Как и многие некоммерческие организации, Traverse Project, организация из Хьюстона, штат Техас, которая проводит транснациональные расследования с целью выявления виновных в торговле людьми в целях сексуальной эксплуатации и эксплуатации детей, имеет ограниченные ресурсы для обеспечения цифровой безопасности. К сожалению, его волонтеры почти полностью работают онлайн и сталкиваются с постоянной угрозой возмездия со стороны преступников, которых они расследуют.
«Я как генеральный директор стартапа», — сказал Остин Шамлин, основатель и главный исполнительный директор проекта. «Я ношу около 10 разных шляп, и у нас должна быть политика, гарантирующая, что расследования не будут искажены и что мои волонтеры не будут идентифицированы. У меня действительно нет времени, чтобы сесть и разработать такую политику».
Посетите Citizen Clinic , клинику кибербезопасности Калифорнийского университета в Беркли, семестровый курс, предлагаемый осенью и весной в Школе информации , который открыт для студентов со всего кампуса. Как и юридические и медицинские клиники Беркли, Citizen Clinic предоставляет студентам практическое обучение и опыт, предоставляя бесплатную помощь в области цифровой безопасности некоммерческим и другим общественным организациям.
В прошлом семестре команда из семи студентов оказала помощь проекту «Траверс», в том числе помогая волонтерам организации сохранять анонимность, чтобы защитить себя и свои семьи от торговцев секс-торговлей, которые в некоторых случаях являются влиятельными преступниками с хорошими связями.
«Чем дальше мы поднимаемся по иерархии в отслеживании сети торговли людьми, тем больше у нас шансов добраться до богатых людей или коррумпированных правительств, у которых есть доступ к разведывательным инструментам или продуктам, которые они могли бы использовать, чтобы начать отслеживать моих аналитиков», — Шамлин сказал. «Эти люди очень влиятельны во многих странах, поэтому для наших волонтеров важно сохранять анонимность.
«Студенты Беркли помогают нам разрабатывать политику и инструменты, которые мы можем использовать для снижения части этого риска. Они снимают с меня огромную задачу. Прибытие этих сверхумных молодых специалистов и оказание помощи нашей некоммерческой организации меняет правила игры».
Кибербезопасность в общественных интересах
Поддержка небольших, уязвимых организаций, таких как Traverse Project, напрямую соответствует миссии Citizen Clinic, запущенной в 2018 году Центром долгосрочной кибербезопасности Калифорнийского университета в Беркли (CLTC) в Школе информации. Почти каждый семестр с момента запуска программы студенческие команды клиники оказывают помощь в области цифровой безопасности различным некоммерческим организациям в США и по всему миру: от центральноамериканской организации, которая помогает мигрантам, спасающимся от участия в организованных преступных предприятиях, до некоммерческой организации, поддерживающей общины коренных народов в США и во всем мире. Азии угрожают мощные китайские рыболовные конгломераты. Все эти некоммерческие клиенты зависят от электронных инструментов и устройств для выполнения своей работы, но имеют ограниченные кадровые и финансовые ресурсы для защиты от цифровых угроз, будь то армии онлайн-преследователей или могущественные правительства.
В этом семестре курс Citizen Clinic состоит из двух секций: онлайн и очно. Хотя клиенты для этой группы студентов еще не определены, это будут недостаточно обеспеченные ресурсами организации с жизненно важными социальными миссиями.
«Многие некоммерческие организации предоставляют критически важные общественные услуги, но часто не имеют персонала, знаний или времени, чтобы защитить себя от распространенных киберугроз», — сказала Сара Повазек, директор программы кибербезопасности общественных интересов в CLTC. «Студенты Citizen Clinic помогают им понять и расставить приоритеты в своих цифровых потребностях в очень человечном формате один на один».
