Без рисков в сети: инструкции и рекомендации по кибербезопасности НКО

Как и зачем командам НКО настраивать VPN? Что теперь использовать для рассылок? Как не потерять данные из заблокированных сервисов и соцсетей?

На вебинаре «Азы кибербезопасности для НКО» фондов «Друзья» и «Нужна помощь» эксперты дали советы сотрудникам благотворительных организаций по поведению в сети и оптимизации своей работы в сегодняшней ситуации.

Пересказываем главное.

Копирование данных

Директор социального проекта Яндекса «Помощь рядом» Илья Шаров советует приготовиться к переносу данных, оценив масштабы работы и срочность оптимизации:

  • проведите инвентаризацию ваших IT-ресурсов. На каком сервере ваш сайт? Где хранит свои данные бухгалтерия? Коллективно соберите табличку со всей информацией о том, что в вашей организации используется с точки зрения IT;
  • сделайте чек-листы и работайте по ним. Какие из данных надо перенести, с каких сервисов переехать, что «забэкапить»? 
  • сделайте рабочую группу и оцените риски. Не делайте все в одиночку. Часто есть «слепые пятна», которые легко не заметить, поэтому важно делать и перепроверять эту работу коллективно;
  • задайте вопросы коллегам, которые разбираются в IT. Важно оценивать риски того, что происходит, и для этого обращаться к тем, кто погружен в сферу. 
Илья Шаров
Илья Шаров
директор социального проекта Яндекса «Помощь рядом»

Обязательно составляйте план. Когда вы выписываете все на бумагу, процессы в голове стабилизируются, и вы находите выходы и возможности решения проблем. Иначе — есть риск в панике бегать по кругу и кричать, как в меме об эвакуации. 

Проведя предварительную работу и составив план действий, приступите к переносу данных. Разделите этот процесс на две части:

  1. Данные для повседневной работы

Почта. Документы. Архивы в облаках. Где хранятся эти данные, какой у них объем, кто имеет доступ к файлам, можно ли сделать бэкап?

Оценивайте риски по каждой позиции, выписывайте возможные альтернативы используемых сейчас ресурсов, создавайте план перехода на них и работайте по этому плану.

2.     Сложная IT-инфраструктура

Сервера и сайты. Где они расположены, достаточно ли хорошо защищены? Сложные облачные сервисы. От чего вы зависите здесь, какие процессы завязаны на этих сервисах? API. Какие вы используете, какие есть альтернативы?

Подумайте, что может сломаться и пойти не так, оцените риски по этим позициям.

Илья Шаров
Илья Шаров
директор социального проекта Яндекса «Помощь рядом»

К сожалению, нет пути миграции на другой сервис по нажатию одной большой зеленой кнопки. Эти процессы не так просты, поэтому посмотрите, что вам критично и срочно необходимо перенести и сделайте бэкап этих данных. Оцените, с чем можно повременить, а не бросайтесь делать в панике все и сразу. Безусловно, IT — важная часть работы любого фонда, но я уверен, что вы заняты и миллионом других задач, о которых не стоит забывать. Ведь выполняя их, вы делаете что-то полезное для ваших доноров и подопечных.

Настройка VPN

Когда вы включаете VPN, вы удаленно арендуете сервис, который находится не в России, и ваш запрос проходит через него. Благодаря этому вы получаете доступ к тем ресурсам, которые в вашей стране заблокированы. Использование VPN и иностранного IP-адреса не запрещено на территории РФ и за это нет административной ответственности. 

Константин Воробьев
Константин Воробьев
юрист фонда «Нужна помощь»

При блокировке ресурса Роскомнадзор адресует требования к владельцам сайта, а не его посетителям. Юридической ответственности за посещение и использование какого-либо ресурса, в том числе с помощью VPN, не предусмотрено. Если Роскомнадзор вычисляет, что ресурс открывается с помощью VPN, он может потребовать отключить доступ и таким способом. Но это требование опять же к владельцу сайта. Никаких последствий для пользователей быть не может.

Надежно иметь свой VPN-сервис и собственный IP-адрес, который будет работать, пока у вас есть деньги на балансе, считает технический директор фонда «Нужна помощь» Даниил Шевчук. Например, в сервисе Proton есть 30 готовых серверов и вы подключаетесь к одному из них, и вычислить эти IP-адреса и заблокировать их легче. Сложнее это сделать с вашим персональным IP-адресом, сформированным программой специально для вас. 

