En kartlegging Vox Publica har gjennomført viser at journaliststudentene på de forskjellige norske læringsstedene får svært ulik opplæring og veiledning i hvordan man kan sikre at kildene beskyttes, og i generell digital sikkerhet. Ingen av studiestedene har digital sikkerhet som et eget kurs, men temaet berøres enkelte steder i forelesninger og som deler av kurs i kildekritikk og gravende journalistikk.

Mens journaliststudentene i Kristiansand og Bodø har digital sikkerhet på pensum og i flere forelesninger, har studentene i Bergen og Stavanger lite undervisning om temaet.

Vox Publica har tidligere skrevet flere artikler om digitalt kildevern og sikkerhet. I desember i fjor fortalte forfatter av boken “Digitalt kildevern” Anders Brenna at han er sjokkert over at ikke flere journalister interesserer seg for temaet.

– Enhver journalist vil love anonymitet, men de færreste vet hva det innebærer. De lover å ikke fortelle hvem de får det fra, men tenker ikke et sekund på at det går an å spore, sa Brenna.

Både generalsekretær i Norsk Presseforbund Kjersti Løken Stavrum og advokat Jon Wessel-Aas ytret sin bekymring om hvordan datainnsamling og sporing av kommunikasjon kan true pressens evne til å beskytte kildene sine.

Også i USA har undervisningen av digital sikkerhet og kildevern tidligere begrenset seg til enkelte forelesninger. I en artikkel i Columbia Journalism Review i november i fjor kom det imidlertid frem at holdningene til digital sikkerhet endret seg etter Snowden-saken blant journalistikk-professorer.

Er temaet i ferd med å bli viktigere også på de norske journaliststudiene?

Bergen: Tilfeldig

Ved Universitetet i Bergen er ikke digital sikkerhet spesifisert på emneplanen i journalistikk.

– Nei, dette er ikke spesifiserte tema i nåværende studieplan. Kildevern er naturligvis et tema, forteller førsteamanuensis Lars Arve Røssland ved Institutt for informasjons- og medievitenskap, som tilbyr journalistutdanningen ved UiB.

Han forklarer at de i svært liten grad underviser elevene i dette temaet, og at det er tilfeldig om foreleserne, interne eller eksterne, tar opp temaet spesifikt.

Røssland understreker at Universitetet i Bergen er midt inne i en omlegging av sin studieplan i journalistikk, og mener den nye studieplanen vil ta mer høyde for digital sikkerhet og kildevern.

Oslo: Går ikke veldig i dybden

Ved journalistutdanningen i Oslo berøres temaet i en dobbelttime om kildekritikk.

– Det vi har på første året, er en forelesning om kildekritikk og kildearbeid – der en del av forelesningen handler om digitalt kildevern, sier høgskolelektor Anders Marius Knudsen ved Høgskolen i Oslo og Akershus (HiOA). Han innrømmer at de ikke går i dybden på temaet.

– I forelesningen snakker vi litt om overvåkning av e‑post og mobil, om nettsøk og hvordan det registreres og lagres, og om hvordan denne informasjonen kan bidra til at andre kan danne seg et bilde av din eller kildens atferd, sier Knudsen.

Førsteårsstudentene ved HiOA driver vanligvis ikke med kildesensitive oppgaver, men Knudsen mener det kan være viktig å legge seg opp noen vaner, som ikke å ha kildelisten liggende på smarttelefonen, og være bevisst på at lagring av sensitiv informasjon i skytjenester kan være risikabelt. På andreåret har studentene blant annet et graveprosjekt der digital sikkerhet og kildevern kan bli aktuelt.

– Vi snakker også litt om kilder som trenger beskyttelse, og at det da kan være best å møtes ansikt til ansikt, sier Knudsen, og legger til:

– Jeg tror generelt at folk flest, meg selv inkludert, er altfor lite bevisst på hvor lett informasjon om oss er tilgjengelig for andre. Det er viktig at journalister, spesielt de som ofte kommer borti sensitivt materiale, vet om farene og har noen rutiner som er lure, sier han.

