Holistic Security 給人權捍衛者的安全檢示手冊

因為tactical technology collection一直是我個人蠻愛的一個NGO,過去寫過了幾篇他們所發動的專案,包括: 資訊視覺化與倡議行動 Visualising information for advocacy女權倡議工具箱 Info-Activism Toolkit: Women’s Rights Campaigning拆解資料 decoding data 線上手冊。本文同樣也是要來稍介紹一下他們甫於今年六月份剛發表的「Holistic Security」,一個專為人權組織與人權捍術者為目標受眾,讓讀者從閱讀與實際操作中認知:何為全面、何謂「安全」、又如何設計出因應方案、採取什麼有效的作法來提高維持全面性的安全.....等種種任務挑戰下,所編寫的手冊。

既然定位為一本「手冊」,在專案網站可下載全文PDF格式的資料,但網頁版也提供全文分章節段落的檢閱。我個人閱讀時的感覺(先讀過PDF版再來看網站),因為手冊的編排容入了許多實作性的練習與案例示範,反而是讀網頁版整個文脈結構會更為順暢,而在需要操作或進一步了解內文意思時再點選閱讀案例,會比讀PDF版本(紙本編排不免得一頁一頁上下文放入,有時讀起來反而無法緊密連貫),或許更容易捕抓原專案所強調的「全面整體性」之必要。這只是一點小小閱讀習性上的比較,無損於TTC長期致力協助人權工作者如何確保自身安全、數位安全才能長遠促進社會整總進步的期許與使命。

我個人一直以來都對於「數位科技」如何協助NGO與社會運動二者的發展有著高度的興趣,不過那樣的興趣一開始不免偏向實作面、技術操作面的how to,彷彿以為只要掌握了技術與工具,社會運動就會動起來。事實當然不會如此,越往其中深究就發現有科技科學技術有許多面向同時也相互牽動著人文社會的複雜性。例如之前稍提及數據使用、演算法與歧視公民權利的課題。在慢慢地接觸這些複雜介面後,只好被迫學習了解「安全」這個介面在科技與人文社會之間到底扮演了什麼角色。(雖然我一開始還蠻抗拒「安全」課題,總以為那不過就是防毒軟體公司在談資安吧?XDXD)

自己這樣被迫學習「安全」的契機,大概是從今年四月份投入Security First umbrella app 的正體中文化開始,其間為了更了解相關技術背後的理念,再去讀了Bruce Schneier幾本在台灣有中文版的著作。老實說自己目前對於「安全」這個字眼的概念還是模模糊糊似懂非懂(強烈推薦看看下面提供Bruce Schneier在TED Talk的短講)的狀態,尤其本以為Bruce Schneier會談的是純技術面的東西,但他近二本著作(《隱形帝國》和《當信任崩壞》讀起來反而有一種實用哲學的味道。讀完了TTC的這本新手冊holistic security ,當然不可能讓我一夕變成安全專家Orz。於是抱著許多學識上的困惑, 抱著我個人自身對於「安全感覺所無感」的非真實安全狀況判斷,我還是試著寫下這個安全的手冊的摘要筆記。



手冊一開始在前面序言介紹中即提到,所謂其企圖打破以往只有片面或單方的安全檢查與考量,而是試圖提出一個更完整多方的「整體全面」的安全策略,這個全面性當涵蓋:
1.)physical secuirty (個人層次的身心健康)
2.)psycho-social (社會心理層面的安全#其實很基礎也很重要,但太複雜地不知如何討論與改變....)
3.)digital security (數位安全#個人近期比較關心的,特別是在台灣當前的情境下,不管是人權工作者還是一般老百姓比較會遇上但仍缺乏系統化警覺批判的反省與關照)

在揭示過本手冊討論、關照安全所會涵蓋橫度的面向後,則再說明其編寫的次序將會包括:準備階段、探索階段、策略階段以及行動階段,並依這各階段來做進一步的介紹。

A)Prepare 準備階段:
除了對於潛在已知狀況的因應準備,更重要的也是如何防範「預期之外」計算之外的事故狀況
--發展良好的身生與環境才足以抗衡之。因此培養快速恢復的本事(resilience)與敏捷性(agility),就成了重要的課題。
a)個人層次上對於「安全」的認知與反應(引入「安全」在個人心理精神層次的重要性)
b)團隊組織層次:(#想像如果團隊面對威脅時,可能發展出最糟糕的負面因對方式與態度,如強化界限、僵化規律模式、威權主義化,這些容易造成了團隊的裂隙滲透。因此另有一章則主張如何發展一個健康的溝通環境來討論個人與組織之間對於威脅與安全的理解與認同)

