الأمن الرقمي والشخصي: حماية المصادر السرية




تعتبر حماية المصادر السرية حجر الزاوية في التغطية الصحفية الأخلاقية. فعندما يوافق الصحفيون على حماية هوية شخص ما، يجب عليهم بذل كل ما في وسعهم لحمايتها وخصوصاً في الظروف التي يمكن أن يؤدي انكشافها إلى اعتقال المصدر أو الإضرار به.

ولكن وبسبب تزايد مستويات المراقبة والرصد من قبل السلطات وعموم الجمهور، أضحى الحفاظ على سرية المصادر أمراً ينطوي على قدر أكبر من التحدي. لذلك ينبغي على الصحفيين أخذ النصائح الأمنية الآتية في الحسبان لتشديد الحماية على هوية المصادر السرية.

وليكن معلوماً لديكم، على أية حال، أن السياسية المعمول بها في بعض المؤسسات الإعلامية قد تشترط على الصحفي إطلاع رئيس تحريره على هوية مصدر معلوماته. وفي بعض البلدان، قد يكون للمؤسسات الإعلامية الحق القانوني في تسليم حواسيب الصحفيين المحمولة أو معداتهم للمحكمة أو سلطات الدولة إذا ما اعتُبرت هذه الحواسيب والمعدات ملكاً للمؤسسة. لذا، ابحث في وجود مثل هذه القواعد قبل أن تقطع أية وعود.

يرجى الملاحظة بأن الآتي هو مقدمة عامة كُتبت لتناسب جمهور قراء عالمي. لذا عليكم السعي للحصول على نصائح إضافية بشأن السياقات والمسائل المتعلقة بالبلد المعني دون غيره.

المحتويات

التخطيط
تقييم المخاطر مقابل المكاسب
أفضل ممارسات الأمن الرقمي
التفتيش عن مصدرك
الاتصال مع المصدر
استلام الوثاق وإدارتها
اللقاء الشخصي بالمصدر
إخفاء كل ما يدل على المصدر
نشر المحتوى
الحفاظ على السرية
التخطيط

يتسم التحضير قبل البدء بالتعامل مع المصادر السرية لأول مرة بأهمية كبرى تضاهي أهمية التعاون المستمر والاتصال الآمن والثقة.

لا تفترض أبداً أن المصدر يرغب في ذكر اسمه، بل احصل على موافقته على ذلك دائماً.
تحقق مما إذا كانت هناك أية التزامات قانونية فيما يتعلق بالعمل مع المصادر السرية. مثل هذه الالتزامات تختلف من بلد لآخر ومن رب عمل لآخر.
حاول معرفة ما إذا كان المصدر قد تحدث مع صحفيين آخرين، أو ما إذا كانت مؤسسات أخرى تحاول الاتصال به.
هل ثمة خطر بأن يكون المصدر خاضعاً للمراقبة، أو أن يكون مختبئاً أصلاً؟ فإذا كانت السلطات أو جهات فاعلة عدوانية تضعه تحت رقابتها فإن تعاملك معه قد يعرضك للخطر.
اتفق مع المصدر على طريقة معينة للتحقق من الهوية، من قبيل استخدام عبارة غير اعتيادية أو سؤال مع إجابة، وواظب على استخدام هذه الطريقة في كل مرة تتحدث فيها مع المصدر.
قد تحتاج إلى تحديد مكان ليتم نقل المصدر إليه مؤقتاً لأسباب تتعلق بالأمن والسلامة، وذلك اعتماداً على درجة الخطر الذي ينطوي عليه الأمر.
تقييم المخاطر إزاء المكاسب المرجوة

يُنصح دائما بدراسة درجة حساسية القصة وحساسية معلومات المصدر، إضافة إلى حساسية هوية المصدر.

هل تتسبب صلتك بالمصدر بأي خطر جوهري عليك أو عليه؟ إن استخدام معلومات تحمل طابع السرية أو معلومات مسروقة قد يكون له ارتدادات خطيرة عليك وعلى المؤسسة الإخبارية التي تعمل معها.

