Safety by Design (SbD) - инициатива электронной безопасности

[Carding 4 Carders]

Safety by Design (SbD) - это инициатива электронной безопасности, которая побуждает организации ставить безопасность и права пользователей во главу угла при проектировании, разработке и выпуске онлайн-продуктов и услуг.
Safety by Design подчеркивает необходимость устранения вреда в Интернете, наряду с безопасностью и правами пользователей, в жизненном цикле разработки продукта, чтобы безопасность была систематически встроена в культуру и деятельность организаций.
Safety by Design - это проактивный, превентивный и ориентированный на культуру и лидерство. Он подчеркивает подотчетность и обеспечивает более позитивный, цивилизованный и полезный онлайн-опыт.
Работа над SbD началась в 2018 году и основана на обширных исследованиях и консультациях.

1. Проактивный подход
SbD - это проактивный подход к безопасности пользователей, внедрение «культуры безопасности» в дизайн, разработку и выпуск продукта / услуги. Он побуждает организации понимать и работать над минимизацией потенциальных рисков и учитывать безопасность пользователей на каждом этапе. Включая инструменты, расширяющие возможности пользователей, и разрабатывая услуги, которые не запускают, не разжигают и не поощряют незаконную или вредоносную деятельность, организации могут укрепить долгосрочное доверие и устранить нормативные риски, риски для доходов и репутации.

Безопасность по принципам дизайна​

В основе Safety by Design лежит набор принципов. Это модель для промышленности всех размеров и стадий развития, предоставляющая рекомендации по включению, оценке и повышению безопасности пользователей. Принципы позиционируют безопасность пользователя как фундаментальное соображение при проектировании.

Принцип 1: Обязанности поставщика услуг​

Бремя безопасности никогда не должно ложиться исключительно на конечного пользователя. Поставщики услуг могут принимать превентивные меры, чтобы гарантировать, что их услуги с меньшей вероятностью будут способствовать, разжигать или поощрять незаконное и неподобающее поведение.

Чтобы гарантировать, что известный и ожидаемый вред был оценен при разработке и предоставлении онлайн-услуги, сервис должен предпринять следующие шаги:

1. Назначьте отдельных лиц или группы и сделайте их ответственными за создание, оценку, реализацию и выполнение политики безопасности пользователей.
2. Разработайте стандарты сообщества, условия обслуживания и процедуры модерации, которые выполняются справедливо и последовательно.
3. Создайте инфраструктуру, которая поддерживает внутреннюю и внешнюю сортировку, четкие пути эскалации и отчетность по всем проблемам безопасности пользователей, наряду с легкодоступными механизмами, позволяющими пользователям отмечать и сообщать о проблемах и нарушениях в момент их возникновения.
4. Убедитесь, что существуют четкие внутренние протоколы взаимодействия с правоохранительными органами, службами поддержки и горячими линиями по незаконному контенту.
5. Внедрите процессы для выявления, выявления, пометки и устранения незаконных и вредных действий, контактов и контента с целью предотвращения вреда до его возникновения.
6. Подготовить задокументированные оценки управления рисками и воздействия для оценки и устранения любого потенциального вреда для безопасности, который может быть вызван или облегчен продуктом или услугой.
7. Реализуйте социальные контракты на месте регистрации. В них излагаются обязанности и ответственность службы, пользователя и третьих лиц за безопасность всех пользователей.
8. Примите во внимание соображения безопасности по дизайну, конфиденциальности по дизайну и безопасности пользователей, которые сбалансированы при обеспечении постоянной конфиденциальности, целостности и доступности личных данных и информации.

Принцип 2: Расширение возможностей и автономия пользователей​

Достоинство пользователей имеет первостепенное значение, при этом первоочередное внимание уделяется наилучшим интересам пользователей.
Следующие шаги позволят каким-то образом гарантировать пользователям наилучшие шансы на безопасное онлайн-взаимодействие с помощью функций, функциональности и всеобъемлющего подхода к дизайну, который обеспечивает расширение прав и возможностей пользователей и автономию как часть опыта работы.

