I mars 2016 ble det kjent at den norske sikkerhetsrådgiveren Runa Sandvik fikk jobb som «Director of Information Security for the newsroom» i New York Times.
Jobben gikk ut på å sikre redaksjonen, sørge for gode rutiner, kultur og holdninger til datasikkerhet, kildevern og en rekke andre ting.
– Å, det er kjipt
Men 22. oktober fikk Runa Sandvik sjokkbeskjeden da hun ankom kontoret:
– Jeg fikk beskjed om at dette var min siste arbeidsdag i New York Times, for de hadde eliminert stillingen min. Tilgangen på e-posten ville forsvinne innen fem minutter og HR-avdelingen skulle vise meg ut. Jeg fikk ta med meg sekken min, men hvis det var andre ting på kontoret, så ble det sendt meg i posten, sier Runa Sandvik til Medier24.
Vi møter henne på et hotell ved Nidelva i Trondheim. 32-åringen forklarer at hun hadde en «At Will Contract», som sier at hun kunne gå på dagen – enten det var hennes eller arbeidsgivers valg. Dette er ikke uvanlig i USA.
– Hvordan er det å miste jobben over natta?
– Å, det er kjipt. Det er et arbeid som jeg virkelig brenner for – og det er selvfølgelig kjipt å bli fortalt at jobben er eliminert, ved at de ikke lenger trenger et dedikert fokus på de oppgavene jeg har hatt.
– Og det i en tid der man kanskje aldri har hatt flere trusler mot redaksjoner? Ble du litt overrasket?
– Ja. Jeg fikk litt sjokk.
32-åringen forklarer at hun fikk tilbud om sju ukers etterlønn mot at hun skrev under på en «non-disclosure agreement», oversatt til konfidensialitetsavtale på norsk.
– Jeg skrev ikke under, nei.
Medier24 har forsøkt å få en kommentar fra New York Times, men de har ikke svart på våre henvendelser.
Datasikkerhetsekspert Runa Sandvik.Erik Waatland
Fikk støtte fra Snowden
Det var Sandvik selv som fortalte følgerne sine på Twitter at hun hadde mistet jobben – og siden den gang har støttemeldingene strømmet inn. Blant annet høster hun mye ros fra tidligere kolleger som sier de er sjokkert.
Og en ikke ukjent «whistleblower» meldte seg på. Edward Snowden skrev nemlig følgende som svar:
Ole Torp og Runa Sandvik - med EDWARD SNOWDEN på video fra Moskva under Nordiske Mediedager i 2015
«De tar så utrolig feil på dette at det er mystisk at de kan komme til en slik beslutning. Dette kommer til å hjemsøke dem».
– Jeg ble litt overrasket da han skrev det. Det var jo et sjokk å bli fortalt at jeg ikke hadde jobben lenger – og ble vist ut av lokalet, men den støtten jeg har fått etterpå har er jo vært helt utrolig. Det har vært viktig for meg.
– Hva tenker du om fremtiden?
– Nå prøver jeg å finne ut hva jeg skal gjøre videre. Jeg vet at jeg har veldig lyst til å fortsette å jobbe med sikkerhet i redaksjoner mellom journalister og kilder – og sikkerhet for «høyrisikogrupper». Nå handler det om å finne en mulighet til å fortsette det arbeidet, så jeg er i dialog med ulike firmaer der jeg forsøker å finne ut om det er en «good fit»; om det er budsjett, om de har plass, om de har forståelse for den type arbeid osv., så får vi se hva som skjer.
– Når er du i ny jobb?
– Tidlig neste år, kanskje. Jeg kommer til å begynne å kjede meg snart, merker jeg. Jeg trenger å ha noe å holde på med. Det trenger ikke være vanlig fulltidsarbeid igjen, men jeg må ha et prosjekt.
– Kan du jobbe i Norge da?
– Jeg er ikke helt klar for å flytte hjem til Norge, men jeg kunne gjerne jobbet med sikkerhet opp mot norske bedrifter fra USA, sier Sandvik til Medier24.
