Flere ganger er norske medier blitt kritisert dårlig digitalt kildevern, blant annet fra krypteringseksperten Runa Sandvik under Nordiske Mediedager i vår.
Den gang var Aftenposten blant mediene som fikk sterk kritikk, for en tipsløsning som langtfra var like sikker som den ble presentert som. Avisa svarte at de og hele Schibsted jobbet med tiltak som raskt skulle være på plass.
Etter et halvt år nærmer dette raske seg nå en realitet. På NxtMedia Conference i Trondheim tirsdag, presenterte Aftenposten-journalist Trond Strøm det som trolig snart vil bli gjeldende retningslinjer for alle Schibstedss mediehus.
Blant hovedtrekkene er:
- Alle harddisker skal være kryptert som standard.
- Alle journalister bør ta en app Signal i bruk for enkel, kryptert kommunikasjon på telefon.
- Det skal lages enkle veiledninger for å sende kryptert e-post.
- Og, kanskje aller viktigst: Redaksjonene skal få superbrukere som kan bistå kolleger og drive opplæring.
[caption width="650" id="attachment_14478" align="alignnone"] (Fra Trond Strøms presentasjon).[/caption]
Bruker det mørke nettet for sikre tips
Så langt de interne reglene. Minst like viktig er å legge til rette for å motta tips på en sikker måte.
Det legger Schibsted nå bedre til rette for: Ved å etablere en egen løsning gjennom verktøyet SecureDrop, kan tipsere ta i bruk det såkalte mørke nettet for å sende sikre og krypterte tips.
For som Trond Strøm sa det til NxtMedia tirsdag:
- Å sende en e-post er omtrent like sikkert som å sende et postkort.
Secure Drop er en løsning på TOR-nettet (The Onion Router), som gjør at man kan både surfe og sende tips helt anonymt.
Og når meldingen er mottatt, vil den åpnes og så dekrypteres - det siste skal skje på en PC som ikke er tilkoblet internett.
- NRK Beta er forøvrig allerede på plass i norge med en slik løsning, som du kan lese mer om her.
Snowden, Rolfsen og kildevern
Strøm pekte i sin presentasjon på omstendighetene både Verden og Norge har sett: Alt fra Edward Snowdens avsløringer om overvåking, til de siste problemene det norske kildevernet har støtt på i Rolfsen-saken.
- Den pågående saken mot Rolfsen viser at vi ikke kan ta for gitt at pressens behov for å verne om kilder, blir fulgt. Med disse retningslinjene konkretiserer vi ansvaret redaksjonen har for å verne kilder som ønsker anonymiet - eller som man bør forstå at trenger det, sier Strøm.
Og det handler både om kommunikasjon og materiale. Hvis det upubliserte materialet er kryptert, er det ikke like lett for verken kriminelle, politi eller andre å få tak på det.
Poenget er selvsagt ikke at alt man gjør må skje på det mørke nettet og med full kryptering. Men kanskje litt sikrere enn i dag. Og det er ikke så vanskelig; på to minutter kan alle installere appen Signal, som er blant anbefalingene i Schibsteds kommende retningslinjer.
- Åpen telefoni og SMS er også utsatt - det er rett og slett lite egnet til sensitiv info, mener Strøm.
Og legger til: Han og kollegene har nå fått hjelp fra den samme Runa Sandvik som kritiserte dem:
- Vi har benyttet sikkerhetsekspert Runa Sandvik i arbeidet med å lære opp superbrukere i redaksjonene og til å kvalitetssikre arbeidet med retningslinjer og anbefalte verktøy. Hun har vært en viktig ressurs, sier Strøm.