Til vanlig jobber Sandvik som teknisk rådgiver for organisasjonen Freedom of the Press Foundation (FPF) i USA – en organisasjon grunnlagt av blant andre varsleren Daniel Ellsberg, med styremedlemmer som Snowden-journalistene Glenn Greenwald og Laura Poitras, Edward Snowden selv og filmstjernen John Cusack. Sandvik er norsk, har bakgrunn fra NTNU og har jobbet med anonymitetsnettverket TOR.

Runa Sandvik arbeider med sikkerhet for Freedom of the Press Foundation (foto: FPF)

Nylig var hun i Norge for å holde kurs for journalister om digital sikkerhet. Vox Publica møtte henne i Bergen etter et av disse foredragene.

– Hvor flinke er journalister til å ta inn over seg den verden vi lever i nå?

– Det er noen som har veldig god kontroll på dette. De norske journalistene som jeg har mailet med denne uken har alle sendt kryptert mail, som er mer enn det jeg vanligvis får i USA. Men jeg tror også at veldig mange journalister har en godtroende holdning, om at det ikke er så farlig, at vi er i trygge Norge med personvern og lover og regler. Kanskje tenker de ikke helt over konsekvensene av det arbeidet de gjør og den informasjonen de ber andre om å gi dem, sier Sandvik.

Både gode og dårlige

Sandvik er imponert over at blant annet NRKbeta har tatt i bruk verktøyet SecureDrop for at tipsere skal kunne ta kontakt med NRK anonymt og kryptert.

– Jeg synes det er veldig spennende å se at det er en organisasjon i Norge som har gjort det. Jeg skulle gjerne hørt fra dem om hvorvidt de faktisk har mottatt dokumenter som har resultert i artikler eller liknende, sier Sandvik.

Sandvik trekker samtidig frem et eksempel fra norske medier der kildevern loves, men lovnaden ikke holder mål. For kort tid siden skrev TV 2 en nettsak om norske Syria-krigere. I bunnen av saken lovet TV 2 fullt kildevern dersom noen sendte dem en e‑post.

Skjermbilde fra tv2.no 23. september 2014.

– Det kunne være for å fortelle at de enten er i Syria selv, eller kjenner folk som har reist dit. Hvis jeg var i Syria og sendte TV 2 en mail og sa “her er jeg”, er det flere vurderinger man må foreta, sier Sandvik.

Hun forklarer at nettverket kan være overvåket og at uvedkommende, enten det er i Syria eller Norge, kan få tilgang til e‑posten dersom den er sendt fra dårlig sikrede e‑post-kontoer. – Da kan det stå om liv og død, sier Sandvik, og legger til:

– Det kan også være sensitivt hvis noen finner ut at jeg er interessert i saken journalisten driver med. Da kan man tenke seg at kontoen til journalisten kan bli hacket, og da kan også sensitiv informasjon om alt annet journalisten jobber med komme på avveie.

Risikovurderinger

Sandvik sammenligner det å gjøre risikovurderinger på nett med dagligdagse situasjoner.

– Før man går hjemmefra om morgenen, er det vanlig å sjekke værmeldingen for å finne ut om man skal ta med seg en paraply eller ikke. Et annet eksempel er at når man skal krysse veien, er det vanlig å se til begge sider før man går over. Hvis du ikke sjekker om det er trygt, så kan du bli påkjørt. Og det er litt sånn jeg snakker om på kursene jeg holder; hvordan man gjør risikovurderinger på nett.

– Hvordan kan journalister beskytte kildevernet digitalt?
– Det kan være å sikre egne kontoer, ha trygge passord, bruke tofaktor-autentisering (se faktaramme) på alle kontoer, ha forskjellige e‑postadresser avhengig av hvem du kommuniserer med, ha muligheten til å sende og motta kryptert mail. I noen tilfeller kan kanskje SecureDrop være greit, sier Sandvik.

Vox Publicas kartlegging viser at norske journalistutdanninger stort sett begrenser opplæringen i digitalt kildevern til enkelt- eller dobbelttimer. Noen av journalistutdanningene, blant annet i Bergen og Stavanger, har ikke noe planlagt undervisning i emnet.

Sandvik mener journalistutdanningene bør ta til seg at de kan være med på å forme journalister som er gode på digital sikkerhet.

– Mange av disse verktøyene har åpen kildekode, de er gratis, men i enkelte tilfeller vanskelige å bruke. Det er for eksempel vanskelig å komme i gang med å sende kryptert e‑post – det er noe jeg har brukt i seks-syv-åtte år, og selv jeg kan gjøre feil med det. Jeg tror det er veldig viktig at når man diskuterer kildevern og digital sikkerhet, så må man også diskutere hvilke tekniske verktøy journalistene bruker i disse sammenhengene.