Беркли был пионером концепции клиники кибербезопасности и помог распространить эту модель на другие университеты, в том числе став соучредителем Консорциума клиник кибербезопасности , который предоставляет ресурсы поддержки, чтобы помочь другим учреждениям запустить свои клиники кибербезопасности. Такие клиники были частью недавно опубликованной Администрацией Байдена Национальной стратегии кибертрудовых ресурсов и образования на 2023 год , а модель клиники кибербезопасности привлекла внимание растущего числа филантропов, которые признают важность защиты гражданской инфраструктуры и организаций, представляющих общественные интересы, от кибератак.
Craig Newmark Philanthropies, организация, предоставляющая гранты, основанная основателем Craigslist, на сегодняшний день пообещала выделить более 2 миллионов долларов на поддержку как клиники Беркли, так и формирования консорциума. В июне Google учредил Фонд клиник кибербезопасности стоимостью более 20 миллионов долларов , который поможет разработать или запустить 20 клиник по всей стране к 2025 году, сотрудничая с консорциумом для увеличения числа членов консорциума, наставничества в новых клиниках, привлечения учреждений, обслуживающих меньшинства, и общественных колледжей, обмена опытом преподавания. ресурсы и проводить исследования передовой практики в сети клиник.
Google объявила о первом раунде из 10 грантов членам-основателям консорциума в октябре прошлого года, в том числе о гранте на поддержку программы Citizen Clinic в Беркли и удвоении числа ее студентов, участвующих в течение следующих трех лет. Второй открытый конкурс Google на финансирование клиник по кибербезопасности в настоящее время принимает заявки от колледжей и университетов по всей стране на выделение 10 грантов по 1 миллиону долларов для новых клиник, которые откроются в 2024 и 2025 годах.
Делать больше с меньшими затратами
Клиники кибербезопасности являются беспроигрышным вариантом, поскольку у студентов есть возможность получить реальный опыт, одновременно служа обществу. «Такой курс, как Citizen Clinic, уделяет особое внимание организациям, которые являются оплотом нашего гражданского общества, но чья экспертиза никогда не будет связана с кибербезопасностью, поэтому они очень уязвимы», — сказала Саба Дейхим, студентка, принимавшая участие в семинаре. во время обучения по программе магистра информатизации и кибербезопасности Школы информации . «Это потрясающий способ проявить свою страсть, а также применить на практике то, что мы изучаем. Мы помогаем этим организациям выполнить свою миссию».
Учитывая деликатный характер работы, руководство клиники ввело строгие протоколы для защиты класса и его клиентов. Примерно 30 студентов в семестр проходят недельную подготовку, прежде чем приступить к работе с клиентами; они учатся использовать веб-браузеры, ориентированные на конфиденциальность, такие как Tor и Brave, и вести разговоры через приложение для зашифрованных сообщений Signal или с помощью Jitsi, анонимной альтернативы Zoom. Курс также включает раздел, посвященный определению приоритетов психического здоровья, что является признанием того, что работа может быть эмоционально утомительной.
Студенты и их клиенты анонимны в своих взаимодействиях и никогда не делятся своими именами или лицами друг с другом. «Мы предполагаем, что у многих наших клиентов уже есть противник в своей системе», — сказала преподаватель Беркли Тиффани Рэд, ведущий инструктор Citizen Clinic.
Команды Citizen Clinic не работают напрямую с цифровыми сетями своих клиентских организаций; скорее, они проводят оценку рисков для выявления потенциальных уязвимостей, затем проводят базовое обучение и дают рекомендации по недорогим или нулевым решениям.
«Кибербезопасность стоит дорого, и у наших клиентов часто нет средств на наем консультантов», — сказал Рэд. «Мы заполняем эту нишу и даем им план, который они смогут со временем развивать. Студенты начинают понимать, что исправление кибербезопасности не всегда должно быть дорогостоящим инструментом. Речь идет больше о обучении и политике, и больше о том, чтобы слушать, чем говорить. Студенты действительно учатся общению».
