Основы безопасности для революционеров. Выпуск первый

На кой чёрт я пишу эту книгу краткий ответ в цитате выше, а подробный — во введении. Предисловие же будет лучше без лишних слов начать с пары интересных историй.

История номер раз:

В славном украинском городе Днепр жил-был мужик, звали его Александр Матюшенко. Ещё до Майдана Александр был левым активистом, участвовал в деятельности организации «Боротьба». Организация, кстати, уже давно не существует, а медийные ресурсы «организации» ведёт один живущий в России социал-шовинистический придурок, имитирующий существование «Боротьбы» и навешивающий лапшу на уши недалёким левакам на Западе.

Так вот, организация «Боротьба» в целом и Александр Матюшенко в частности плевали на конспирацию. До последнего действовали крайне открыто, будто бы угрозы особо нет и не могло быть. В общем, беспечные люди были.

А ещё некоторые боротьбисты, включая Александра, писали статьи на сайт liva.com.ua.

Его статьи были подписаны, само собой, реальными именем и фамилией. Более того, зачем-то в статьях публиковались, аки вишенки на тортах, фотографии Александра. В 2024м году всё ещё можно найти эти статьи на указанном сайте.

В 2016м году произошёл взлом электронной почты Суркова — на тот момент помощника президента РФ и архитектора Антимайдана. По итогам взлома выяснилось, что боротьбисты писали статьи на заказ, а заказ был из Кремля. В списке авторов заказных статей оказался и Александр Матюшенко. Сам Александр об источнике своих доходов не знал, здесь его подставили так называемые «товарищи».

К счастью, даже после этого инцидента особых проблем с фараонами у Александра не возникало вплоть до 2022го года. Перейдём же к этому трагичному для многих времени.

Весной 2022го к Александру в дом вломились СБУшники и азовец, крайне жестоко избили, после чего Александра судил наш самый гуманный суд в мире за якобы работу на российскую разведку. Изначально ему угрожали пятнадцатью годами, но исключительно благодаря дорогому и талантливому адвокату срок удалось скостить до трёх лет. Мы считаем, что на самом деле Матюшенко на российскую разведку не работал и от дела прямо-таки несёт мусорскими иголками да нитками, но имеет ли это значение? Александр всё ещё на зоне, и с нашей точки зрения здесь пусть и не его вина в правовом смысле, однако однозначно его ответственность со стороны грубых нарушений конспиративных норм.

Это была первая история. Рассказана она по той причине, что многим товарищам, живущим как на Востоке, так и на Западе от Украины, кажется, что если их не терроризируют за взгляды и деятельность прямо сейчас, то можно будто бы особо не волноваться.

Александр Матюшенко — лишь один из многих украинских левых, кто проявил преступную беспечность до Майдана и в 2014м году, когда коммунистические идеи в Украине были легальны, за что пострадал и продолжает страдать сейчас, когда они уже запрещены.

И не надо мне возражать в стиле «это в Украине так, а в стране X всё иначе и эти ваши подпольные советы нам не нужны».

Во-первых, даже если не говорить именно об анонимности, то и в «нормальных» условиях любая уважающая себя организация, в том числе абсолютно легальная, будет заботиться о конфиденциальности. И про анонимность, и про конфиденциальность, и с тем, кому и в какой мере они нужны, в этой книге будет написано.

Во-вторых, «нормальные» условия заканчиваются. Третья мировая война неизбежно будет подводить разные государства по всему миру к общему знаменателю, поэтому следить за безопасностью надо уже сейчас абсолютно всем революционерам абсолютно везде.

Само собой, в разных конкретно-исторических ситуациях безопасность должна обеспечиваться по-разному. Как именно нужно пользоваться этой книгой в различных условиях мы ещё поговорим. Сначала — вторая история, теперь уже ближе к нам самим.

В Украине есть ещё один славный, невероятный красоты город — Одесса. В Одессе были парень, назовём его Велибор Зайцев, и девушка, назовём её Алевтина Крысова. Зайцев и Крысова были хорошо (как позднее выяснилось — слишком хорошо) знакомы, а также до 2022го года они оба состояли в нашей скромной организации. Вскоре после начала полномасштабной российско-украинской войны Велибор и Алевтина покинули нас.

Так уж вышло, что Крысова к конспирации относилась довольно халатно: успела много где посветить своим упитанным личиком. И вот в один весенний день, когда оба героя этой истории уже давно как не имели отношения к РФУ, за Крысовой пришли СБУшники. Крысова поплакалась, поговорила с СБУшниками и вскоре её отпустили. Потом СБУ пришли и по душу Зайцева. Как так вышло с Велибором? А я уже писал выше — молодые люди были слишком хорошо знакомы, то есть Крысова знала, где живёт Зайцев, и сдала его с потрохами. Зайцев же, проявив слабохарактерность, тоже не растерялся и попробовал хоть что-то сдать СБУшникам, но у него не вышло. Почему не получилось у Зайцева? Да просто-напросто Зайцев ничего полезного и не мог сказать в силу отсутствия у него сколько-нибудь ценной информации.

