Kurs i digitalt kildevern for NRK basert på boken Digitalt kildevern.

2. 127.0.0.1

3. 3

4. 4

5. Hvem er dere?
• Navn
• Stilling
• Forventninger
5

6. Kursbeskrivelse
• Du lærer hvordan digitale spor kan avsløre dine kilder, og
hvordan du selv kan sikre dine kilder best mulig vern.
• Kurset viser deg hvordan du kan sikre dine kilder i et
samfunn der informasjon lagres digitalt og der
kommunikasjon kan spores på en måte som tidligere ikke
var mulig. Den digitale utviklingen stiller nye krav til deg
som journalist, og det er viktig at du kjenner både farene og
mulighetene. På dette kurset lærer du når alarmen bør gå
og hva du kan gjøre for å sikre din kilde best mulig vern.
Kurset passer for alle journalister og redaksjonelle ledere.
6

7. 7

8. Opplegget
• Introduksjon
• Praktiske oppgaver
• Gruppearbeid
• Diskusjon
8

9. Ring meg
900 77 860
9

10. Ubesvarte samtaler
• Hvordan kan jeg misbruke dette?
– Avsløre kilder?
– Kommersielt?
• Hva slags informasjon ble logget?
– Hvor?
– Hvor lenge?
• Hvorfor ringte dere ikke?
– Paranoide?
– Lurespørsmål?
10

11. 11

12. Vær Varsomplakaten
3.4. Vern om pressens kilder. Kildevernet
er et grunnleggende prinsipp i et fritt
samfunn og er en forutsetning for at
pressen skal kunne fylle sin
samfunnsoppgave og sikre tilgangen på
vesentlig informasjon.

13. 13

14. Chilling effect
• «Bare vissheten om at noen kan lete seg fram til
dine kontakter og dine bevegelser, både i det fysiske
rommet og på Internett, kan være nok til å hemme
borgere i utøvelsen av sine friheter til å samles, til å
ytre seg og til å søke opplysninger.»

15. 15

16. Alt er digitalt
16

17. Informasjonsnav
17

18. Troverdighet
• Det er ikke lengre nok å bare love kildene
anonymitet
• Kildevernet må også sikres
18

19. Datalagringsdirektivet
• Terrortiltaket
som ble utsatt
på grunn av
terrorisme...

20. 20

21. Telefoni
• Hvem du ringer
• Når du ringer
• Hvor lenge samtalen
varte
• Hvor du var da du
ringte

22. SMS
• Hvem du sendte
meldingen til
• Når du sendte
meldingen
• Hvor du var da du
sendte meldingen

23. e-post
• Hvem du sendte
e-post til
• Når du sendte e-
posten
• Hvilken server du
sendte den fra

24. IP-adresse
• Hvem du er bak IP-adressen
• Når du logget deg på
• Hvor du logget deg på
• Når du logget deg av
• Hvor du logget deg av

25. Datalagringsdirektivet
virker ikke
• Gode intensjoner
• Manglende
realitetsforståelse
• EU-rapporten
klarte ikke å
dokumentere
positiv effekt

28. 1,4 millioner samtaler?
“Dette er ikke kun samtaler som knyttes til
Breivik. Dette er alle samtaler som er registrert
på basestasjoner i tilknytning til både bomba i
Regjeringskvartalet og aksjonen på Utøya. Vi
må analysere tid, lengde og fra hvilke
basestasjoner de er registrert på. Vi prøver å
finne ut hvem som har ringt til en hver tid, også
i dagene før.”