Volda: Del av undervisning i kildevern

Ved Høgskolen i Volda tas digital sikkerhet og kildevern opp når man går igjennom kildevernet generelt. Førsteamanuensis i journalistikk Svein Brurås forklarer at det først og fremst er viktig at studentene oppfatter begrunnelsen for og betydningen av kildevernet i journalistikken.

– Dette er et viktig aspekt ved ytringsfriheten og et sentralt punkt i presseetikken. Dernest er det selvsagt viktig at våre studenter er oppmerksom på de utfordringer som digital teknologi reiser med tanke på kildevern, sier Brurås.

Han har merket seg at det er kommet ny litteratur om temaet både i Norge og i Sverige, og sier det kan bli aktuelt å invitere forfatterne til Volda.

– Elektronisk kommunikasjon innebærer at vi hele tiden legger igjen spor etter oss, både på egne pc-er, på mobiltelefoner, på servere vi benytter, og hos leverandører av ulike datatjenester. Både myndigheter, selskaper og privatpersoner har mange muligheter for å spore hvem journalister har kontakt med. Det samme har hackere med uedle motiver. For journalister er kildebeskyttelsen like viktig uansett hvem som måtte snoke etter en kildes eller en tipsers identitet, sier han.

Gimlekollen: Bruker DN-reportasje som eksempel

NLA Mediehøgskolen Gimlekollen tilbyr for første gang i år et kurs i undersøkende journalistikk. Høgskolelektor Liv Iren Hognestad mener digital sikkerhet og kildevern spesielt er viktig i dette kurset, men at det samtidig er noe studentene tar med seg i arbeidet med andre saker.

– Vi har boka “Datastøttet journalistikk” av Espen Andersen og “Gravende journalistikk” av Guri Hjeltnes og Morten Møller Warmedal på tredjeårskurset i undersøkende journalistikk, som vi tilbyr første gang i år. I tillegg anbefaler vi boka “Digitalt kildevern” av Anders Brenna. Studentene har også metoderapporten til Dagens Næringslivs sak om dopingmafiaen og den første reportasjen på pensum, der digital sikkerhet står sentralt, forteller Hognestad.

DN-magasinets journalister brukte ifølge metoderapporten (pdf) levert til Skup blant annet flere typer krypterte e‑post-tjenester og jobbet utenfor avisens lokaler da de gikk undercover for å avsløre hvordan doping ble solgt på lukkede forum på internett. Artikkelserien vant Skup-prisen i 2012.

Hognestad mener digital sikkerhet og kildevern er svært viktig når studentene holder på med kurset i undersøkende journalistikk.

– Det er noe de også tar med seg i arbeidet med andre saker, sier Hognestad.

Bodø: På pensum

Førstelektor Fritz Breivik ved Universitetet i Nordland forteller at digitalt kildevern og sikkerhet inngår i studentenes tredje semester, med temaet også på pensum. En dobbelttime er satt av til undervisning i digitalt kildevern, og Brennas bok er på pensum.

– Dette er veldig viktig, og blir viktigere i vår neste reviderte studieplan, sier Breivik.

Stavanger: Nedprioritert

På journalistutdanningen ved Universitetet i Stavanger nevnes digitalt kildevern når studentene undervises i etikk og kildevern. Men universitetslektor Espen Reiss Mathiesen forteller at de ikke er spesielt opptatt av dette.

– På en skala fra en til ti, der premisset er at vi underviser studenter på bachelornivå som har problemer nok med å holde rede på enkle etiske problemstillinger og som ikke forventes å arbeide med store, tunge graveprosjekter eller avsløringer i SKUP-klassen – kommer digitalt kildevern langt ned på lista. Sånn omtrent én på skalaen av viktige ting å lære fra seg i grunnutdanningen, mener Mathiesen.

Vox Publica har vært i kontakt med kursansvarlige for journalistikkutdanningen ved Norges Kreative Høyskole, men de har ikke besvart våre spørsmål.

Nylig fastslo Høyesteretts ankeutvalg at det er lov å hente ut teledata for personer som er mistenkt for å ha levert informasjon til pressen. I 2015 vil mengden av personinformasjon som registreres øke betraktelig, når nye regler for datalagring ifølge regjeringens plan skal tre i kraft.

