– Mange norske journalister er godtroende på nett

Ekspert på digital sikkerhet, Runa Sandvik, mener mange norske journalister bør tenke mer over hva de legger igjen av informasjon på nett.

For noen er kan­skje Runa Sand­vik mest kjent som data­eks­per­ten som arran­ger­te et «kryp­to­par­ty» med en mann som kal­te seg «Ed» på Hawaii for to år siden. Noen måne­der sene­re ble «Ed», eller Edward Snow­den som han heter, en av nyere tids mest kjen­te vars­le­re, da han avslør­te glo­bal over­våk­ning i regi av sik­ker­hets­myn­dig­he­ter i blant annet USA og Storbritannia. 

Til van­lig job­ber Sand­vik som tek­nisk råd­gi­ver for orga­ni­sa­sjo­nen Free­dom of the Press Foun­da­tion (FPF) i USA – en orga­ni­sa­sjon grunn­lagt av blant and­re vars­le­ren Dani­el Ells­berg, med styre­med­lem­mer som Snow­den-jour­na­lis­te­ne Glenn Green­wald og Lau­ra Poi­tras, Edward Snow­den selv og film­stjer­nen John Cusack. Sand­vik er norsk, har bak­grunn fra NTNU og har job­bet med ano­ny­mi­tets­nett­ver­ket TOR.

Runa Sandvik arbeider med sikkerhet for Freedom of the Press Foundation (foto: FPF)

Runa Sand­vik arbei­der med sik­ker­het for Free­dom of the Press Foun­da­tion (foto: FPF)

Nylig var hun i Nor­ge for å hol­de kurs for jour­na­lis­ter om digi­tal sik­ker­het. Vox Pub­li­ca møt­te hen­ne i Ber­gen etter et av dis­se foredragene.

– Hvor flin­ke er jour­na­lis­ter til å ta inn over seg den ver­den vi lever i nå?

– Det er noen som har vel­dig god kon­troll på det­te. De nors­ke jour­na­lis­te­ne som jeg har mai­let med den­ne uken har alle sendt kryp­tert mail, som er mer enn det jeg van­lig­vis får i USA. Men jeg tror også at vel­dig man­ge jour­na­lis­ter har en god­tro­en­de hold­ning, om at det ikke er så far­lig, at vi er i tryg­ge Nor­ge med per­son­vern og lover og reg­ler. Kan­skje ten­ker de ikke helt over kon­se­kven­se­ne av det arbei­det de gjør og den infor­ma­sjo­nen de ber and­re om å gi dem, sier Sandvik.

Både gode og dårlige

Sand­vik er impo­nert over at blant annet NRK­be­ta har tatt i bruk verk­tøy­et Secure­Drop for at tip­se­re skal kun­ne ta kon­takt med NRK ano­nymt og kryptert.

– Jeg synes det er vel­dig spen­nen­de å se at det er en orga­ni­sa­sjon i Nor­ge som har gjort det. Jeg skul­le gjer­ne hørt fra dem om hvor­vidt de fak­tisk har mot­tatt doku­men­ter som har resul­tert i artik­ler eller lik­nen­de, sier Sandvik.

Sand­vik trek­ker sam­ti­dig frem et eksem­pel fra nors­ke medi­er der kilde­vern loves, men lov­na­den ikke hol­der mål. For kort tid siden skrev TV 2 en nett­sak om nors­ke Syria-kri­ge­re. I bun­nen av saken lovet TV 2 fullt kilde­vern der­som noen send­te dem en e-post.

Skjermbilde fra tv2.no 23. september 2014.

Skjerm­bil­de fra tv2.no 23. sep­tem­ber 2014.

– Det kun­ne være for å for­tel­le at de enten er i Syria selv, eller kjen­ner folk som har reist dit. Hvis jeg var i Syria og send­te TV 2 en mail og sa «her er jeg», er det fle­re vur­de­rin­ger man må fore­ta, sier Sandvik.

Hun for­kla­rer at nett­ver­ket kan være over­vå­ket og at uved­kom­men­de, enten det er i Syria eller Nor­ge, kan få til­gang til e-pos­ten der­som den er sendt fra dår­lig sik­re­de e-post-kon­to­er. – Da kan det stå om liv og død, sier Sand­vik, og leg­ger til:

– Det kan også være sen­si­tivt hvis noen fin­ner ut at jeg er inter­es­sert i saken jour­na­lis­ten dri­ver med. Da kan man ten­ke seg at kon­to­en til jour­na­lis­ten kan bli hack­et, og da kan også sen­si­tiv infor­ma­sjon om alt annet jour­na­lis­ten job­ber med kom­me på avveie.

Risikovurderinger

Sand­vik sam­men­lig­ner det å gjø­re risiko­vur­de­rin­ger på nett med dag­lig­dag­se situasjoner.

