Foto: Yuri Samoilov, Creative Commons
Foto: Yuri Samoilov, Creative Commons

Dårlig lesersikkerhet på norske nettsteder

Fint med kildevern, sier sikkerhetsekspert, men hva med leservernet?

Publisert   Sist oppdatert

I midten av november kom sikkerhetsekspert Per Thorsheim på banen og påpekte at tradisjonelle norske mediehus ikke nødvendigvis er kløppere på å skjerme leserne sine. Etter høyesterettsdommen i Ulrik Imtaz’ favør er han glad på kildevernets vegne, men leservernet mener han er nær sagt ikke-eksisterende i norske nettaviser.

 

Per Torsheim
Per Torsheim

– Det som gjenstår, og som kanskje er en langt større jobb, er å få mediene til også å beskytte leserne, sier Thorsheim til Journalisten og, legger til: – Mange redaktører, journalister og lesere kjemper for demokratiet og mener kanskje det ikke er noe særlig problem i verdens snilleste land at en ansatt i KrF ser porno på nett. Eller at den unge, sinte muslimen som fra arbeidsplassen i en liten kommune leser siste månedsblad fra ISIL på jobben.

Hva er problemet?

Hvorfor er så dette et problem da, spør vi. Er det ikke bare å slå av cookies og browser-historikk. Eventuelt også bruke inkognitofaner? Thorsheim opplever at arbeidsgiverne synes å ha en økende interesse for hva de ansatte gjør i arbeidstiden. Og viser til dommen i Strasbourg i forrige uke. Den snille forklaringen er ønsket om høyere produktivitet ved arbeidsplassen. Thorsheim mener det handler om noe mer.

Som avisleser skulle jeg
gjerne hatt mer beskyttelse

Manglende eller svak kryptering på norske nettaviser åpner for at arbeidsgivere og foreldre, eller naboer du deler bredbånd med, kan få tilgang til netthistorikken din. Når mediene ikke bruker kryptering eller legger opp til at tredjepart ikke kan se hva som surfes, mener Thorsheim at det ikke er direkte ufarlig om du er den unge muslimen som leser ISILs magasin eller den unge gravide kvinnen på Sørlandet som forsøker å holde svangerskapet skjult for dem hun bor sammen med.

– Som avisleser skulle jeg gjerne hatt mer beskyttelse mot at andre kan følge med på det jeg leser på nett. Mediene burde skru på kryptering og ha det som standard. Skal du tipse mediene, så er jo kildevernet der. Da kan ikke min arbeidsgiver gå til journalisten og kreve få utlevert hva jeg måtte ha lekket. Men de kan se om jeg har besøkt tipssiden, og også hva jeg har sendt inn dersom siden ikke er kryptert!

Thorsheim sier at et argument mot å kryptere i mange var at det koster penger å implementere. Dessuten øker driftskostnadene. Thorsheim mener det ligger en løsning i å ta i bruk den siste versjonen av internettprotokollen (IPv6). I kombinasjon med kryptering kan hastigheten på sidelasting øke inntil 25 prosent.

– Det betyr at mediene vil få mer kapasitet for pengene.

Interessert i medienyheter? Lik Journalisten.no på Facebook og få nyhetene i strømmen din:

 

Morgenbladet først

Morgenbladet kunngjorde onsdag at de har kryptert sine nettsider, som første etablerte mediehus i Norge. NRKs nett-tv har prefikset https, som signaliserer at siden er sikret, og tar sikte på at alle nettsider er på plass i løpet av våren. Mange banker og offentlige tjenester er forlengst over på krypterte nettsider.

– Det er fire grunner til at vi har valgt å gjøre dette: Det er brukernes sikkerhet, personvern, kildevern og generelt at nettet burde være kryptert, forteller Morgenbladets nettansvarlig Sigve Indregard til Journalisten.

Han forteller at de ikke har støtt på noen problemer med kryptering av innhold fra tredjeparter.