Presset øker også mot varslere som følge av at bedrifter innfører stadig mer innfløkte systemer med innebygde muligheter for å følge digitale spor. Dette kan igjen brukes til å avsløre varslere via både lovlige og ulovlige metoder.

— Dersom vi tar vekk kildevernet, blir pressen en interesseorganisasjon. Journalistene kan kun videreformidle pressemeldinger og skrive om informasjon fra de personene de kjenner fra før, sier Anders Brenna. Han er mangeårig redaktør, forfatter av boka “Digitalt kildevern” og nå teknologievangelist i Knowit.

Brenna får sterk støtte av generalsekretær Kjersti Løken Stavrum i Norsk Presseforbund.

— Kildevernet skal være absolutt. Pressen praktiserer det også slik. For hver sak der man setter til side kildevernet, er prisen at folk blir redd for å gå til pressen. Konsekvensen er at mediene ikke får ettergått tipsene, og viktige kritikkverdige saker ikke blir kjent, sier Løken Stavrum.

Skjulte, digitale merker

Høyesterettsdommen kom som et ledd i den pågående saken mot advokat Sigurd Klomsæt. Klomsæt er blitt fradømt sin advokatbevilling som følge av at politiet mener han utleverte taushetsbelagt informasjon til pressen.

Politiet pekte ut Klomsæt etter å ha gjenfunnet merker de hadde plantet i bilder gjengitt i pressen. Politiet sporet merkene tilbake til materialet Klomsæt fikk utdelt som bistandsadvokat i 22. juli-saken.

Anders Brenna retter i Klomsæt-saken en pekefinger mot pressen:

— Pressen har her blåst en kilde, ved at de ikke har tatt grunnleggende forholdsregler rundt de bildene som ble lekket, sier Brenna.

Hans poeng er at pressen er nødt til å sikre at det ikke finnes skjulte spor i materiale de mottar, før de publiserer det.

Faren ved bruk av bilder demonstreres også i tilfellet til den amerikanske drapsmistenkte antivirus-gründeren John McAfee, som fikk gjemmestedet sitt avslørt på grunn av lokasjonsinformasjon i bilder publisert i det amerikanske magasinet Vice.

Klomsæt er senere blitt frikjent i tingretten. Frikjennelsen i straffesaken er imidlertid en mager trøst for advokaten. I januar må han møte i retten igjen, etter at politiet anket saken til lagmannsretten. Klomsæt er fortsatt fradømt retten til å opptre som advokat, en avgjørelse Advokatforeningen fikk støtte for i Oslo tingrett i fjor vinter. Avgjørelsen falt før dom i straffesaken, men følger sivilrettslige regler med lavere krav til bevisbyrde. Klomsæt har varslet overfor Advokatbladet at han vil forfølge saken videre.

Høyesterett: Teledata kan avsløre kilder

Anders Brenna anser likevel utlevering av teledata som langt farligere enn eksemplene ovenfor. Dette er informasjon som blant annet belyser hvor en person oppholder seg, når han ringer, til hvem og hvor lenge.

Brennas poeng er at sporing via mobil- og teledata er svært vanskelig å beskytte seg mot. Spesielt som følge av at den norske befolkningen blir stadig mer avhengig av mobil kommunikasjon.

«Den omstendighet at en journalist nekter å oppgi kilde, er selvsagt ikke til hinder for at påtalemyndigheten på annen måte finner frem til kilden», skriver Høyesteretts ankeutvalg.

— Dette gjør kildevernet mindre beskyttet i de tilfellene der politiet kan peke ut en eller flere potensielle mistenkte, sier advokat Jon Wessel-Aas i Bing Hodneland, som representerte Norsk Redaktørforening i saken.

I 2012 ble teledata utlevert 1500 ganger til politiet, oppgir Post- og teletilsynet, som har ansvaret for ordningen.

Wessel-Aas peker på at det er en betydelig fare for at et svakt regelverk og avslørte kilder bidrar til at færre vil si ifra om kritikkverdige forhold i fremtiden, en såkalt nedkjølingseffekt på ytringsfriheten.