29. 29

30. Politifaksen
• Basestasjon
• PUK-koder
• Trafikkdata
– Telefonnummer
– e-post
– IP-adresse
30

31. Rettssak mot DLD
• Grunnloven
• Den europeiske
menneskeretts-
konvensjon (EMD)
• Tyskland, Bulgaria,
Romania, Kypros og
Tsjekkia

32. Kildevernets pris
• Hva er kildevernet
verdt for deg?
• digitaltpersonvern.no
• Konto:1503.23.44558
• 788.786 kr hittil

33. 33

34. 34

35. Facebook
vs
Datalagringsdirektivet
Datalagringsdirektivet
Datalagringsdirektivet
• Frivillighet vs tvang
– Sex vs voldtekt
• Facebook får bare vite det vi velger å fortelle
– Facebook’s forretningsmodell er ikke å passe på
dine personlige opplysninger!
35

36. Sosiale medier
• Vi velger selv
• Om vi tvitrer
• Hva vi tvitrer
• Når vi tvitrer

37. Full kontroll?
• Vet vi hva slags spor vi
legger igjen?

39. Diskusjon
• Hvordan kan sosiale medier brukes til å
avsløre pressens kilder?
• Facebook?
• Twitter?
• Andre?

40. 40

41. Saltdalskassetten
• http://www.youtube.com/watch?
v=RdhOkSCBpVY
41

42. 42

43. 43

44. 44

45. Diskusjon
• Hvordan kan GPS brukes til å avsløre
pressens kilder?
– Mobilen?
– Bilens GPS?
– Annet?
45

46. 46

47. 47

48. 48

49. 49

50. 50

51. 51

52. 52

53. 53

54. 54

55. It’s nothing personal,
it’s just business
it’s just business
• Kommersielle bedrifter er ikke ute etter
deg, de er bare ute etter lommeboken din

56. Ekomloven §2-9
• Tilbyder og installatør plikter å bevare taushet om
innholdet av elektronisk kommunikasjon og andres bruk av
elektronisk kommunikasjon, herunder opplysninger om
tekniske innretninger og fremgangsmåter.
• Opplysningene kan heller ikke nyttes i egen virksomhet
eller i tjeneste eller arbeid for andre, med unntak av statistiske
opplysninger om nettrafikk som er anonymisert og ikke gir
informasjon om innretninger eller tekniske løsninger.
• Taushetsplikten er ikke til hinder for at det gis
opplysninger til påtalemyndigheten eller politiet
http://www.lovdata.no/all/hl-20030704-083.html#2-9 56

57. • Problemet er de som tar det personlig...

59. Fristed?
• Bør vi overvåke
ekstreme miljøer
på internett?

60. Er du en ekstremist?
• Har du ekstreme meninger?
• Opp med hånden alle som ser på seg selv
som ekstremister!

61. • Hvor går grensen mellom sterke og
ekstreme meninger?
• Hvem avgjør hvor grensen går?
• Har noen kalt deg ekstremist?

62. PST-instruksen §15
• Personopplysninger som ikke kan behandles
• Opplysninger om en person kan ikke
behandles kun på bakgrunn av hva som er
kjent om personens etnisitet eller nasjonale
bakgrunn, politisk, religiøs eller filosofisk
overbevisning, fagforeningstilhørighet eller
opplysninger om helsemessige eller seksuelle
forhold.

63. Nettovervåkning?
• Skal vi lage unntak i §15?
• Opplysninger om en person kan ikke
behandles kun på bakgrunn av hva som er
kjent om personens etnisitet eller nasjonale
bakgrunn, politisk (bortsett fra høyreekstreme),
religiøs (gjelder ikke muslimer) eller filosofisk
overbevisning, fagforeningstilhørighet eller
opplysninger om helsemessige eller seksuelle
forhold.

65. 65

66. Problemet
• «Who watches the
watchmen?»

68. • De som lover
100%
sikkerhet vet
ikke hva de
snakker om...

