Как журналисты могут защитить свои сайты

Противники независимых журналистов теперь используют арсенал электронных инструментов для нападения на новостные сайты. Так поступают агенты авторитарных правительств, коррумпированных частных компаний и преступных организаций. Все эти силы хотят заставить замолчать независимых репортеров и подавить любую попытку разоблачения случаев коррупции, халатности или нарушения прав человека.

Отражение таких кибератак – дело дорогостоящее, иногда неподъемное для небольших онлайн-редакций, не имеющих достаточно ресурсов, чтобы заключить контракт со специализирующимися в области кибербезопасности фирмами или нанять консультантов по информационной безопасности. Но без технической поддержки независимые новостные сайты очень уязвимы.

Трудно защитить новостной сайт, если у вас нет знаний в этой области. К сожалению, многие журналисты не знают, что делать в случае атаки на сайт. В технической безопасности, как правило, лучше разбираются разработчики, компьютерные инженеры и хакеры, а не журналисты. Было бы замечательно, если бы журналистские университеты по всему миру решили добавить в свои программы обучение кибербезопасности, но на данный момент приходится признать, что мы не готовы к столкновению с кибератаками.

Обладающие низким бюджетом и небольшим количеством ресурсов независимые новостные сайты должны научиться самостоятельно устанавливать настройки безопасности или искать программистов, которые согласятся предоставить безвозмездную помощь. Есть и хорошая новость: довольно много профессионалов в области кибербезопасности согласны бесплатно помогать оказавшимся в сложной ситуации независимым журналистам, и редакции могут воспользоваться их предложениями:

• Вы можете получить помощь проекта Information Safety and Capacity Project – базирующейся в Вашингтоне, округ Колумбия, некоммерческой организации, оказывающей техническую помощь онлайн-изданиям. Редакции новостных веб-сайтов на арабском, русском, испанском и английском языках могут подать заявки на тренинги по информационной безопасности.
• Вы также можете обратиться за помощью к новой организации Security Without Borders, созданной хакерами и специалистами по кибербезопасности, которые согласны тратить свое время на поддержку журналистов и правозащитников, нуждающихся в помощи в области онлайн-безопасности.
• Несколько лет назад канадская некоммерческая организация eQualit.ie запустила платформу Deflect, цель которой – помочь новостным веб-сайтам и сайтам, ориентированным на защиту прав человека, противостоять распределенным атакам на отказ в обслуживании (DDoS). В ходе таких атак на серверы веб-сайтов отправляется большое количество запросов на доступ, это происходит до тех пор, пока сайт не рухнет и не станет недоступным. Регистрация на Deflect бесплатна, а сервисы предлагаются на нескольких языках, включая испанский, арабский, персидский и русский. Deflect также предлагает бесплатный хостинг и сертификаты безопасности для сайтов, созданных на WordPress.
• Вы также можете запросить помощь Google через Google Shield Project, цель которого – защита новостных сайтов и журналистов от DDoS атак. Такая поддержка предоставляется бесплатно для независимых медиа и включает аналитику в реальном времени и поддержку сертификатов безопасности. Ресурс дает возможность зарегистрировать несколько сайтов в одном аккаунте.

Вдобавок к поддержке этих организаций, журналистам нужно также познакомиться с тем, какие шаги им следует предпринимать для предотвращения кибератак. Маловероятно, что в одночасье вы станете разбираться в этом вопросе на уровне разработчиков, но стоит приложить все усилия и ознакомиться с основами безопасности, чтобы подготовиться к тому, что делать в случае DDoS атак. Базовые меры по обеспечению кибербезопасности новостных сайтов включают следующие советы:

• Размещайте сайты на выделенных серверах, а не на серверах с общим доступом. Это защитит вас от хакеров, которые могут использовать уязвимость одного веб-сайта для атаки на другой сайт, размещенный на том же сервере.
• Получите сертификат безопасности и уникальный IP-адрес (их можно бесплатно получить на Deflect или Project Google Shield). Сертификаты безопасности шифруют информацию между браузерами пользователей и вашим сервером, а уникальный IP-адрес улучшает стабильность вашего сайта.
• Установите брандмауэры веб-приложений на все компьютеры вашей редакции. Используйте сильную программу-антивирус для каждого устройства.
• Используйте надежные пароли – для генерации таких паролей можно использовать инструменты, подобные этому.
• Обновляйте все части программного обеспечения, которое использует ваш веб-сайт.
• Если ваш сайт расположен на платформе WordPress, убедитесь, что другие пользователи не видят страницу входа на ваш сайт. Кроме того, для обеспечения безопасности расположенных на WordPress сайтов необходимы следующие шаги: убрать metatag generator, настроить ваш логин-адрес и удалить с вашего сайта любую информацию о том, какую версию WordPress вы используете.
• Рекомендуется использовать короткие URL-адреса для публикующегося на вашем сайте контента. Хакеры часто используют длинные URL-адреса, чтобы получить доступ к каталогу файлов веб-сайтов, что позволяет им стирать домашние страницы и уничтожать информацию.
• Не допускайте, чтобы файлы веб-сайта сохранялись в общедоступных местах, в частности, такие файлы, как readme.html, readme.txt, wp-config.php, wp-includes и .htaccess. Этот простой шаг поможет предотвратить многие атаки на сайт.
• Настройте ежедневное резервное копирование вашего веб-сайта. Если кибератака будет успешной и база данных вашего сайта будет заражена, вы сможете загрузить чистую копию, пока занимаетесь обезвреживанием атаки.
• Не используйте незащищенный WiFi для доступа к вашему веб-сайту.

Хорхе Луис Сьерра – отмеченный наградами мексиканский журналист-расследователь, редактор и эксперт в области цифровой безопасности. Здесь можно ознакомиться с его работой по стипендиальной программе ICFJ Knight.

Источник: Ijnet.org