"Du kan påverka vad som ska granskas. Kontakta oss dold@svt.se - du kan självklart vara anonym."
Så har det hänt igen. En redaktion som ägnar sig åt granskande journalistik ber sin publik om tips, inser att den som tipsar mycket väl kan tänkas vilja vara anonym och poängterar därför att källan givetvis får vara det om hen vill.
Detta i samma mening som e-post föreslås som kontaktväg.
Tyvärr är Dolds redaktion inte på något sätt unik. Det ser ut på liknande sätt hos exempelvis Hallands Nyheter och Göteborgs-Posten (del av samma mediakoncern, samma kontaktsida med okrypterat formulär). Dagens Industri en e-postadress i sidfoten och på kontaktsidan. Sidan som hamnar överst när jag googlar efter "tipsa aktuellt" innehåller en Tänk på-ruta – som handlar om rättigheter för läsarinskickat material. Men inget om källskydd utöver att tipsare kan få vara anonyma. Uppdrag Granskning är som man kan förvänta sig något bättre (vanlig e-postadress i huvudtexten, men länk till säkrare tipsvägen TV-leaks i spalten till höger).
Det här är enligt min uppfattning ett representativt urval över hur det ser ut på svenska redaktioner. Några enstaka som tänkt till i frågan (guldstjärna till bland andra Dagens Nyheter, som på en skrikande röd bakgrund betonar kryptering), en majoritet som inte har gjort det.
Återkommande påminnelser bygger förhoppningsvis medvetenhet #
Det här är en av de viktigaste anledningarna till att jag inte slutar tjata om kryptering. Att jag skriver om det här på min egen webbplats och föreslår PGP-krypterad e-post eller direktmeddelanden via Wire för kontakt. Att jag skriver om kryptering i Journalisten. I Internetguider. Att jag pratar om det i Digitalsamtal, att jag twittrar om det. Och att jag tjatar på släkt och vänner att det ska installera appar som Signal och Wire i sina telefoner, och i sin tur tjata vidare på sin släkt och sina vänner att göra det samma.
Allt detta trots att jag under 16 år som journalist fått ett enda tips skickat till mig via en krypterad kanal på internet. Och att jag bara använt kryptering vid några enstaka tillfällen över huvud taget. Men, det ska sägas: Vid de tillfällena har kryptering varit fullständigt nödvändigt, utan den hade kontakten med källan över huvud taget inte blivit av.
Men trots att jag inte ägnar mig åt journalistik där källorna normalt sett vill kunna kommunicera med mig i hemlighet gör många andra journalister det. Och det är inte heller bara i en eventuell roll som hemlig källa släkt och vänner behöver kryptering. Bara vetskapen om att en kommunikationskanal är end-to-end-krypterad gör att man betraktar den på ett lite annorlunda sätt. (End-to-end-kryptering innebär att ett meddelande krypteras i avsändarens telefon och är krypterat över internet, hela vägen fram till mottagarens telefon. Det innebär att det inte finns någon möjlighet för någon på vägen att avlyssna meddelandet.)
Att prata och skriva om kryptering är alltså mitt sätt att höja medvetenheten om kryptering. Vad det är, varför det behövs och – faktiskt – hur lätt det har blivit.
Kryptera nu – sen är det för sent #
För journalister är det här ett sätt att visa omtanke gentemot sina källor. Men också ett sätt att göra sig tillgängliga för de källor som på egen hand funderat över risken att deras uppgifter hamnar i fel händer. Jag har inte på något sätt belägg för det här påståendet, men min magkänsla säger mig att det stämmer: Det kommer att bli allt vanligare att källor som kan avslöja riktigt stora saker väljer journalister som på förhand visat att de tänker på källskyddet. Och då inte bara som en viktig princip, utan hur man gör för att i praktiken skydda sin källa.
Mitt envisa tjat om kryptering hoppas jag ska vara ett sätt att göra framtida källor medvetna om den skillnaden: Att journalister håller källskyddet väldigt, väldigt högt – men att det inte är alla som har förmågan att leva upp till det.
