Глобальная Защита: Роль Access Now в Борьбе с Шпионским ПО
Как команда безопасности помогает журналистам и правозащитникам
Уже более десятилетия журналисты и правозащитники по всему миру подвергаются атакам со стороны различных правительств. Полиция и разведслужбы в таких странах как Эфиопия, Греция, Венгрия, Индия, Мексика, Польша, Саудовская Аравия и Объединенные Арабские Эмираты использовали продвинутое шпионское ПО для взлома телефонов этих жертв. Нередко они сталкивались и с физическим насилием, угрозами и запугиванием, а в крайних случаях — даже с убийствами.
В последние годы команда из дюжины экспертов по цифровой безопасности, работающая в таких местах, как Коста-Рика, Манила и Тунис, играет ключевую роль в защите этих подверженных риску сообществ. Они работают на некоммерческую организацию Access Now, штаб-квартира которой находится в Нью-Йорке, и в частности, на её службу Digital Security Helpline.
Главная задача этой команды — быть теми, к кому журналисты, правозащитники и диссиденты могут обратиться, если подозревают, что стали целью атаки шпионского ПО, произведённого такими компаниями, как NSO Group, Intellexa или Paragon. «Идея состоит в том, чтобы предоставлять службу поддержки в режиме 24/7 гражданскому обществу и журналистам, чтобы они могли получить помощь в случае киберинцидента», — пояснил Хассен Сельми, руководитель группы по реагированию на инциденты в службе поддержки, в интервью TechCrunch.
Университет Торонто и лаборатория Citizen Lab отмечают, что служба поддержки Access Now является важным ресурсом для журналистов и других, кто может подвергнуться атаке шпионского ПО. Так, Apple в своих уведомлениях о потенциальных угрозах предлагала обращаться именно к этой организации для дальнейшего расследования.
Сельми описал ситуацию, когда человек получает подобное уведомление и как Access Now может прийти на помощь. «Когда кто-то может объяснить, что это значит, и что делать дальше — это огромное облегчение для них», — отмечает он.
Служба поддержки Access Now обрабатывает около 1000 случаев возможных атак шпионского ПО ежегодно. Приблизительно половина из них превращается в полноценные расследования, из которых лишь около 5% подтверждаются как реальные случаи заражения, по словам Мохаммеда Аль-Маскати, директора службы поддержки.
Когда только начинали — в 2014 году — Access Now рассматривала около 20 подозрительных случаев в месяц. В то время в разных часовых поясах Коста-Рики, Манилы и Туниса работало всего 3-4 человека, что позволяло реагировать круглосуточно. Сейчас команда состоит менее чем из 15 человек, но расширилась на Европу, Ближний Восток, Северную Африку и регионы к югу от Сахары, так как именно там сосредоточено большинство атак.
Рост числа случаев обусловлен несколькими факторами. Служба поддержки стала более известной, что привело к увеличению числа обращающихся. Более того, глобальное распространение шпионского ПО и его доступность также увеличили количество возможных злоупотреблений. Команда также активно работает с потенциально подверженными целями, что позволяет выявлять случаи, которые иначе могли бы остаться незамеченными.
Каждый случай уникален, и подход к нему также должен быть индивидуальным. «Мы должны проводить больше исследований и привлекать больше людей, не только технических специалистов, чтобы уметь лучше работать с такими жертвами», — добавляет Сельми.
Access Now также поддерживает аналогичные исследовательские команды в различных регионах мира, делясь документацией, знаниями и инструментами в рамках коалиции CiviCERT — глобальной сети организаций, которые могут помочь членам гражданского общества, подозревающим, что они подверглись атаке шпионского ПО.
«Где бы ни находились жертвы, у них всегда есть те, к кому можно обратиться», — заключает Сельми. «Люди, говорящие на их языке и знающие их контекст, действительно помогают.»