То, что Крысова знала место жительства Зайцева, было критическим нарушением наших норм конспирации и просто огромной глупостью со стороны Зайцева. К сожалению, сама глупость, в отличие от носителей этого качества, иногда имеет свойство весьма хорошо и долго конспирироваться, так что здесь мы перестраховаться не смогли. В итоге маемо шо маемо.

Произошедшая ситуация, откровенно говоря, не из приятных, но есть в ней и кое-что хорошее: на Крысове и Зайцеве, то есть на к тому времени уже бывших членах РФУ, цепь расследования оборвалась. И оборвалась эта цепь не потому, что Крысова и Зайцев стойко выдержали напор пыток и молчали как партизаны (против них, насколько мы знаем, пытки вообще не применялись), а потому, что они, благодаря нашей пусть и не идеальной, но относительно неплохой системе конспирации, просто не смогли сдать СБУ никого и ничего, кроме как друг друга.

Разумеется, СБУшники заставили эту парочку сделать хоть что-то, поэтому Крысова и Зайцев записали видеообращения, в которых они тихими дрожащими голосами открещивались от РФУ, обвиняли нас в работе на Россию и клялись в верности режиму.

Вскоре СМИ понятно по чьему указанию начали клепать новости про то, как СБУ всех поймали и пересажали в Одессе. Приведём цитату из материала odessa-life.od.ua [1]:

Учасників проросійського руху “Робітничий фронт України” затримали в Одесі працівники Служби безпеки України.

В Одесі 21 квітня затримано лідерів та учасників громадського об’єднання “Робітничий рух України”, яке координується та фінансується РФ, повідомили у прес-службі СБУ.

З початку військових дій, за даними служби, вони виготовили друковану партію антиукраїнських матеріалів, не раз намагалися поширити комуністичну символіку та закликали до реанімації Радянського Союзу. Наступним кроком мали бути постановкові масові збори та мітинги.

К счастью, на этой и подобной откровенной лжи весь вред для нашей организации закончился. Вот и сказочке конец. Выводы писать лень, так что сделайте их сами.

Сразу отвечу на закономерный вопрос: откуда у нас вся эта информация? Указать источник по понятным причинам не могу, тут уж извиняйте, так что придётся довериться либо версии СБУ, либо нашей версии. Скажу лишь, что информация была перепроверена мной лично, а у самой Службы безопасности Украины далеко не идеальная безопасность.

Как завещал Гегель, будем начинать с начала.

Итак, я хочу написать книгу про основы безопасности. Тогда стоит начать с вопроса о том, что такое эта самая безопасность.

С помощью славянских языков передаётся культурное наследие моих предков, так что оттолкнусь именно от двух славянских языков — русского и украинского.

В русском языке слово безопасность состоит из слова опасность и отрицательной приставки без. Нетрудно догадаться, что безопасность в русском языке означает некое отсутствие либо же отрицание опасности. И если безопасность есть отсутствие или отрицание опасности, то нам надо будет разобраться и с тем, что такое опасность.

В украинском языке слово безпека имеет другой смысловой оттенок, ведь оно состоит из без и пека. Что такое без и так уже ясно, а вот с пека всё немного сложнее, ведь в современном украинском языке такого слова нет. Этимологический словарь утверждает, что старославянский корень пека означает хлопоты, заботы [2]. И ведь безпека действительно подразумевает некое преодоление, по крайней мере, психологических забот. С одной стороны, человек, ощущающий себя в безопасности, обретает спокойствие, а с другой — само спокойствие человека является составляющей его безопасности. Главное здесь, чтобы безпека не перерастала в беспечность, то есть ощущение безпеки при фактической небезопасности.

Книга пишется на русском, так что за основу, пожалуй, возьмём русские слова безопасность и опасность. Начнём мы с того, что такое безопасность и опасность вообще.

В наиболее широком смысле опасность вообще — это угроза некого бедствия.

Безопасность вообще можно разделить на два вида: безопасность как ещё не возникшая, отсутствующая опасность (то есть буквально безопасность), и безопасность как уже преодолённая опасность. Нас, само собой, будет интересовать прежде всего вторая.

