Journalister skal arbejde med datasikkerhed for at beskytte kilder, sig selv og deres research og historier. Datasikkerhed omfatter alt, hvor du har omgang med data.
Pas på med at bruge wifi på konferencer, hoteller, lufthavne, tog og andre offentlige steder. Her er det konferencen i 2015 for tyske Netzwerk Recherche med flere end 800 deltagere.
Der findes ikke total sikkerhed for journalister. Det er vigtigt at gøre sig klart. Valg af værktøjer og strategier skal passe til risikoniveauet i de enkelte historier. Vi skal begynde med at finde ud af, hvem der er interesserede i vores data og forstå deres metoder.
Min baggrund for at skrive om udfordringerne med datasikkerhed for journalister er mange års undervisning i datajournalistik, min deltagelse i samarbejdet i det globale netværk for undersøgende journalistik, GIJN og et virke som koordinator og deltager i flere tværnationale journalist-projekter.
Den 29. oktober skal jeg gennemgå datasikkerhed for journaliststuderende på Syddansk Universitet. Det er anledningen til at sammenfatte mine erfaringer, der er suppleret med input fra andre danske journalister.
Journalister skal beskytte:
1. Eget renomé
2. Kilder
3. Udstyr
4. Research-materiale
5. Mails/chat
6. Online-møder
Først skal vi forstå problemet. Lad os se på nogle eksempler på forsøg på at få fat i journalisters research-materiale eller miskreditere folk i professionel sammenhæng.
Rengøringskonen på Ekstra Bladet
I 1980’erne og 90’erne dækkede journalist Ambro Kragh rockeropgør og rockerkrig – først på Ekstra Bladet, siden i Politiken. Rockerne ønskede at finde hans interne kilder og fik en rengøringskone på avisen til at undersøge journalistens kontor og computer. Heldigvis forgæves.
Generelt skal man passe meget på læk internt på mediet, dvs. også hvem der får adgang til oplysninger, og hvem man fortæller om sine undersøgelser. Det gælder ud over arbejdet også i familien og vennekredsen.
Teliasonera aflyttede journalister og finsk statsminister
Den finske avis Helsingin Sanomat afslørerede i 2002, hvordan topledelsen i det finske mobilselskab Teliasonera stod bag aflytning af ansatte, journalister og senere også den daværende finske statsminister Paavo Lipponen.
Firmaet ønskede at finde kilder til kritiske historier og forberede sig på og påvirke kommende politiske initiativer. Ledelsen blev efter afsløringen idømt forskellige fængselsstraffe for den ulovlige overvågning.
MRSA-smitte hos mennesker
Journalist Kjeld Hansen skrev i 2010 en artikel på Åbenhedstinget om, hvordan MRSA-smitte fra svin var fundet hos mennesker. Med i artiklen var 12 konkrete eksempler fra svinefarme med smitteoverførsel til mennesker.
Sundhedsstyrelsen opfattede det som et brud på tavshedsbelagte oplysninger om enkeltpersoners sundhedsoplysninger. Styrelsen undersøgte derfor alle de ansatte, der kunne have haft adgang til oplysningerne.
Konkret gennemgik styrelsen e-mails og mobilsamtaler tilbage gennem flere år for at finde mulige læk. Det lykkedes ikke.
Eksemplet viser, hvad almindelige organisationer er parate til – og at fortrolige kilder i organisationer skal beskyttes ved kun at bruge deres private e-mail og mobiltelefoner.
Guardian-chefredaktør smadrede harddiske
Da The Guardian i 2013 offentliggjorde Snowdon-files om, at det amerikanske og engelske efterretningsvæsen spionerede i udstrakt grad mod egne borgere, forlangte retten det interne materiale udleveret.
I stedet valgte chefredaktøren, Alan Rusbridger at smadre harddiskene med alle oplysningerne. The Guardian havde kopier af filerne uden for landet og kunne på den måde fortsætte med at dække sagen.
