nicarágua, um projeto apoiado por empresas chinesas.

O website do Connectas saiu fora do ar por dias até receber a proteção do Deflect, um serviço gratuito que ajuda a meios de comunicação independentes e outras organizações se protegerem de ataques DDoS.

Naquele momento, Connectas era uma de 100 redações em 80 países em todo o mundo que ajudou a reportar sobre o #PanamaPapers, um vazamento de milhões de arquivos que revelaram as finanças ocultas das elites globais.

Não houve investigação forense digital e o Connectas não conseguiu confirmar quem estava por trás do ataque. Ainda assim, o caso destaca a necessidade das redações em melhorar a sua capacidade de enfrentar ciberataques em larga escala.

Aqui estão 12 dicas que redações podem usar imediatamente para proteger seus sistemas digitais.

1. Desenvolva uma estratégia de segurança de informação. Isto significa que a redação deve compreender os seus adversários, vulnerabilidades, capacidades e seu próprio nível de risco. Você pode usar o "Manual de Seguridad Digital y Móvil" que escrevi como bolsista Knight do ICFJ (em espanhol e árabe - a versão em inglês está chegando) para ajudar a desenvolver uma estratégia de segurança digital na redação. Você também pode usar esta lista completa de dicas para proteger sua redação digital.

2. Obtenha proteção extra de ataques de DDoS. Eu recomendo usar Deflect, que é gerido por uma organização canadense liderada por Dmitri Vasiliev, pioneiro em segurança digital para defensores dos direitos humanos. Redações também podem aplicar a um serviço de proteção oferecido pelo Google através da iniciativa Project Shield, que usa infraestrutura de segurança do Google para proteger sites de notícias.

3. Contrate alguém que vá atacar o sistema de segurança digital da sua redação para procurar vulnerabilidades. Isto é conhecido como um "pentester" na gíria de tecnologia. Embora existam algumas pentesters que podem trabalhar de graça, você também pode pedir ajuda ao Information Safety and Capacity Project (ISC Project), uma organização sem fins lucrativos com sede em Washington. Além disso, algumas empresas privadas fornecem esse serviço a uma taxa muito baixa: o Pakal Security Labs na Guatemala, por exemplo.

4. Olhe o site da empresa de hospedagem. Ele já pode oferecer serviços que podem ajudá-lo a monitorar sua redação e bloquear qualquer ataque.

5. Certifique-se de que sua redação digital segue princípios de codificação. Tente usar a lista do Open Web Application Security Project (OWASP) de riscos de segurança online como guia.

6. Certifique-se de que seu departamento de tecnologia de informação mantém o software do servidor atualizado e corrigido. Isso ajudará a proteger todos os computadores em rede de infecções por vírus.

7. Se você se envolver em um projeto de crowdsourcing ou usa delatores, certifique-se de que seu site tem um certificado SSL para criptografar o tráfego. As organizações de mídia podem comprar certificados SSL a um custo muito baixo da maioria dos prestadores de serviços de hospedagem

8. Use o app Salama para avaliar o risco de membros da sua redação. O app, que eu criei durante minha bolsa do ICFJ Knight Fellowship, fornece a jornalistas um guia para entender riscos que estão enfrentando e customizar recomendações para reduzi-los. 

9. Certifique-se de que sua organização atende aos padrões básicos de segurança de gerenciamento de informações. Um ponto de referência é os padrões estabelecidos pela International Organization for Standardization (ISO) na Suíça.

10. Certifique-se de que os repórteres e editores usam sistema de criptografia e ferramentas de segurança digital enquanto trabalham em reportagens sensíveis. Você pode usar a Biblioteca Salama para acessar dicas de como proteger o processo editorial.

11. Você também pode dar uma olhada no kit de ferramentas de segurança digital para repórteres investigativos que estou reunindo com o apoio do ISC Project. Este recurso inclui ferramentas criadas e compiladas pelo Guardian Project, Electronic Frontier Foundation, Tactical Tech e outros.

12. Treine empregados editoriais e não-editoriais para reconhecer engenharia social e ataques de phishing.

Imagem principal sob licença CC no Flickr via Defence Images