Услуги должны быть направлены на:

1. Предоставьте технические меры и инструменты, которые позволяют пользователям адекватно управлять своей безопасностью и для которых по умолчанию установлены самые безопасные уровни конфиденциальности и безопасности.
2. Установите четкие протоколы и последствия для нарушений обслуживания, которые служат значимыми сдерживающими факторами и отражают ценности и ожидания пользователей.
3. Используйте технические функции для снижения рисков и вреда, которые могут быть отмечены для пользователей в нужном месте и которые побуждают и оптимизируют более безопасное взаимодействие.
4. Предоставьте пользователям встроенные функции поддержки и циклы обратной связи, которые информируют пользователей о состоянии их отчетов, о достигнутых результатах и предлагают возможность для апелляции.
5. Оцените все конструктивные и функциональные особенности, чтобы убедиться, что факторы риска для всех пользователей - особенно для тех, у кого есть отличительные характеристики и возможности - были снижены до того, как продукты или функции будут выпущены для широкой публики.

Принцип 3: Прозрачность и подотчетность​

Прозрачность и подотчетность - отличительные признаки надежного подхода к безопасности. Они не только обеспечивают гарантии того, что услуги работают в соответствии с опубликованными целями безопасности, но также помогают в обучении и расширении прав и возможностей пользователей в отношении шагов, которые они могут предпринять для решения проблем безопасности.
Чтобы повысить доверие пользователей, их осведомленность и понимание важности безопасности пользователей, сервисы должны:

1. Включите соображения безопасности пользователей, обучение и практические методы в роли, функции и методы работы всех лиц, которые работают с продуктом или услугой, для них или от их имени.
2. Убедитесь, что политики, положения и условия, стандарты сообщества и процессы, касающиеся безопасности пользователей, видны, легко доступны, регулярно обновляются и понятны. Пользователям следует периодически напоминать об этих политиках и заблаговременно уведомлять об изменениях или обновлениях посредством целевых коммуникаций во время обслуживания.
3. Открытое взаимодействие с широким кругом пользователей, включая экспертов и ключевые заинтересованные стороны, по вопросам разработки, интерпретации и применения норм безопасности и их эффективности или
4. Уместность.
5. Публикуйте ежегодную оценку злоупотреблений, о которых сообщается в службе, наряду с открытой публикацией содержательного анализа показателей, таких как данные и отчеты о злоупотреблениях, эффективности модерации и степени, в которой стандарты и условия обслуживания сообщества соблюдаются с помощью показателей соблюдения.
6. Обязуйтесь постоянно внедрять инновации и инвестировать в технологии повышения безопасности на постоянной основе, а также сотрудничать и делиться с другими инструментами повышения безопасности, передовыми методами, процессами и технологиями.

Отраслевые инструменты самооценки​

В настоящее время eSafety разрабатывает два динамических и интерактивных инструмента самооценки SbD - один для стартапов, а другой - для нужд более авторитетных компаний.
Они направлены на то, чтобы помочь организациям, как большим, так и небольшим, внедрить SbD эффективно, устойчиво и с максимальной отдачей.
Инструменты самооценки претворят в жизнь Принципы SbD eSafety, адаптированные к структуре каждой организации и индивидуальному профилю рисков. Инструменты и сопутствующие руководства по внедрению проведут участников по пяти основным модулям, каждый из которых содержит определенный набор вопросов, касающихся индивидуальных потребностей. Отчет доступен в конце каждого модуля, который действует как «проверка здоровья» и как учебный ресурс для использования в будущем. Отчеты включают примеры передового опыта, шаблоны и предлагаемые рабочие процессы. Инструменты самооценки SbD могут использоваться как для аудита, так и для «оценки воздействия на безопасность».
Инструменты самооценки SbD будут доступны в ближайшие месяцы.