Ved meget følsomme sager benytter de store medier i dag normalt at gennemgå filerne på computere uden netadgang overhovedet og i særligt beskyttede rum.
Domstol forlangte kildemateriale og kommunikation fremlagt
Den rumænske journalist Paul Radu, OCCRP, blev som ansvarlig for en serie fra 2017 om Azerbaijani Laundromat sagsøgt ved retten i London.
I den forbindelse forlangte retten en meget stor del af det interne materiale i researchen fremlagt. Undersøgelsen af computere, telefoner og andet udstyr skulle foregå i en specialiseret virksomhed.
I sit interne materiale skal man altid være objektiv og præcis og ikke lave vittigheder om den anklagede part, konkluderede Paul Radu på gijn.org.
Monsanto spionerede mod Neil Young
Den store amerikanske kemigigant Monsanto, der i dag ejes af tyske Bayer, oprettede sit eget efterforskningscenter for at få fingre i pågående research og miskreditere journalister og aktivister, herunder Reuters-journalisten og forfatteren Carey Gillam samt musikeren Neil Young.
Det viste interne dokumenter, fremlagt i en retssag i 2019, skrev The Guardian.
Morten Messerschmidt klagede over dommers Facebook-aktivitet
Morten Messerschmidt indklagede i august 2021 dommer Søren Holm Seerup for Den Særlige Klageret. Søren Holm Seerup var formand for den domsmandsret, som idømte Morten Messerschmidt seks måneders betinget fængsel i den såkaldte Meld-sag om svig med EU-midler.
Morten Messerschmidt har offentliggjort en række eksempler på, at Søren Holm Seerup på Facebook har liket eller kommenteret opslag om Dansk Folkeparti eller Meld-sagen, blandt andet et indlæg fra tidligere folketingsmand og minister Søren Pind, der problematiserer Messerschmidts fortsatte næstformandsskab.
Journalister kan blive udsat for den helt samme miskreditering.
Eksempler på sikkerhedsvurdering
1. Offentlige myndigheder
Undersøger du almindelige offentlige myndigheder og virksomheder, skal du ikke forvente særlige og farlige skridt fra dem i forsøg på at afsløre fortrolige kilder eller få adgang til research. Her er det ofte tilstrækkeligt at anbefale kilder at undlade at bruge arbejdstelefon og -email.
2. Efterretningsvæsen og lignende
Her kan du godt regne med, at du skal skrue meget op for sikkerheden. Den slags tjenester har potentielt adgang til meget privat overvågning af dig via telefon og din aktivitet på computeren.
3. Store tech-firmaer og teleselskaber
De er i stand til en meget omfattende overvågning via deres datakilder. Det er ikke sikkert, at de benytter data, men pas på. Sørg for at beskytte kilder og materiale.
4. Multinationale selskaber og organiseret kriminalitet
De har ressourcer og vilje til at komme efter dig ved at hyre privatdetektiver eller oprette egen efterforskningsenhed. De kan ramme dig med søgsmål ved en domstol.
Ti råd om elektronisk sikkerhed
1. Få ikke paranoia
Graden af beskyttelse drejer sig som nævnt i indledningen om, hvor truslerne kommer fra.
For langt de fleste sager er der ikke grund til nogen særlig beskyttelse. Ofte er der tale om en relativ enkel research, som kort efter ender med en offentliggjort historie. Gør det ikke sværere at arbejde end nødvendigt. Sikkerhed skal kun bruges, hvor det er nødvendigt.
2. Pas på din smartphone
Smartphonen er vores største spion. Den registrerer vores gøren og laden i detaljer og apps sender i mange tilfælde oplysninger videre til eksterne parter.
Tag ikke din mobiltelefon med dig til interviews med hemmelige kilder. Pas på, hvad der ligger af personlige oplysninger på den. Du kan tabe den, og på den måde er dine data potentielt i fare.
