När en stor lösenordsdatabas kommer på vift, är det oro i journalistleden. Journalister är som vanligt folk och är lika svåra att fås vara disciplinerade med sin lösenordshantering.
Flera stora rubriker följs nu av blogginlägg som antyder att systemet med källskydd är i gungning, t ex Marcin de Kaminisk. MEN – så allvarligt behöver det inte vara.
Jag har utbildat något tusental journalister i smartare hantering av datorer och internet. Alla har fått samma råd av mig, nämligen att handha alla källskyddskänsliga uppgifter analogt – inte digitalt.
Det är för mig en självklar konsekvens av följande fakta:
- Journalister är journalister, inte krypteringsexperter eller på annat sätt tekniska nördar som håller koll på allt nytt och alla nya hål som uppstår i säkerhetssystem.
- Journalister använder oftast system som tillhör någon annan. System de inte kan kontrollera. System i vilka det finns vaktmästare som på olika sätt kan bereda sig tillgång till information.
- Journalister riskerar upp till två års fängelse om de slarvar med källskyddet, denna viktiga institution i meddelarfriheten.
- Journalister är tacksamma mål för hackers och andra nyfikna (man behöver inte vara särskilt tekniskt kunnig för att avlyssna eller manipulera någons e-post).
- 95 procent av alla journalister handhar inte känsliga källor i sitt dagliga arbete.
- Av de återstående fem procenten är journalister som i snitt till 95 procent av sin tid inte handhar känsliga källor.
Det är således en försvinnande liten del av det journalistiska arbetet som ställer stora krav på datorsäkerheten. Att då sätta sig in i, hålla sig ajour, och konfigurera krångliga kommunikationssystem, är tidsslöseri. Dessutom ska dessa system läras ut till 100 procent av läsekretsen, göras väl tillgänglig på hemsidor, osv. Totalt onödigt.
Gör så här:
- Skriv på papper och skydda det med det som i säkerhetssammanhang kallas skalskydd. Lås in det, göm det på ett oväntat ställe, skydda det med din kropp i plånboken, mm.
- Förstör alla dokument efter avslutat jobb.
- Se till att alla som kan tänkas kontakta dig i känsliga ärenden inte gör det via mejl eller telefon.
- Under ett pågående projekt köper du en billig mobil (200 kr) och ett anonymt kontantkort och ger till din hemliga källa. Betala kontant. Det är enda kommunikationsvägen på distans mellan dig och din källa.
- Köp själv samma utrustning. Kassera all utrustning efter avslutat projekt. Det kostade ju trots allt bara 400 kronor.
- Ha inte några andra telefoner med er samtidigt med de ”säkra” telefonerna.
- Bestäm möten på avsides platser, gärna typ mitt ute på Gärdet i Stockholm eller om det behövs, platser som också saknar insyn, exempelvis en skog.
Det låter som något hämtat ur en spionroman, eller kalkerat från den utmärkta amerikanska teveserien The Wire om knarkhandel, men är det säkraste du kan göra.
Om du likt Fredrik Laurin emellanåt rapporterar om saker som kan tänkas intressera CIA eller liknande organisationer kan det krävas ytterligare åtgärder. Underrättelsetjänster har de mest fantasifulla och osannolika sätt att hålla koll, så då får du som journalist verkligen sätta dig i spionernas säkerhetsskola. Men ni är få som jobbar med den typen av information, så ni vet redan om det mesta av detta.
© Tomas Carlsson 2011-10-28
Uppdatering 2012-09-19. Nu har Sveriges Radio och Medieormen också tagit upp frågan i artikeln IT-säkerhet bör ingå i alla journalisters utbildning. Min kommentar till det är att grundläggande IT-säkerhet bör alla som använder en dator kunna, inte bara journalister. Specialkompetens behöver bland annat det lilla antal journalister som måste använda datorn för källskyddat material och som kan tänkas ha avancerade hackers efter sig.
Det kanske är för att jag missade papperseran, men jag är faktiskt osäker på om jag skulle kunna hantera analog information på exempelvis ett papper. Min plånbok tappar jag bort med jämna mellanrum – så där bör det ju inte ligga något av värde – och jag är aldrig så nervös som när jag bär på ett block med uppgifter som inte ska hamna i fel händer.
För mig verkar det mycket troligare att någon ska manipulera min brevlåda eller telefon, än att någon ska manipulera min dator eller krypterade filer. Men det är antagligen eftersom jag aldrig lärt mig handskas med analog information, som sagt.
[…] Radios Medieormen om journalister och digital säkerhet. Frilansjournalisten Tomas Carlsson uppmanar i ett blogginlägg till en mycket enkel linje som han menar passar de flesta journalister: håll allt källskyddat […]