For noen er kanskje Runa Sandvik mest kjent som dataeksperten som arrangerte et “kryptoparty” med en mann som kalte seg “Ed” på Hawaii for to år siden. Noen måneder senere ble “Ed”, eller Edward Snowden som han heter, en av nyere tids mest kjente varslere, da han avslørte global overvåkning i regi av sikkerhetsmyndigheter i blant annet USA og Storbritannia.
Til vanlig jobber Sandvik som teknisk rådgiver for organisasjonen Freedom of the Press Foundation (FPF) i USA – en organisasjon grunnlagt av blant andre varsleren Daniel Ellsberg, med styremedlemmer som Snowden-journalistene Glenn Greenwald og Laura Poitras, Edward Snowden selv og filmstjernen John Cusack. Sandvik er norsk, har bakgrunn fra NTNU og har jobbet med anonymitetsnettverket TOR.
Runa Sandvik arbeider med sikkerhet for Freedom of the Press Foundation (foto: FPF)
Nylig var hun i Norge for å holde kurs for journalister om digital sikkerhet. Vox Publica møtte henne i Bergen etter et av disse foredragene.
– Hvor flinke er journalister til å ta inn over seg den verden vi lever i nå?
– Det er noen som har veldig god kontroll på dette. De norske journalistene som jeg har mailet med denne uken har alle sendt kryptert mail, som er mer enn det jeg vanligvis får i USA. Men jeg tror også at veldig mange journalister har en godtroende holdning, om at det ikke er så farlig, at vi er i trygge Norge med personvern og lover og regler. Kanskje tenker de ikke helt over konsekvensene av det arbeidet de gjør og den informasjonen de ber andre om å gi dem, sier Sandvik.
Både gode og dårlige
Sandvik er imponert over at blant annet NRKbeta har tatt i bruk verktøyet SecureDrop for at tipsere skal kunne ta kontakt med NRK anonymt og kryptert.
– Jeg synes det er veldig spennende å se at det er en organisasjon i Norge som har gjort det. Jeg skulle gjerne hørt fra dem om hvorvidt de faktisk har mottatt dokumenter som har resultert i artikler eller liknende, sier Sandvik.
Sandvik trekker samtidig frem et eksempel fra norske medier der kildevern loves, men lovnaden ikke holder mål. For kort tid siden skrev TV 2 en nettsak om norske Syria-krigere. I bunnen av saken lovet TV 2 fullt kildevern dersom noen sendte dem en e‑post.
Skjermbilde fra tv2.no 23. september 2014.
– Det kunne være for å fortelle at de enten er i Syria selv, eller kjenner folk som har reist dit. Hvis jeg var i Syria og sendte TV 2 en mail og sa “her er jeg”, er det flere vurderinger man må foreta, sier Sandvik.
Hun forklarer at nettverket kan være overvåket og at uvedkommende, enten det er i Syria eller Norge, kan få tilgang til e‑posten dersom den er sendt fra dårlig sikrede e‑post-kontoer. – Da kan det stå om liv og død, sier Sandvik, og legger til:
– Det kan også være sensitivt hvis noen finner ut at jeg er interessert i saken journalisten driver med. Da kan man tenke seg at kontoen til journalisten kan bli hacket, og da kan også sensitiv informasjon om alt annet journalisten jobber med komme på avveie.
Risikovurderinger
Sandvik sammenligner det å gjøre risikovurderinger på nett med dagligdagse situasjoner.
– Før man går hjemmefra om morgenen, er det vanlig å sjekke værmeldingen for å finne ut om man skal ta med seg en paraply eller ikke. Et annet eksempel er at når man skal krysse veien, er det vanlig å se til begge sider før man går over. Hvis du ikke sjekker om det er trygt, så kan du bli påkjørt. Og det er litt sånn jeg snakker om på kursene jeg holder; hvordan man gjør risikovurderinger på nett.
– Hvordan kan journalister beskytte kildevernet digitalt?
– Det kan være å sikre egne kontoer, ha trygge passord, bruke tofaktor-autentisering (se faktaramme) på alle kontoer, ha forskjellige e‑postadresser avhengig av hvem du kommuniserer med, ha muligheten til å sende og motta kryptert mail. I noen tilfeller kan kanskje SecureDrop være greit, sier Sandvik.
SecureDrop: Et system for varslere utviklet av Freedom of the Press Foundation. Systemet gjør at mediene sikkert kan motta dokumenter fra anonyme kilder.
Tofaktor-autentisering: Innloggingsmetode der man logger inn via to trinn, for eksempel gjennom et passord og en datagenerert kode, slik man gjør i nettbanker eller til MinID. Se liste over internasjonale nett-tjenester som tilbyr tofaktor-autentisering.
Tor: En organisasjon som lager internettløsninger som kan brukes av alle til å anonymisere internettbruken. Vox Publica har tidligere beskrevet Tor og flere verktøy for sikrere digital kommunikasjon.
Vox Publicas kartlegging viser at norske journalistutdanninger stort sett begrenser opplæringen i digitalt kildevern til enkelt- eller dobbelttimer. Noen av journalistutdanningene, blant annet i Bergen og Stavanger, har ikke noe planlagt undervisning i emnet.
Sandvik mener journalistutdanningene bør ta til seg at de kan være med på å forme journalister som er gode på digital sikkerhet.
– Mange av disse verktøyene har åpen kildekode, de er gratis, men i enkelte tilfeller vanskelige å bruke. Det er for eksempel vanskelig å komme i gang med å sende kryptert e‑post – det er noe jeg har brukt i seks-syv-åtte år, og selv jeg kan gjøre feil med det. Jeg tror det er veldig viktig at når man diskuterer kildevern og digital sikkerhet, så må man også diskutere hvilke tekniske verktøy journalistene bruker i disse sammenhengene.
– Hva tenker du om mengden av undervisning på utdanningene?
– Det høres ikke veldig mye ut. Jeg tror det hadde vært greiere om man kunne delt opp i flere bolker. Man kan snakke om nettskyer og hvordan uvedkommende kan få tak i informasjon via dem i én, kildevern spesielt i en annen, og også ha en del om hvilke verktøy man kan bruke. Men igjen – disse verktøyene må man jo bruke over tid, og da er det ikke nok med en dobbelttime om det. Men så er det kanskje litt som det er på andre studier – man får en introduksjon om et tema, og så er det opp til studentene selv å gå litt videre og plukke opp det som er spennende, sier Sandvik. Hun gir følgende råd til utdanningene:
– Gravejournalister er den gruppen journalister som disse problemstillingene er klart mest relevante for. Om man kan få til et fag eller kurs der man kombinerer det å grave etter informasjon og stille de riktige spørsmålene med å ta i bruk verktøyene som kan gi mer digital sikkerhet, tror jeg dette vil være veldig bra, sier Sandvik.