Zdjęcie: Cathryn Virginia Czy chcesz zaprotestować przeciwko nikczemnej historii Twojej firmy dotyczącej molestowania seksualnego? Czy myślisz o zrzeszeniu się? Oto przewodnik po płytach głównych dotyczący bezpiecznego organizowania pracy.Zanim nawet pomyślisz o tym, co powinieneś, a czego nie powinieneś robić lub jakiej technologii powinieneś lub nie powinieneś używać, zadaj sobie pytanie: czy znasz swoją firmę?
Innymi słowy, czy Twoja firma ma historię niszczenia związków zawodowych, polityki antypracowniczej lub ogólnej nieprzychylności wobec pracowników organizujących się lub wyrażających obawy? A może, z drugiej strony, czy historycznie było to możliwe dla pracowników, którzy domagali się swoich praw? Nie da się przewidzieć przyszłości, ale ogólne pojęcie o tym, z czym się borykasz, jest podstawą tego, co nazywają profesjonaliści ds. cyberbezpieczeństwa modelowanie zagrożeń . Jest to podstawa każdego dobrego planu bezpieczeństwa operacyjnego, czyli OPSEC.
W ramach tego wysiłku dobrze byłoby dowiedzieć się, na czym stoją również twoi koledzy. Jak ujęli to pracownicy organizujący się w firmie Microsoft: poznaj innych organizatorów!
Gdybyśmy mogli skondensować ten przewodnik w jednym zdaniu, byłoby to: „Unikaj infrastruktury firmowej”. Rozumiemy przez to komputery, telefony, drukarki, oprogramowanie do czatu i pocztę e-mail. Ale także unikaj omawiania działań pracowniczych w miejscach fizycznych, takich jak sale konferencyjne, kawiarnie lub boiska do koszykówki.
To może wydawać się trudne, ale korzystanie z infrastruktury firmy do organizowania jest ryzykowne i może poinformować kierownictwo o zbliżającej się akcji organizacyjnej, liście otwartym, strajku lub innej akcji pracowniczej. Jest mało prawdopodobne, że Twoja firma aktywnie podsłuchuje ruch internetowy lub monitoruje komputery w czasie rzeczywistym pod kątem jakichkolwiek rozmów o tworzeniu związku lub organizowaniu jakiejś akcji pracowniczej. Ale nie ma gwarancji.
To najłatwiejszy sposób, aby Twoja firma miała Cię na oku. Należy założyć, że dział IT i inne osoby zarządzające mają dostęp do firmowej poczty e-mail. I nawet jeśli nie czytają jej codziennie, prawdopodobnie przeczesują ją po fakcie. Dlatego za wszelką cenę unikaj korzystania z firmowej poczty e-mail. Niedawno Google zwolniło pracowników, którzy w niektórych przypadkach uzyskiwali dostęp kalendarze firmowe że firma uznała to za niezwykłe.
Każda akcja pracownicza powinna prawdopodobnie zacząć się od zebrania osobistych danych kontaktowych pracowników, takich jak osobisty adres e-mail i numer telefonu komórkowego. Używaj ich do komunikacji.
NIE UŻYWAJ FIRMOWYCH KOMPUTERÓW ANI INNYCH URZĄDZEŃ
Jak ostrzegał Holmes, większość firm ma sposób na dostęp do laptopów pracowników, a być może nawet ich telefonów firmowych. Staraj się więc ich unikać. Korzystanie z komputera osobistego w firmowym Wi-Fi nie jest tak niebezpieczne, ale jeśli możesz, unikaj tego i łącz się z domu.
Pracownicy zaangażowani w organizację w Amazon sugerują, aby wszelkie niepubliczne dokumenty organizacyjne i rozmowy trzymać poza komputerem służbowym.
Jeśli trzymasz się z dala od infrastruktury swojej firmy, zrobiłeś już większość tego, czego potrzebujesz, aby zabezpieczyć swoje działania organizacyjne. Ale na wszelki wypadek staraj się unikać Slacka lub innych usług czatu, które nie są szyfrowane i nie dają dużej kontroli nad tym, jakie dane są przechowywane. Firmy mają możliwość czytania archiwów Slack, w tym DM. Warto również wspomnieć, że domyślnie płatne konta Slack przechowują wiadomości bezterminowo.
