Дослідження провела Соціологічна група Рейтинг на замовлення ГО «Інтерньюз-Україна». Звіт підготували за результатами глибинних інтерв’ю з журналістами, представниками громадських організацій та експертами з цифрової безпеки.

З початку повномасштабного вторгнення відбувалася посилення загроз в інформаційному просторі. З одного боку, інформанти відзначають істотне збільшення кількості кібератак на медійні ресурси, поширення фейкової інформації в соціальних мережах та інформаційно-психологічних спецоперацій (далі — ІПСО) в цілому. З іншого боку, експерти з кібербезпеки та представники громадських організацій частіше говорять не так про появу якісно нових загроз, як про зростання зацікавленості та інтенсивності дій зловмисників щодо зламу ресурсів та проведення ІПСО.

Очевидним чинником посилення загроз є збройна та інформаційна агресія з боку російської федерації, спецслужби якої інформанти найчастіше згадують серед бенефіціарів кібератак. Серед інших зловмисників називають також окремих представників української влади (частіше як фігурантів антикорупційних журналістських розслідувань), українські спецслужби (як знаряддя в руках недобросовісних українських посадовців), шахраїв (зокрема транснаціональних груп). Окрім безпосередньо активізації війни, опитані відзначають розвиток технологій, зокрема штучного інтелекту (далі — ШІ), які призводять до кількісного та якісного збільшення фейкової інформації, а також посилення кібератак.

Іншим чинником є поширення та проникнення соціальних мереж серед населення України, внаслідок чого відбувається відносне зниження середнього рівня інформаційної грамотності, зростання ризику зламування акаунтів рідних та знайомих журналістів, а відповідно — зростання загроз для особистої цифрової безпеки. Серед особливих небезпек журналісти згадують посилення тиску на них і як наслідок — поширення самоцензури через побоювання про можливі наслідки публікації певних матеріалів. Названі процеси призводять до ерозії поля журналістики в цілому через загальне зниження рівня довіри до відповідного інституту, що в перспективі загрожуватиме функціонуванню демократичних інституцій в Україні.

Посилення загроз спричиняє посилення вимог до цифрової безпеки, до чого медійні та громадські організації виявилися неготовими. Протягом останніх 2—3 років інформанти стикалися з DDoS-, фішинговими та вірусними атаками, внаслідок яких відбувався злам доступу до адмінпанелей сайтів, сторінок в соціальних мережах; серверів, на яких зберігаються дані, зокрема сенситивні.

Попри заходи, спрямовані на посилення цифрової безпеки, інформанти відзначають актуальність загроз витоку персональних даних, створення фейкових каналів у соціальних мережах та месенджерах, що мімікрують під справжні; конструювання якісних дипфейків за допомогою ШІ, прослуховування та зовнішнє спостереження, зокрема GPS-трекінг, масовані кібератаки. Лише деякі опитані вважають, що їхня організація має високий рівень захисту.

Як зазначають експерти з цифрової безпеки, стан цифрового захисту організацій прямо залежить від інтенсивності практик особистої кібергігієни. Дослідження показало, що інформанти здебільшого говорять, що ознайомлені з базовими правилами, серед яких найчастіше згадують ті, що пов’язані з паролями до сайтів та сторінок (генерація та регулярне оновлення складних

паролів через менеджери, двофакторна аутентифікація), та обережні під час отримання повідомлень через електронні засоби комунікації. Лише деякі респонденти до названого переліку додають використання антивірусів, VPN, створення резервних копій інформації, ознайомлення з технічною документацією під час встановлення програм (яке залишається здебільшого вибірковим),

використання та регулярне оновлення ліцензійних програм, запобігання завантаженню документів на особисті пристрої, перенесення роботи винятково до інтернет-простору. Попри загальну обізнаність щодо існування правил цифрової безпеки, інформанти відзначають, що вони та їхні колеги часто їх не дотримуються повною мірою. Серед причин найчастіше називають те, що впровадження змін призводить до порушення звичного способу життя та роботи, що спочатку спричиняє відразу, відчуття браку сил та часу; брак мотивованості, посилений небажанням визначити себе як потенційну жертву зловмисників, які начебто не цікавляться діяльністю локальних організацій; брак фінансування на програми та пристрої, які забезпечують більш надійний цифровий захист, а також окремі випадки виникнення технічних проблем зі згенерованими складними паролями через вимкнення електроенергії та/або збої в операційних системах гаджетів. 

