Afbeelding: Cathryn Virginia Wilt u protesteren tegen de slechte staat van dienst van uw bedrijf op het gebied van seksuele intimidatie? Overweegt u een vakbond te sluiten? Hier is de moederbordgids voor veilige arbeidsorganisatie.Voordat je zelfs maar nadenkt over wat je wel en niet moet doen, of welke technologie je wel of niet moet gebruiken, vraag jezelf af: ken je je bedrijf?
Met andere woorden, heeft uw bedrijf een geschiedenis van vakbondsafbraak, anti-arbeidersbeleid of algemene onvriendelijkheid jegens arbeiders die zich organiseren of hun bezorgdheid uiten? Of, aan de andere kant, is het historisch gezien ontvankelijk geweest voor arbeiders die opkomen voor hun rechten? Het is onmogelijk om op de toekomst te anticiperen, maar een algemeen idee hebben van waar je mee te maken hebt, is de basis van wat cyberbeveiligingsprofessionals noemen dreigingsmodellering . Dit is de basis van elk goed operationeel beveiligings- of OPSEC-plan.
Als onderdeel van deze inspanning kan het goed zijn om ook te achterhalen waar uw collega's staan. Zoals de medewerkers van Microsoft het uitdrukten: leer je mede-organisatoren kennen!
Als we deze gids in één zin zouden kunnen samenvatten, zou het zijn: 'Vermijd bedrijfsinfrastructuur.' Daarmee bedoelen we computers, telefoons, printers, chatsoftware en e-mail. Maar vermijd ook het bespreken van arbeidsacties op fysieke plaatsen zoals vergaderzalen, cafetaria's of basketbalvelden.
Dat klinkt misschien moeilijk, maar het gebruik van de bedrijfsinfrastructuur om te organiseren is riskant en kan het management op de hoogte brengen van uw aanstaande organisatiedrang, open brief, staking of andere arbeidsactie. Het is onwaarschijnlijk dat uw bedrijf actief internetverkeer afsnuffelt of computers in realtime controleert op geklets over het vormen van een vakbond of het organiseren van een soort arbeidsactie. Maar er zijn geen garanties.
Dit is de gemakkelijkste manier voor uw bedrijf om u in de gaten te houden. U moet ervan uitgaan dat IT en anderen in het management toegang hebben tot uw zakelijke e-mail. En zelfs als ze het misschien niet elke dag lezen, kunnen ze het waarschijnlijk achteraf doorkammen. Vermijd dus koste wat kost het gebruik van zakelijke e-mail. Onlangs heeft Google medewerkers ontslagen die in sommige gevallen toegang hadden tot zakelijke agenda's die het bedrijf ongebruikelijk achtte.
Elke arbeidsactie zou waarschijnlijk moeten beginnen met het verzamelen van persoonlijke contactgegevens van werknemers, zoals een persoonlijk e-mailadres en mobiel nummer. Gebruik die om te communiceren.
GEBRUIK GEEN COMPUTERS VAN HET BEDRIJF OF ANDERE APPARATEN
Zoals Holmes waarschuwde, hebben de meeste bedrijven een manier om toegang te krijgen tot de laptops van werknemers en misschien zelfs tot hun bedrijfstelefoons. Probeer ze dus te vermijden. Het gebruik van een pc op de wifi van het bedrijf is niet zo gevaarlijk, maar als je kunt, vermijd dat dan ook en maak verbinding vanuit huis.
Werknemers die betrokken zijn bij het organiseren bij Amazon raden aan om niet-openbare organisatiedocumenten en gesprekken buiten uw werkcomputer te houden.
Als u wegblijft van de infrastructuur van uw bedrijf, heeft u het meeste al gedaan om uw organisatieactiviteiten te beveiligen. Maar voor het geval dat, probeer Slack of andere chatservices te vermijden die niet zijn versleuteld en die u niet veel controle geven over welke gegevens worden bewaard. Bedrijven hebben de mogelijkheid om Slack-archieven te lezen, inclusief DM's. Het is ook vermeldenswaard dat betaalde Slack-accounts standaard berichten voor onbepaalde tijd bewaren.
