Varning för Google-mejl
En lång rad medier använder Google som mejlleverantör, och vartenda mejl går via Googles servrar. I och med det har redaktionerna också skrivit under ett avtal som låter myndigheter luska runt i deras mejl. Lika illa är det när journalister använder många andra molntjänster. Det är hög tid att se över redaktionens rutiner och att lusläsa avtalen – helst innan de tecknas.
Google har blivit digital brevbärare för åtskilliga redaktioner de senaste åren, för att det är billigt och bekvämt. Vid en flyktig anblick kan Google Apps, som tjänsten heter, verka bra. Det talas om stark säkerhet och kryptering.
Men den som läser bisatserna ser att Google kan lämna ut innehåll utan att informera om det. Den chefredaktör som godkänner Googles avtal har gått med på att andra länders myndigheter kan rota runt i redaktionsmejlen – utan att någon på redaktionen ens behöver få veta det. Tips från läsarna och redaktionens interna mejl om kommande jobb – allt kan följa med i en sådan begäran.
Detta innebär en frontalkrock med den svenska grundlagens tankar om källskydd. Den som vill höra av sig till en redaktion har rätt att vara anonym. Ingen som arbetar med ett tips får avslöja källornas identitet. Och myndigheter får inte efterforska dem.
Av Googles användarvillkor framgår att mejlen kommer att lagras i USA – eller någon helt annanstans på jorden. En rättstvist kommer att prövas i Kalifornien – men eftersom data lagras även i andra länder kan också deras lagar ge tillgång till Googles servrar. Den som kommer viftande med svensk grundlag kommer sannolikt inte långt, särskilt inte om det skulle vara antiterrorlagar som åberopas.
Det här problemet gäller för de flesta så kallade molntjänster, alltså IT-system där data lagras hos någon extern leverantör, och är tillgängliga via nätet.
Och det är inte bara de journalister som avslöjar hemliga CIA-insatser på Bromma som kan ha anledning att bekymra sig över det här. Den som tänker ett steg längre inser att varenda redaktion som någon gång kommit i kontakt med en politisk flykting, bett om bilder från något attentat eller bevakat svenska företag i utlandet sitter på information som kan bli intressant.
Sus Andersson är journalist med inriktning på teknik, miljö och forskning. Hon är ledamot i Journalistförbundets yttrandefrihetsgrupp, och har bland annat varit med och skrivit boken Digitalt källskydd.
7 punkter för säkrare mejlhantering
- Det bästa är egna servrar, som står i Sverige. Då kan redaktionen själv bestämma vad som ska göras med innehållet den dagen polisen knackar på – i alla fall med nuvarande lagar.
Om ni ändå lägger IT-system hos något annat företag:
- Lusläs avtalen. Se till att svensk lag gäller – det räcker att ett företag har en filial i USA för att amerikansk lag ska vara tillämplig.
-
Se till att det bara är redaktionen som kan fatta beslut om att lämna ut data – ingen annan.
Om det redan finns ett avtal med exempelvis Google:
- Kryptera allt som ingen annan ska läsa. Även om de flesta molntjänster, som Googles, krypterar data, är det de som äger dekrypteringsnycklarna – och kan bli tvungna att lämna ut dem. Om du själv krypterar, och gör det rätt, kan bara den som har extrema dataresurser knäcka dina meddelanden.
-
Kryptera så mycket annat som möjligt. Om bara några få dokument krypteras någon enstaka gång är det lätt att räkna ut var den spännande informationen finns.
Kryptera helst allt – även inköpslistor och trivialjobb, för att ha vanan inne när det hettar till. - Använd någon annan mejltjänst ibland. En anonym e-postadress gör att det inte är lika uppenbart att den tillhör en journalist. Glöm inte att du måste dölja din datoradress, IP-adressen – annars kan den i sin tur skvallra om vem du är.
- Om du vet att du har ett riktigt högprofiljobb – där exempelvis försvaret eller NSA kan vara intresserade – bör du kontakta en IT-säkerhetsexpert för att gå igenom rutinerna.