Runa Sandvik har kurset norske journalister og redaktører i kryptering, og intervjuet under Nordiske Mediedager i mai Edward Snowden på link fra Moskva. Foto: Nordiske Mediedager
Runa Sandvik har kurset norske journalister og redaktører i kryptering, og intervjuet under Nordiske Mediedager i mai Edward Snowden på link fra Moskva. Foto: Nordiske Mediedager

6 råd for økt digitalt kildevern

Sikkerhetsekspert Runa Sandvik mener norske journalister må være bevisst på faren for lekking av informasjon.

Published   Updated

Har beslagene Politiets Sikkerhetstjeneste (PST) gjorde av filmskaper Ulrik Imtiaz Rolfsens skremt deg som journalist? Har du tenkt at du mange ganger gjerne skulle ha lært litt mer om digitalt kildevern og tatt i bruk kryptering?

Les mer om Rolfsen-saken.

Edward Snowdens avsløringer av hvordan den amerikanske etteretningstjenesten NSA (National Security Agency) driver overvåkning, har satt nettsikkerhet høyere på kartet. Tidligere har sikring av data vært vanskelig, men de siste årene er krypteringsprogrammene blitt mye mer brukervennlige.

Verktøy som hjelper deg med å øke sikkerheten for kildene dine er ikke lenger så kompliserte og utilgjengelige som bare for noen få år siden. I denne artikkelen får du tipsene om de enkleste tingene du som journalist kan gjøre for å styrke ditt digitale kildevern.

Bevisstgjøring

Den norske sikkerhetseksperten Runa Sandvik har base i USA, men har det siste året kurset flere norske journalister og redaktører i temaet. Foruten å ta i bruk konkrete verktøy, mener hun det viktigste journalister kan gjøre er å bli bevisst på hvor lett informasjon kan lekke i dagens digitale virkelighet:

– Si at du leser en artikkel på VG.no. Tenk over hvor mange personer som vet at akkurat du har lest akkurat den artikkelen på akkurat det tidspunktet. Tenk over hvor mange som vet hvilken artikkel du leser etterpå. Hvor mange vet at du besøker nettsiden til en advokat og hvilke arbeidsoppgaver eller ferdigheter den advokaten har. Hvor mange vet alt dette kun basert på hvilke nettsider du sjekker på nett. Så kan du da tenke over, når en kilde tar kontakt med deg, hvem er det som kan se at de tar kontakt med deg.

– Det starter der, med å tenke over problemstillinger og utfordringer ved å sikre deg, informasjonen du har og kontakten du har med andre.

For du som journalist vil vel være tilgjengelig for de virkelig gode tipsene? Men hva om de kun kommer dersom kilden, som kanskje er en varsler, er trygg på at du mottar informasjonen kryptert?

NB! Listen nedenfor er satt sammen av Journalisten.no basert på råd fra nettstedet SSD og samtaler med kilder med kunnskap om kryptografi.

1. Tekstmeldinger

Det absolutt letteste du kan gjøre, er å sikre telefonen din. Det er nå utviklet brukervennlige programmer som lar deg kryptere tekstmeldinger og telefonsamtaler. Husk at selv om kryptering sikrer innholdet, vil det fortsatt være mulig å se metadata om hvem som kommuniserer.

Det første du bør gjøre er å installere en app på telefonen din som krypterer tekstmeldinger du sender og mottar. På Iphone heter appen Signal og på Android velger du TextSecure, begge fra Open Whisper Systems.

Husk på at begge parter, også den du vil kommunisere med, må ha et av programmene installert. Dette finner du ut ved å se gjennom kontaktlisten din. Der står det hvilke kontakter som bruker programmet.

Du kan følge denne engelskspråklige steg-for-steg bruksanvisningen for å installere Signal. Og denne for å installere og ta i bruk TextSecure. Guidene er publisert på nettstedet Surveillance Self-Defense (SSD) av nettprosjektet The Electronic Frontier Foundation. SSD-nettsiden gir en rekke nyttige tips for hvordan du kan ta i bruk ulike verktøy av forskjellig vanskelighetsgrad.

2. Telefonsamtaler

Neste steg på mobilen er å kryptere telefonsamtaler. Iphone-brukere gjør det ved å trykke på ringeknappen i kontaktlisten til samme app, Signal. Android-brukere må laste ned appen Redphone, også den fra Open Whisper Systems. Se SSDs guide for å installere og ta i bruk appen.