Преодоление опасности не следует рассматривать так, будто бы опасность берёт и волшебным образом бесследно испаряется. Такого не бывает. Безопасность — это всегда диалектическое отрицание опасности (при том сама опасность является отрицанием первоначального состояния без опасности). Следовательно, опасность при переходе в безопасность не исчезает абсолютно, а снимается в безопасности как её момент, то есть как преодолённая опасность в качестве необходимой составляющей безопасности.

А теперь немножко зрады. То, что я описал выше, в реальном мире вы никогда не найдёте и не нащупаете «в чистом виде». Всё потому, что описаны «опасность-вообще» и «безопасность-вообще», так что их, несмотря на вполне реальное существование как общих закономерностей и понятий, нельзя нащупать точно так же, как нельзя нащупать пространство и время вообще или анаболизм и катаболизм вообще. «Безопасность и опасность вообще» существуют лишь в виде своих единичных проявлений, то есть в виде безопасности и опасности уже в отдельных, «осязаемых» случаях.

Специфика же этого всего в революционной деятельности такова, что единственный способ преодолеть существующие ныне опасности на коренном уровне, то есть на уровне главного источника — это, пользуясь мерами безопасности, идти в революционной борьбе вплоть до победы революции в своей стране.

Другое дело, что после победы революции и искоренения старых опасностей на их месте сразу же возникнут новые, при чём как снаружи, так и внутри революционного государства. Это уже тема для очень многих других книг, поэтому вернёмся с прогрессивных небес на реакционную землю.

Итак, уничтожить «опасность-вообще» невозможно и опасности будут всегда.

Здесь мы встаём на развилку из трёх (а на самом деле двух) дорог. Встречайте:

• путь беспечности;
• путь паранойи;
• путь сознательности.

Рассмотрим каждый из них.

Путь беспечности — это путь большинства людей. «Я никому не интересен», «всё равно они всё узнают если захотят» и моё любимое — «мне нечего скрывать». Скорее всего, каждый хоть раз да слышал эти фразы.

Путь паранойи — это путь людей, которые свернули с пути беспечности, но не встали на путь сознательности. Здесь, в общем-то, всё тоже прозаично: «я никому не интересен» с заменой «никому не» на «всем очень», «всё равно они всё узнают если захотят» без части «всё равно» и «мне нечего скрывать» с добавлением «уже» перед «нечего».

Почему я сказал, что дорог на самом деле две, а не три?

Потому что пути беспечности и паранойи на самом деле — одна дорога. У этих путей одно начало — про это чуть позже, и один конец — значительный ущерб делу.

Если то, как путь беспечности приводит к такому концу, уже понятно из предисловия, то путь паранойи немного коварнее.

Время для очередной истории, а вернее для пересказа истории одного бывшего КГБшника.

Тоталитарные секты для спецслужб — вещь непростая. Всех переловить трудно, а как переловишь — так на месте пойманных сразу появятся новые сектанты. Какие же варианты были у КГБ при таких раскладах?

Один из них — начать распространять в секте (с помощью подосланных провокаторов или же просто с помощью наивных дурачков) параноидальные идеи: «мы под колпаком кровавой гэбни, скоро всех арестуют, надо срочно что-то сделать!». По итогу «что-то сделать» имеет потенциал превратиться в массовую истерию, шпиономанию, разрыв контактов между сектантами, и, в конце концов, снижение или даже прекращение активности секты.

Вернёмся к одному началу путей беспечности и паранойи.

И беспечные, и параноики неспособны вполне понимать диалектику безопасности-опасности и диалектику общего-единичного в применении к безопасности-опасности.

В реальном мире не существует общего как такового: общее не представляет собой камень на дороге или даже невидимый чайник в космосе. Всё общее, все научные категории — это обобщение единичного. То же самое применимо и к категориям безопасности-опасности.

Беспечные же и параноики в своих мыслях и действиях не учитывают, что:
1) «безопасность-вообще», и, как следствие, единичная безопасность в любой отдельной конкретной ситуации, не есть абстрактное абсолютное исчезновение опасности;
2) в отдельной жизни отдельных людей и организаций приходится иметь дело не с «безопасностью-опасностью вообще», а с единичными опасностями и соответствующими этим опасностям способам обеспечения безопасности.

Таким образом, беспечный капитулирует перед «опасностью-вообще», параноик же стремится для защиты от «опасности-вообще» найти некую абстрактную «безопасность-вообще», но фактически оба являются павшими донами кихотами на войне с ветряными мельницами.

Однако кроме беспечности и паранойи есть и путь сознательности.

Дело заключается в том, чтобы выстраивать систему безопасности, отталкиваясь не от «опасности-вообще», а от того действительного многообразия опасностей, что угрожают вам и вашим товарищам.

Здесь на помощь приходит модель угроз.

