Cybersäkerhet – skydda dig själv och dina källor

I ett kapitel i GIJN:s Reporter’s Guide to Investigating War Crimes skriver Matt Hansen, strategisk chef på Global Journalism Security, att ”säkerhet bör vara en central del av rapporteringsprocessen från dag ett för reportrar som undersöker krigsbrott — särskilt i en tid av ökad övervakning, spionprogram och andra hot”. Detta gäller oavsett ditt bevakningsområde, vare sig det är krigsbrott, klimatförändringar, politik, korruption eller något helt annat.

Den goda nyheten är att de verktyg du behöver för att arbeta säkert existerar och skyddar dig så länge du använder dem på rätt sätt vid rätt tillfälle. Detta kräver medvetenhet om vilka verktyg som är rätt för ditt projekt och planering för att säkerställa att de inkluderas i ditt arbetsflöde. Digital säkerhet kan verka lite skrämmande till en början, men ökad säkerhet kommer att hjälpa dig att bygga förtroende hos – och skydda – nuvarande och framtida källor, tillsammans med kollegor och mediepartner.

Detta kapitel presenterar flera tips och verktyg för att hjälpa dig att säkra konton, datorer och telefoner, kommunikation och personlig information. Utöver specifika verktyg och inställningar har vi också inkluderat fallstudier om vikten av att överväga digital säkerhet när du planerar ditt arbete. Det finns mycket information här, så vi rekommenderar att du läser igenom kapitlet en eller två gånger och sedan återkommer till de avsnitt som är mest relevanta för dig. Du kan förfina din inställning till både digital och fysisk säkerhet allteftersom du lär dig mer och kommer underfund med vad som fungerar bäst för dig. Du kan upptäcka att denna process blir lättare ju mer du gör den. GIJN erbjuder utbildning, workshops och konsultationer för ytterligare stöd.

Tips och verktyg

Följande avsnitt rekommenderar specifika verktyg och inställningar för att hjälpa dig att säkra konton, datorer och telefoner, kommunikation och personlig information.

Skydd av onlinekonton

Granska regelbundet sekretess- och säkerhetsinställningar som är tillgängliga för dina onlinekonton, särskilt på sociala medier.

Använd en lösenordshanterare för att skapa och lagra starka, unika lösenord för alla dina konton. Lösenordshanteraren fungerar som ett ”bankvalv” för lösenord, så att du inte längre behöver komma ihåg dem själv. Tillgången till detta valv skyddas av ett huvudlösenord som du ställer in. Du kan också använda lösenordshanteraren för att lagra andra typer av viktig information, såsom svar du anger på säkerhetsfrågor vid inloggning (de behöver inte vara riktiga svar!), passuppgifter och telefonnummer. Android och iOS har inbyggda funktioner för lösenordshanterare, men de kanske inte har alla funktioner som 1Password, Dashlane och Bitwarden erbjuder. Som journalist kan du vara berättigad till en gratis licens för 1Password.

Aktivera tvåfaktorsautentisering (2FA) där det är möjligt, inklusive konton som används för e-post, dokumentlagring och sociala medier. Detta kan hjälpa till att förhindra att någon kommer åt ditt konto, även om de har rätt lösenord. SMS är den vanligaste formen av tvåfaktorsautentisering, men också den minst säkra eftersom meddelanden inte är krypterade och kan avlyssnas. Överväg att använda en mobilapp för att generera tvåfaktorskoder istället, som Google Authenticator. Det säkraste, men mindre vanliga alternativet är att använda en fysisk säkerhetsnyckel, som Yubikey. Om du använder Google för e-post, överväg att anmäla dig till Advanced Protection Program – en gratis säkerhetsfunktion utformad för journalister och andra högriskpersoner.

Granska regelbundet sekretess- och säkerhetsinställningar som är tillgängliga för dina onlinekonton, särskilt på sociala medier. Målet här är inte nödvändigtvis att sluta dela på sociala medier och andra webbplatser, utan att vara medveten om – och ha kontroll över – vad du delar, när och med vem. Privacy Party är ett gratis webbläsartillägg som hjälper till att göra det lättare att granska inställningar och vidta åtgärder på ett antal webbplatser.

Om du använder en Apple-enhet, aktivera Advanced Data Protection för iCloud för att kryptera den data du har lagrat där. Aktivera skydd för lösenordsåterställning på X (tidigare Twitter) för att göra det svårare för någon att återställa lösenordet på ditt konto, samt inloggningsaviseringar på Facebook.