Модуль 1​

Структура и руководство​

Этот модуль знакомит пользователей с семью основными темами, которые касаются безопасности как стратегически, так и культурно в рамках организации.
Если руководство компании не считает безопасность приоритетной задачей, инвестиции будут ограничены, и любая реакция на вред будет иметь ответный характер. Лидерство и подотчетность имеют решающее значение для обеспечения того, чтобы безопасность пользователей должным образом рассматривалась, учитывалась и соблюдалась во всей организации и на протяжении жизненного цикла платформы или услуги.

Темы модуля 1:

1. Корпоративные ценности и принципы компании
2. Подотчетная команда или отдельное лицо
3. Правление или руководство
4. Обучение персонала
5. Инвестиции и отчетность
6. Глобальные альянсы и членство

Модуль 2​

Внутренняя политика, процедуры и ожидания сотрудников​

В этом модуле рассматриваются внутренние политики, процессы и процедуры, которые могут помочь обеспечить безопасность пользователей. Бремя безопасности никогда не должно ложиться исключительно на конечного пользователя - и должны быть предприняты все усилия, чтобы обеспечить понимание, оценку и устранение вреда при разработке и предоставлении услуг. Сюда входят текущие оценки обновлений услуг / платформ.

Темы модуля 2:

1. Политика внутренней безопасности по дизайну
2. Политика допустимого использования
3. Меры безопасности сотрудников
4. Формальные процессы проверки безопасности
5. Рекомендации по регистрации
6. Пороги и профили риска
7. Внутренние операционные инструкции
8. Оценка рисков и воздействия на безопасность
9. Внутренние механизмы
10. Обязанность проявлять заботу - благополучие персонала

Модуль 3​

Практика модерации, эскалации и правоприменения​

Этот модуль охватывает потребность в активном подходе к обнаружению, модерации и сообщению о вредоносном и незаконном контенте, включая юридические обязательства. Четко определенные методы модерации, способы отчетности и процессы эскалации могут гарантировать, что организации имеют эффективные рабочие процессы и могут быстро и эффективно реагировать на нарушения.

Темы модуля 3:

1. Процессы выявления предотвращения вреда
2. Практика мониторинга сервисов
3. Практика модерации
4. Обязанность проявлять заботу - благополучие персонала
5. Кризисное управление
6. Стандартные рабочие процедуры (СОП) в отношении незаконного контента
7. Процессы сортировки и эскалации
8. Исполнение

Модуль 4​

Оценка воздействия на конечного пользователя​

В этом модуле рассматриваются вопросы, связанные с внедрением прав и безопасности пользователей в продукты и услуги. То, как разрабатываются продукты, а также функции и инструменты, которые они используют, влияют и формируют поведение пользователей. Расставляя приоритеты в интересах пользователей, продукты и услуги могут быть созданы для поддержки, усиления и усиления человеческой деятельности и автономии.

Темы модуля 4:

1. Стандарты сообщества
2. Настройки по умолчанию
3. Социальный контракт
4. Возможности для конечного пользователя / Технические инструменты
5. Функции безопасности
6. Механизмы отчетности
7. Апелляционный процесс
8. Обратная связь
9. Безопасность конечного пользователя

Модуль 5​

Прозрачность и подотчетность​

Прозрачность и подотчетность - отличительные черты разумного подхода к онлайн-безопасности. Они обеспечивают уверенность в том, что услуги работают в соответствии с опубликованными целями безопасности, но также могут помочь в обучении пользователей тому, как они могут решать свои собственные проблемы безопасности. Доверие можно построить, но его нужно построить. Этот модуль описывает шаги, которые организации могут предпринять, чтобы стать более открытыми и прозрачными.
Темы модуля 5:

1. Публичная информация
2. Информирование пользователей
3. Измерение
4. Внутренний обзор
5. Независимый обзор и оценка
6. Внешние механизмы
7. Публикация