В этом семестре очную часть курса, в которой обучается примерно одинаковое количество студентов и аспирантов, ведет новый преподаватель, Элайджа Бауком, основатель Everyday Security, компании, которая предоставляет помощь в области кибербезопасности некоммерческим организациям и организациям социальной справедливости.
«В начале семестра мы учим студентов разрабатывать методы оценки личного риска, чтобы они могли увидеть, где они не соответствуют лучшим практикам», — сказал Бауком. «Мы рассматриваем такие темы, как гигиена паролей, многофакторная аутентификация и VPN. Мы также говорим о различиях между работой с корпорациями и некоммерческими организациями, где вы должны иметь возможность проникнуться миссией на более глубоком уровне».
На сегодняшний день Citizen Clinic обучила более 165 студентов из более чем десятка академических областей и обслужила 17 клиентов из некоммерческих организаций. Многие выпускники программы теперь применяют полученные навыки в других секторах. Джонатан Лэйман работает в правительстве штата, где помогает округам обеспечивать безопасность выборов. Офисы этих округов часто имеют ограниченные ресурсы, но сталкиваются с возможностью кибератак как из США, так и из других стран, способных подорвать их избирательные системы.
«Главная особенность Citizen Clinic заключается в том, что мы не берем на себя кибербезопасность клиентов, а учим их управлять ею самостоятельно», — сказал Лэйман. «Небольшие округа не обязательно хотят, чтобы правительство штата взяло на себя управление их деятельностью. Им нужен кто-то, кто сможет научить их, как обеспечивать более высокий уровень безопасности и сохранять образ мыслей о безопасности в рамках своей деятельности».
Выпускница Супрапти МакТаггарт, специалист по кибербезопасности, решила продолжить свою работу в общественных интересах, часто добровольно помогая некоммерческим организациям в вопросах цифровой безопасности. «Я легко могу выставить счет за этот тип работы по высокой почасовой ставке в качестве консультанта, но у этих организаций нет такого финансирования», — сказал МакТаггарт. «Повышение моих навыков с помощью Citizen Clinic было полезным и полезным, потому что моя миссия — помогать людям и организациям, испытывающим недостаток финансирования. Нам нужно больше добровольцев в сфере кибербезопасности».
Клиники кибербезопасности также помогают пополнять резерв талантливых специалистов в области кибербезопасности: исследование рабочей силы в области кибербезопасности 2023 (ISC)2 показало, что, хотя в настоящее время во всем мире насчитывается 5,5 миллиона специалистов по кибербезопасности, для удовлетворения спроса во всем мире требуется еще примерно 4 миллиона. Эти клиники также помогают привлечь больше студентов из разных слоев общества в область кибербезопасности, в которой в настоящее время 21% составляют женщины. Почти половина из примерно 170 выпускников Citizen Clinic — женщины.
Эти клиники «представляют собой мощное решение, поскольку они привлекают больше людей к кибербезопасности, включая женщин и цветных людей, которые еще недостаточно широко представлены в этой области, и развивают как технологические ноу-хау, так и социальные навыки общения с клиентами». — сказал Майкл Макстман, директор по информационной безопасности города Сан-Франциско, который узнал о клинике Беркли благодаря ее работе с местными некоммерческими организациями и теперь работает с CLTC над новыми исследованиями для нужд этих организаций в области кибербезопасности. «Я с энтузиазмом делюсь успешной моделью клиник кибербезопасности с директорами по информационной безопасности (руководителями по информационной безопасности) в других городах и штатах округов Калифорнии».
Сектор под атакой
Модель клиники кибербезопасности расширяется в идеальное время, поскольку организации, представляющие общественные интересы, все чаще оказываются уязвимыми для кибератак. Атаки программ-вымогателей нанесли ущерб муниципалитетам, школьным округам и больницам по всей стране. Например, согласно опросу компании Sophos, занимающейся вопросами кибербезопасности , 80% провайдеров низшего образования и 79% провайдеров высшего образования сообщили, что они пострадали от программ-вымогателей в прошлом году, а НПО и аналитические центры являются вторыми наиболее уязвимыми По данным Microsoft, этот сектор во всем мире по количеству кибератак со стороны национальных правительств занимает второе место после киберагрессии между правительствами.