ما مدى فائدة معلومات المصدر وموثوقيتها؟ أدرس دوافع المصدر وما إذا كانت تلك الدوافع تشكل خطراً عليك وعلى مؤسستك الإخبارية.
خذ في الحسبان كل العوامل المتعلق بهوية مصدرك، بما في ذلك عوامل من قبيل إثنيته ونوعه الاجتماعي وسيرته ونشاطه الجنسي ودينه وسجله الجنائي. فإذا كان يعتري هويته أي شائبة أو خطر ما، فهل يمكن لهذه العوامل أن تطيح بمصداقية قصته أو تزيد من خطر تعرضه للأذى أو الاعتقال؟
أفضل ممارسات الأمن الرقمي

هناك طرق عدة يمكن الاستيلاء على البيانات من خلالها، بما في ذلك –ودون الاقتصار على- مذكرات الاستدعاء من قبل الحكومة، والوصول الفعلي إلى الأجهزة الحاوية للبيانات، وبرمجيات التجسس. استشر خبير الأمن الرقمي إن ساورتك شكوك بشأن كيفية حماية هوية مصادرك.

تقيَّد بأفضل الممارسات عندما يتعلق الأمر بالأمن الرقمي وكن ملماً بالأدوات والخدمات التي قد تحتاج إليها لتوفير أقصي حماية ممكنة لهوية مصادرك.

قم بإجراء تقييم للمخاطر الرقمية؛ فهذا سيساعد في تقييم المخاطر التي تتهددك أنت ومصدر والتخفيف -حيثما أمكن- من حدة تلك المخاطر. يوجد لدى صندوق روري بيك نموذج شامل لتقييم المخاطر الرقمية خاص بالصحفيين.

فكّر في مّن يكون الخصم الذي قد يستهدفك أو يستهدف مصدرك وما هو حجم السلطة والمال والمقدرة التكنولوجية التي يمتلكها هذا الخصم؟
لا تستخدم أجهزتك الشخصية أو أجهزة العمل، ما أمكن، للاتصال بمصادر حساسة. بل اشتر جهازاً وخصصه للاتصال بهم وحافظ على أن تكون بياناتك الشخصية منفصلة عن بيانات العمل. وسدد ثمن مثل هذه الأجهزة والشرائح الاتصال الإلكترونية (SIM cards) نقداً، إن أمكن، وتجنب ربطها بأي شيء يمكن أن يحدد هويتك، من قبيل بطاقة الائتمان أو بطاقة الهوية الشخصية. (لن يتسنى لك القيام بذلك دائما اعتماداً على البلد الذي تعيش والذي تعمل فيه).

قم بتفعيل نمط الاستيثاق من الهوية ثنائي العوامل لكل حساباتك واستخدم كلمات مرور طويلة وفريدة وبرنامجاً لإدارة كلمات المرور. لمزيد من المعلومات حول ذلك، انظر دليل لجنة حماية الصحفيين لحماية الحسابات.

قم بشكل منتظم بتحديث أجهزتك وتطبيقاتك ومتصفحاتك بحيث يكون لديك أحدث إصداراتها بما يمنحك حماية أفضل ضد البرمجيات الفيروسية والتجسسية.

عرِّف المصدر بأفضل الممارسات الرقمية والمخاطر التي ينطوي عليها الأمر كي يتمكن من الاتصال بك بالوسيلة التي تتمتع بأكبر قدر ممكن من الأمان.

اجعل الاتصال بالمصدر محدوداً قدر الإمكان.
التفتيش عن مصدرك

تذكر أن الشركة المزودة لك بخدمة الإنترنت تحتفظ بنسخة من سجل التصفح الخاص بك يمكن للحكومات أن تطلبه ويمكن لموظفي الشركة المزودة الوصول إليه.

أجرِ بحثاً عن الشركات المزودة لخدمة الإنترنت في بلدك لمعرفة من هم مالكيها وما إذا كانت الحكومة تصل إلى بيانات المستخدمين عبر طرق قانونية أو بطرق أخرى غيرها.

استخدم تقنية الشبكة الافتراضية الخاصة (أو الـ VPN) لتأمين حماية أفضل لسجلك في تصفح الإنترنت بما يحول دون احتفاظ مزودك بالخدمة أو منصات محركات البحث بمثل هذا السجل.