– Under en paneldebatt i New York fikk Andy Greenberg fra Wired spørsmål om han overbeviser kilder om å snakke kryptert når de tar kontakt. Han svarte nei. Hvis en kilde pøser ut med informasjon, er det ikke opp til ham å bytte til noe mer sikkert. Men det han gjør, er at han passer på at han kan ringe kryptert og motta krypterte tekstmeldinger. Så han er tilgjengelig på diverse plattformer slik at kilder som ønsker det kan ta kontakt kryptert, sier Sandvik.

3. Nettleser

Like lett som å ta i bruk krypterte meldinger og telefonsamtaler, er det å ta i bruk nettleseren Tor som kommuniserer over et anonymt nettverk. Alt du trenger å gjøre er å installere Tor Browser, og for eksempel fortelle kildene dine at de kan sende tips gjennom den nettleseren.

– Tor er en nettleser som gjør at du kan surfe anonymt på nett.

Den ligner på Firefox, men gjør blant annet at hvilke undersider du leser på nettaviser ikke lekker. Den egner seg dermed for kilder som for eksempel ønsker å sende sikre tips til redaksjoner. Brukermanualer for å ta i bruk Tor er tilgjengelig både for Windows og Mac fra SSD.

Tor er i Norge blant annet blitt kjent som inngangsporten til det såkalte mørke nettet, der det blant annet er blitt avslørt at det omsettes narkotika.

Les også: Reaksjoner på journalistpris

4. Krypter harddisken

Et neste skritt på veien er å ta i bruk programvare som krypterer harddisken din. Det gjelder særlig bærbare maskiner, som du kan risikere å bli frastjålet eller glemme igjen på reise.

– Det å kryptere harddisken er noe flere burde gjøre.

På Windows-maskiner installerer du programmet DiskCryptor. På Mac gjør du det gjennom FileVault, et program som er integrert i operativsystemet allerede.. Kryptering bør også gjøres på eksterne harddisker.

Og det er viktig å huske å skru av maskinen når den ikke er i bruk.

– Hvis PC-en er på trenger ikke jeg passordet ditt for å logge inn så lenge jeg har fysisk tilgang til maskinen. Så kan jeg hente ut alt som er av informasjon. Men ikke hvis den er kryptert.

Du kan også kryptere telefonen din. SSD har en guide for Iphone og How To Geek har en guide for Android. Unngå å sende en backup av passordet til Apples skytjeneste.

Dersom du havner i en situasjon der du frykter for at det kan bli tatt beslag av telefonen din, skru den av.

5. Tofaktorsikring

Et annet tiltak som hever sikkerheten din er å aktivere såkalt tofaktor-autentisering på nettsteder som Facebook, Google, Twitter og Dropbox. Metoden gjør at du må bekrefte innlogging til tjenesten med et passord til mobilen din, eller at du får et varsel om når det har skjedd en innlogging.

6. Passord

Rådet du garantert har hørt før er at gode passord øker sikkerheten. Passordekspert Per Thorsheim sier at passord bør bestå av en passordfrase, som er en setning bestående av flere ord, som du kan huske.

– Skriv en setning som det går an å huske, sier Thorsheim, som jobber som sikkerhetsrådgiver i Pragma Sikkerhet.

Når det gjelder tjenester for å hjelpe deg å huske passordene fra flere steder, sier han at løsningen du velger avhenger av hvilket trusselbilde du er utsatt for. Situasjonen for en utenriksreporter som kan risikere at den bærbare PC-en blir beslaglagt eller frastjålet i utlandet er annerledes enn en innenriksreporter. KeePass og 1Password er programmer som lagrer passordene kryptert lokalt - ikke skybasert. 1Passord kan synkroniseres med for eksempel Dropbox. Lastpass er en skybasert tjeneste som kan være nok for mange.

Trygg?

Så, hvis du følger alle disse rådene, betyr det at du og kilden er sikret? Det kan vi ikke garantere, men dette er enkle tiltak som gjør informasjonen mye vanskeligere å få tak i. Men selv når innholdet i en kommunikasjon er kryptert, kan det fortsatt være synlig hvilke to telefonnumre som har kontakt. Slik metainformasjon kan danne mønstre mellom to personer som har jevnlig forbindelse. 

Er så alle rådene like viktige for alle journalister? Trolig ikke, sier en kilde med interesse for det digitale kildevernet til Journalisten.no. Men det er viktig å være klar over det, og ha noen rutiner:

– Jeg mener at man ikke kan være journalist i dag uten å vite noe om dette, sier kilden.

Har du tips om digitalt kildevern eller nettsikkerhet? Send e-post til [email protected], ring 40 00 48 88 eller kontakt journalisten direkte!

Les flere råd: Slik unngår du nettfellene