– Mange norske journalister er godtroende på nett

Ekspert på digital sikkerhet, Runa Sandvik, mener mange norske journalister bør tenke mer over hva de legger igjen av informasjon på nett.

For noen er kan­skje Runa Sand­vik mest kjent som dataeksperten som arrangerte et “kryp­topar­ty” med en mann som kalte seg “Ed” på Hawaii for to år siden. Noen måned­er senere ble “Ed”, eller Edward Snow­den som han het­er, en av nyere tids mest kjente varslere, da han avs­lørte glob­al overvåkn­ing i regi av sikker­hetsmyn­digheter i blant annet USA og Storbritannia. 

Til van­lig job­ber Sand­vik som teknisk råd­giv­er for organ­isas­jo­nen Free­dom of the Press Foun­da­tion (FPF) i USA – en organ­isas­jon grunnlagt av blant andre varsleren Daniel Ells­berg, med styremedlem­mer som Snow­den-jour­nal­is­tene Glenn Green­wald og Lau­ra Poitras, Edward Snow­den selv og film­st­jer­nen John Cusack. Sand­vik er norsk, har bak­grunn fra NTNU og har job­bet med anonymitet­snettver­ket TOR.

Runa Sandvik arbeider med sikkerhet for Freedom of the Press Foundation (foto: FPF)

Runa Sand­vik arbei­der med sikker­het for Free­dom of the Press Foun­da­tion (foto: FPF)

Nylig var hun i Norge for å holde kurs for jour­nal­is­ter om dig­i­tal sikker­het. Vox Pub­li­ca møtte henne i Bergen etter et av disse foredragene.

– Hvor flinke er jour­nal­is­ter til å ta inn over seg den ver­den vi lever i nå?

– Det er noen som har veldig god kon­troll på dette. De norske jour­nal­is­tene som jeg har mailet med denne uken har alle sendt kryptert mail, som er mer enn det jeg van­ligvis får i USA. Men jeg tror også at veldig mange jour­nal­is­ter har en godtroende hold­ning, om at det ikke er så farlig, at vi er i trygge Norge med per­son­vern og lover og regler. Kan­skje tenker de ikke helt over kon­sekvensene av det arbei­det de gjør og den infor­masjo­nen de ber andre om å gi dem, sier Sandvik.

Både gode og dårlige

Sand­vik er impon­ert over at blant annet NRK­be­ta har tatt i bruk verk­tøyet Secure­Drop for at tipsere skal kunne ta kon­takt med NRK anonymt og kryptert.

– Jeg synes det er veldig spen­nende å se at det er en organ­isas­jon i Norge som har gjort det. Jeg skulle gjerne hørt fra dem om hvorvidt de fak­tisk har mot­tatt doku­menter som har resul­tert i artik­ler eller lik­nende, sier Sandvik.

Sand­vik trekker sam­tidig frem et eksem­pel fra norske medi­er der kilde­v­ern loves, men lov­naden ikke hold­er mål. For kort tid siden skrev TV 2 en nettsak om norske Syr­ia-krigere. I bun­nen av sak­en lovet TV 2 fullt kilde­v­ern der­som noen sendte dem en e‑post.

Skjermbilde fra tv2.no 23. september 2014.

Skjerm­bilde fra tv2.no 23. sep­tem­ber 2014.

– Det kunne være for å fortelle at de enten er i Syr­ia selv, eller kjen­ner folk som har reist dit. Hvis jeg var i Syr­ia og sendte TV 2 en mail og sa “her er jeg”, er det flere vur­deringer man må fore­ta, sier Sandvik.

Hun fork­lar­er at nettver­ket kan være overvåket og at uved­k­om­mende, enten det er i Syr­ia eller Norge, kan få til­gang til e‑posten der­som den er sendt fra dårlig sikrede e‑post-kon­to­er. – Da kan det stå om liv og død, sier Sand­vik, og leg­ger til:

– Det kan også være sen­si­tivt hvis noen finner ut at jeg er inter­essert i sak­en jour­nal­is­ten dri­ver med. Da kan man tenke seg at kon­toen til jour­nal­is­ten kan bli hack­et, og da kan også sen­si­tiv infor­masjon om alt annet jour­nal­is­ten job­ber med komme på avveie.

Risikovurderinger

Sand­vik sam­men­lign­er det å gjøre risikovur­deringer på nett med dagligdagse situasjoner.