При моделировании угроз мы пытаемся сперва рассмотреть нашу систему безопасности не со стороны нашенской защиты, а со стороны вражеской атаки. Это логично, ведь перед тем, как защищаться, нужно понять, от чего.

Таким образом, мы составляем конкретную картину о наших потенциальных недоброжелателях, уязвимостях и угрозах. Любая адекватная система безопасности должна выстраиваться на базе вдумчивого изучения этой картины, оценки рисков и принятия соответствующих контрмер с учётом имеющихся стратегии и тактики.

Что ж, с верным вектором развития безопасности, который мы возьмём за основу, разобрались. Как составлять модель угроз под вашу конкретную ситуацию выясним совсем скоро, в первом разделе этой книги, а покамест быстро отвечу на несколько ключевых вопросов.

1) Кому эта книга будет полезна?

В первую очередь, книга написана с целью помочь организованным революционным марксистам, способным последовательно идти по пути сознательности, адекватно применять советы из книги в своих конкретно-исторических ситуациях и постоянно актуализировать свои знания, в особенности по кибербезопасности.

Определение громоздкое, но зато полное. Тем же, кто хочет заниматься революционной борьбой, но не соответствует определению выше в тех или иных частях, книга поможет меньше.

Также при написании книги я учёл, что её могут и будут читать наши враги, будь то фашисты или «правоохранители» (впрочем, в Украине с каждым днём это всё более синонимичные понятия). Из-за того, что моя работа основана в том числе на опыте нашей организации, наши враги, быть может, смогут чуть лучше понять, как устроена наша система безопасности, что немного уменьшит наше преимущество перед ними. К счастью, мы осознаём такую угрозу и готовы принять её ради исполнения главной цели написания этой книги.

И я не против, если мои советы будут использованы некоммунистическими левыми деятелями, например, анархистами, в нашем или других буржуазных государствах. При всём моём категорическом несогласии с анархизмом как идеей, я буду рад и даже злораден, если усложню мусоркам работу по поимке очередных политических нарушителей.

Что же касается идиотских претензий обывателей против практически любых материалов по конфиденциальности, будто такие материалы помогают наркоторговцам, распространителям ЦП и прочим неприятным личностям, то я такие претензии готов почитать для поднятия настроения, но отвечать не обещаю, а спорить точно не буду. Мудрость предков гласит: кто спорит с дураком — тот сам дурак.

2) Почему и зачем я решил написать эту книгу?

Первая причина — мировая актуальность проблемы. Я вижу в самых разных уголках земного шарика пренебрежение к безопасности со стороны вызывающих моё уважение революционных марксистских организаций. Очень не хочу, чтобы эти уважаемые растворились в потоке истории под давлением классового врага. Таким образом, первая и главная цель — сделать свой небольшой вклад в риск-менеджмент мировой революции.

Вторая причина — захотелось привести в более организованный вид свои компетенции по теме. Соответственно, вторая цель — обобщить собственные знания на благо моей организации, чтобы впоследствии мне было легче составлять наши внутренние обучающие материалы. Лучшего способа, чем написать эту книгу, я не нашёл.

Третья причина — моя смерть. Угрозу моей смерти никогда нельзя исключить. Более того, моя смерть, по всей видимости, приближается быстрее, чем хотелось бы. Значит, третья цель — встретить пролетарскую Вальхаллу, зная, что успел внести вклад в общее дело, так что жизнь была бы прожита достойно.

3) На чём основывается книга?

Книга базируется на следующих элементах:

• накопленный автором теоретический материал по темам книги;
• мировой исторический опыт — в основном, опыт преступных, государственных, коммерческих и политических организаций;
• украинский исторический опыт;
• опыт нашей организации;
• личный опыт автора.

4) И просто на всякий случай: является ли книга волшебной таблеткой, способной защитить прочитавшего её революционера от всех напастей?

Нет.

Книга далеко не исчерпывает тему и далеко не всё написанное всегда будет актуально.

Более того, даже полностью последовательное соблюдение пути сознательности и постоянное совершенствование знаний и системы безопасности не дадут вам никаких гарантий.

Революционная деятельность всегда подразумевает наличие рисков, даже если вообразить полную безошибочность действий революционеров. Что ещё хуже, ошибки точно будут.

Если вас такое не устраивает, если вы согласны лишь на «гарантии», а любая опасность вызывает дрожь в ваших коленках, то могу обрадовать: вы способны приблизить риски к нулю, отказавшись от революционной деятельности. Этим вы, кстати говоря, даже немного поможете делу революции, ведь слабовольные люди сами по себе являются лишней угрозой.

Всё, заканчиваю длинную вступительную часть, перехожу к основной и желаю приятного прочтения всем тем, для кого я написал эту книгу.