Jag hoppas också att jag kan göra fler av mina kollegor runt om på landets redaktioner medvetna om problemen med bland annat e-post eller direktmeddelanden på Twitter, vilket är en annan kanal där jag sett profilerade reportar be om "källskyddade tips", och få fler av dem sluta be om tips via osäkra vägar.
Det har blivit enkelt att kryptera! #
Någonstans tror jag att det finns en medvetenhet om de här problemen, men att bilden av hur krångligt det är att kryptera lever kvar. Tack och lov är det inte så längre.
Att skicka krypterad e-post är fortfarande bökigt. PGP är den beprövade metoden, och även om det blivit enklare är det fortfarande inte enkelt.
Alternativet är istället att välja någon av de mobilappar med inbyggd kryptering som dykt upp. Signal och Wire är två jag kan rekommendera, eftersom personer jag litar på har rekommenderat dem för mig. Och när det gäller Signal så finns det dessutom namnkunnigt folk som gett appen sitt stöd offentligt.
Men det finns fler appar som är krypterade: Apples iMessage är det. Facebook Messenger är det. WhatsApp är det. Och det är bra, eftersom det får fler att kommunicera krypterat utan att ens vara medvetna om det. Men i det här sammanhanget har de alternativen sina brister.
Krypteringen i iMessage fungerar bara mellan Apple-prylar. Och skulle avsändare eller mottagare för tillfället sakna internetuppkoppling kommer meddelandet att skickas som ett vanligt sms istället. Det vill säga utan kryptering.
Facebook Messenger och WhatsApp har bra kryptering, samma lösning som i Signal. Här är istället problemet Facebook. Det är helt enkelt onödigt för en journalist och dennes hemliga källor att använda meddelandetjänster som är en del av Facebook. Har man inte varit vänner i de sociala nätverken tidigare är det inte rätt tillfälle att bli det nu, när källan lämnar hemliga uppgifter till journalisten.
Inga journalister har råd att slarva med krypteringen #
Så vilka journalister ska fundera på det här? Alla avslöjanden som startade med Edward Snowdens läckor har visat hur omfattande statlig övervakning är. Vilket givetvis är en varningsklocka för journalister som ägnar sig åt journalistik på den nivån att statliga övervakar har ett intresse i den.
Men också den som granskar det lokala näringslivet behöver vara medveten om hur lätt det är att avlyssna exempelvis okrypterad e-post. Har du avslöjat fusk med farligt avfall på den lokala kemifabriken? Har företagets IT-avdelning i så fall läst den e-post som du och källan skickat till och från hens e-postadress på jobbet? Sannolikheten för att svaret på frågan faktiskt är "ja" är kanske liten. Men den personliga risken källan tar är fortfarande stor, och med det är den lilla extra insats som det tar att installera Signal eller Wire i telefonen inte att begära för mycket.
Att vara proaktiv i de här frågorna är att ge de källor som vill vara hemliga största möjliga förutsättningar att faktiskt vara hemliga. Se till att tidningens/radiokanalens/tv-programmets webbplatser föreslår alternativ till vanlig e-post så att redan den första kontakten kan tas på ett säkert sätt. Några e-postvändor in i kommunikationen kan det vara så dags att reportern föreslår en säkrare lösning.
Några lästips på vägen #
Installerar du Wire eller Signal och får dina vänner eller källor att göra samma sak har du kommit väldigt långt. Vill du läsa mer rekommenderar jag bland annat:
- Internetstiftelsen i Sveriges Internetguider – Jag är jävig, eftersom jag varit med och skrivit några av dem, men det här är ett bra ställe att börja på: Digitalt källskydd, Digitalt självförsvar, Kom igång med säkrare mobiltelefon, Kom igång med Tor och Kom igång med Tails.
- Signal for Beginners – En bra introduktion till funktionerna i Signal.
- Surveillance Self-defence – En gedigen samling tips från amerikanska Electronic Frontier Foundation.