– Hva tenker du om mengden av undervisning på utdanningene?
– Det høres ikke veldig mye ut. Jeg tror det hadde vært greiere om man kunne delt opp i flere bolker. Man kan snakke om nettskyer og hvordan uvedkommende kan få tak i informasjon via dem i én, kildevern spesielt i en annen, og også ha en del om hvilke verktøy man kan bruke. Men igjen – disse verktøyene må man jo bruke over tid, og da er det ikke nok med en dobbelttime om det. Men så er det kanskje litt som det er på andre studier – man får en introduksjon om et tema, og så er det opp til studentene selv å gå litt videre og plukke opp det som er spennende, sier Sandvik. Hun gir følgende råd til utdanningene:

– Gravejournalister er den gruppen journalister som disse problemstillingene er klart mest relevante for. Om man kan få til et fag eller kurs der man kombinerer det å grave etter informasjon og stille de riktige spørsmålene med å ta i bruk verktøyene som kan gi mer digital sikkerhet, tror jeg dette vil være veldig bra, sier Sandvik.

En kartlegging Vox Publica har gjennomført viser at journaliststudentene på de forskjellige norske læringsstedene får svært ulik opplæring og veiledning i hvordan man kan sikre at kildene beskyttes, og i generell digital sikkerhet. Ingen av studiestedene har digital sikkerhet som et eget kurs, men temaet berøres enkelte steder i forelesninger og som deler av kurs i kildekritikk og gravende journalistikk.

Mens journaliststudentene i Kristiansand og Bodø har digital sikkerhet på pensum og i flere forelesninger, har studentene i Bergen og Stavanger lite undervisning om temaet.

Vox Publica har tidligere skrevet flere artikler om digitalt kildevern og sikkerhet. I desember i fjor fortalte forfatter av boken “Digitalt kildevern” Anders Brenna at han er sjokkert over at ikke flere journalister interesserer seg for temaet.

– Enhver journalist vil love anonymitet, men de færreste vet hva det innebærer. De lover å ikke fortelle hvem de får det fra, men tenker ikke et sekund på at det går an å spore, sa Brenna.

Både generalsekretær i Norsk Presseforbund Kjersti Løken Stavrum og advokat Jon Wessel-Aas ytret sin bekymring om hvordan datainnsamling og sporing av kommunikasjon kan true pressens evne til å beskytte kildene sine.

Også i USA har undervisningen av digital sikkerhet og kildevern tidligere begrenset seg til enkelte forelesninger. I en artikkel i Columbia Journalism Review i november i fjor kom det imidlertid frem at holdningene til digital sikkerhet endret seg etter Snowden-saken blant journalistikk-professorer.

Er temaet i ferd med å bli viktigere også på de norske journaliststudiene?

Bergen: Tilfeldig

Ved Universitetet i Bergen er ikke digital sikkerhet spesifisert på emneplanen i journalistikk.

– Nei, dette er ikke spesifiserte tema i nåværende studieplan. Kildevern er naturligvis et tema, forteller førsteamanuensis Lars Arve Røssland ved Institutt for informasjons- og medievitenskap, som tilbyr journalistutdanningen ved UiB.

Han forklarer at de i svært liten grad underviser elevene i dette temaet, og at det er tilfeldig om foreleserne, interne eller eksterne, tar opp temaet spesifikt.

Røssland understreker at Universitetet i Bergen er midt inne i en omlegging av sin studieplan i journalistikk, og mener den nye studieplanen vil ta mer høyde for digital sikkerhet og kildevern.

Oslo: Går ikke veldig i dybden

Ved journalistutdanningen i Oslo berøres temaet i en dobbelttime om kildekritikk.

– Det vi har på første året, er en forelesning om kildekritikk og kildearbeid – der en del av forelesningen handler om digitalt kildevern, sier høgskolelektor Anders Marius Knudsen ved Høgskolen i Oslo og Akershus (HiOA). Han innrømmer at de ikke går i dybden på temaet.

– I forelesningen snakker vi litt om overvåkning av e‑post og mobil, om nettsøk og hvordan det registreres og lagres, og om hvordan denne informasjonen kan bidra til at andre kan danne seg et bilde av din eller kildens atferd, sier Knudsen.

Førsteårsstudentene ved HiOA driver vanligvis ikke med kildesensitive oppgaver, men Knudsen mener det kan være viktig å legge seg opp noen vaner, som ikke å ha kildelisten liggende på smarttelefonen, og være bevisst på at lagring av sensitiv informasjon i skytjenester kan være risikabelt. På andreåret har studentene blant annet et graveprosjekt der digital sikkerhet og kildevern kan bli aktuelt.