С помощью этого раздела вы научитесь выстраивать модель угроз в первой главе, а также вырабатывать организационные меры предосторожности в соответствии с этой моделью во второй главе.

Сначала — поэтапно общие правила составления модели угроз, а дальше — пример модели.

Первое, что нужно сделать — это хорошенько подумать об организации, которую надо защитить. Кратко запишите, в каких условиях организация существует, на каких принципах построена организация и её работа, как в эту организацию попадают новые участники, у кого есть какие доступы к какой информации и какие возможности, какая IT-инфраструктура используется на данный момент, как ваша организация взаимодействует с чем-либо и кем-либо извне. В общем, сформулируйте всё, что у вас есть и может иметь значение со стороны безопасности.

Второй пункт — это создать модель нарушителей. Учитывайте, что должны рассматриваться не только внешние, но и внутренние нарушители. Когда будете прописывать эту модель, то обязательно определитесь, какими возможностями обладают разные группы нарушителей.

Пункт номер три — собственно определение угроз, а также распределение их по категориям. Вариантов распределения по категориям немало, я сейчас порекомендую лишь несколько:

• по источнику;
• по видимости;
• по вероятности;
• по воздействию.

Иногда есть смысл после окончания этой работы взглянуть на общую картину и присвоить всем угрозам некий общий рейтинг опасности с учётом их отношения ко всем выделенным категориям.

Четвёртый шаг — определяем уязвимости. Под уязвимостями в широком смысле слова (в широком, потому что мы составляем модель угроз для организации в целом, а не только для её кибербезопасности) будем понимать вообще любые слабые места системы безопасности организации, которые можно было бы эксплуатировать.

Наконец, пятый этап составления модели угроз — это решить, что мы будем делать со всеми этими угрозами и уязвимостями. Есть три варианта: принять, смягчить (то есть минимизировать риски и/или возможные последствия) и устранить. С каждой угрозой надо разбираться особо и выяснять, какой вариант подходит лучше. Не все угрозы можно/нужно смягчать или устранять, точно так же как не все угрозы можно/нужно принимать. Здесь необходим вдумчивый подход.

Выше была общая схема. Ниже прилагается пример на основе нашего опыта, а вместе с ним и несколько размышлений, актуальных во многих различных условиях. Расписываю лишь в очень общих чертах, так как стоит задача проиллюстрировать схему, а не дать полное изложение нашей модели угроз.

Пример

1. Украинские условия — нищета, энергетический кризис, антикоммунизм, милитаризм, репрессии, мобилизационный террор и много других прелестей. В этих условиях действуем мы.

Организация построена на принципах марксизма-ленинизма, демократического централизма, подпольной работы в условиях реакции. Новые участники приходят к нам из кандидатов после выполнения определённого объёма задач, а в кандидаты люди попадают после заполнения анкеты на вступление. Все кандидаты и участники РФУ обязуются соблюдать ряд конспиративных норм. За нарушение правил конспирации предусмотрены наказания. Все члены РФУ в обязательном порядке проходят курс по анонимности в сети.

Доступы у рядового участника есть к общему чату организации и к чатам отделов/ячеек, в которых он состоит. Деятельность отделов освещается на уровне организации благодаря отчётам. Для ячеек и части отделов предусмотрены частичные отчёты с более строгой политикой секретности.

Доступы к управлению IT-инфраструктурой находятся у ограниченного числа проверенных временем специалистов, обладающих доверием организации. Описывать саму IT-инфраструктуру, пожалуй, не буду, а кому очень интересно — можете попробовать вступить в РФУ и узнать.

Взаимодействия организации с третьими лицами должны быть заранее согласованы.

2. Внешние нарушители — «патриотически настроенные граждане» и украинские блюстители порядка (как обыкновенные, так и спецслужбистские). Внутренние нарушители — теоретически все члены РФУ.

Как основной внешний источник угроз мы должны рассматривать именно ментов, потому что нынче большинство «патриотически настроенных граждан» так или иначе ходит под фараонами.

Потенциальные возможности мусорни сами по себе весьма велики. Ментовские учебники и исторический опыт дают более конкретное представление о том, что менты теоретически могут и чего не могут, но на этом мы сейчас не будем останавливаться.

Здесь важно понимать, что реальная деятельность мусорка в той или иной мере отличается от того, что он должен делать по учебникам, и по многим причинам не всегда на практике действительно используются все потенциальные возможности. Кроме потенциала «правоохранителей» есть ещё и собственно сами «правоохранители».

С одной стороны, среди мусоров велик процент бездарных ленивых идиотов, и это однозначный факт. С другой стороны, есть и небольшой процент, который действительно умеет и хочет достигать настоящих результатов, а не просто делать красивую статистическую картинку для начальства.

