Alle journalister må ha et bevisst forhold til at all digital kommunikasjon legger igjen digitale spor, og at de derfor må være rustet til å kommunisere med sine kilder på en sikker måte. Det er lettere sagt enn gjort.
Se for deg et redaksjonsmøte der nyhetsredaktøren drar frem et postkort med et supersensitivt tips fra en kilde som undertegner med fullt navn. Hvem som helst kan lese det som står der, og alle som har sett postkortet kan avsløre kilden. Det fungerer omtrent på samme måte med tips på e‑post, selv om det ikke er like opplagt for den jevne journalist eller kilde. Mange er dessverre fortsatt skremmende naive, og hver dag sendes det enorme mengder sensitiv informasjon til og fra norske redaksjoner på denne måten.
I vårt tenkte analoge eksempel går det litt bedre hvis kilden legger postkortet i en lukket konvolutt. Da kan ikke uvedkommende lese tipset selv om de sitter med brevet i hånden, og dette kan sammenlignes med en kryptert e‑post som sendes over nettet. Krypteringen gir bedre sikkerhet, og hindrer uvedkommende fra å lese det hemmelige tipset fra kilden til redaksjonen.
Nødvendig kompetanseløft
Les mer om digitalt kildevern
- Runa Sandvik: – Mange norske journalister er godtroende på nett
- Kartlegging: Lite opplæring for fremtidens norske journalister
- Problemet: Nettet snører seg rundt kildene
- Verktøy: Jakten på sikker kommunikasjon
- Eirik Newth: Er det håp for personvernet i IT-alderen?
Utfordringen er at e‑postkryptering fortsatt er litt tungvint, og fra et brukervennlighetsperspektiv må vi kunne si at løsningene fortsatt har et betydelig forbedringspotensial. Mens vi venter på at det utbedres, bør pressen ta grep og sørge for et kompetanseløft for sine journalister. Faren er stor for at kilder med digital kompetanse som sitter på sensitiv informasjon rett og slett lar være å tipse pressen om kritikkverdige forhold hvis journalistene ikke engang er i stand til å motta og åpne en kryptert e‑post.
Kommunikasjonsproblemet er likevel ikke løst selv om journalistene lærer seg kryptering og dekryptering av e‑post. For når kilden sender den krypterte e‑posten, må både avsender og mottaker oppgis, og denne informasjonen krypteres ikke. Dermed kan uvedkommende snappe opp hvem som har sendt tipset og avsløre hvem som er kilden selv om de ikke ser hva som ble skrevet. Dette blir på samme måte som med konvolutten i den analoge verdenen.
IT-kyndige kilder forstår dette, og er kapable til å håndtere problemstillingene gjennom andre tiltak som kommer på toppen av krypteringen. For folk flest blir det imidlertid for avansert, og pressen trenger derfor en brukervennlig og enkel kommunikasjonsløsning som kan brukes av journalister og kilder uten omfattende IT-ekspertise.
Sikkert og brukervennlig
Wickr er en relativt ny app for iPhone- og Android-mobiler som har klart kunststykket å kombinere god sikkerhet med et brukervennlig grensesnitt. Appen minner på mange måter om en hvilken som helst moderne tjeneste i det stadig økende markedet for sosiale medietjenester. Forskjellen ligger i hva Wickr gjør for å sikre at ingen uvedkommende får tilgang til verken innholdet i kommunikasjonen, eller hvem brukerne kommuniserer med.
Med Wickr kan brukerne sikkert og anonymt sende meldinger, bilder, videoer, lydopptak og dokumenter. På samme måte som Snapchat er det også en tidsinnstilling som begrenser hvor lenge meldingen er tilgjengelig, men i motsetning til Snapchat er sikkerhet bygd inn fra bunnen av. Meldinger slettes på en måte som skal gjøre det umulig å gjenopprette informasjonen i ettertid, og kommunikasjonen krypteres på en måte som skal gjøre det umulig å avsløre innholdet eller hvem som kommuniserer med hvem.
FBI har allerede gjort fremstøt for å få inn en bakdør i Wickr, men de ble bryskt avvist av toppsjefen Nico Sell. Hun ga dem en leksjon i historie, amerikansk grunnlov og George Washingtons uttalte tanker om informasjonsfrihet, personvern og overvåkning. “En bakdør for “good guys” kan alltid misbrukes av “bad guys””, påpekte hun, og gjorde det klart at Wickr er designet for ikke å ha slike åpninger.
Wickr er en gratis tjeneste, og selskapet bak satser på å tjene penger på avansert tilleggsfunksjonalitet. De ser først og fremst for seg at de skal bli interessante nok for finansnæringen til at den blir villig til å bla opp. For å klare det, trenger de en stor installert base, og det nyter alle andre brukere godt av.
Kommunikasjonen må sikres
I 2012 ga jeg ut boken Digitalt kildevern på IJ-forlaget for å øke bevistheten rundt digital sikring av kildevernet. Den ble skrevet etter deltagelse på SKUP-konferansen i 2011. Der kom det frem at det selv blant kremen av norske gravejournalister er svært mangelfull kunnskap om hvordan digitale spor gjør det mulig å avsløre pressens kilder.
Siden den gang har Snowdens avsløringer og Obamas straffeforfølgelse av varslere gjort det uomtvistelig klart at amerikanske myndigheter er både villige og kapable til å overvåke og avsløre journalisters kontakt med sine kilder. Norske myndigheter har ikke den samme kapasiteten, men viljen til å gå hardt til verks for å avsløre pressens kilder er så absolutt til stede. Det så vi blant annet i kildevernsskandalen rundt 22. juli-lekkasjen av bildene som viste en arrestert Breivik på Utøya.
Dette betyr at pressen må ta grep for å sikre kildevernet, og sørge for at ikke uvedkommende kan avsløre hvem som snakker med pressen, og hva de snakker om. Det holder ikke lenger bare å love kildene anonymitet, kildevernet må også sikres.
Begynn med Wickr
Når jeg holder introduksjonskurs i digitalt kildevern for journalister, tar jeg en gjennomgang av kryptert e‑post der jeg blant annet bruker eksempelet med postkort og brev for å vise hva kryptering kan og ikke kan bidra med. Jeg gjør det klart at det beste hadde vært om alle journalister lærte seg å motta og dekryptere e‑post, men at det i hvert fall hjelper litt om de i det minste skjønner prinsippene og så kan få hjelp av noen på IT-avdelingen den dagen de trenger det.
I motsetning til e‑post med avansert kryptering, er Wickr en enkel og brukervennlig tjeneste som egner seg svært godt for journalister og kilder, samt andre som trenger å kommunisere på en sikker måte. Det blir det stadig flere som ser behov for, og jeg øyner derfor håp om at Wickr blir en populær tjeneste. Den tar nok ikke over kommunikasjonsmarkedet på nettet, men den kan bli en utbredt løsning, og det kan tvinge andre mindre sikkerhetsorienterte kommunikasjonssystemer til å løfte sikkerhetsnivået sitt.
Jeg er i hvert fall svært begeistret for Wickr, og hvis det er noe du lurer på, når du meg der ved å sende en kryptert melding til brukernavnet abrenna.