Icfj 的一个项目

记者应该如何保障信息和网络安全?

作者 Devin Windelspecht
Sep 30, 2021 发表在 网络与人身安全
computer

在当今的数字世界中,记者面对的风险不仅限于人身安全;网络上的法外行为对记者的电邮、社交媒体帐户和消息来源所构成的威胁日增。

在最近的 ICFJ 健康危机报导论坛的网络研讨会上,新闻自由基金会首席信息官兼数字安全主管 Harlo Holmes 就跟记者分享了保护网络与信息安全的重要技能。

以下,就让我们来介绍她的重要建议。

评估你的风险水平

视乎你的报导主题而定,不同类型的不法之徒或有意入侵你的电邮和消息来源等。在考虑升级你的网络安全时,Holmes 建议首先评估你的个人风险:“谁会是你的潛在敌意对手?”

这些对手——亦即有意攻击你的组织和个别人士——不限身份:有些被称为“前门”,即执法或情报部门,他们通常需要传票或法庭授权才能进行网络监控或入侵尝试;其他则属 “后门”,例如试图窃取个人身份或帐户详细信息的个别黑客。部份人(例如企业)则会一併使用两种方法。

在考虑谁最有可能针对你时,你还要考虑他们或拥有的时间、资源和专业知识,并作好相对的准备。 例如,执法部门通常拥有充足的时间和资源,但并不一定具备最高端的技术专长。 另一方面,单独行事的黑客可能精通有关技术,但如果他们考虑到其违规行为耗费太多时间和资源,他们或会决定及早收手,减少损失。

当然,Holmes 亦小心表示,并非人人都应将自己视为执法或情报机构的目标。虽然数字安全对所有记者都很重要,但如果你根本就不太可能成为攻击对象,那麽花费时间和金钱升级网络保安往往得不偿失。

[延伸阅读:网络社区是如何变得更包容的?]

了解你的数字资产

判别哪些数字资产或是入侵对象同样重要。 Holmes 认为,将这些资产分层管理有助于了解它们涉及的不同风险。你的临时联繫人、社交媒体发帖贴或浏览记录等信息,也许不及你的密码、与消息来源的保蜜通信或敏感文档等信息重要。

为了确定你的资产属于哪一层,Holmes 建议记者问自己一系列问题,以帮助评估哪些资产需要更高的安全保障:

  • 哪些资产对你自己的工作重要,哪些对团队合作重要?
  • 哪些资产是安全,或是你出门必需随行的?
  • 除却工作考虑,哪些对你个人生活重要?

此外,Holmes 补充,最重要的是记者该问自己:一旦失去,对你构成的最大问题会是什麽?如果发生这种情况,你会受到多大的打击?

当你全面考虑以上信息,你就可以开始设定针对网络攻击的预防措施。

帐户安全和加密

虽然并非所有黑客攻击或网络监控行为都可以预防,但记者可以使用各种工具来令攻击者更难入手。其中最有效的两个工具,就是密码管理器和双重验证。

密码管理器用于储存密码,以供之后使用和跨装置同步。它们最好是由几个不相关的单词组成的长密码。箇中原因很简单:虽然使用字母和数字的基本八位数密码可以在几小时内破解,但破解一个八字词密码短语则需要数十年甚至数百年的时间。这类密码短语通常比一般密码更易记,并且具有完全独特于个人的好处。

双重验证则有助建立另一层保障。 这可以有多种形式,包括 APP、SMS 短讯代码或外置硬体。 Holmes 建议摒弃短讯验证——虽然它是常用的方法,但人们仍能冒充你并绕过这重验证;例如他们能自行更改你的验证码,倒过来令你的双重验证设定成为入侵方法。

Holmes 认为最安全的方法是使用硬体令牌 (hardware token)。只要把它直接插入电脑的 USB 插槽中,它们便能防止任何人透过你的装置或以虚拟方式入侵你的帐户,除非他们拥有你的硬体令牌。

如果使用如 Google Authenticator 这类软件密钥,Holmes 提醒要将这些 “种子” 或备份代码储存在你的密码管理器中。这能防止你因失去密钥(例如遗失装置)而永久被拒登入帐户,这后果可能跟被黑客入侵帐户同样重大。

最后,对于有意保护通信免于监控的记者而言,Holmes 建议仅使用加密网站,即 https:// 或在浏览器显示锁定符号的网页。虽然你的监控者仍能看到元数据(例如你造访的网站),但只要加密妥当,他们都不能入侵你在这些网站上透过电邮、短讯或其他方式所发送的实际内容。

儘管网站加密目前广见于西方国家,但其他国家(例如日本或非洲多国)在很大程度上仍未加密。 这些国家的记者应该密切留此他们使用哪些网站进行私人传讯。

[延伸阅读:独立媒体针对民粹政府的攻击进行防御]

作好万全准备

Holmes 总结时,更特别建议所有记者自行踏出重要一步:注册 https://haveibeenpwned.com/,该网站会在你使用的任何软件或网站的数据遭到入侵时以电邮通知你。虽然这乍听很不安,但它也是最好的预警系统之一,让你能适时查看你的数据是否已外洩,从而採取相应的行动。

如果你造访的网站确实发生了数据外洩,Holmes 强调这是该网站的负责企业的失职,而非使用者的错误。

如果黑客窃取了你的密码,他们可能会由此入侵你的银行帐户或社交媒体帐户,尤其是当你的不同帐户都使用类似密码。一旦收到这类提醒通知,你就能即时採取行动,并防止保安层次更高的数字资产受到入侵。

以上这些贴士有助记者作出更好准备,保护自己在数字世界的信息免受入侵,保护自己和消息来源的安全。

图片来源:Christopher Gower on Unsplash.

阅读的其他作品

IJNet Editorial and Community Manager

Devin Windelspecht

Devin Windelspecht is the Editorial and Community Manager of the International Journalists’ Network (IJNet). He also is the English Community Manager of IJNet's Pamela Howard Forum on Crisis Reporting.