69. Mobiltyveri
• Meningsløst å stjele mobiltelefoner
– IMEI-nummer logges sammen med alle
samtaler
– Forsikringssvindel avsløres!
• Ingen stjeler en journalists mobil fordi den i
seg selv er verdifull!
69

70. Diskusjon
• Din mobiltelefon har
blitt stjålet
• Hvilke opplysninger
på den kan brukes
til å avsløre kildene
dine?
70

71. Dele – ikke stjele
1. Det må sikres en rettslig adgang til å innsamle, registre og lagre
trafikkopplysninger slik som IP-adresser,
2. Det må sikres en praktikabel ordning for å få informasjon om
identiteten bak IP-adressen (abonnenten) . Uten denne
informasjonen kan opphavsretten ikke håndheves av
rettighetshaverne ved sivilrettslige tiltak.
3. Det må etableres en varslingsordning overfor fildelere, som ved
gjentatte krenkelser skal sanksjoneres med ytterligere tiltak,
4. Det må innføres en klar og utvetydig hjemmel for å kunne sperre
(blokkere) tilgangen til nettsteder som formidler ulovlige filer. Et slikt
pålegg må kunne rettes mot internetttilbyderen (ISP).

72. 72

74. Svensk etterforskning
• «Uppgifter från en
utredning i Norge»
• «Det norske politiet
kan ikke kjenne til
denne saken ettersom
vi ikke har anmeldt i
Norge»
• Anmeldte nordmenn?
«Vi kommenterer
ikke det»

75. Dtecnet
• «Vi genererer en massiv
mengde data i loggfiler»
• «Vi sjekker IP-adressen
opp mot åpne registre
for å finne ut hvilket land
og hvilken
internettleverandør
brukeren kommer fra»

76. IP-adressen avslører…

77. Avslørt av pressen?
enkildejournalistikk?

78. Diskusjon
• En kjent og pålitelig kilde har sendt dere et
bilde som avslører...
• Redaktøren vil vise bildet på Dagsrevyen
og på NRK.no
• Hva gjør dere?
78

79. Watermark

80. http://hannemyr.com/no/digimarc.php

83. Oppgave
• Last ned Digimarc
Reader for Images
• Sjekk bildet på
toppsaken på
NRK.no
http://www.digimarc.com/digimarc-for-images/resources/free-software-downloads

86. Oppgave
• Sjekk header-informasjonen på en e-post fra
noen i NRK.no
• Send en e-post fra din private bruker til din
NRK.no e-post og sjekk headeren

87. Lange passord
During a recent password audit by Google, it was found
that a blonde was using the following password:
"MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacra
mento"
When asked why she had such a long password, she
rolled her eyes and said: "Hello! It has to be at least 8
characters long and include at least one capital."

88. Oppgave
• Søk etter følgende ord i dine e-postkontoer
(privat & jobb)
– password
– passord
– username
– user
– brukernavn
– bruker
88

89. Oppgave
• Søk etter følgende ord i dine e-postkontoer
(privat & jobb)
– password
– passord
– username
– user
– brukernavn
– bruker
89

90. Oppgave
• Gå inn på denne adressen
– http://bit.ly/RTicIW
90

91. Varslingstjenester

92. Sporkappløp
“Jeg frygter, at den stigende registrering i
virkeligheden gør det sværere for PET at
gøre sit arbejde ordentligt og forudse og
forhindre terrorisme. Det svarer til en
høstak, der bare vokser sig større og
større. Og så bliver det til sidst rigtigt svært
at finde nålen. Det er en falsk tryghed.”

93. Ingen spor er et spor

94. Fra naiv til paranoid
• Ingenting er 100% sikkert
• Ikke overdriv
• Unngå sikkerhetsteater
94

95. Rollespill
• Hei! Det er fra IT-avdelingen...
• Vi mistenker at noen har kommet inn på
brukeren din.
• Kan du logge på og sjekke at du fortsatt
kommer inn?
95

96. Digital kildepleie
• Avledningsmanøvre
• Avvikende mønstre
• Falske spor
• Flerkanalskommunikasjon
96

97. Gruppearbeid
• Dere har fått et regjeringsnotat
• Frontredaktøren vil publisere det i sin
helhet på NRK.no
• Hva gjør dere?
97

98. 98

99. 99

100. 100

101. Rollespill
• Hei! Jeg jobber ved statsministerens
kontor, og jeg kom over et regjeringsnotat
som dere bør se nærmere på.
• Skal jeg sende det over til dere?
101

102. Hashsum
• Digitalt fingeravtrykk
• Checksum, hash
• md5sum

106. Sikkerhet
• Sikkerhet er ikke et produkt som kan
kjøpes
– Kunnskap
– Holdning
– Rutiner
• Kan kildene stole på at pressen vet hva det
innebærer å sikre kildevernet?