Даниил Шевчук
Даниил Шевчук
технический директор фонда «Нужна помощь»

Простой способ — комплекс программных решений Outline. Подумайте, как будете оплачивать Outline (невозможно провести оплату через российскую карту). Скачайте Outline-менеджер, выберете, из какой страны будете выходить в интернет. Можете также скачать Outline-клиент, в котором легко включать и выключать VPN. 

Даниил не рекомендует использовать непроверенные VPN и популярные бесплатные сервисы. В этом случае нельзя быть уверенным в приватности переписки и безопасности передачи финансовой информации. Кроме того, у таких сервисов может страдать скорость из-за большого количества пользователей.

E-mail рассылки

DNS (система доменных имен) применительно к электронной почте — это телефонная книга интернета, где имена — названия доменов, а IP-адреса — номера телефонов. Информация о домене хранится на DNS-серверах. Чтобы занести ее в систему DNS, нужно прописать ресурсные записи. C их помощью серверы делятся сведениями о доменах с другими серверами.

Артем Овсянников
Артем Овсянников
диджитал-директор фонда «Нужна помощь»

Чтобы ваш домен можно было найти в интернете или от его имени можно было отправлять почту, для него надо прописать соответствующие записи на DNS-серверах. Записи бывают разных типов и содержат разную информацию. 

Обязательно нужно проверять, настроены ли эти записи в вашем почтовом ящике. Их три, и они отвечают за различные аспекты работы почты:

  • SPF — определяет, кто от вашего имени может отправлять письма. Если настроено неверно, вы можете обнаружить, что некто рассылает почту от вашего имени (адрес отправителя — адрес вашего домена).
  • DKIM — подпись для защиты от подделок.
  • DMARC — определяет, что делать сервисам с подозрительными письмами, которые отправлены с неправильными SPF и/или DKIM.

Проверить эти настройки совсем несложно:

  • отправьте себе письмо на любой из ящиков gmail, 
  • войдите в письмо и нажмите «показать оригинал»,
  • в красной рамочке вы увидите статусы этих трех записей. Если записи настроены верно, там будет надпись PASS. Если вы видите что-то отличное, значит надо проверять DNS-записи и настраивать их. 
Артем Овсянников
Артем Овсянников
диджитал-директор фонда «Нужна помощь»

Правильные настройки защищают ваши массовые рассылки от попадания в спам, а также запрещают сторонним спамерам отправлять письма от вашего имени. Если вы используете сервис рассылок, то можете обратиться к предлагаемым им инструкциям — они есть у каждого сервиса. Особенно обратите внимание на них, если вы меняете сервис. В этом случае вам точно надо будет отредактировать эти записи.

Что касается сервисов рассылки, вместо переставших работать сервисов Mailchimp, Sendpulse, Mandrill, eSputnik Артем предлагает использовать российские аналоги: AltCraft, EnCod,  Dasha Mail, Mailganer, Mailopost, Sendsey, NotiSend. Полностью бесплатных сервисов нет, в свободном доступе есть только их демо-версии. Но в некоторых сервисах действуют скидки для НКО. И не забывайте, что с представителями каждого из них можно связываться и договариваться о партнерских условиях в частном порядке.

Куда обращаться за помощью?

Помочь вам с настройками и оптимизацией могут специалисты платформы социальных изменений todogood, платформы помощи НКО IT-волонтер Теплицы социальных технологий, проекта интеллектуального волонтерства ProCharity.

Для поддержки своей деятельности вы можете обратиться к грантам ВКонтакте и Яндекс. В рамках последнего можно получить бесплатный доступ к почте Яндекс 360, где есть функции видеозвонков и текстовых чатов, рассылок. А можно запросить грант на облако Яндекс или ВКонтакте (5 террабайт). Подробнее о всех сервисах Яндекс для НКО можно узнать по ссылке.

Илья Шаров
Илья Шаров
директор социального проекта Яндекса «Помощь рядом»

Мы сделаем так, чтобы НКО не пострадали от изменения тарификации и по-прежнему могли получать гранты на наши сервисы.

Спасибо, что дочитали до конца! Посмотреть вебинар целиком можно здесь.

Материалы по теме
Знания
«Насилие расчеловечивает»: как выстраивать публичную коммуникацию о проблеме насилия с разными группами
23 июня
Знания
«А, Хокинг, знаем-знаем»: что такое БАС и как живут люди с этой болезнью
22 июня
Знания
9 советов по привлечению сторонников в соцсетях
21 июня
Читайте также
Знания
Зачем НКО нужна верификация и почему повторная проверка фонда — это не страшно
19 мая
Знания
В помощь НКО: как сервис Ядро фонда «Нужна помощь» может поддержать в кризисной ситуации
23 марта
Знания
Как психологический климат в НКО влияет на их результаты
14 марта