اختر خدمة الشبكة الافتراضية الخاصة (في بي إن) التي لا تقوم بعمل سجل لتصفحك للمواقع والتي ليس لها تاريخ سابق في تبادل البيانات مع الحكومات وغيرها من الجهات. فقد تقوم الحكومات نفسها بإنشاء شركات شبكات افتراضية خاصة مرخصة أو إدارتها أو قد تشترط على شركات الخدمات المسايرة لها إطلاعها على بيانات المستخدمين.

إذا تعرضت للتوقيف وتم تفتيش أجهزتك، فقد يشي سجل تصفحك بتفاصيل معينة عن عمليات البحث الإلكتروني التي قمت بها. قم وبصورة منتظمة بحذف سجل تصفحك، ولكن تذكَّر أن الحكومات قد تظل مع ذلك قادرة على طلب البيانات ذات الصلة من الشركات المعنية، من قبيل مزودي خدمات الشبكة الافتراضية الخاصة أو الشركات المشغلة لمحركات البحث.
الاتصال مع المصدر

استخدم اسماً مستعاراً عند حفظ معلومات المصدر بدلاً من اسمه الحقيقي، وحضَّه على القيام بالشيء ذاته لحفظ التفاصيل الخاصة بك ضمن قائمة جهات الاتصال. ويجب على كل منكما حذف معلومات الآخر من قائمة جهات الاتصال في أجهزتكم وحساباتكم الإلكترونية حال انتهاء الاتصال.

عليك الانتباه إلى أن شركات الهاتف المحمول ومزودي خدمات الإنترنت تجمع البيانات عن مستخدميهم، بما في ذلك البينات التي يمكن استخدامها للتعرف عليك وتحديد موقعك أنت ومن تتصل بهم.

لا يتم تشفير الرسائل النصية القصيرة ولا مكالمات الهواتف الأرضية أو المحمولة التي تتم عبر شركة الاتصالات، مما يعني أنه يمكن للحكومات وغيرها الوصول إلى معلومات تلك الرسائل والمكالمات.

تذكّر أنه يمكن تحديد موقعك وموقع مصدرك عن طريق هاتفك المحمول.

إذا كنتما ستلتقيان شخصياً، ينبغي عليكما عدم جلب هاتفيكما معكما إلى اللقاء. وقد يكون الالتقاء الشخصي أكثر أماناً من الاتصال الإلكتروني. (انظر قسم "اللقاء الشخصي بالمصدر” أدناه).

فتش في أية خدمة إلكترونية تستخدمها، من قبيل تطبيقات التراسل أو مزودي خدمة البريد الإلكتروني، لمعرفة ما إذا كانت الحكومة قد طلبت إحضار البيانات. وتصدر معظم شركات التكنولوجيا تقرير الشفافية السنوي الذي تبين فيه تفاصيل طلبات الحصول على بيانات المستخدمين وما كانت قد استجابت الشركات لتلك الطلبات.

اتصل بالمصادر باستخدام تطبيقات المراسلة المشفرة بالكامل (end-to-end) حيثما أمكنك، من قبيل تطبيق سيغنال أو واتساب أو واير. عند استخدامك لتطبيق سيغنال أو واتساب، قم بتفعيل خاصية اختفاء الرسائل. توفر هذه الخدمات فروقات مهمة فيما يتعلق الأمر بالأمن – لمزيد من المعلومات، انظر دليل لجنة حماية الصحفيين للاتصالات المشفرة.

إذا اتصل بك المصدر عبر خدمة ليست مشفرة بالكامل، فقم بنقل المحادثة إلى خدمة مشفرة بالكامل (end-to-end) بأسرع ما يمكن. وحيثما أمكن، قم بحذف الرسالة الأصلية واطلب من المصدر أن يحذفها هو أيضاً من جهازه. ولكن هذا سيحذف الرسالة من الحساب فقط، وستبقى نسخة منها موجودة على خادم الشركة.