«Знания злоумышленников растут с каждым днем, потому что именно этим они и занимаются», — сказал Бауком. «Но обычные люди не так сосредоточены на этом, поэтому векторы угроз расширяются, и люди становятся более восприимчивыми к атакам».
В то время как другие университетские клиники сосредоточены на помощи местным органам власти или другим гражданским учреждениям, клиника Беркли была создана для оказания помощи некоммерческим и медицинским организациям, испытывающим недостаток ресурсов и подвергающимся риску политически мотивированных кибератак. Например, клиника сотрудничала с несколькими организациями по репродуктивным правам, в том числе с Центром женских возможностей , клиникой планирования семьи при больнице общего профиля Сан-Франциско, которая предоставляет услуги по прерыванию беременности в первом и втором триместрах.
«У нас нет времени быть экспертами в области информационных технологий, а также экспертами в области медицины и сестринского дела», — сказала Алисса Перруччи, менеджер клиники центра. «Сообщества, которые хотят, чтобы аборты были незаконными, хотят, чтобы пациенты чувствовали угрозу, и они будут тратить на это ресурсы, в то время как мы пытаемся обслуживать клиентов и пациентов, которые приходят к нам».
В течение осеннего семестра 2022 года студенты Беркли оказали персоналу центра ряд услуг. В их число входила брошюра для пациентов о том, какие приложения для обмена сообщениями, веб-браузеры и приложения для отслеживания менструального цикла наиболее эффективны для защиты конфиденциальности пациентов, а какие передают данные пользователей третьим лицам, которые могут быть законно обысканы, если пациенты прибыли из государство, которое запрещает аборты.
«Мы должны быть начеку, зная всю тактику, которую движение против абортов готово использовать, чтобы лишить людей права на аборт», — сказал Перруччи. «Что может помешать властям в стране, где аборты запрещены, собирать все данные, чтобы увидеть, у кого пропущена менструация?»
Организации, защищающие репродуктивные права, осознают важность цифровой безопасности, но «обеспокоены тем, что им приходится делать это помимо своей прямой работы по оказанию услуг», — сказала Кейт Берташ, директор Фонда цифровой защиты, который помогает поддерживать цифровую безопасность и технологические потребности человечества. Американское движение за доступ к абортам. «Поставщики медицинских услуг часто подвергаются фишинговым атакам и вредоносному ПО, а все некоммерческие организации, как правило, становятся жертвами мошенничества и финансово мотивированных угроз. Но в подавляющем большинстве организаций, с которыми мы работаем, нет сотрудников, отвечающих за ИТ-услуги».
Студенческая группа Citizen Clinic также провела оценку рисков, чтобы помочь сотрудникам Центра женских возможностей определить потенциальное воздействие онлайн. Один студент порылся в Интернете, в том числе в «глубокой паутине», или «невидимой паутине», которые являются частями Всемирной паутины, не индексируемыми стандартными поисковыми программами, чтобы задокументировать, какую личную информацию можно найти о сотрудниках клиники и их семьях. Она нашла одну из подробностей врача на форуме, посвященном разоблачению поставщиков абортов. «Это был тревожный звонок», — сказал Перруччи.
В конечном итоге усилия студентов принесли душевное спокойствие персоналу поликлиники. «До вмешательства одна из сотрудниц центра всегда пользовалась телефоном-раскладушкой, полагая, что использование смартфона подвергнет ее слишком большому риску», — сказал Дейхим. «После того, как она помогла ей понять все проблемы и риски, она в итоге получила смартфон. Она понимала, что находится под ее контролем и как обеспечить собственную безопасность в цифровом пространстве».