– Før man går hjem­me­fra om mor­ge­nen, er det van­lig å sjekke værmeldin­gen for å finne ut om man skal ta med seg en para­ply eller ikke. Et annet eksem­pel er at når man skal krysse veien, er det van­lig å se til begge sider før man går over. Hvis du ikke sjekker om det er trygt, så kan du bli påkjørt. Og det er litt sånn jeg snakker om på kursene jeg hold­er; hvor­dan man gjør risikovur­deringer på nett. 

– Hvor­dan kan jour­nal­is­ter beskytte kilde­v­er­net digitalt?
– Det kan være å sikre egne kon­to­er, ha trygge pas­sord, bruke tofak­tor-aut­en­tis­er­ing (se fak­taramme) på alle kon­to­er, ha forskjel­lige e‑postadresser avhengig av hvem du kom­mu­nis­er­er med, ha muligheten til å sende og mot­ta kryptert mail. I noen til­feller kan kan­skje Secure­Drop være gre­it, sier Sandvik.


Secure­Drop: Et sys­tem for varslere utviklet av Free­dom of the Press Foun­da­tion. Sys­temet gjør at medi­ene sikkert kan mot­ta doku­menter fra anonyme kilder.

Tofak­tor-aut­en­tis­er­ing: Innlog­gingsme­tode der man log­ger inn via to trinn, for eksem­pel gjen­nom et pas­sord og en data­gener­ert kode, slik man gjør i net­tbanker eller til MinID. Se liste over inter­nasjonale nett-tjen­ester som tilbyr tofak­tor-aut­en­tis­er­ing.

Tor: En organ­isas­jon som lager inter­net­tløs­ninger som kan brukes av alle til å anonymis­ere inter­net­tbruken. Vox Pub­li­ca har tidligere beskrevet Tor og flere verk­tøy for sikrere dig­i­tal kom­mu­nikasjon.

Vox Pub­li­cas kart­leg­ging vis­er at norske jour­nal­is­tut­dan­ninger stort sett begrenser opplærin­gen i dig­i­talt kilde­v­ern til enkelt- eller dobbelt­timer. Noen av jour­nal­is­tut­dan­nin­gene, blant annet i Bergen og Sta­vanger, har ikke noe plan­lagt under­vis­ning i emnet.

Sand­vik men­er jour­nal­is­tut­dan­nin­gene bør ta til seg at de kan være med på å forme jour­nal­is­ter som er gode på dig­i­tal sikkerhet.

– Mange av disse verk­tøyene har åpen kildekode, de er gratis, men i enkelte til­feller vanske­lige å bruke. Det er for eksem­pel vanske­lig å komme i gang med å sende kryptert e‑post – det er noe jeg har brukt i seks-syv-åtte år, og selv jeg kan gjøre feil med det. Jeg tror det er veldig vik­tig at når man diskuter­er kilde­v­ern og dig­i­tal sikker­het, så må man også diskutere hvilke tekniske verk­tøy jour­nal­is­tene bruk­er i disse sammenhengene.

– Hva tenker du om meng­den av under­vis­ning på utdanningene?
– Det høres ikke veldig mye ut. Jeg tror det hadde vært greiere om man kunne delt opp i flere bolk­er. Man kan snakke om nettsky­er og hvor­dan uved­k­om­mende kan få tak i infor­masjon via dem i én, kilde­v­ern spe­sielt i en annen, og også ha en del om hvilke verk­tøy man kan bruke. Men igjen – disse verk­tøyene må man jo bruke over tid, og da er det ikke nok med en dobbelt­time om det. Men så er det kan­skje litt som det er på andre studi­er – man får en intro­duk­sjon om et tema, og så er det opp til stu­den­tene selv å gå litt videre og plukke opp det som er spen­nende, sier Sand­vik. Hun gir føl­gende råd til utdanningene:

– Grave­jour­nal­is­ter er den grup­pen jour­nal­is­ter som disse prob­lem­still­in­gene er klart mest rel­e­vante for. Om man kan få til et fag eller kurs der man kom­biner­er det å grave etter infor­masjon og stille de rik­tige spørsmå­lene med å ta i bruk verk­tøyene som kan gi mer dig­i­tal sikker­het, tror jeg dette vil være veldig bra, sier Sandvik.

TEMA

J

ournali
stikk

136 ARTIKLER FRA VOX PUBLICA

FLERE KILDER - FAKTA - KONTEKST

INGEN KOMMENTARER

Kommentarfeltet til denne artikkelen er nå stengt. Ta kontakt med redaksjonen dersom du har synspunkter på artikkelen.

til toppen