Gazeteciler için Dijital Güvenlik: Yapılması ve Yapılmaması Gerekenler

IJNET’te yayımlanmış “Digital security do’s and don’ts for journalists” adlı bu makale Mehmet Şafak Sarı tarafından çevrilmiştir.

Dünyanın dört bir yanındaki gazeteciler tamamen farklı ortamlarda çalışıyorlar. İspanya’daki bir gazeteci, İran’da çalışan bir gazeteciyle aynı güvenlik kaygılarıyla yüzleşmiyor. Ancak dijital güvenlik söz konusu olduğunda, herkesin verilerini, iletişimini ve kaynaklarını korumak için adımlar atması gerekir.

Dünya genelinde basın özgürlüğüne yönelik baskı, gazetecilere yönelik gittikçe düşmanca ortamlara yol açarak güvenlik ihtiyacını daha da zorlaştırdı. Şimdi, COVID-19 pandemisi sırasında yeni koşullarla karşı karşıyayız. Habercilik faaliyetlerimizi yürütmek ve faaliyetlerimizde tüm kişilerle etkin bir şekilde işbirliği yapmak için internete her zamankinden daha bağımlı hale geldik. Bunu güvenli bir şekilde yaptığımızdan emin olmak için dijital güvenlik alanındaki en yeni araçlar ve en iyi uygulamalar hakkında güncel bilgilerimiz var.

IJNet’in (Uluslararası Gazeteciler Ağı) dijital güvenlik web semineri sırasında Dropbox güvenlik direktörü Rajan Kapoor ve eski ICFJ (Uluslararası Gazetecilik Merkezi) ve TruthBuzz Üyesi, veri gazeteciliği ajansı Volt Data Lab başkanı Sérgio Spagnuolo, gazetecilerin kendilerini korumak için kullanabileceği ipuçları ve araçlar paylaştı.

✅ YAPILMASI GEREKENLER

İki faktörlü kimlik doğrulamayı kullanın

Bu, veri güvenliği için ilk temel bir adımdır. Kapoor, hesaplarınıza girerken iki faktörlü bir kimlik doğrulaması kullanarak, siber saldırganların hesabınıza girmesini veya parolanız onlarda olsa bile hesabınıza ve verilerinize erişmesini engelleyebileceğinizi söylüyor. Ayrıca, hesabınızı kilitlememeniz için yedek iki faktörlü kimlik doğrulaması gibi bir kurtarma yöntemi ayarlamanızı ve kurtarma kodlarını kaydetmenizi de öneriyor.

İki faktörlü kimlik doğrulamayı ayarladığınızda, SMS yerine bir kimlik doğrulayıcı uygulaması kullanmanızı öneren Kapoor, Duo ‘yu kullanıyor, ancak başka seçenekler de var.

Verilerinizi aktarırken ve saklarken şifreleyin

“Şifreleme, verilerinizi alıp bir anahtar kullanarak karıştırmaktır” diyor Kapoor. Bunun anlamı, birileri verilere erişebilse bile, şifresini çözen anahtar olmadan okunamayacağıdır. Kapoor verilerinizin güvende olmasını sağlamak için, her servis sağlayıcıda iki şey aramanız gerektiğini söylüyor: ‘aktarılan veri şifrelemesi’ ve ‘hareketsiz veri şifrelemesi’.

Aktarılan veri şifrelemesi, verilerin cihazınızı bulut servis sağlayıcısına gitmesi ve internette dolaşması sırasında şifrelenmesini sağlar. Hareketsiz veri şifrelemesi, sağlayıcının verileri sizin için sakladıklarında şifrelediği anlamına gelir.

Sanal özel ağ (VPN) edinin

VPN, bir aracı sunucu ile web’e güvenli bir şekilde gezinmenize olanak tanır. VPN, tüm internet trafiği verilerinizi ve internet etkinliğinizi proxy sunucusu üzerinden yönlendirilir, sizi gözetlemeye çalışan herkesten korur ve gizliliğinizi korumak için IP adresinizi maskeler.

Bu kısa video, VPN’in nasıl çalıştığına dair açıklık getitiyor:

VPN’ler genellikle abonelik hizmetleridir ve akıllı telefonlara da yüklenebilirler. VPN’ler yararlı olsa da, dijital güvenlik için en kapsamlı araç olarak kullanılmamalıdır.

Spagnuolo, “VPN’ler IP adresinizi maskelemek için iyi bir araçtır, ancak tek başına koruyuculuk şartı yok” diyor. Kapoor, bir VPN seçmeden önce araştırma yapmanın önemli olduğu konusunda uyarıyor. VPN sağlayıcınızın ziyaret ettiğiniz web sitelerinin listesini kaydetmediğine ve paylaşmadığına güvenebilmeniz gerekir.

Kapoor, “sadece verilerinizi toplapak için tasarlayan çok sayıda VPN sağlayıcısı var” diyor ve ekliyor: “VPN’ler gizliliğinizi korumak için kurşun geçirmez bir yol değiller çünkü servis sağlayıcınız saldırgansa veya sizi izlemeye çalışıyorsa, bunu çerezler gibi şeylerle de yapabilirler.”