— Dilemmaet er at det ikke alltid hjelper å ha et sterkt vern mot å gå på pressen selv, så lenge det ikke er et forbud mot å etterforske hvem kilden er, sier Wessel-Aas. Han viser til at det i Sverige finnes et generelt forbud mot å etterforske pressens kilder, med unntak i tilfeller der det dreier seg om rikets sikkerhet.

Løken Stavrum håper ikke høyesterettsavgjørelsen er et signal om at Høyesterett innsnevrer kildevernet.

— Kildevernet kan ikke være 90 prosent. Hvis kildene ikke kan stole på at de kan gå til pressen og dele informasjon uten å bli straffeforfulgt, og uten å oppleve kildejakt, da får mediene og samfunnet et veldig stort problem, sier Løken Stavrum.

Mer data — bedre vern?

I tiden fremover kan mengden data som blir utlevert øke. Datalagringsdirektivet har som formål at politi og påtalemyndighet skal få hjelp til å oppklare flere alvorlige saker. En økning av lagringstiden for telefonidata til 6 måneder, opp fra 1–3 måneder i dag, og en ny forpliktelse om lagring av informasjon knyttet til e‑post og bruk av internett, øker det tilgjengelige dataomfanget.

Med datalagringsdirektivet følger også en lovendring som bidrar til at utlevering av teledata heretter må godkjennes av domstolen.

Advokat Jon Wessel-Aas ser imidlertid dette som en endring som uansett ville presset seg fram.

— Denne endringen ble slått sammen med datalagringsdirektivet for å sukre pillen. Dette har vært kritisert flere ganger, og denne endringen burde ha kommet for lengst, sier Wessel-Aas og viser til uttalelser fra det statlig oppnevnte metodekontrollutvalget. Utvalget hadde som oppgave å etterkontrollere lovgivningen om etterforskning, og leverte sin rapport i 2009.

En hake ved ordningen er at politiet i mange tilfeller kan utsette å varsle om uthentingen av dataene. Wessel-Aas peker også på at rettspraksisen har gått stadig lenger i retning av at politiet får nyttiggjøre seg overskuddsinformasjon i retten, selv om den er hentet ut på ureglementert måte.

Anders Brenna mener pressen bør være på vakt så fort de oppdager at politiet har fått utlevert teledata. Han er kritisk til at ingen i pressen stilte spørsmål ved konsekvensene av utleveringen av teledata i enormt omfang etter terroraksjonen 22. juli 2011.

— Ingen er uenig i at politiet skal få utlevert samtalene i 22. juli-tilfellet. Men jeg er ganske forbannet over at ikke en eneste journalist i Norge så og stilte spørsmål ved at dette materialet kunne brukes til kildejakt, sier Brenna — og viser til at data om samtalene til flere av de største riksmediene trolig lå åpent for politiet.

Erfaringene fra Klomsæt-saken viser at dataene raskt vil bli brukt, dersom de er tilgjengelige. En praksis Spesialenheten for politisaker gir politiadvokaten kraftig kritikk for.

— Alt politiet trenger for å gå på kildejakt mot en redaksjon, er en kriminell handling i nærheten av redaksjonen, sier Brenna.

Sverige: Krever utlevering i sanntid

I Sverige presser det svenske sikkerhetspolitiet Säpo nå på for å få utlevert teledataene i løpet av to minutter, og hevder at dette ligger som et krav i datalagringsdirektivet.

For å få dette til, vil politiet at teleoperatørene tar i bruk protokollen ITS27, som er drevet frem av den britiske etterretningsorganisasjonen GCHQ. GCHQ ble på forsommeren avslørt som organisasjonen som tappet de trans-atlantiske fiberkablene.

Ordningen vil i så fall bety at teleoperatøren først i etterkant kan vurdere om utleveringskravet oppfyller kravene i loven.

Kravet om umiddelbar utlevering møter nå motbør etter at Ny Teknik avslørte planene.

Kjersti Løken Stavrum mener det er viktig at domstolene er tydelig på å sette grenser for politiets arbeid.

— Flere verktøy og enklere tilgang til disse vil gjøre politiet sterkere. Det er derfor viktig at de møter en domstol som har klart for seg hvorfor noen idealer er satt ned i lovs form, sier hun.