– Før man går hjem­me­fra om mor­ge­nen, er det van­lig å sjek­ke vær­mel­din­gen for å fin­ne ut om man skal ta med seg en para­ply eller ikke. Et annet eksem­pel er at når man skal krys­se vei­en, er det van­lig å se til beg­ge sider før man går over. Hvis du ikke sjek­ker om det er trygt, så kan du bli påkjørt. Og det er litt sånn jeg snak­ker om på kur­se­ne jeg hol­der; hvor­dan man gjør risiko­vur­de­rin­ger på nett. 

– Hvor­dan kan jour­na­lis­ter beskyt­te kilde­ver­net digitalt?
– Det kan være å sik­re egne kon­to­er, ha tryg­ge pass­ord, bru­ke tofak­tor-auten­ti­se­ring (se fakta­ram­me) på alle kon­to­er, ha for­skjel­li­ge e-post­adres­ser avhen­gig av hvem du kom­mu­ni­se­rer med, ha mulig­he­ten til å sen­de og mot­ta kryp­tert mail. I noen til­fel­ler kan kan­skje Secure­Drop være greit, sier Sandvik.


Secure­Drop: Et sys­tem for vars­le­re utvik­let av Free­dom of the Press Foun­da­tion. Sys­te­met gjør at medie­ne sik­kert kan mot­ta doku­men­ter fra ano­ny­me kilder.

Tofak­tor-auten­ti­se­ring: Inn­log­gings­me­to­de der man log­ger inn via to trinn, for eksem­pel gjen­nom et pass­ord og en data­ge­ne­rert kode, slik man gjør i nett­ban­ker eller til MinID. Se lis­te over inter­na­sjo­na­le nett-tje­nes­ter som til­byr tofak­tor-auten­ti­se­ring.

Tor: En orga­ni­sa­sjon som lager inter­nett­løs­nin­ger som kan bru­kes av alle til å ano­ny­mi­se­re inter­nett­bru­ken. Vox Pub­li­ca har tid­li­ge­re beskre­vet Tor og fle­re verk­tøy for sik­re­re digi­tal kom­mu­ni­ka­sjon.

Vox Pub­li­cas kart­leg­ging viser at nors­ke jour­na­list­ut­dan­nin­ger stort sett begren­ser opp­læ­rin­gen i digi­talt kilde­vern til enkelt- eller dob­belt­ti­mer. Noen av jour­na­list­ut­dan­nin­ge­ne, blant annet i Ber­gen og Stav­an­ger, har ikke noe plan­lagt under­vis­ning i emnet.

Sand­vik mener jour­na­list­ut­dan­nin­ge­ne bør ta til seg at de kan være med på å for­me jour­na­lis­ter som er gode på digi­tal sikkerhet.

– Man­ge av dis­se verk­tøy­ene har åpen kilde­kode, de er gra­tis, men i enkel­te til­fel­ler vans­ke­li­ge å bru­ke. Det er for eksem­pel vans­ke­lig å kom­me i gang med å sen­de kryp­tert e-post – det er noe jeg har brukt i seks-syv-åtte år, og selv jeg kan gjø­re feil med det. Jeg tror det er vel­dig vik­tig at når man dis­ku­te­rer kilde­vern og digi­tal sik­ker­het, så må man også dis­ku­te­re hvil­ke tek­nis­ke verk­tøy jour­na­lis­te­ne bru­ker i dis­se sammenhengene.

– Hva ten­ker du om meng­den av under­vis­ning på utdanningene?
– Det høres ikke vel­dig mye ut. Jeg tror det had­de vært grei­ere om man kun­ne delt opp i fle­re bol­ker. Man kan snak­ke om nett­sky­er og hvor­dan uved­kom­men­de kan få tak i infor­ma­sjon via dem i én, kilde­vern spe­si­elt i en annen, og også ha en del om hvil­ke verk­tøy man kan bru­ke. Men igjen – dis­se verk­tøy­ene må man jo bru­ke over tid, og da er det ikke nok med en dob­belt­time om det. Men så er det kan­skje litt som det er på and­re stu­di­er – man får en intro­duk­sjon om et tema, og så er det opp til stu­den­te­ne selv å gå litt vide­re og pluk­ke opp det som er spen­nen­de, sier Sand­vik. Hun gir føl­gen­de råd til utdanningene:

– Grave­jour­na­lis­ter er den grup­pen jour­na­lis­ter som dis­se pro­blem­stil­lin­ge­ne er klart mest rele­van­te for. Om man kan få til et fag eller kurs der man kom­bi­ne­rer det å gra­ve etter infor­ma­sjon og stil­le de rik­ti­ge spørs­må­le­ne med å ta i bruk verk­tøy­ene som kan gi mer digi­tal sik­ker­het, tror jeg det­te vil være vel­dig bra, sier Sandvik.

TEMA

J

ournali
stikk

116 ARTIKLER FRA VOX PUBLICA

FLERE KILDER - FAKTA - KONTEKST

INGEN KOMMENTARER

KOMMENTÉR

Comments are closed.

til toppen