Alternatywne aplikacje do czatu grupowego, takie jak Keybase i Wire, nie tylko chronią przesyłane wiadomości, ale także pozwalają ustawić wiadomości tak, aby po pewnym czasie uległy samozniszczeniu. Pomaga to zatrzeć ślady.
Przydatne przypomnienie o prywatności od automatycznego bota napiwków Slacka.
Starannie umieszczony przeciek lub wskazówka dla prasy, informująca dziennikarzy o twoim dążeniu do uzwiązkowienia lub akcji zbiorowej, może pomóc twojej sprawie. Jeśli zamierzasz przeciekać do prasy, zapoznać się co oznaczają terminy „zarejestrowane”, „niezarejestrowane” i „w tle”.
Jeśli skontaktujesz się z dziennikarzem lub z nim porozmawiasz, rzeczy, które mu powiesz, są domyślnie rejestrowane. Oznacza to, że dziennikarz może cytować i wykorzystywać te informacje oraz przypisywać je Tobie Twoim imieniem i nazwiskiem. „Nieoficjalne” oznacza, że dziennikarz może mieć te informacje dla własnej wiedzy, ale nie może ich opublikować bez potwierdzenia ich w innym źródle i nie może ich przypisać Tobie. Mogą jednak wziąć te informacje i spróbować nakłonić kogoś innego do podania ich w rejestrze. „W tle” oznacza różne rzeczy dla różnych osób — często oznacza to, że reporter może wykorzystać informacje zawarte w swoim artykule, ale nie przypisuje ich tobie. Inni używają go w znaczeniu „można cytować anonimowo”. Przed udostępnieniem informacji najlepiej omówić to z reporterem.
Możesz omówić anonimowe udostępnianie informacji lub anonimowe przeprowadzanie wywiadów z reporterem. W Motherboard zapewniamy źródłom anonimowość, jeśli ich rozmowa z nami naraziłaby je na fizyczne lub zawodowe niebezpieczeństwo. Wymagamy od naszych reporterów, aby powiedzieli czytelnikom, dlaczego przyznajemy anonimowość źródła; jeśli źródło może zostać zwolnione z pracy za rozmowę z nami, często zapewniamy anonimowość. Będziemy znać tożsamość źródła — najczęściej potrzebujemy tych informacji, aby mieć pewność, że rozmawiamy z kimś, kto jest w stanie wiedzieć o danym problemie — ale nie będziemy publikować ani w inny sposób ujawniać osoby jest.
Najlepiej jest być jasnym z reporterem przed dzielisz się wszelkimi informacjami na temat tego, w jaki sposób chcesz wykorzystać informacje – jeśli powiesz coś „zarejestrowane”, nie możesz z mocą wsteczną usunąć tego z rejestru. (Ma to na celu zapewnienie, że ktoś nie będzie mógł wycofać się z informacji, które powiedział, że są w interesie publicznym, ale zmieni zdanie). Warunki te muszą zostać uzgodnione przez obie strony, więc nie należy kontaktować się z grupą reporterów z informacjami, które chcesz udostępnić „nieoficjalnie”, jeśli ci reporterzy jeszcze nie zgodzili się na nierejestrowanie razem z Tobą.
Często pracownicy chcą udostępniać prasie dokumenty wewnętrzne, e-maile, notatki lub inne materiały firmowe. Można to zrobić na kilka sposobów. Najłatwiej jest zrobić zdjęcie ekranu komputera aparatem w swoim osobistym telefonie i udostępnić zrobione zdjęcia jako znikającą wiadomość w Signal. Następnie usuń obraz z telefonu i potencjalnie numer dziennikarza z historii kontaktów i wiadomości. Możesz także użyć SecureDrop. Jeśli anonimowość jest dla Ciebie ważna, nie przesyłaj e-maili firmowych, które zamierzasz ujawnić dziennikarzom, jeśli uważasz, że możesz zostać za to zwolniony.
To wszystko może wydawać się dużo, ale wiele taktyk w tym przewodniku staje się drugą naturą z praktyką. Zalecane jest również stosowanie ogólnych najlepszych praktyk w zakresie cyberbezpieczeństwa. Aby uzyskać więcej informacji, zapoznaj się z Przewodnikiem po płytach głównych, aby nie zostać zhakowanym .
Zapisz się do naszego podcastu o cyberbezpieczeństwie, CYBER .