Skydd av datorer

Se till att du installerar system- och programvaruuppdateringar så snart de blir tillgängliga. Dessa uppdateringar inkluderar inte bara nya funktioner och förbättringar, utan även korrigeringar för säkerhetshål som kan utnyttjas av hackare. För att skydda den information som lagras lokalt på din hårddisk kan du aktivera helskivskryptering med BitLocker på Windows och FileVault på macOS. Du kan också använda dessa verktyg för att kryptera externa hårddiskar och USB-minnen. Om du behöver kunna komma åt enheten på både Mac och PC, överväg att använda VeraCrypt istället. För Windows kan Microsoft Defender hjälpa till att skydda din enhet mot vanliga former av annonsprogram och skadlig kod.

Journalister arbetar ofta med dokument från okända källor, oavsett om det är en PDF som hittats på ett forum eller ett Word-dokument skickat av en anonym källa. Dessa dokument kan innehålla skadlig kod, men du kan använda Dangerzone på din dator för att skapa säkra versioner som du kan öppna och granska. Om du arbetar med en stor mängd dokument, överväg att använda en särskild dator som aldrig är uppkopplad för att gå igenom filerna. För att lära dig mer om att arbeta med stora datamängder i ett journalistiskt sammanhang, se Micah Lees bok Hacks, Leaks, and Revelations.

Skydd av telefoner

Se till att du installerar system- och programvaruuppdateringar så snart de blir tillgängliga, precis som du skulle göra med datorer, surfplattor och andra elektroniska enheter. Om din telefon inte stöder den senaste uppdateringen rekommenderar vi starkt att du köper en nyare modell. Granska sekretess- och säkerhetsinställningar, inklusive platsdata och aviseringar på låsskärmen, för att förstå vad din telefon gör och vad du delar med vem. För Android, använd Google Play Protect för att hålla appar och data säkra. För iOS, använd Lockdown Mode för att försvara dig mot sofistikerade spionprogram som Pegasus (läs mer här). Lockdown Mode stöds på macOS, iOS, iPadOS och watchOS.

Wireds artikel om när Vice råkade avslöja var John McAffee befann sig.

Skydd av kommunikation

Använd meddelandeappar som stöder totalsträckskryptering (end-to-end encryption), som Signal, WhatsApp och Facebook Messenger. Signal och WhatsApp kan också användas för gruppsamtal liksom Jitsi, Google Meet och Zoom. Det är viktigt att notera att dessa appar kommer att kryptera innehållet i samtal och meddelanden, men inte metadata – till exempel vem du kommunicerar med, när, hur länge och hur ofta. Telegram kan kryptera meddelanden i hemliga chattar, men det är en funktion du måste aktivera själv. För Signal, skapa en PIN-kod och ett användarnamn, välj hur du vill att aviseringar ska visas på din låsskärm och använd försvinnande meddelanden. För WhatsApp, använd tvåfaktorsautentisering, säkerhetsaviseringar och – om du säkerhetskopierar dina chattar – aktivera totalsträckskryptering för dina säkerhetskopior. För att skydda meddelanden på Facebook, slå på tvåfaktorsautentisering för ditt konto.

Skydd av personlig information

Om du bor i USA, överväg att använda DeleteMe, Optery eller Consumer Reports app Permission Slip för att hjälpa dig att ta bort din personliga information från datamäklare och andra webbplatser. Dessa verktyg kan vara till hjälp även om du bor utanför USA, tillsammans med att du söker efter dig själv på Google för att se vilken typ av information om dig som är lätt att komma åt. Lokala digitala rättighetsgrupper kan ge råd om tjänster som är relevanta för var du bor och arbetar.

Men tänk om...

Det är viktigt att komma ihåg att det inte finns någon garanti för att vägledningen här kommer att hålla dig säker. Men genom att använda de säkerhets- och sekretessfunktioner som finns tillgängliga för dig, gör du attacker mycket svårare att uppnå för någon som vill rikta in sig på dig. Till exempel är ett e-postkonto med lösenordet ”lösenord” eller ”123456” och utan tvåfaktorsautentisering mycket mindre säkert än ett med ett starkt, unikt lösenord och tvåfaktorsautentisering med en säkerhetsnyckel. Att se till att du använder rätt verktyg på rätt sätt vid rätt tillfälle kommer att räcka långt för att skydda det som är viktigt för dig.

