Morgentrøtte deltakere på årets Hellkonferanse fikk øynene kjapt opp da den svenske journalisten Sus Andersson startet konferansens siste dag med å avsløre hvor ille det står til med kildevernet når journalister bruker nettet som verktøy.
Gjennom sitt foredrag «Anonymt - om kildevern på nett» viste Andersson hvordan kritisk og oppsøkende journalistikk har fått stadig flere fellestrekk med spion- og agentvirksomhet. Den digitale teknologien har gitt oss nye arbeidsverktøy, noe som samtidig skaper behov for nye digitale sikkerhetsregler. Ikke minst for å beskytte kildene, poengterer Andersson.
Hun er mangeårig gravejournalist, har jobbet mye med digital journalistikk og er medforfatter til boka «Digitalt källskydd».
En vekker
Edward Snowdens lekkasjer om virksomheten til amerikanske National Security Agency har vært en vekker når det gjelder sikkerhet på internett. Avsløringene av hvordan NSA kartla datatrafikk over hele verden - i samarbeid med de amerikanske nettgigantene - øker behovet for å skaffe seg detaljkunnskaper om hvilke teknologiske farer som lurer. Andersson slår fast at det ikke er tilstrekkelig for journalister å utøve vanlig nettvett.
– Det er veldig bra at det er blitt mer oppmerksomhet om temaet etter Snowden-saken startet. Men så kan man jo tenke at dette er et problem som gjelder i USA og ikke relevant for meg som holder på med lokaljournalistikk her hjemme. Det håper jeg at dere ikke tenker. Det er ikke NSA som er vårt største problem. Våre spor kan fanges opp og kontaktene våre kan bli synlige på mange måter. It-trusselen er reell, sier hun.
Et anonymt tips, en anonym kilde, hemmelige eposter eller telefonsamtaler. Tror vi – men der kan vi altså ta skremmende feil.
Andersson forteller hvordan hverdagslig research på nettet kan spores og overvåkes, hvordan nesten hvem som helst kan få tak i innholdet i epostene vi sender, se telefonnumrene vi ringer og kartlegge hvor vi beveger oss og hvem vi er sammen med.
Hun trekker fram det hun selv oppfatter som de viktigste forholdene å være oppmerksom på, avhengig av hvor følsomme saker du jobber med.
Kildene er utsatt
I det daglige arbeidet er bruken av epost og mobiltelefon helt sentralt. Her lurer mange feller:
• Epostadresser avslører lett hvem som har vært i kontakt med hvem, i klartekst. Anonym epostadresse er et bra trick for å kommunisere trygt.
• EUs datalagringsdirektiv trer i kraft i Norge fra 2015. Det gir politiet mulighet til å spore hvem som ringte til hvem når og hvor. Tydelige spor kan føres tilbake til enkeltpersoner.
• Mye norsk datatrafikk rutes via servere i Sverige, der FRA-loven gjelder. Den gir Försvarets Radioanstalt lov til å spane på all kabeltrafikk via nettet og telefoni inn og ut av Sverige. Journalistisk virksomhet skal være unntatt, men Andersson peker på at dette ikke er lett å administrere.
• Flere og flere arbeidsgivere logger sine arbeidstakere, blant annet for å måle effektivitet. De kan spore nettaktivitet via webservere og se epostlogger, ip-adresser, telefonregninger og drive GPS-sporing. Det samme kan arbeidsgivere på kildenes side.
• Redusér risikoen for kildene ved å hjelpe dem å være anonyme. Aftenposten har for eksempel en kontakttjeneste som tilbyr innsending av krypert informasjon.
Sporbare
– Vi er sporbare på nettet. Mye kan og bør stenges av, sier Andersson.
• Vurdér å slå av wifi- og GPS-funksjonene på mobilen for å hindre registrering av posisjonsdata. Ukryptert trafikk kan avlyttes av nær sagt hvem som helst.
• Sjekk dataoverføringen. Det finnes enkle programmer som avslører hvem som eventuelt har koplet seg opp mot deg.
• Bruk gjerne en enkel mobil med kontantkort. La din vanlige telefon ligge påslått hjemme for å forvirre de som eventuelt jakter på kildene dine.