Today the @nytimes chose to eliminate my role, stating that there is no need for a dedicated focus on newsroom and journalistic security. I strongly believe in what I do (and what we did), and to say I’m disappointed would be an understatement. (1/3)
Runa Sandvik er utdannet innen informatikk fra NTNU, har jobbet for The Tor Project og Freedom of the Press Foundation, er rådgiver hos The Signals Foundation og hjelper Black Hat Europe med å velge foredrag og sette sammen program hvert år.
Dette i tillegg til å nylig ha vært sentral innen datasikkerhet hos New York Times.
– Hvilke trusler står vi mediene overfor?
– Å sikre kildevernet, å beskytte kontoene man publiserer fra, maskinene man gjør research på osv. Og ikke minst falske nyheter.
I New York Times jobbet hun med sikkerhet i skyen, å sikre e-poster og ikke minst å skape en kultur for datasikkerhet blant redaksjonelle medarbeidere.
Medier24 har vært i kontakt med flere personer rundt Sandvik og de bekrefter at hun er blitt et stort navn – som mange beundrer og følger med på.
32-åringen sier mange sier de er opptatt av sikkerhet, men:
– Så er spørsmålet i hvilken grad redaksjonen forstår at det er viktig. Det er litt blandet hvordan de skal oppnå sikkerhetsmålene sine.
Sikkerhetsrådgiver Runa Sandvik. Her på scenen under NxtMedia-konferansen i Trondheim 14. november 2019.Erik Waatland
Dagbladet og hacking
I slutten av oktober ble en ung person siktet for å ha hacket Dagbladet. Den 17. oktober publiserte Dagbladet en artikkel der det sto «Pedofili er greit så lenge man ikke får sæd på barnet», og kort tid etter måtte Aller Media stenge ned nettavisene i flere timer som følge av angrepet.
– Hva tenker når slike ting som hos Dagbladet skjer?
– Akkurat i det tilfellet tenkte jeg at på ett vis var jeg ikke overrasket, men det virker også som noe det burde vært relativt enkelt å forhindre. Men så vet jeg også at man kan for eksempel ha et lite team, små budsjetter og en haug med andre ting som er «viktigere», så det å sikre innloggingen til publiseringssystemet er kanskje ikke øverst på lista. Det er sånn som skjer, så jeg tror det er greit for Dagbladet at det ikke var verre.
– Er vi mediene litt naive?
– Ja, det har jeg sagt i mange år. Her i Norge og i Skandinavia så ser vi på det som skjer i USA som «noe som skjer borti der og som ikke gjelder oss». Men så skjer det jo også her – det tar bare litt lengre tid før det skjer. Det betyr ikke at vi skal bruke mindre tid på det.
– Hva er budskapet til norske medieledere?
– Jeg synes de bør ta en nærmere kikk på sikkerhet i redaksjonen – og helt spesifikt; Hvordan journalister jobber til når de gjør research, når de lager første kladden – hvordan de publiserer osv. Analyser hvordan hele «workflowen» ser ut – og identifiser utfordringer for å sikre jobbinga.
– Er det litt sånn med IT-sikkerhet som det er med brannsikkerhet – ingen bryr seg før det brenner?
– Hehe, ja, det er litt sånn. Ta for eksempel artiklene fra Jonas Vikan i Adresseavisen om datasikkerhet. Det er ingen som ser så nøye på de tingene han skriver om – før han skriver om det. Og da brenner det plutselig. Da skal de ha han på foredrag, folk stiller spørsmål – og politiet begynner å etterforske.
– Og journalister begynner å bytte passord?
– Hehe, ja.
– Hva tror du konsekvensen kan være om kilder og varslere ikke kan stole på at vi ivaretar kildevernet vårt godt nok?
– Da mister du gode historier. Jeg tror det er viktig for journalister å bygge nettverk og tillit med kilder, men det er også like viktig for mediehusene å bygge den samme tilliten.