 

– Jeg er utrolig glad for at Morgenbladet har tatt dette viktige steget inn i fremtiden, og følger med det i sporene til blant annet The Intercept og Washington Post. Litt ekstra hyggelig selvfølgelig når de også takket meg for sammenligningen av de 10 største norske avisene fra 16. november i fjor, og har fulgt opp i etterkant av det. Nå venter jeg spent på å se hvilken avis som blir nestemann ut.

Ingeborg Volan.<br>Foto: Birgit Dannenberg
Ingeborg Volan.
Foto: Birgit Dannenberg

Ingeborg Volan leder Norwegian Online News Association (NONA) og gikk nylig fra NRK til Adresseavisen. Hun opplever at sikkerhet på data nå er kommet inn i vokabularet til folk flest. Volan sier norske medier i større grad enn andre nettsteder har et ansvar også for lesernes sikkerhet, og ikke bare kildenes.

– Men kunnskapen om hva som kan være problematisk og om det er viktig, er ikke god nok. Det tror jeg ikke man har snakket åpent om. Og ikke minst, hva skal til for å fikse det. Tradisjonelt har medieledere hatt et litt for passivt forhold til it-sjefen sin. Men det opplever jeg er i endring.

Volans tidligere sjef, medieutviklingssjef Heidrun Reisæter i NRK forteller at de i NRK arbeider med å få sine sider over til https. NRK Beta, TV, Radio og innlogging er allerede kryptert. YR.no flytter betaversjonen over til krypterte sider om litt.

– For NRK.no jobber vi aktivt med å migrere del for del, men er ikke i mål helt ennå.

Tipstjenesten til NRK har vært kryptert siden 2014.

Bør være bevisste

Sjefredaktør og direktør Gunnar Stavrum i Nettavisen mener nettsikkerhet er langt mer omfattende enn hvilke nettsider det surfes på. Han viser til at mange har gitt Facebook lov til å følge med på hvem de ringer til.

– Folk har et bevisstløst forhold til datasikkerhet, sier han.

Gunnar Stavrum. Foto: Martin Huseby Jensen
Gunnar Stavrum. Foto: Martin Huseby Jensen

Stavrum ser Torsheims poenger. Han tror en av årsakene til at det ikke er gjort noe foreløpig er at det ikke foreligger noen konkrete problemstillinger.

– Det er ikke slik at vi på pur faen ønsker å gjøre det vanskelig for leserne. Er det et reelt problem og enkelt å fikse, bør vi gjøre det. I utgangspunktet tenker jeg vi alle bør være bevisste på hva slags spor vi etterlater oss.

Går i retning krypterte nettsider

Innovasjonsdirektør Pål Nedregotten i Amedia sier til Journalisten at det er annonsene som er det største problemet. Han sier det er en relativt smal sak å kryptere, men da snakker han om det medieselskapene selv har kontroll over. I en tid med programmatiske annonser får en stadig viktigere rolle i annonseringen, er det å kryptere langt fra ukomplisert.

Pål Nedregotten
Pål Nedregotten

Men utviklingsdirektøren sier mediekonsernet har som ambisjon å få kryptering på plass på nettsider de har kontroll på i løpet av første halvår. Sider med annonser som kommer fra eksterne leverandører er et lengre lerret å bleke.

– Skal vi gjøre noe, må det skje i fellesskap på tvers av konsernene og i fellesskap med annonseindustrien. Webteknologien går i den retningen. Med hjelp fra Google er det et tog som trekker i den retningen, men det er et langsomt tog.

– Når tror du kryptering er default i norske medier?

– I hvert fall ikke i 2016. Men i løpet av året har vi forhåpentligvis kommet så pass langt at det skjer i 2017. Kjernespørsmålet er om det er viktig nok. Enn så lenge handler det mer om tillit, og å skape kommunikasjon til leserne om det. Her ligger gevinsten.