Inledning

Hjälp tipsaren att göra rätt!

Den kanske mest sårbara kontakten mellan en källa och en journalist är den allra första, den när källan är den som tar initiativet. Oavsett hur skicklig journalisten är på it-säkerhetkan ju källan använda en kontaktväg som är osäker. Ett stort problem idag är också att så få journalister och redaktioner hjälper källorna att göra rätt. Det är inte ovanligt att man ber om tips via e-post, Twitter eller Facebook. Många redaktioner har särskilda tipssidor på webben, där källorna kan skriva in sina tips eller ladda upp bilder. Men formulären skickas ofta helt öppet över internet; bara en handfull redaktioner har krypterade tipsformulär. Andra använder Google-formulär, som visserligen kan vara supersmidiga för exempelvis enkäter – men som samtidigt ger Google tillgång till information som kan vara känslig.

I andra kapitel i den här boken kan du läsa mer om riskerna med olika tekniker. Försök att utforma de kontaktvägar du har på ett sådant sätt så att du minimerar riskerna för källorna.

Hjälp tipsarna att förstå riskerna

Om du vill ha heta tips bör du ha en tipsarskola, exempelvis på webben, där det framgår hur källorna på bästa sätt kontaktar dig eller din redaktion samtidigt som de största hoten undviks. Berätta gärna om källornas rätt att vara anonyma, men var samtidigt tydlig med riskerna. Tala om hur man som tipsare undviker att lämna spår. Vad som ska ingå i tipsarskolan beror naturligtvis delvis på vilka kontaktvägar du själv kan bli nådd på, och vilken typ av information du vill ha. Enkla förslag som kan finnas med är att aldrig någonsin mejla känsliga uppgifter, att undvika att använda telefon och mejl på jobbet – och aldrig om tipsen gäller arbetet eller arbetsgivaren. Framhåll gärna tillfälliga, anonyma mejlkonton och ett oregistrerat kontantkort till mobilen – ett som bara används till tipset. Var tydlig med att ju känsligare ett tips är, desto viktigare är det att vara försiktig.

Tips! Digitalt källskydd light

Snabba tips för dig som vill kommunicera lite säkrare:

  • Tänk igenom värsta tänkbara scenario i ditt fall och agera efter det.
  • Använd mobil med kontantkort. Förstörs efter av­slutat projekt.
  • Kommunicera inte med källan på dennes arbetsplats.
  • Ha starka lösenord. (Läs mer om lösenord på sid 14.)
  • Aldrig använda samma lösenord på flera ställen.
  • Använd aldrig din vanliga e-post. Ett alternativ kan vara anonyma e-postkonton via en gratistjänst.
  • Träffa de viktigaste källorna öga mot öga och skicka alla dokument med snigelposten.
  • Inget av dessa tips fungerar i alla lägen, men är första steg på vägen.

Gör det lätt för tipsarna

Om man ska kommunicera digitalt är ett krypterat webbformulär den bästa kombinationen av enkelhet och säkerhet för källan. Till skillnad från krypterad e-post behöver källan inte installera några program, utan kan bara skriva in sitt tips i formuläret. Däremot behöver du eller din redaktion anlita en kvalificerad webbprogrammerare för att skapa den säkra webbsidan, som kommer att ha en adress som börjar med ”https” i stället för ”http”. Men även här finns stora skillnader mellan olika lösningar, och en dåligt krypterad tipsarsida kan invagga källorna i falsk säkerhet.

Känsliga uppgifter måste krypteras

Känsliga tips som skickas via nätet ska inte gå i klartext. Använd antingen krypterade formulär eller krypterad e-post. Om ni inte har möjlighet att kryptera: tala i alla fall om för källorna att de inte ska använda sådana osäkra kontaktvägar om de vill kunna förbli anonyma.

Allt fler redaktioner har nu också appar för att lämna tips eller skicka in bilder. Även dessa behöver naturligtvis vara konstruerade för hög säkerhet i överföringen av data.

Viktigt! Sammanfattning.

Två saker som journalister som använder nätet behöver ha i huvudet: För det första är trafiken på internet ofta möjlig att avlyssna och manipulera. För det andra går mycket av det vi gör på nätet att koppla till oss som individer eller åtminstone till redaktionen.

Krypterat är inte detsamma som anonymt

Även om innehållet i ett webbformulär krypteras kan avsändaren spåras på flera olika sätt. Skickar du ett krypterat mejl står både avsändare och mottagare i klartext, även om själva innehållet i brevet ser ut som rappakalja.

Krypteringen kan därför behöva kombineras med anonymiseringsteknik, som anonyma mejladresser och internetuppkoppling via anonymiseringstjänster, som exempelvis Tor eller en VPN-tjänst. Det är också olämpligt med annonser på din tipsar-sida, eftersom du troligen ger annonsörerna möjlighet att se besökarnas ip-adresser och att placera kakor i deras webbläsare. Du bör inte heller analysera webbstatistik med hjälp av Google eller någon annan extern leverantör, eftersom du ger dem möjlighet att ta del av uppgifter om besöken på tipsarsajten.

Var tydlig

Tala om hur du eller din redaktion hanterar tips, och vad er lösning har för brister. Det hjälper källorna att göra rätt. Fullständig säkerhet finns inte, men om man vet var fallgroparna finns går de att undvika. Öppenhet med hur ni jobbar stärker också förtroendet för tipstjänsten. Däremot ska ni naturligtvis aldrig tala om sådana detaljer som gör det möjligt att hacka tipsen.

Var noggrann

Trippelkolla hela kedjan innan du sjösätter din lösning. Låt externa it-säkerhetsexperter sätta den på prov. Slarva inte. Att till exempel publicera sin hemliga nyckel för PGP-kryptering istället för den publika är ett kardinalfel – men det begicks av Aftonbladet för ett par år sedan och upprepades igen våren 2015. Håll också kontaktsidorna aktuella vartefter. Att bara erbjuda en krypteringsnyckel till någon som slutat är inte heller lämpligt – något som inträffat på Svenska Dagbladet. Använd stark kryptering, och följ teknikutvecklingen. Nya säkerhetsluckor upptäcks hela tiden, och det som var bäst igår kan vara utdömt i dag. Tänk också på hur du hanterar och lagrar tipsen. Helst bör det ske på en dator som inte har kontakt med internet.

Krångla inte till det

Använd bara en lösning som är väl testad och som du vet att du behärskar. Det är ofta både enklare och säkrare för både källa och journalist att ses eller kommunicera med vanliga brev, än att ni använder en halvdan krypteringslösning som ingen av er riktigt klarar av. De här tipsen handlar bara om hur man som journalist hjälper källorna att ta en säkrare första kontakt. När du går vidare med ett tips behöver källorna få mer information om vilka spår de lämnar när de hjälper dig att få tag i uppgifter.

Viktigt! Instruera källan.

Den här guiden vänder sig i första hand till dem som jobbar inom media och hur de bör arbeta för att minska riskerna för källorna. En privatperson som vill lämna anonymt tips till en journalist har stor hjälp av att läsa Internetguiden ”Digitalt självförsvar – en introduktion” som finns att ladda ned kostnadsfritt från ­internetguider.se

Spara

Spara