إذا احتجت للاتصال بمصدرك عبر البريد الإلكتروني، فقم بإنشاء حساب جديد لاستخدامه لهذا الغرض فقط. وينبغي ألا يحتوي هذا الحساب على أية بيانات شخصية، كاسمك الحقيقي، ويجب ألا تربطه برقم هاتفك أو أي حساب إلكتروني آخر باسمك. اقرأ المزيد عن كيفية إنشاء حساب بريد إلكتروني في دليل صندوق روري بيك للأمن الرقمي.
استلام الوثاق وإدارتها

تذكّر أن كل ما تقوم به من خلال أجهزتك الإلكترونية سيترك على الأرجح أثراً حتى بعد حذفك له. فخبراء تكنولوجيا المعلومات يستطيعون استرجاع المحتوى المحذوف حتى لو استخدمت برمجيات متخصصة لتنظيف جهاز.

احتفظ بالوثائق الحساسة على حاسوب تم تعديله بحيث لا يتمكن من الاتصال بشبكة الإنترنت (air-gapped computer). من شأن ذلك أن يقلل من إمكانية وصول الدخلاء إليها.

وبالنسبة للقصص الإخبارية الحساسة، ادرس إمكانية استخدام نظام تيلز (Tails) وهو نظام تشغيل مأمون محمول قابل للاستخدام في أي جهاز حاسوب. احصل على مساعدة مختص في الحماية لتثبيت النظام على جهازك.

قم بإرسال الوثائق الحساسة عبر برنامج سيكيور دروب (SecureDrop) باستخدام متصفح تور (TOR) إذا كان مثبتاً على أجهزة غرفتكم الإخبارية أو أجهزة مؤسستك. سوف تحتاج لمساعدة من أخصائي في الأمن الرقمي للقيام بذلك.

وينبغي على الصحفيين الذين لا يوجد لديهم برنامج سيكيور دروب أن يطلبوا استلام الوثائق التي يقل حجمها عن 100 ميغابايت عن طريق تطبيق سيغنال أو غيره من الخدمات المشفرة بالكامل. أما الوثائق التي يزيد حجمها عن 100 ميغابايت، فيمكن إرسالها عن طريق تطبيق أونيون شير (OnionShare).

تذكر أنه لا يتم دائماً تشفير البيانات التعريفية المضمنة في الوثائق والملفات وتطبيقات التراسل – من قبيل وقت وتاريخ إرسال الوثيقة- وبالتالي قد تساعد الآخر في التعرف على هوية مصدرك.

رتِّب عملية لأخذ نسخ احتياطية من المحتوى المخزن على تطبيقات التراسل وحذفه. وتحدث مع مصدرك بشأن الطريقة التي يمكنه إدارة البيانات المخزنة في تطبيقات التراسل الخاصة به وفي أجهزته على نحو أفضل. استشر شخصاً مهنياً في مجال الأمن الرقمي بشأن أفضل الطرق لإدارة مثل هذه البيانات.

قم بانتظام باستعراض محتويات الأجهزة من وثائق وبيانات من شأنها أن تعرضك وغيرك للخطر، لاسيما إذا كنت تجتاز الحدود أو تمر بحاجز تفتيش.

قم بتشفير أجهزتك ووثائقك وأقراص التخزين الخارجية حيثما أمكن، وتأكد من أن كلمة المرور التي تستخدمها للتشفير طويلة وفريدة. وكن مطلعاً على القوانين المتعلقة بالتشفير في مختلف البلدان سواء تلك التي تعيش فيها أو التي تعمل فيها أو التي تسافر إليها. إذ قد يطلب منك فك تشفير الأجهزة؛ وقيامك بذلك من عدمه هو قرار شخصي.

اللقاء الشخصي بالمصدر

قدِّر مساوئ وحسنات اللقاء الشخصي بالمصدر مقابل الاتصال به عبر منصة رقمية مأمونة.

حدد أيكما سيتولى أمر اللقاء ومن المسؤول عن تغيير أية خطط في ذلك اليوم.

ينبغي أن يتم اللقاء في مكان محايد لا يمكن ربط بعنوان سكن المصدر أو عنوان عمله.

وتأكد من وجود عدة طرق للخروج من المكان.

ارصد أية علامات على المراقبة خلال اللقاء.

واحتط للاتصال بشخص موثوق لدق ناقوس الخطر إن اقتضى الأمر.

