Спокойно! Маша, я Олеся

Что не так (а может так) с заявками в Google-формах?

Я вам обещала пост про то, насколько безопасно отправлять заявки через формы Google, которыми пользуются очень многие грантодатели.

С этим вопросом я пошла к моему коллеге Павлу Банникову - фактчекеру, расследователю и автору Телеграм-канала Прогноз Погоды: про OSINT, медиаграмотность, и кибербезопасность. Лучше и понятнее канала про то, как интерпретировать данные, распознавать лажу, и использовать OSINT в работе, я не знаю.

Обсудив, мы решили опубликовать общий пост, который выйдет на двух каналах, не только про грантовые заявки, но и про любую передачу конфиденциальных данных и вообще какой-либо чувствительной информации. Надеюсь, пост вам будет полезен:

❔ Итак, что безопаснее? Формы Google, AirTable (их предлагают как альтернативу) или самописная форма на сайте? 

🤷🏻 Короткий ответ: Сам по себе ни один из трёх вариантов. Если администратор формы ламер (ред. чайник или непрофессионал😁) — все данные всегда будут под угрозой раскрытия. 

🖖 Подробный ответ: Несмотря на то, что у разных инструментов разная степень технической защищенности (шифрование, например), главная угроза данным в большинстве случаев — их обладатель/оператор. Именно действия (или бездействие) администратора чаще всего приводят к утечкам данных. Кто-то один выставил уровень доступа «по ссылке» и прощай, конфиденциальность. А взлом аккаунта одного сотрудника может привести к утечке данных всех. Если никто не отвечает за соблюдение протокола безопасности, рано или поздно случится утечка.

На этом фоне самописные формы на сайтах выглядят более выигрышно, но не стоит на их счёт обольщаться: как и в случае со сторонними формами, мы почти никогда не знаем, насколько серьёзно относится к вопросам кибербезопасности создатель сайта, есть ли у него вообще для этого отдельный департамент или хотя бы один-два профессиональных безопасника, которые отслеживают угрозы и контролируют обновления безопасности. 

✅ Что в итоге

Формы Google ничуть не хуже всего остального, если в организации прописан регламент кибербезопасности и за этим регламентом следит специально обученный сотрудник. Если такового нет, вас не спасут ни AirTable, ни SurveyMonkey, ни какой-либо из более секьюрных технологически вариантов.

‼️ Никакой GDPR не защищает от человеческого фактора. Технологии в руках мартышки человека, профи в своей области, но не в кибербезопасности — не  гарантируют ничего. Точнее, гарантируют утечку. 

✅ Что делать

1️⃣ Тем, кто собирает информацию — обучать сотрудников по триаде CIA (Confidentiality, Integrity, Availability), создавать отдел или должность специалиста по КБ (оплачиваемую! — волонтёрство здесь не работает). 

2️⃣ Тем, кто информацию отправляет. Не впадать в паранойю, и не забывать о том, что за формами стоят люди. Подумайте о том, чтобы по договорённости с оператором формы отправить совсем уж конфиденциальную информацию по защищенному каналу.

3️⃣ В принципе нормально написать прямо в форме заявки, что вы готовы предоставить определённые данные лично по запросу в защищенной переписке. Это не гарантирует полной защиты данных, но в теории сужает круг доступа и риск утечки.
_________
Вот такие простые выводы и рекомендации, поместившиеся по количеству знаков в один пост в Телеграме.

Если хотите больше про кибербезопасность и медиаграмотность, то советую подписаться на Телеграм Павла - @pavelbannikov

❤️ Хорошего понедельника!

❤29🔥5👍4

www.group-telegram.com/us/FL_EKA_story.com/609

2.66K viewsedited  Apr 28 at 08:10

Что не так (а может так) с заявками в Google-формах?

Я вам обещала пост про то, насколько безопасно отправлять заявки через формы Google, которыми пользуются очень многие грантодатели.

С этим вопросом я пошла к моему коллеге Павлу Банникову - фактчекеру, расследователю и автору Телеграм-канала Прогноз Погоды: про OSINT, медиаграмотность, и кибербезопасность. Лучше и понятнее канала про то, как интерпретировать данные, распознавать лажу, и использовать OSINT в работе, я не знаю.

Обсудив, мы решили опубликовать общий пост, который выйдет на двух каналах, не только про грантовые заявки, но и про любую передачу конфиденциальных данных и вообще какой-либо чувствительной информации. Надеюсь, пост вам будет полезен:

❔ Итак, что безопаснее? Формы Google, AirTable (их предлагают как альтернативу) или самописная форма на сайте? 

🤷🏻 Короткий ответ: Сам по себе ни один из трёх вариантов. Если администратор формы ламер (ред. чайник или непрофессионал😁) — все данные всегда будут под угрозой раскрытия. 

🖖 Подробный ответ: Несмотря на то, что у разных инструментов разная степень технической защищенности (шифрование, например), главная угроза данным в большинстве случаев — их обладатель/оператор. Именно действия (или бездействие) администратора чаще всего приводят к утечкам данных. Кто-то один выставил уровень доступа «по ссылке» и прощай, конфиденциальность. А взлом аккаунта одного сотрудника может привести к утечке данных всех. Если никто не отвечает за соблюдение протокола безопасности, рано или поздно случится утечка.

На этом фоне самописные формы на сайтах выглядят более выигрышно, но не стоит на их счёт обольщаться: как и в случае со сторонними формами, мы почти никогда не знаем, насколько серьёзно относится к вопросам кибербезопасности создатель сайта, есть ли у него вообще для этого отдельный департамент или хотя бы один-два профессиональных безопасника, которые отслеживают угрозы и контролируют обновления безопасности. 

✅ Что в итоге

Формы Google ничуть не хуже всего остального, если в организации прописан регламент кибербезопасности и за этим регламентом следит специально обученный сотрудник. Если такового нет, вас не спасут ни AirTable, ни SurveyMonkey, ни какой-либо из более секьюрных технологически вариантов.

‼️ Никакой GDPR не защищает от человеческого фактора. Технологии в руках мартышки человека, профи в своей области, но не в кибербезопасности — не  гарантируют ничего. Точнее, гарантируют утечку. 

✅ Что делать

1️⃣ Тем, кто собирает информацию — обучать сотрудников по триаде CIA (Confidentiality, Integrity, Availability), создавать отдел или должность специалиста по КБ (оплачиваемую! — волонтёрство здесь не работает). 

2️⃣ Тем, кто информацию отправляет. Не впадать в паранойю, и не забывать о том, что за формами стоят люди. Подумайте о том, чтобы по договорённости с оператором формы отправить совсем уж конфиденциальную информацию по защищенному каналу.

3️⃣ В принципе нормально написать прямо в форме заявки, что вы готовы предоставить определённые данные лично по запросу в защищенной переписке. Это не гарантирует полной защиты данных, но в теории сужает круг доступа и риск утечки.
_________
Вот такие простые выводы и рекомендации, поместившиеся по количеству знаков в один пост в Телеграме.

Если хотите больше про кибербезопасность и медиаграмотность, то советую подписаться на Телеграм Павла - @pavelbannikov

❤️ Хорошего понедельника!

BY Спокойно! Маша, я Олеся