Инвесторам​

Создание более безопасных технологических экосистем посредством ответственного инвестирования является ценным предложением для инвестиционного и финансового сообщества.
Сообщество инвесторов и венчурного капитала может сыграть ключевую роль в обеспечении того, чтобы технологические компании на ранних этапах разработки ставили вопросы безопасности и этические аспекты во главу угла своих процессов проектирования.
Технологические компании несут четкую этическую обязанность защищать права и достоинство пользователей в сети и защищать их от злоупотреблений и эксплуатации. Неспособность выполнить эту обязанность заранее представляет собой значительный бизнес-риск для компаний. Существует множество примеров значительных репутационных и финансовых затрат на сам ущерб и необходимости исправления конструктивных недостатков, которые позволяют этому случиться.
Многие проблемы, связанные с Интернетом, можно предотвратить, если при создании платформ и сервисов заботиться о безопасности, а безопасность является неотъемлемой частью культуры и ценностей компаний и инвестиционного сообщества.
Однако, беседуя с учредителями и другими участниками сообщества стартапов, eSafety узнал, что возможность неправомерного использования их новых платформ и сервисов для злоупотреблений обычно игнорируется, поскольку они сосредоточены на создании жизнеспособного бизнеса.
Таким образом, eSafety разработала принципы и ресурсы Safety by Design, чтобы помочь изменить это.

Интернет-безопасность - это не проблема, которую нужно преодолеть, она может укрепить доверие инвесторов и клиентов, давая компаниям лидерство на рынке, которое поддерживает финансовый успех.

Safety by Design может помочь компаниям уйти от общих проблем безопасности - а также от нормативных, репутационных рисков и рисков для доходов - к успешным результатам, выходящим далеко за пределы первого раунда финансирования.

Ответственное инвестирование​

В eSafety мы сталкиваемся с серьезным человеческим ущербом, который может быть нанесен, когда безопасность не находится на переднем крае этапов проектирования, разработки и внедрения для технологических компаний.
Типы вредного поведения, с которыми сталкивается eSafety, включают:

Злоупотребление взрослыми в киберпространстве - это когда цифровые технологии используются для серьезной угрозы, запугивания, преследования или унижения кого-либо с намерением нанести им социальный, психологический или даже физический вред. Сюда входят троллинг, разжигание ненависти в Интернете и угрозы насилием, изнасилованием или смертью.
Киберзапугивание - это когда онлайн-платформы или услуги используются для серьезных угроз, запугивания, преследования или унижения ребенка.
Насилие на основе изображений - это когда интимный контент публикуется в Интернете без согласия изображенного человека. Он включает изображения, видео, материалы с цифровыми изменениями и дипфейки. Угрозы поделиться интимным контентом и сексторцией (угрозой поделиться интимным контентом, если требования не будут выполнены) также являются формами злоупотребления на основе изображений. Каждому десятому взрослому человеку без согласия поделились обнаженным или сексуальным образом.

К другим примерам вредоносного поведения в Интернете относятся мошенничество с использованием социальной инженерии, подготовка детей к сексуальному насилию и использование жестокого обращения с применением технологий как формы домашнего и семейного насилия, а также создание и распространение материалов, демонстрирующих сексуальное насилие над детьми, терроризм или крайнее насилие.
Хотя мотивы вредного поведения разнообразны, риски предсказуемы, и их можно избежать, если заблаговременно встроить стандарты безопасности в онлайн-сервисы и платформы.

Что вы можете сделать​

Наши принципы и ресурсы «Безопасность благодаря конструкции» обеспечивают четкий набор стандартов и простой способ поддержки ответственных инвестиций и деловых решений. Они могут помочь технологическим инвесторам подготовиться к будущим рискам безопасности в Интернете и управлять ими.
В качестве первого шага мы предлагаем вам ознакомиться с принципами безопасности при проектировании.
Затем воспользуйтесь ресурсами инвестора eSafety:

• Контрольный список инвестиций в безопасность за счет дизайна - начните беседы с потенциальными объектами инвестиций, которые помогут вам оценить их способность управлять рисками безопасности в Интернете.
• Типовые положения для договоренностей о комплексной проверке и соглашений о финансировании - используйте шаблон eSafety или адаптируйте контент, чтобы обеспечить учет соображений сетевой безопасности в ваших инвестициях.