Слабким місцем в організації особистої цифрової безпеки залишається те, що журналісти несвідомо розмежовують сервіси, які необхідні для професійної діяльності, та ті, які вони використовують у вільний час (здебільшого розважальні). Відповідно вони не поширюють правила цифрової безпеки на такі програми та застосунки. Частина організацій опитаних співробітників мають окрему політику щодо цифрової безпеки, в інших — формалізованої політики немає, проте вживають окремих заходів для впровадження цифрової безпеки. Існують різноманітні форми ознайомлення працівників з правилами цифрової безпеки, зокрема безпосереднє спілкування служби безпеки з окремими департаментами (підрозділами) організації та/або системними адміністраторами, ознайомлення під час онбордингу, проведення регулярних тренінгів та інструктажів з інформаційної безпеки (як внутрішніх, так і зовнішніх), розсилка інструкцій через організаційні канали комунікації (як одноразова, так і регулярна). Зазвичай правила інформаційної безпеки обмежені базовими інструкціями щодо поведінки з ресурсами та сервісами, з якими працює організація. Лише в деяких організаціях існують посилені правили безпеки, зокрема протоколи реагування на випадки зламу акаунту, серверу тощо; обмеження доступу до ресурсів організації та роботи з персональних пристроїв; наявність дублювальних хмар та закритих серверів. Частина організацій має відповідну службу безпеки, якій делегована діяльність щодо запобігання зламу цифрової безпеки та реагування на відповідні випадки. Лише деякі організації намагаються поєднати заходи з технічних та соціальних (організаційних, особистих) аспектів цифрової безпеки.

Окремою вразливою ланкою кібербезпеки є сервіси, якими користуються журналісти для внутрішньої комунікації. Частина організацій не має політики, яка визначила б вичерпний перелік таких сервісів, тому їхні співробітники можуть користуватися декількома одночасно. У великих компаніях працівники можуть використовувати корпоративну пошту, Google Drive, Trello, Notion, а також різноманітні месенджери, що створює додаткові проблеми та загрози. Серед месенджерів інформанти частіше називають Telegram (водночас наголошуючи на розумінні ризиків, пов’язаних з походженням цього ресурсу) та WhatsApp, рідше — месенджери Facebook, Signal, Slack. Лише в деяких організаціях поділяють комунікацію на робочу, що передбачає залучення документів (здебільшого через корпоративну пошту) та неробочу (переважно через месенджери). Небажання переходити до більш захищених сервісів спілкування пов’язане зі зручністю (необхідність пересилати великі обсяги інформації, зокрема фото- та відео-, обмежує коло сервісів; комунікація з працівниками, які можуть перебувати, зокрема, на окупованій території, призводить до намагання полегшити способи комунікації) та коштами, необхідними на користування ними. 

За словами інформантів, у їхніх організаціях працівники зазвичай ознайомлені з алгоритмами захисту від фішингу. Частина опитаних зазначила, що дізнається про такі правила під час тренінгів, які проводять або сама організація, або організація-партнер, що спеціалізується на цифровій безпеці. Менша частина респондентів недостатньо ознайомлена з такими алгоритмами, тому розв’язує проблеми з фішингом під час консультацій з відділом безпеки або з представниками організацій-партнерів, що зазвичай призводить до зайвих витрат часу. За організацію заходів безпеки в організаціях частіше відповідають окремі технічні відділи та департаменти. Їхня компетенція здебільшого поширюється на організацію технічних параметрів та застосування рішень, спрямованих проти спланованих масових атак. У невеликих медіа та громадських організаціях за заходи безпеки відповідають окремі працівники: відповідний технічний спеціаліст, HR, менеджер офісу, голова департаменту або керівник організації. Для посилення цифрової безпеки в організаціях поширена практика проведення тренінгів (частіше — власними зусиллями, рідше — із запрошеними організаціями, які спеціалізуються на цифровій безпеці). У деяких організаціях замість спільних тренінгів організовують індивідуальні сесії із залученням організацій-партнерів. Думки про рівень складності таких тренінгів розділилися: з одного боку, багато інформантів відповіли, що не вважають такі тренінги складними, з іншого, частина повідомила, що їхні колеги під час таких заходів особисто не були зацікавлені. Проте, попри поширеність особистої невмотивованості, усі опитані вказали про актуальність знань та застосування навичок, отриманих під час таких тренінгів. За їхніми словами, з рутинізацією робочих процесів відбувається втрата пильності, тому важливо регулярно нагадувати про основні правила цифрової безпеки. 