Alternatieve groepschat-apps zoals Keybase en Wire beschermen niet alleen uw berichten tijdens het transport, ze stellen u ook in staat berichten zo in te stellen dat ze zichzelf na een bepaalde tijd vernietigen. Dit helpt om je sporen te verbergen.
Een handige herinnering over privacy van de geautomatiseerde fooibot van Slack.
Een zorgvuldig geplaatst lek of tip aan de pers die journalisten op de hoogte stelt van uw vakbondsactie of collectieve actie, kan uw zaak helpen. Als je naar de pers gaat lekken, Maak jezelf vertrouwd met wat de termen 'on the record', 'off the record' en 'op de achtergrond' betekenen.
Als u contact opneemt met of spreekt met een journalist, worden de dingen die u tegen hen zegt, standaard vastgelegd. Dit betekent dat de journalist die informatie kan citeren en gebruiken en aan jou kan toeschrijven met je naam. 'Off the record' betekent dat de journalist die informatie voor eigen weten kan hebben, maar deze niet kan publiceren zonder deze te bevestigen met een andere bron, en ze kunnen het niet aan jou toeschrijven. Ze mogen die informatie echter gebruiken en proberen iemand anders deze informatie te laten verstrekken. 'Op de achtergrond' betekent voor verschillende mensen verschillende dingen - vaak betekent het dat de verslaggever de informatie in zijn artikel kan gebruiken, maar niet aan jou kan toeschrijven. Andere mensen gebruiken het in de betekenis van 'anonimisch geciteerd kunnen worden'. U kunt dit het beste met de verslaggever bespreken voordat u informatie deelt.
Anoniem informatie delen of anoniem interviewen kun je bespreken met een verslaggever. Bij Motherboard verlenen we anonimiteit aan bronnen als het spreken met ons hen in fysiek of professioneel gevaar zou brengen. We eisen van onze verslaggevers dat ze de lezers vertellen waarom we een bron anonimiteit verlenen; als de bron zou kunnen worden ontslagen omdat hij met ons heeft gesproken, zullen we vaak anonimiteit verlenen. We zullen de identiteit van de bron kennen - vaker wel dan niet, we hebben deze informatie nodig om er zeker van te zijn dat we met iemand praten die in staat is om meer te weten over de kwestie - maar we zullen niet publiceren of anderszins onthullen wie de persoon is is.
Het is het beste om duidelijk te zijn met de verslaggever voordat je deelt alles over hoe je wilt dat de informatie wordt gebruikt - als je iets 'on the record' zegt, kun je het niet met terugwerkende kracht van het record halen. (Dit is om ervoor te zorgen dat iemand niet kan terugvallen op informatie waarvan hij heeft gezegd dat deze in het algemeen belang is, maar van gedachten kan veranderen). Beide partijen moeten akkoord gaan met deze voorwaarden, dus neem geen contact op met een stel journalisten met informatie die u 'off-the-record' wilt delen als die verslaggevers niet al hebben afgesproken om met u off the record te gaan.
Vaak willen werknemers interne documenten, e-mails, memo's of ander bedrijfsmateriaal met de pers delen. Er zijn verschillende manieren waarop dit kan worden gedaan. Het gemakkelijkst is om een foto te maken van het scherm van je computer met de camera op je persoonlijke telefoon, en de foto('s) die je maakt te delen als een verdwijnend bericht op Signal. Verwijder vervolgens de afbeelding van uw telefoon en mogelijk het nummer van de journalist uit uw contacten en berichtgeschiedenis. U kunt ook SecureDrop gebruiken. Als anonimiteit belangrijk voor u is, stuur dan geen bedrijfse-mails die u van plan bent te lekken door naar journalisten als u denkt dat u daarvoor ontslagen zou kunnen worden.
Dit klinkt misschien als veel, maar veel van de tactieken in deze gids worden door oefening een tweede natuur. Het wordt ook aanbevolen om algemene best practices op het gebied van cyberbeveiliging in de praktijk te brengen. Voor meer informatie kun je de Moederbordgids om niet gehackt te worden raadplegen.
Abonneer je op onze cyberbeveiligingspodcast, CYBER .