Sporing over alt

Dette er bare noen eksempler på hvordan politi og påtalemyndighet kan gå frem for å avsløre pressens kilder. Også på en lang rekke andre områder oppstår det nye muligheter for kildejakt.

Innføringen av nye digitale systemer fører som regel til bedre sporings- og revisjonssystemer. Slik sporing kan oppstå enten i form av nye regulatoriske krav, slik en har sett eksempler på i finansbransjen, eller som følge av at det er enkelt, eller rett og slett at det nærmest ubevisst følger av andre behov, for eksempel å føre statistikk eller se brukermønstre.

Det var et slikt nytt system som felte en 57-årig politimann i Hedmark som gjentatte ganger ga opplysninger til en VG-journalist før han ble avslørt av datasystemet.

En annen variant er økende muligheter til å lese logger i telefon- og e‑postsystemer. At slike logger eksisterer, betyr ikke at bedriftene nødvendigvis har lov til å bruke dem. Men deres blotte eksistens kan likevel være tilstrekkelig til å få potensielle kilder til å vokte seg for å kontakte pressen.

— Det er det som er faren. Teknologien gir stadig nye muligheter til å spore mennesker, og det gjør det desto viktigere å være bevisst hvorfor kildevernet er viktig, sier Løken Stavrum.

“Vet ikke hva anonymitet innebærer”

Anders Brenna anklager journalister flest for ikke å interessere seg for dette temaet. Det siste halvårets avsløringer knyttet til Edward Snowden-saken har trolig hjulpet noe, men Brenna tror likevel at han har sin kritikk i behold:

— Enhver journalist vil love anonymitet, men de færreste vet hva det innebærer. De lover å ikke fortelle hvem de får det fra, men tenker ikke et sekund på at det går an å spore, sier Anders Brenna.

Han sier han er sjokkert over hvor lite opptatt norske journalister er av denne siden av kildevernet. Aktsomheten må økes betraktelig, mener Brenna. Det digitale landskapet er fortsatt en slags vill vest; vi er midt oppe i en “digital krig”, som han formulerer det.

Det siste halvårets avsløringer har vist at amerikanske myndigheter med National Security Agency (NSA) i spissen, ikke har bidratt til å skape et sikkert nett for alle. I stedet har Snowden-saken vist at NSA har arbeidet aktivt for å bygge ned sikkerheten på nett, ved å undergrave det viktigste sikkerhetsverktøyet; kryptering. I en femårsplan laget i 2012 skal NSA ha tatt mål av seg til å knekke ikke bare noen, men alle slike sikkerhetsmekanismer.

Foto: AK Rockefeller cba

Edward Snowden har avslørt metodene til NSA og andre overvåkningsorganer

Samtidig er det klart at NSA har øvet press mot teknologileverandører for å få bygd inn bakdører i nettverksutstyr, som gjør det mulig å få adgang til enorme mengder kommunikasjon. Der Spiegel avslørte tidligere i høst at også Iphone‑, Android- og Blackberry-telefoner trolig er hacket.

Det ville, digitale “vesten”

Jon Wessel-Aas frykter at måten NSA skaffer seg kontroll på kan lede til mer vill vest-tilstander, snarere enn et ordnet demorakti tuftet på vestlige rettsprinsipper.

— Generelt trenger vi en debatt om hvordan vi skal sørge for at vår moderne kommunikasjon er praktisk anvendbar i fremtiden. Når en ikke en gang kan stole på krypterte løsninger, hvis man ikke har bygd dem selv, bryter en ned tilliten som er nødvendig i et demokrati, sier Wessel-Aas.

Han er dermed på linje med den amerikanske sikkerhetseksperten Bruce Schneier, som mener NSA har ødelagt sikkerheten på internett for alle. Schneier føyer til at han tror det kun er et tidsspørsmål før kriminelle kan utnytte svakhetene som NSA har skapt.

Brenna spisser det ytterligere — og begrunner det med at mørketallsundersøkelsen til Næringslivets sikkerhetsråd årlig viser at de aller fleste digitale innbrudd holdes skjult fordi verken den kriminelle eller offeret har interesse av at de blir kjent:

— Jeg er ikke redd for Snowden eller Manning. Jeg er redd for de som kom før ham, og som solgte informasjonen til høystbydende, sier Brenna.