Fallstudier

Snowden-avslöjandena, Panama Papers och Pegasus-projektet har alla visat vikten av att planera sitt arbete och inkludera digital säkerhet i rapporteringsprocessen. Journalisterna skulle inte ha kunnat rapportera dessa historier på ett säkert sätt om de inte hade betraktat digital säkerhet som avgörande för sitt arbete. Vi rekommenderar starkt att du läser på om hur journalisterna arbetade med dessa projekt och identifierar processer och arbetsflöden som du kan använda för ditt eget projekt. Vi har inkluderat tre fallstudier nedan som belyser digitala säkerhetsutmaningar som journalister har ställts inför tidigare.

År 2012 följde Vice techmiljonären John McAfee, som var på flykt i Centralamerika. I en artikel med titeln We Are with John McAfee Right Now, Suckers publicerade journalisterna en selfie med metadata inkluderad – vilket indikerade att de befann sig någonstans i Guatemala. Tidningen Wired var snabb med att följa upp med en artikel som frågade: Oops! Did Vice Just Give Away John McAfee's Location With Photo Metadata?. Det är värt att notera att foton och videor kan innehålla metadata såsom datum, tid, enhetsinformation och platsdata — och alla appar, webbplatser eller publiceringssystem tar inte bort denna information som standard, även om du kan ta bort en del av informationen själv.

År 2015 avslöjade ett amerikanskt domstolsdokument att föremålet för en undersökning av New York Times hade fått reda på att de granskades eftersom redaktionens unika IP-adress upprepade gånger dök upp i webbserverns loggar. Detta är en påminnelse om att större redaktioner kan ha unika IP-adresser, vilket innebär att journalisterna bör veta hur man skyddar denna information genom att använda en VPN, såsom IVPN, Mullvad eller ProtonVPN, för att maskera sin IP-adress — eller Tor Browser för extra anonymitet.

År 2021 greps och fängslades två norska journalister som undersökte förhållanden för migrantarbetare i Qatar inför fotbolls-VM 2022 av qatarisk polis i mer än 30 timmar kort före de skulle resa hem. Myndigheterna hävdade att journalisterna avsiktligt gjorde intrång på privat egendom. Journalisterna förhördes i åtta timmar i separata rum, medan deras utrustning beslagtogs och genomsöktes noggrant. Jag har skrivit om vad denna händelse lär oss om vikten av digital säkerhet och planering för hur man skyddar sitt arbete, särskilt när det gäller att använda kryptering för att skydda digital data.

Ytterligare stöd

Kontakta Amnesty Security Lab om du tror att du kan ha blivit föremål för digital övervakning på något sätt.

Access Now, en ideell organisation som försvarar digitala rättigheter för människor och samhällen i riskzonen, driver en kostnadsfri Digital Security Helpline dygnet runt för journalister och andra medlemmar av civilsamhället. Organisationen erbjuder hjälp med proaktiva digitala säkerhetsmetoder, såväl som akuthjälp vid behov. Hjälplinjen svarar på alla förfrågningar inom två timmar och stöder för närvarande nio olika språk: engelska, spanska, franska, tyska, portugisiska, ryska, tagalog, arabiska och italienska.

Security Lab vid Amnesty International undersöker kränkningar av mänskliga rättigheter kopplade till spionprogram, övervakningsteknik och andra digitala hot som drabbar det civila samhället. Kontakta Amnesty Security Lab om du tror att du kan ha blivit föremål för digital övervakning på något sätt. Du kan också kontakta Citizen Lab vid Munk School of Global Affairs vid University of Toronto, Kanada.

GIJN erbjuder verktyget Journalist Security Assessment Tool, byggt på Ford Foundations Cybersecurity Assessment Tool, för att hjälpa journalister och mindre nyhetsorganisationer att identifiera sätt på vilka de kan förbättra sin digitala och fysiska säkerhet. Det har redan publicerats på arabiska, franska, tyska, hindi, indonesiska (Bahasa), portugisiska, ryska, spanska och turkiska.

För en djupare förståelse av säkerhetsbehoven hos högriskgrupper, se denna guide från den amerikanska Cybersecurity and Infrastructure Security Agency (CISA).

Runa Sandvik är grundare av Granitt, en konsultfirma fokuserad på säkerhet för journalister och högriskpersoner runt om i världen. Hennes arbete bygger på erfarenheter från hennes tid vid The New York Times, Freedom of the Press Foundation och The Tor Project. Hon är rådgivare till CISA:s tekniska rådgivande kommitté, Ford Foundations BUILD-program och medlem av Aspen Institutes Global Cybersecurity Group. Hon finns på X som @runasand.

Denna artikel publicerades först på Global Investigative Journalism Network och återpubliceras här under en Creative Commons-licens.

Du läser just nu en upplåst artikel. För bara 29 kr i månaden får du tillgång till allt material på scoopmagasin.se!

Prenumerera!