3. Slet e-mail
Er den fortrolige kilde en offentlig ansat eller person i en almindelig organisation, så sørg for at kommunikation foregår uden om vedkommendes arbejdsmail og –telefon.
Hvis den indledende kontakt er sket via kildens officielle e-mail, så bed dem slette den. Myndigheder og andre organisationer laver normalt backup om natten.
4. Beskyt følsomt researchmateriale på PC’en
Sørg for, at din egen computer har et opdateret antivirusprogram, jævnlig og enkel backup af datafiler og krypter de (få) biblioteker, det er nødvendigt. Sikkerhedskopiering sker let ved at bruge en stor ekstern harddisk.
5. Brug to-faktor-godkendelse
Arbejder du med andre på en historie, deler I normalt en del filer et sted i skyen. Oftest er det på et Google Drev, og det er også fint til ikke-følsomt materiale.
Man kan til nød benytte Google til nogle typer af følsomt materiale, hvis adgangsregler sættes til kun den pågældende gruppe og alle benytter to-faktor godkendelse på deres adgang. Brug i det hele taget to-faktorgodkendelse i skyen alle de steder, du kan.
6. Undgå trådløst internet
Brug kun wifi derhjemme og tilsvarende steder. Sørg for at indstille en bedre adgangskode på dit modem end fabriksindstillingen. Modemet er i mange tilfælde let at hacke udefra, hvis du ikke har ændret adgangskoden.
Brug aldrig wifi i det offentlige rum. Trafikken på trådløse internet er meget let at tappe for indhold, herunder adgangskoder. Brug i stedet din iPhone/Android til at dele internetadgang med din computer.
7. Skjul dit IP-nummer og få adgang til beskyttede sider i udlandet
Virtual Private Network, VPN, sender din forbindelse til nettet via en server et andet sted. Det gør det umuligt at spore dig og det gør det for eksempel også muligt at vælge en server i et andet land og se sider, der ellers ikke vises uden for dette land.
For eksempel viser en del amerikanske medier ikke deres historier i EU-lande af frygt for GDPR.
8. Brug ordentlige password
Sørg for at have et system til at holde styr på password og til at hjælpe dig med at tjekke, at de er svære at afsløre. Det letteste er en password manager, der virker på alle dine enheder.
9. Frygt malware
Normale antivirusprogrammer finder ikke malware. Det kan virkelig kompromittere din computer. Hvis der er installeret en ondsindet software på din computer, er alle de andre råd på denne liste ligegyldige. Bedste praksis mod malware er fra tid til anden at slette alt på computeren og installere software og data på ny. De vigtigste beskyttelser mod malware er:
Klik aldrig på links, du ikke er 100 pct. sikker på validiteten af. Det være sig i mail, på hjemmesider etc.
Download aldrig software fra steder, du ikke er helt sikker på.
Vær opmærksom på, at du også kan få malware i din computer via browserudvidelser, der udadtil ser ud til at være i orden.
Tillad aldrig eksterne harddiske og memory sticks fra en ven, kollega eller samarbejdspartner i din computer.
Hav forskellige adgangskoder til din computer. Brug normalt ikke et kodeord med administrative rettigheder – brug det kun, når du vil installere programmer. Hvis malware derefter forsøger at installere et program, når du arbejder med computeren uden administrative rettigheder, får du en advarsel, der spørger dig, om du vil installere denne software og siger, at du skal have administrative rettigheder. Så kan du sige nej tak.
10. Lav jævnlig gennemgang sikkerhedsrutiner
Datasikkerhed skal virke enkelt i hverdagen. Sikkerhed skal ikke ødelægge mulighederne for at arbejde. Derfor skal sikkerhed virke som enkle, velfungerende rutiner i hverdagen, som det ikke er nødvendigt at tænke synderligt over.
Som på alle andre områder udvikler metoderne og truslerne sig hurtigt. Derfor er det smart at tjekke rutiner og måske forny nogle af dem med jævne mellemrum.
No comments yet.