• Velg mobilapplikasjoner med omsorg. Sjekk hvilke rettigheter du gir dem ved nedlastingen, blant annet når det gjelder telefonkontakter og GPS-data.
• IP-adressen kan sladre. Det samme kan trådløse nett, spesielt ukrypterte. Wifi er lett å avlytte med utstyr som koster noen hundrelapper. Dessuten kommer alle trådløse nett vi har vært tilkoplet automatisk opp i wifi-oversikten på mobilen, nettbrettet eller PCen. Ifølge Andersson er det ikke vanskelig å få tilgang til denne informasjonen.
• Vær bevisst på lagring av cookies, cache og historikk. Det finnes åpne tjenester som kan spore slikt. Et eksempel er Mediacreeper, som kartlegger hvilke medier som har vært inne på ulike blogger.
• Bruk skjulte ip-adresser ved å benytte proxyservere.
Andersson anbefaler å benytte anonym surfing på nettet, som eksempelvis Chrome-nettleserens inkognito-alternativ. Den renser loggene på den maskinen du bruker, men hindrer ikke spor etter ip-adresser.
Skytjenester
Det er blitt svært vanlig å benytte lagringstjenester på internett.
– Såkalte skytjenester er gode og billige, men det er en rekke risiki ved å bruke dem. Man har ikke samme kontroll over informasjonen som når den er lagret på en maskin. Man vet for eksempel ikke hvilken lovregulering som gjelder for skytjenester i ulike land. Ofte er det snakk om amerikansk lov, sier Andersson.
Hun understreker at det ikke finnes et system som er helt sikkert, og som løser alt. Men du kan gjøre en del for å redusere risikoen:
• Bruk sikre passord. Gjerne hele setninger, men unngå kjente sitater. Bruk gjerne både store og små bokstaver, tall og spesialtegn. Et sikkert passord er på 20-30 tegn, men minimum 10.
• Krypter mer! Hvis du krypterer det du legger i skyen er du selv som sitter på låsen, og ikke Google eller andre. Kryptér gjerne også eposten, harddisken og telefonen, hvis du jobber med følsomme saker. Bruk krypteringsprogrammer eller ferdig krypterte USB-minner. Tren gjerne på det, for når det smeller har du kanskje ikke tid til å sette deg inn hvordan det fungerer.
• Bruk kryptert overføring ved hjelp av https-adresser.
Flere råd
• Søk anonymt ved å bruke søkemotorer som Startpage og DuckDuckGo.
• Programmet Tor, som kan brukes sammen med nettleseren din, hjelper deg å unngå at andre kan se søkene og finne ut hvor du befinner deg. Lokaliteten din kan spores ved hjelp av ip-adressen, men Tor vanskeliggjør dette ved å la trafikken gå via flere andre maskiner. Dette medfører samtidig litt langsommere søk.
– Gjør risikoanalyser om det du holder på med, med jevne mellomrom. Vurdér hvem som er berørt og kan få problemer med det du jobber med, hvem som taper penger eller hvem blir forbannet. Hvem tjener på å finne kildene og hvilke ressurser sitter de på? Avhengig av hvor stor risikoen er må du i tilfelle gjøre noe med det, sier Andersson.
Eksempler
– Men hvor stort er egentlig dette problemet? Har du registrert mange tilfeller der journalister og deres kilder har havnet i problemer?
– Vi vet selvsagt ikke om alt som skjer. Det er ikke alt som er synlig. Men det finnes et antall eksempler opp gjennom de siste årene.
Andersson viser til at svenske journalisters eposter lekket ut på nettet for et par år siden, og at politiet beslagla PCen til en erfaren gravejournalist i svenske TV 4. PCen inneholdt ti års oppsamlet materiale – ukryptert.
Videre minner Andersson om at Nokia har foretatt systematiske søk etter opplysninger om journalister. Tyske Lufthansa klarte å spore den interne kilden som hadde gitt informasjon til en journalist, ved å kartlegge billetthistorikk og informasjon fra flyselskapets eget bonusprogram.
– På den måten fant de at kilden og journalisten hadde vært på samme sted til samme tid.