B)Explore 探索階段:
整體情況的全面理解與掌握情境脈絡,以了解環繞在自身、組織與工作環境上的政治社會經濟情勢變動,這裏也包括了威脅安全的具體化,其威脅可能來自工作場域或是敵對方。再依這些情報與判斷進行maping(組織與方向)出願景與行動。最好能夠再建立上述資訊的庫存系統(cataloguing information),並建構一套指標來認識理解安全情況。在這個階段,也將引入「威脅模型」(threat modelling )或稱之為風險分析(risk analysis)。
其中我特別感興趣在探索階段中,手冊裏試圖系統化地了解「資訊」之為何物,尤其是與人權工作相關的「資訊」包含了:
•工作成果,如報告、資料庫、影像等
•協助完成工作的操作性資訊、如進度報告、通訊資料、辦公室文件、財報、人力資源記錄等
•個人資料,如會員、志工、顧問等資訊。
•工作上使用數位設備所產生的「後設資料」 meta-data,其可用來追踪與監控行動行為關係等等。(#較欠缺對這個部份的了解和關注)
當稍為具體地整理出工作上涉及到哪些資訊後,才能更清晰地想像數位安全的潛在風險以及如何發展出安全因應策略吧。

C)Strategise 策略謀定階段:
1. Analysing our Responses to Threats 分析自身對威脅的反應處理模式
2. Building New Approaches to Security 建立安全的新興應對方式
3. Creating Security Plans and Agreements 創建安全規劃與共識協議
4. Security in Groups and Organisations 團體組織裏的安全保護
5. Positive/Negative Impact of your Security 安全的正負面影響

從前面二章環繼著安全與威脅的試探分析甚致模型化後,到了這裏則進入了策略謀定的階段。如果建構出一個安全策略來處理這些威脅?其中的關鍵字是 capacity / vulnerability,在策略謀定階段所採取的步驟層次如上,主要的目的仍在循序推演出:先檢示自身在面臨威脅時的能力與脆弱點,並找出新能量的發展以對抗威脅,而在安全計畫方案中如何採取包容性的納入方法來進行方案設計以提高成員對安全方案的歸屬與所有感。它還提醒在思考設計安全強化策略後,別忘了思考其是否有潛在負面影響,如何遵循別傷害原則來降低負面影響)

D)Act行動階段
手冊最後以「集會遊行權利」為練習示範,來設若是發動一場抗議活動,如何依上面所提示的「全面性安全」來準備、分析與規劃相這場行動。

心得感想:自己過去真的未曾認真地以「安全」、「威脅」的角度來思考個人身心感受中的挫折、創傷或是工作處理中的議題與人事,更遑論從整個組織甚致社會的架構來看待當前的局勢處境。自從認真地看從頭到尾看過了umbrella app的內容,以及最近讀到另一份由The Engine Room 所發表的「Navigation guide on digital data in human rights research」(此報告仍處在未正式發表的徵求批評意階段),會發現這三份資料其實相互之間有彼此重疊涵蓋之處,當然也有各自所欲回答的問題和突顯的重點(有機會我再來寫寫第二份文件的讀書筆記與比較)。而這本「holistic security」之重點仍在了解目前「市面上」提供給人權工作者的安全保護資源工具大致會提及涵括那些面向,而後者(holistic security)與前者umbrella app之間的最大差異,應該說holistic security的編寫與企圖是在一種訓練訓練者(TOT)的手冊,也想要帶著人權工作者和組織者來更系統化地了解目前的位置並理性地作出戰策規劃,這個安全保護的戰策希望能如該手冊所標榜,是一個全面性整體環境與各種因素(包括無法預期因素)的考慮後,所因應調整出來的可行方案。我不能說,讀了這本手冊之後,應用其中的步驟就會讓你掛上了這種對安全威脅高敏感反應的能量,也不是事事就能如意順利地平安達成。對我而言這不過才是理解自身如何認真感知內在恐懼與外在風險的開始吧。

holistic security manual

1 意見:

a5288 said...

Holistic Information Security for Human Rights Documentation from RDF
https://wiki.responsibledata.io/Working_Group_on_Holistic_Security

My Instagram