حدد الطريقة التي ستقوم بواسطتها بنقل المعلومات الحساسة من مكان الاجتماع إلى مكان عملك بشكل آمن، وخصوصاً إذا كانت هناك إمكانية أن يتمكن شخص آخر من تحديد هوية مصدرك.

ادرس خيارات النقل مع ملاحظة احتمالية أن تكون مراقباً بواسطة نظام لكاميرات المراقبة.

إذا كنت تستخدم وسيلة نقل عام، فادفع ثمن التذكرة نقداً وليس عن طريق بطاقة بنكية كي لا يتم تتبعها.

قم بسحب مبلغ نقدي قبل يوم واحد على الأقل من اللقاء لتقليل فرصة ربط التسجيل المصور لجهاز الصراف الآلي بيوم اللقاء مع المصدر.

يمكن اقتفاء أثر لوحات تسجيل السيارة الخاصة عن طريق الكاميرات. لذا، حاول ركن السيارة بعيداً عن الأنظار في منطقة آمنة واجعل مقدمتها دائماً مع اتجاه الهرب من المكان.

إذا ساورك الشك بأنك مراقب، عد أدراجك والغِ اللقاء.

إخفاء كل ما يدل على المصدر

إذا كنت ستصور المصدر بكاميرا تلفزيونية أو أخذ صور فوتوغرافية له، فادرس النواحي التالية.

بالنسبة للصوت، هل ستقوم باستخدام صوت راوٍ آلي أم صوت شخص آخر تماماً؟
هل ستقوم بإخفاء وجه المصدر؟ أم أنك لن تصور وجهه بالمرة؟
بأي تسمية ستشير إلى المصدر؟ حتى الأسماء المستعارة المشفرة قد تساعد الآخرين على تحديد هوية المصدر؟
تنبَّه إلى أن جميع الأمور التالية قد تعطي فكرة أو إشارة دالة على من يكون هذا المصدر أو أين يقيم.
علامات مميزة في الجسم، من قبيل وشم أو شامة أو ندبة أو وحمة؛
جانب من اللباس أو قطعة مجوهرات؛
معالم في الخلفية يسهل التعرف عليها من قبيل علامات مميزة أو مباني أو جبال؛
ظهور أشياء مميزة في الخلفية مثل صورة أو تذكار أو قطعة أثاث أو مركبة أو ورق جدران. 
نشر المحتوى

احذف البيانات التعريفية من الملفات، بما في ذلك الصور، قبل إرسالها إلى آخرين. فلعل بيانات تعريف الملف تشي بمعلومات عن الشخص الذي أنشأ الملف أو أرسله، وقد تشتمل هذه البيانات على معلومات المكان والتاريخ والوقت، بالإضافة إلى نوع الجهاز المستعمل في الإرسال وطرازه.

قد تحتوي لقطات الشاشة أو صور من جهاز حاسوب المصدر أو هاتفة على معلومات يمكن أن تُستخدم لتحديد هوية المصدر، بما في ذلك عيوب في الشاشة من قبيل بكسل مكسور أو لون أو نسق أيقونة الفأرة.

ويمكن أن تحتوي الوثائق المطبوعة على معلومات داخلية من قبيل وقت وتاريخ طباعة الصفحات بالإضافة إلى التفاصيل المتعلقة بالطابعة التي استخدمت لطباعتها.

يمكن كشف المحتوى الذي تم إخفاؤه أو طمسه باستخدام برمجيات متخصصة في هذا الشأن.
الحفاظ على السرية

تجنّب إخبار أي شخص عمن يكون المصدر إلا إذا كان ذلك ضرورياً بصورة قاطعة. فكلما زاد عدد الذين يعرفون من يكون المصدر كلما زاد خطر انكشافه.

تجنّب كتابة أو طباعة أية معلومات مفيدة في إثبات هوية المصدر. فحتى بعض التفصيلات الصغيرة من قبيل الأحرف الأولى من اسم المصدر أو اسم مكان ما قد تساعد في كشف هويته.

راقب وسائل التواصل الاجتماعي. فإذا كان هناك أي مؤشر على أن المصدر قد ينكشف فادرس فكرة نقله مؤقتاً إلى مكان آخر آمن بناء على مستوى الخطر القائم.

-cpj


PM:01:37:30/11/2021




324 عدد قراءة