Здесь наиболее адекватным вариантом будет надеяться на лучшее, но готовиться к худшему. Соответственно, в нашей модели нарушителя противник должен рассматриваться как мотивированный и компетентный. Рассчитывать на слабость противника означало бы признаваться в собственной слабости.

Важный момент: в модели нарушителя также не должно быть никакого расчёта на то, что пан майор может хоть как-то сочувствовать революционному делу. Во-первых, в реальности таких нет даже на уровне статистической погрешности, а во-вторых, в модели мы готовимся к худшему, поэтому будем исходить из того, что мусора — это оборотни в погонах и просто бесчеловечные фашиствующие мрази.

Теперь поговорим про внутренних нарушителей. Возможно, кого-то моя формулировка удивила, но такова жизнь. Даже если не намеренно, то случайно создать проблему способен абсолютно каждый. Никто не застрахован от ошибок. Именно поэтому в нашей модели в качестве потенциальных внутренних нарушителей числятся все члены организации.

3. Для примера будет достаточно небольшой выборки угроз: предательство организации её членом (здесь имеется ввиду прежде всего сотрудничество с врагом в любых формах), ненамеренное раскрытие конфиденциальной информации членом организации, несоблюдение правил безопасности членом организации, внедрение мусорской агентуры, DDoS-атаки на IT-инфраструктуру, использование эксплойтов в IT-инфраструктуре, деанонимизация, наружное наблюдение с использованием или без использования технических средств, дактилоскопия, слив информации со стороны третьих лиц (здесь имеются ввиду вообще все третьи лица, в том числе юридические: все хостинги, все централизованные мессенджеры, все социальные сети и так далее).

Мобилизационный террор хоть и не является непосредственной угрозой для самой организации как таковой, но является существенной угрозой для всех мужчин в Украине. Таким образом, это угроза и для многих членов РФУ.

Теперь погнали по категориям.

По источнику:

• Внутренние: предательство, ненамеренное раскрытие, несоблюдение правил.
• Внешние: все остальные из перечисленных угроз.

По видимости:

• Явные: DdoS.
• Могут быть как явными, так и неявными: предательство, ненамеренное раскрытие, несоблюдение правил, использование эксплойтов, слив со стороны третьих лиц, мобилизационный террор (часто после бусификации человека полностью лишают связи с внешним миром).
• Неявные: внедрение мусорской агентуры, деанонимизация, наружное наблюдение, дактилоскопия.

По вероятности:

• Низкая (меньше 25%): DDoS, использование эксплойтов, наружное наблюдение, дактилоскопия.
• Средняя (25-75%): предательство, несоблюдение правил, ненамеренное раскрытие, внедрение, деанонимизация, слив со стороны третьих лиц.
• Высокая (больше 75%): мобилизационный террор.

Замечу, что в любой организации больше трёх с половиной землекопов предательство, несоблюдение правил безопасности, ненамеренное раскрытие и внедрение всегда находятся либо в средней, либо в высокой зоне. Вероятность будет неизбежно повышаться по мере роста организации и может понижаться благодаря грамотным мерам по минимизации рисков, но практически никогда не будет в низкой зоне.

По последствиям:

• Некритические: DDoS.
• Могу быть как некритическими, так и критическими: предательство, ненамеренное раскрытие, несоблюдение правил, внедрение мусорской агентуры, использование эксплойтов, дактилоскопия, слив со стороны третьих лиц, мобилизационный террор.
• Критические: деанонимизация, наружное наблюдение (в нашей ситуации если до него дошло, то это уже этап когда всё очень не очень).

Переходим к уязвимостям.

4. По технической части, благослови пролетарский Аллах наших айтишников, у нас всё очень даже хорошо. Само собой, никогда нельзя исключать уязвимости нулевого дня (ещё неустранённые разработчиками уязвимости).

В полном соответствии с известной шуткой, основная уязвимость — это то, что находится между креслом и монитором.

Человеческий фактор всегда будет уязвимостью, и по понятным причинам от человеческого фактора избавиться невозможно, остаётся только уменьшать риски.

5. Пройдёмся по каждой из описанных в третьем пункте угроз и решим, что с каждой из них делать.

Предательство, ненамеренное раскрытие и несоблюдение правил безопасности, то есть весь человеческий фактор — смягчить. Внедрение мусорской агентуры — тоже смягчить. Как именно смягчаются эти угрозы мы ещё очень скоро поговорим.

DDoS-атаки и использование эксплойтов — смягчить.

Деанонимизация — смягчить.

Наружное наблюдение — смягчить.

Дактилоскопия — в одних случаях принять, в других исключить.

