Preambul
În general, canalele de comunicare pe care le folosim ca ONCR (email, whatsapp, facebook slack, instagram, youtube) funcționează pe baza unor conturi individuale care primesc diferite niveluri de acces pentru persoanele / “echipele” care administrează diferitele conturi oficiale.
Securitatea informatică a oricărui astfel de cont devine critică pentru securitatea întregului canal de comunicare. Astfel, dacă un membru al Consiliului Director pierde controlul propriei adrese de email, acel cont poate fi exploatat împotriva intereselor organizației; dacă unui administrator al unui canal de comunicare al ONCR (Facebook, Youtube) îi este compromis contul, acea pagină poate fi pierdută complet, și mesaje nepotrivite pot ajunge la urmăritorii noștri, mulți dintre ei, copii și tineri.
Atacuri împotriva diferitelor conturi personale sunt comune și se întâmplă frecvent, inclusiv în România. Riscul este real și semnificativ, în special pentru resurse ONCR gestionate cu conturi personale, prin design-ul respectivelor sisteme (spre exemplu, Facebook nu îți permite să ai mai mult de un cont pentru o persoană – nu poți avea o identitate de cercetaș și una personală, chiar dacă gestionezi pagini).
Rezumat
Propunerea de decizie:
Consiliul Director
- Mandatează echipa executivă să inventarieze toate conturile oficiale pe care ONCR le are și le folosește pe diferitele platforme de comunicare online, să verifice că sunt în controlul echipei executive și dacă nu, să obțină controlul lor, sau, dacă nu se poate, să facă demersuri să le închidă.
- Stabilește ca obligatorie folosirea unui sistem de tip 2 Factor Authentication pentru toate persoanele care au acces de administrare la canale de reprezentare ale organizației, pe acele conturi, chiar dacă este vorba despre conturile personale. Această regulă include toți membrii Consiliului Director, Directorul Executiv, toți angajații ONCR, tot personalul Scout Shop voluntar sau angajat, și oricare alte persoane care reprezintă la nivel național organizația sau care lucrează cu canale prin care organizația este reprezentată. Această măsură include conturile de email @scout.ro (care includ și accesul la G Suite, Youtube) și conturile personale de Facebook, în cazul în care acestea au acces la pagini / conturi ale ONCR sau au acces la resurse online ONCR.
- Stabilește ca obligatorie utilizarea exclusivă a adreselor de email @scout.ro pentru situații care sunt conexe activității cercetășești în care sunt implicați
- Stabilește ca obligatorie raportarea imediată către Directorul Executiv, de către persoanele numite mai sus, a incidentelor în care există suspiciuni că fie conturile, fie dispozitivele folosite pentru 2FA au fost compromise
- Recomandă tuturor persoanelor de mai sus folosirea unor parole dificil de ghicit, și să nu dea curs unor solicitări care le parvin în mediul online, fie pe email, fie pe alte canale, de a descărca fișiere sau a da click pe link-uri nesolicitate de pe site-uri neverificate.
- Mandatează echipa TECH să ofere sprijin acolo unde este nevoie pentru configurarea 2FA
- Stabilește termen de aliniere 30 aprilie 2021
Alinierea cu strategia ONCR
Un sistem de management eficient și eficace trebuie să includă măsuri de securitate informatică. În timp ce decizia nu își propune să acopere decât o plajă mică de riscuri, aceste riscuri sunt reale și trebuie adresate imediat.
Schimbări preconizate și impact
Asigurarea unei mai bune siguranțe digitale pentru resursele online ale ONCR, cu un impact negativ restrâns.
Buget
–
Repere legale / statutare
–