Ресурсы инвестора​

Инвесторы должны сыграть важную роль в защите всех нас от вреда в Интернете.
Меры безопасности следует рассматривать с самого начала процесса проектирования и разработки, а не навязывать их после того, как пользователи уже испытали онлайн-ущерб. Предварительное управление этими рисками может помочь снизить значительные затраты на репутацию, ценности бренда и эффективность бизнеса.
Safety by Design (SbD) поощряет и помогает организациям применять упреждающий и последовательный подход к безопасности пользователей.
Инвесторы и венчурные капиталисты могут обеспечить безопасность онлайн-платформ и сервисов для пользователей, изучив и внедрив принципы «Безопасность благодаря конструкции», которые охватывают:

• обязанности поставщика услуг
• расширение прав и возможностей пользователей и автономия
• прозрачность и подотчетность.

Инвесторы должны учитывать эти принципы при принятии решения о финансировании или инвестировании в стартапы и технологические компании.
Стартапы и технологические компании должны предоставить гарантии того, что они работают в соответствии с опубликованными целями безопасности, а также обучать и расширять возможности пользователей относительно шагов, которые они могут предпринять для решения проблем безопасности.
Используйте ресурсы на этой странице, чтобы помочь встроить Safety by Design в процесс инвестирования.

Контрольный список инвестиций​

Инвесторы могут использовать эти вопросы из контрольного списка, чтобы начать диалог с потенциальными объектами инвестиций, который поможет оценить их способность управлять рисками безопасности в Интернете.

1. Вы говорите о безопасности пользователей в заявлении о миссии, корпоративных ценностях или принципах вашей компании?
2. Есть ли команда или человек, ответственный за безопасность пользователей?
3. Есть ли у вас четкие и понятные условия обслуживания и рекомендации сообщества / политика допустимого использования?
4. Являются ли официальные процедуры проверки безопасности частью процесса разработки продукта?
5. Управляете ли вы поведением в отношении своих услуг (внутренний, внешний, управляемый сообществом или гибридный подход)?
6. Можете ли вы выявить и пометить незаконное поведение и контент, чтобы предотвратить вред до его возникновения?
7. Существуют ли у вас процессы уведомления правоохранительных органов, служб поддержки и горячих линий по незаконному контенту в случае незаконной деятельности?
8. Есть ли у вас системы для нарушений условий обслуживания или стандартов сообщества?
9. Предоставляете ли вы пользователям инструменты и функции, которые позволяют им управлять собственной безопасностью?
10. Есть ли у вас наглядные и простые системы отчетности и процессы обжалования, позволяющие пользователям подавать жалобы или опасения по поводу их безопасности, которые принимаются в установленные сроки?
11. Принимаете ли вы активные меры, чтобы информировать пользователей о политиках безопасности, функциях и советах в отношении вашего сервиса?
12. Где компания публично делится информацией, касающейся безопасности пользователей?

Вы можете загрузить и поделиться контрольным списком инвестиций в разделе "Ресурсы" на этой странице. Он включает пояснительные примечания по безопасности при проектировании.

Типовые положения​

Предлагаемые eSafety типовые положения о должной осмотрительности и предварительные условия для финансирования могут быть реализованы до перехода к формальному соглашению о финансировании или использоваться в качестве условия финансирования.
Загрузите и используйте шаблон в разделе "Ресурсы" на этой странице или адаптируйте его содержимое, чтобы обеспечить учет соображений сетевой безопасности в ваших инвестициях.