Слив информации со стороны третьих лиц — устранить где возможно (не вступать в контакт с третьими лицами без необходимости), смягчить где невозможно (давать им только необходимый минимум информации).

Мобилизационный террор — к сожалению, в большинстве случаев остаётся только принять либо немного смягчить и лишь иногда можно устранить (то есть выехать за границу, все остальные варианты ненадёжны).

На этом пример модели угроз закончен. Ещё раз напомню, что это именно иллюстративный пример, а не образец, так что обязательно расписывайте свою модель не как здесь, а во всех подробностях.

Ну и немного моих мыслей про внедрение мусорской агентуры перед тем, как закончу эту главу.

По признаку видимости я не просто так записал эту угрозу однозначно в категорию неявных, а не в промежуточную. Стоит раз и навсегда уяснить: если дело действительно дошло до внедрения со стороны мусоров, то вами заинтересовались серьёзно. Если вами заинтересовались серьёзно, то агент, скорее всего, будет не дебилом. Если агент не дебил и нацелен именно на сбор информации, а не на подрыв работы изнутри, то вероятность раскрытия в подавляющем большинстве случаев будет весьма и весьма низкой. Реалистично было бы на неё надеяться, но не рассчитывать, то есть не выстраивать безопасность на основе веры в свои способности по вычислению агентуры.

Не недооценивайте противника и не переоценивайте себя. Никакие хитроумные волшебные методики не помогут вам однозначно вычислить агента до тех пор, пока он не попадётся на ошибках. История спецслужб XX века показывает, что не прокалываться и оставаться нераскрытым агент может годами, даже если против него работает неслабая контрразведка.

Есть ли здесь место для оптимизма? Да, и мы к нему уже подобрались — вторая глава.

Сначала надо разобраться с такой составляющей безопасности как секретность и тем, в какой мере и в каких формах она вам нужна.

Здесь нужно выделить два ключевых понятия — конфиденциальность и анонимность.

Конфиденциальность означает, что доступ к определённой информации есть исключительно у тех, кому этот доступ разрешён. Конфиденциальной информацией может считаться вообще любая информация, если доступ к ней должен быть только у ограниченного круга лиц. В общем, понятие очень широкое и фактически синонимичное секретности. Какие-то секреты, какая-то закрытая, не подлежащая разглашению информация есть у всех, так что и конфиденциальность нужна всем без исключения.

Анонимность с конфиденциальностью часто путают и очень зря. Анонимность — это специфическая форма конфиденциальности, направленная на сокрытие личности.

РФУ является подпольной организацией и стремится к максимальным конфиденциальности и анонимности.

Ваша организация может находиться в более мягких условиях, при которых хоть и следует стремиться к максимально возможной конфиденциальности в целом, но такая анонимность как в подполье объективно не нужна. Это нормально. В то же время, отказ от такого уровня анонимности не должен означать полный отказ от анонимности вообще, а ведь именно так поступают многие люди, опьянённые легальной иллюзией свободы.

Само собой, если вы работаете в легальных условиях и у вас есть, к примеру, публичные лица, то в большинстве случаев анонимность для них была бы ненужной и даже вредной, ведь на то они и публичные, чтобы светить мордашками. Однако и в легальных организациях точно найдутся люди, для которых отказ от анонимности не имеет практического смысла. Здесь я должен немного отойти от темы легальности, чтобы потом к ней вернуться и продолжить более ясно.

Есть важный принцип, которым мы будем руководствоваться в дальнейшем. Он заключается в том, чтобы не давать больше доступов, чем необходимо (и доступ человека к конфиденциальной информации — тоже доступ).

На чём основан этот принцип? Если нет канала утечки, то нет и возможности утечки по этому каналу. Принцип касается как технической, так и человеческой составляющих. В отношении конфиденциальности здесь применима пословица «меньше знаешь — крепче спишь».

Именно грамотная политика доступов является одним из наиболее эффективных способов минимизации рисков от человеческого фактора и вражеского внедрения.

Вернёмся к легальной организации. Итак, представим, что вы такие все легальные молодцы и у вас есть некий человек, который пишет текста для новостных материалов организации. Необходимо ли для работы организации разглашать личную информацию об этом человеке? Нет, не необходимо, при чём не только публично, но и даже внутри организации. Нет никакой нужды орать в громкоговоритель, что такой-то текст написан таким-то Ивановым Иваном Ивановичем. Главное, чтобы текст был написан хорошо, а личная информация о том, кто его написал, не нужна ни вам, ни тем более аудитории.

То же самое можно сказать не только про новостников, но и про множество других должностей. Короче, решите, кто у вас должен быть неанонимным, а кто нет, и тогда начните обеспечивать частичную анонимность своей легальной организации.