Yazının sonunda önerilen bazı VPN’leri ekleyeceğiz.

Hesabınıza erişimi olan kişi sayısını ve uygulamaları yönetin

Kapoor, “hesabınızı başka biriyle paylaşmak ya da birden fazla kişi arasında bir hesap oluşturmak gerçekten yapmak istemediğiniz bir şeydir” diyor. “Çünkü hesap güvenliğinin ihlâl edilip edilmediğini ve başka birinin giriş yapıp yapmadığını bilmiyorsunuz.”

Birçok hizmet ve uygulama, takviminiz, e-postanız, sosyal medya hesaplarınız, sosyal ağlarınız ve diğer uygulamalarla bağlantı kurmanızı ister. Bağlı uygulamaların sayısını yalnızca güvendiğiniz uygulamalarla sınırlandırın ve diğer uygulamalar ve hizmetlerle paylaştığınız verilerin farkında olun. Hesaplarınıza bağlı uygulamaları yılda en az bir kez inceleyin ve artık kullanmadığınız uygulamaları kaldırın.

⛔️ YAPILMAMASI GEREKENLER

Belge bağlantılarını — özellikle hassas verileri içeren — alenen paylaşmayın

Gazeteciler, meslektaşları ve editörlerle belge paylaşımına güvenir. Ancak, belgelere kimlerin erişebildiğini ve neyi ne kadar görebileceklerini takip etmek önemlidir.

Hem Spagnuolo hem de Kapoor, belge hassas veriler içeriyorsa asla bir belge bağlantısını açıkça paylaşmayı önermiyor. Bunun yerine belge bağlantılarına yalnızca belirli katılımcıları davet edin. Bu, belgenin geniş bir şekilde paylaşılmasını önler.

Kullandığınız hizmetlerde aynı parola kullanmayın

Siber saldırganların tüm sitelere genelinde parolalarınıza erişmesini önlemek için aynı parolayı tekrar tekrar kullanmaktan kaçının. Kapoor, “Bir saldırgan bir siteyi ihlal edebiliyorsa ve kullanıcı adlarına, parolalarına erişebiliyorsa, diğer hizmet sağlayıcılarına hemen gider ve zaten sahip oldukları kullanıcı adlarını ve parolaları yeniden kullanmaya çalışırlar” diyor.

Spagnuolo, 10 veya daha fazla karakterden oluşan benzersiz, zor parolalar oluşturarak parolanıza bir güvenlik seviyesi ekleyebileceğinizi söylüyor. Parolanızı oluştururken rastgele sözcük dizeleri kullanmanızı ve daha sonra bunları çeşitli karakterlerle ve büyük harflerle kişiselleştirmeyi öneren Spagnuolo, “Şarkı sözlerini bile kullanabilirsiniz” diyor.

Parolaları korumak zor bir iştir ve bunları bir tarayıcıda asla kaydetmemenizi öneriyoruz. Bunun yerine, hem Kapoor hem de Spagnuolo 1Password gibi bir parola yöneticisi veya şifrelenmiş bir dosyada parolalarınızı saklamayı öneriyor.

Tüm verilere aynı şekilde davranmayın

Herkese açık bir web semineri düzenliyor veya ofisteki sıradan konuları tartışıyorsanız, bu verilerin büyük olasılıkla birinci sınıf güvenliğe ihtiyacı yoktur. Bu durumlarda, normal hücresel servisleri, video konferans araçlarını veya sohbet uygulamalarını kullanabilirsiniz. Ancak bağlantınızın tamamen güvenli olmayabileceğinin farkında olun.

Bir haber kaynağıyla konuşuyorsanız veya hassas bilgiler içeren bir hikâye üzerinde çalışıyorsanız, kullandığınız yöntemleri dikkate almak istersiniz. Hem Spagnuolo hem de Kapoor, hem yazılı hem de sözlü hassas görüşmelerinizde Signal kullanmanızı öneriyor.

Dizüstü bilgisayarınıza depoladığınız, şifrelemek isteyebileceğiniz belirli veriler veya dosyalar vardır. Bunun için hem Kapoor hem de Spagnuolo, cihazlarınıza yerleştirilebilecek tam disk şifrelemesi ni önerir. Böylece “Birisi dizüstü bilgisayarınıza veya sabit diskinize erişebilseydi, orada bulunan verilere bakamazlardı,” diyor Kapoor. Spagnuolo, “Parolanızı kaybetmediğinizden emin olun, aksi takdirde verileri asla alamazsınız.” diye ekliyor.

Spagnuolo, üç kategoriye ayrılmış bir araç kutusu oluşturdu: ‘gizlilik ve güvenlik’, ‘tarayıcılar ve arama’ ve ‘belgeler ve veriler’. Bunların arasında VPN önerileri, şifreleme hizmetleri, ortak çalışma araçları ve daha fazlası bulunuyor.