Kräv det här för att skydda dina källor
Många stora mediehus lovar att de som lämnar tips om fusk och fiffel ska få vara anonyma. Men få redaktioner ser till att källorna kan ta kontakt på ett säkert sätt.
En absolut majoritet har antingen webbformulär som skickas öppet över internet eller totalt osäkra e-postadresser. Och även de som är bäst på källskyddet har mer att jobba med.
”Självklart får du vara anonym”, ”Du är garanterad fullt meddelarskydd”, ”Uppgiftslämnares identitet är skyddad i grundlagen”.
Formuleringarna kommer från några av Sveriges största redaktioners tips- eller kontaktsidor på webben. Men löftena om anonymitet är ofta helt värdelösa.
Webbformulär för tips skickas nästan alltid i klartext över internet. Därmed är de helt öppna för läsning av hackare, spanarna på Försvarets radioanstalt eller andra som av olika skäl övervakar trafiken på nätet. Bara en handfull redaktioner krypterar tipsformulären.
Den kontaktväg som de flesta redaktioner framhåller är e-post. Men mejl kan också snappas upp på vägen över internet, och ska bara användas till fullständigt okontroversiella tips.
Här kommer sju punkter att tänka på när ni planerar ert källskydd:
1. Gör det lätt för tipsarna:
Om ni vill ha heta tips digitalt måste ni kryptera – antingen era webbformulär eller genom krypterad e-post. I dag är ett krypterat webbformulär den bästa kombinationen av enkelhet och säkerhet för källan.
Till skillnad från krypterad e-post behöver källan inte installera några program, utan kan bara skriva in sitt tips i formuläret. Däremot behöver ni anlita en webbprogrammerare för att skapa den säkra webbsidan, som kommer att ha en adress som börjar med ”https” i stället för ”http”. E-posten kan krypteras med gratisprogrammet GPG. Man är igång på någon timme, men det tar tid att bli fullärd.
2. Hjälp tipsarna att förstå riskerna:
Om ni inte har möjlighet att kryptera: tala i alla fall om för källorna att de inte ska använda vanlig e-post eller osäkra webbformulär om de har känsliga tips, eftersom de kan avslöjas. Vanlig post, eller ett telefonsamtal från en mobil med oregistrerat kontantkort är bättre.
Att bara skriva att man garanterar anonymitet utan att peka på farorna är att invagga källorna i falsk säkerhet. Gör en visselblåsarskola, där det framgår när man har full frihet att tipsa medier, när det finns anledning att vara försiktig och hur man som tipsare undviker att lämna spår. Titta gärna på Radioleaks eller Techleaks.
3. Krypterat är inte detsamma som anonymt:
Även om innehållet i ett webbformulär krypteras kan avsändaren spåras. Och i ett krypterat mejl står både avsändare och mottagare i klartext. Krypteringen kan behöva kombineras med anonymiseringsteknik, som anonyma mejladresser och internetuppkoppling via anonymiseringstjänster, som exempelvis Tor.
4. Var tydlig:
Tala om hur ni hanterar era tips, och vad er lösning har för brister. Det hjälper källorna att göra rätt. Fullständig säkerhet finns inte, men om man vet var fallgroparna finns går de att undvika. Öppenhet med hur ni jobbar stärker också förtroendet för tipstjänsten.
5. Var noggrann:
Håll kontaktsidorna aktuella. Döda länkar till sidor med viktiga råd eller en krypteringsnyckel som ägs av någon som slutat är onödiga fel, som riskerar att rubba källornas förtroende. Använd stark kryptering, och följ teknikutvecklingen. Nya säkerhetsluckor upptäcks hela tiden, och det som var bäst igår kan vara utdömt i dag. Tänk också på hur ni hanterar och lagrar tipsen internt.
6. Var konsekvent:
Det är viktigt att sidorna för känsliga tips är lätta att hitta. Att ha ett krypterat tipsformulär på en del av sajten, och samtidigt en kontaktsida som inte berättar hur man ska göra med känsliga tips är inte schysst mot källorna.
7. Krångla inte till det:
Det är ofta både enklare och säkrare för både källa och redaktion att ses och kommunicera med vanliga brev, än att ni använder en halvdan krypteringslösning som ingen av er behärskar.
Sus Andersson
Sus Andersson är journalist med inriktning på teknik, miljö och forskning. Hon är ledamot i Journalistförbundets yttrandefrihetsgrupp, och har bland annat varit med och skrivit boken Digitalt källskydd.
FAKTA/Även stora medier gör källskyddsmissar
-
Till och med de bästa har fallgropar för tipsarna. På Dagens Nyheters förstasida finns rubriken Tipsa DN – men där sägs inte ett ord om det säkra tipsformuläret DN Granskar.
-
Sveriges Radios tipsportal Radioleaks är en av landets mest genomarbetade, med tips om hur källorna ska löpa minsta möjliga risk. Men det finns brister. Testverktyget på ssllabs.com/ssltest ger underbetyg åt krypteringen på sidan.
-
Aftonbladet har ett webbformulär som de påstår skickas krypterat. Men webbkrypteringen är inte gjord på ett korrekt sätt – tipssidans adress börjar inte med ”https”. Det innebär att överföringen kan hackas, och någon annan kan fånga upp informationen.
- Det lilla hänglåset och en webbadress som börjar med ”https” visar att innehållet på webbsidan skickas krypterat. Källan kan då också se att tipssidan verkligen skapats av redaktionen, genom det certifikat som sidan måste ha.