К сожалению, я наблюдаю, что среди некоторых группировок, особенно на постсоветском пространстве, количество людей, которым действительно надо отказаться от анонимности по практическим соображениям, в разы меньше количества людей, которым анонимность определённо необходима, но они ей не пользуются, то есть из комбинации надежды на лучшее и подготовки к худшему у них полностью исключается вторая часть. Проблема в том, что в этой комбинации без одного сразу же теряет смысл и другое.

Итак, резюмирую общие принципы:

1. Не давать больше доступов, чем необходимо.
2. Максимально возможная конфиденциальность в любых условиях.
3. Максимально возможная анонимность в любых условиях. В любых, потому что именно возможности будут отличаться, но сам принцип тот же.

Что ж, поздравляю! Наконец, мы разобрались с фундаментом, так что от него теперь можно переходить к выработке определённых мер.

1) Первая организационная мера, которую я предлагаю принять — это чётко определиться с вашей политикой доступов в целом и секретности в частности: кто что может и чего не может, кто что знает и чего не знает. Опирайтесь на модель угроз и общие принципы.

Возможно, будет полезно составить документ или группу документов, где вы всё это распишите. Не стесняйтесь писать там даже очевидные вещи, потому что практика показывает, что очевидное не всегда всем очевидно.

Особое внимание обратите на доступы к критически важным объектам, например, к IT-инфраструктуре. С одной стороны, доступы не должны иметь слишком многие, но в то же время если специалистов с доступами будет недостаточно, то это тоже чревато своими негативными последствиями.

Когда закончите с политикой доступов, то на её основе вырабатывайте соответствующие организационные правила.

Важно: если вы живёте в стране вроде Украины, где человек может пропасть без вести и с большой долей вероятности погибнуть, то обязательно доносите до своих товарищей, чтобы они сразу предупреждали, если им придётся на время уйти в неактив по болезни, семейным обстоятельствам, загруженности на работе и так далее. Пусть они не заставляют всех остальных волноваться из-за неопределённости. В нашей организации был случай, когда товарищ просто взял и резко пропал с радаров. Проходили недели и месяцы, мы за него очень беспокоились, ведь мы тогда ничего не знали и не могли узнать. Аж через год после пропажи выяснилось, что у него всё нормально и он просто таким мудацким образом решил нас покинуть.

2) Расписать доступы и правила — это даже не половина работы. Самое сложное, но необходимое, — донести положняк до всех. Особенные проблемы могут возникать с кибербезопасностью. Тема широкая, в формате правил её не охватить. Настоятельно рекомендую вводить курсы по кибербезопасности с обязательными экзаменами. За основу курсов можете взять второй раздел этой книги, для рядового пользователя его будет достаточно.

Что касается оффлайна, то убедитесь, что члены организации хорошо понимают, что входит в понятие личных данных. К примеру, если один товарищ решил закатить пьянку на квартире у другого, то раскрывается такая важная вещь как место жительства. Подумайте, приемлемо ли такое в ваших условиях.

3) Решите, что вы планируете делать с внутренними нарушителями в случаях несанкционированных доступов (а они будут, не сомневайтесь). Когда принимаются меры наказания, то учитывайте такие факторы, как наличие или отсутствие намерения, признание или сокрытие нарушения, действительный и потенциальный ущерб. Помимо мер наказания продумывайте и то, как предотвратить повторение ситуации в будущем.

4) Набросайте эскизы тактик реагирования на различные внешние угрозы, чтобы в случае проблем вы не растерялись, а действовали по уже продуманному плану.

5) Last but not least, и это важно не только для безопасности, но и для нормального функционирования организации вообще: не принимайте в организацию кого попало просто ради набора количества.

Создайте систему такую систему фильтрации поступающих кадров, чтобы стать членом организации мог только тот, кто доказал, что действительно хочет и может заниматься сознательной революционной деятельностью. Для всех, кто хочет, но пока ещё не научился, выделите отдельное место и не принимайте до момента, пока вы их не научите. Не бойтесь исключать из организации старых членов, если они перестают приносить организации пользу.

Ну и самое главное, товарищи: никакой широколевой, никакого поощрения фракционности, но в то же время — никаких сектантских извращений вроде так называемого «научного централизма». И то, и другое — путь в никуда. Только демократический централизм по Ленину, только хардкор (хотя хард-рок и метал тоже разрешаю).

[1] https://odessa-life.od.ua/uk/news-uk/v-odesi-zatrimali-rosijsko-komunistichnih-pidpilnikiv
[2] https://goroh.pp.ua/%D0%95%D1%82%D0%B8%D0%BC%D0%BE%D0%BB%D0%BE%D0%B3%D1%96%D1%8F/%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0