– Vi snakker også litt om kilder som trenger beskyttelse, og at det da kan være best å møtes ansikt til ansikt, sier Knudsen, og legger til:

– Jeg tror generelt at folk flest, meg selv inkludert, er altfor lite bevisst på hvor lett informasjon om oss er tilgjengelig for andre. Det er viktig at journalister, spesielt de som ofte kommer borti sensitivt materiale, vet om farene og har noen rutiner som er lure, sier han.

Volda: Del av undervisning i kildevern

Ved Høgskolen i Volda tas digital sikkerhet og kildevern opp når man går igjennom kildevernet generelt. Førsteamanuensis i journalistikk Svein Brurås forklarer at det først og fremst er viktig at studentene oppfatter begrunnelsen for og betydningen av kildevernet i journalistikken.

– Dette er et viktig aspekt ved ytringsfriheten og et sentralt punkt i presseetikken. Dernest er det selvsagt viktig at våre studenter er oppmerksom på de utfordringer som digital teknologi reiser med tanke på kildevern, sier Brurås.

Han har merket seg at det er kommet ny litteratur om temaet både i Norge og i Sverige, og sier det kan bli aktuelt å invitere forfatterne til Volda.

– Elektronisk kommunikasjon innebærer at vi hele tiden legger igjen spor etter oss, både på egne pc-er, på mobiltelefoner, på servere vi benytter, og hos leverandører av ulike datatjenester. Både myndigheter, selskaper og privatpersoner har mange muligheter for å spore hvem journalister har kontakt med. Det samme har hackere med uedle motiver. For journalister er kildebeskyttelsen like viktig uansett hvem som måtte snoke etter en kildes eller en tipsers identitet, sier han.

Gimlekollen: Bruker DN-reportasje som eksempel

NLA Mediehøgskolen Gimlekollen tilbyr for første gang i år et kurs i undersøkende journalistikk. Høgskolelektor Liv Iren Hognestad mener digital sikkerhet og kildevern spesielt er viktig i dette kurset, men at det samtidig er noe studentene tar med seg i arbeidet med andre saker.

– Vi har boka “Datastøttet journalistikk” av Espen Andersen og “Gravende journalistikk” av Guri Hjeltnes og Morten Møller Warmedal på tredjeårskurset i undersøkende journalistikk, som vi tilbyr første gang i år. I tillegg anbefaler vi boka “Digitalt kildevern” av Anders Brenna. Studentene har også metoderapporten til Dagens Næringslivs sak om dopingmafiaen og den første reportasjen på pensum, der digital sikkerhet står sentralt, forteller Hognestad.

DN-magasinets journalister brukte ifølge metoderapporten (pdf) levert til Skup blant annet flere typer krypterte e‑post-tjenester og jobbet utenfor avisens lokaler da de gikk undercover for å avsløre hvordan doping ble solgt på lukkede forum på internett. Artikkelserien vant Skup-prisen i 2012.

Hognestad mener digital sikkerhet og kildevern er svært viktig når studentene holder på med kurset i undersøkende journalistikk.

– Det er noe de også tar med seg i arbeidet med andre saker, sier Hognestad.

Bodø: På pensum

Førstelektor Fritz Breivik ved Universitetet i Nordland forteller at digitalt kildevern og sikkerhet inngår i studentenes tredje semester, med temaet også på pensum. En dobbelttime er satt av til undervisning i digitalt kildevern, og Brennas bok er på pensum.

– Dette er veldig viktig, og blir viktigere i vår neste reviderte studieplan, sier Breivik.

Stavanger: Nedprioritert

På journalistutdanningen ved Universitetet i Stavanger nevnes digitalt kildevern når studentene undervises i etikk og kildevern. Men universitetslektor Espen Reiss Mathiesen forteller at de ikke er spesielt opptatt av dette.

– På en skala fra en til ti, der premisset er at vi underviser studenter på bachelornivå som har problemer nok med å holde rede på enkle etiske problemstillinger og som ikke forventes å arbeide med store, tunge graveprosjekter eller avsløringer i SKUP-klassen – kommer digitalt kildevern langt ned på lista. Sånn omtrent én på skalaen av viktige ting å lære fra seg i grunnutdanningen, mener Mathiesen.

Vox Publica har vært i kontakt med kursansvarlige for journalistikkutdanningen ved Norges Kreative Høyskole, men de har ikke besvart våre spørsmål.