На думку частини інформантів, наявних заходів достатньо для досягнення цифрової безпеки в цілому. Інші інформанти згадували про доречність таких кроків, що впроваджені лише в деяких організаціях:

• складання внутрішнього протоколу безпеки;
• формування відділу безпеки, завданням якого був би моніторинг дотримання,
• наявності та впровадження автоматичних рішень з безпеки, насамперед для запобігання загрозам масових кібератак;
• збільшення відповідальності окремих працівників за власні дії;
• виділення коштів на покращення рівня безпеки сайту;
• запровадження періодичних тренінгів, на яких додатково були б
• розглянуті практичні кейси та потенційні наслідки недотримання окремих правил кібергігієни;
• поділ робочого та особистого цифрових просторів.
• Частина інформантів вказали на особисту зацікавленість щодо регулярного проходження тренінгів з метою моніторингу загроз, які виникають в інформаційному просторі. Відповідно основна потреба опитаних — підтримувати наявний рівень
• обізнаності про інформаційні загрози, бажано з використанням матеріалів з конкретними кейсами.

Лише деякі інформанти мають конкретні запити:

• інформація про різновиди VPN;
• способи захисту, зокрема хмарного, сайтів медіа;
• способи збереження сенситивного контенту;
• створення захищених каналів під час передачі інформації;
• убезпечення від незаконного стеження, способи ідентифікації прослуховування через девайси;
• особливості протоколів шифрування даних у месенджерах;
• використання ШІ для продукування фейків та способи розпізнавання дипфейків,
• особливості ІПСО;
• способи ідентифікації суб’єктів скарг на матеріали в соціальних мережах, що призводить до блокування сторінок організації (окрема людина, група людей, конкуренти тощо).

За словами респондентів, для тих користувачів, які лише починають ознайомлюватися з основами цифрової безпеки, доцільно використовувати формат тренінгів, під час яких вони матимуть змогу отримати відповіді на поширені запитання, для більш просунутих оптимальними будуть індивідуальні консультації.

Участь у тренінгу в офлайн-форматі називають ефективнішою через можливість поставити більше запитань, сфокусувати увагу, що є запорукою результативного навчання, а також мінімізувати наслідки вимкнень електроенергії. Під час проведення тренінгів у будь-якому форматі доцільно звернути увагу на конкретні кейси, в ідеалі — від самих організацій; зосередитися на одній програмі, якою послуговуються в організації; використовувати домашні завдання, що разом дає змогу краще розібратися з нюансами, а також проводити тренінги на різну тематику для різних представників організації. Послуг з цифрової безпеки потребує лише частина інформантів. Найчастіше вони згадують аудит захищеності серверів, адмінпанелей сайтів, корпоративної пошти тощо. Деякі опитані наголошували на потребі залучити додаткове програмне забезпечення, зокрема хмарні сховища, що потребує більших коштів. Один з інформантів згадав потребу в гарячій лінії, куди можна звернутися у випадку зламу ресурсів організації. Натомість потенційними бар’єрами для проведення аудиту можуть стати високий рівень недовіри до організації, яка його проводить, а також неготовність до відповідних фінансових витрат.

Зацікавленість у створенні онлайн-платформи, що об’єднувала б ініціативи з цифрової безпеки, проявили лише деякі інформанти. Насамперед вони не розуміють доцільності свого долучення, оскільки за потреби журналісти воліють звертатися по відповідні послуги особисто до фахівців. Експерти з кібербезпеки та представники громадських організацій виявили більшу зацікавленість. Щоб посилити їхній інтерес, варто роз’яснити, за яким напрямом така платформа працюватиме, на яких умовах туди можна долучитися, які джерела фінансування платформи, терміни співпраці та ступінь її захищеності. На думку інформантів, платформа могла б виконувати такі функції:

• цілодобова підтримка, розміщення контактів фахівців з різних напрямків;
• місце для формування навчальної програми та чеклістів для організацій, які хотіли б самостійно розв’язувати проблеми зі станом цифрової безпеки;
• оперативний обмін досвідом щодо новітніх загроз, зон ризику, способів забезпечення цифрового захисту організації;
• публікація дайджестів про тенденції e сфері інформаційної безпеки (актуальні загрози, кейси про наслідки зламів, способи визначення рівня небезпеки ресурсів, методи розпізнавання дипфейків, зміни політик соціальних мереж; софт, який допоможе убезпечити організацію тощо).

Методологія дослідження: 20 глибинних інтерв’ю з журналістами, представниками громадських організацій, експертами з цифрової безпеки. Формат проведення: телефонні інтерв’ю та онлайн-зустрічі за допомогою платформи Zoom. Терміни проведення: 26 червня — 10 липня 2024 року.