107. 1. Beskytt datamaskinen
• Bruk automatisk oppdatering av programmer der det er mulig.
• Sjekk om det er tilgjengelige oppdateringer hver gang du skrur
på datamaskinen.
• Bruk gjerne et sikkerhetsverktøy som sjekker at programmene
er oppdaterte og uten sårbarheter.
• Ha alltid oppdatert antivirus
• Avinstaller programmer du ikke bruker.
• I tillegg bør du alltid sørge for at du låser datamaskinen når du
forlater den (Win + L)

108. 2. Passord
• Et godt passord er lett å huske for deg, men
vanskelig å gjette for andre.
• En setning, gjerne med noen store bokstaver,
tegn og tall er et bra passord, f. eks. «Min
tante har 1 Gul bil». Finn ditt eget system på
passordene. Ikke bruk disse eksemplene.
• Bruk forskjellige passord til forskjellige
tjenester.

109. 3. Taushetsplikt
• Sørg for at du vet hvilken type bedriftsinformasjon
som er taushetsbelagt.
• Som ansatt bør du få opplæring i hvordan du skal
behandle ulik informasjon.
• Hvis du bruker en form for nettskytjeneste (Cloud)
vær bevisst på hvilken informasjon som kan lagres
der.
• Tenk over hva du snakker høyt med andre eller i
telefonen om. Noen kan lytte!

110. 4. Beskytt personlig
informasjon
• Ikke kryss av for at for at nettsteder skal «huske» passordet ditt.
• Når du handler på Internett, ikke la nettsiden «huske» kredittkortet
ditt. Dette kan gjøre deg sårbar for ID-tyveri og kredittkortmisbruk.
• Ta sikkerhetskopi av personlig informasjon; bilder, dokumenter, e-
post.
• Hvis mulig, kontroller personvern og sikkerhetsinnstillinger på
nettsider du bruker. Begrens hva du deler med andre.
• Avklar med ledelsen hva du har lov til å si i sosiale medier, både
privat og i jobbsammenheng..

111. 5. På reise
• Krypter harddisken på datamaskinen for å
beskytte informasjonen om datamaskinen
kommer på avveier.
• Bruk et skjermfilter som hindrer innsyn på
skjermen din.

112. 6. USB-minnepinner
• Ha en fast rutine slik at du ikke glemmer
det.
• Oppbevar sikkerhetskopien et annet sted
enn der du har datamaskinen, gjerne i et
avlåst skap eller rom.

113. 7. Sikkerhetskopi
• Er du på et åpent trådløst nettverk, bør du
gå ut ifra at andre kan se hva du gjør.
• Det er viktig at trafikken er kryptert, enten
via VPN eller ved at nettsiden bruker https.

114. 8. Trådløse nettverk
• Er du på et åpent trådløst nettverk, bør du
gå ut ifra at andre kan se hva du gjør.
• Det er viktig at trafikken er kryptert, enten
via VPN eller ved at nettsiden bruker https.

115. 9. e-post
• Dobbeltsjekk adressen slik at du vet at du
sender til korrekt person.
• Vær forsiktig med å åpne vedlegg, også fra
personer du kjenner.
• Spesielt sensitivt eller konfidensiell
informasjon bør bare sendes på e-post om
informasjonen krypteres.

116. 10. Mobiltelefoner og
nettbrett
• Skru av WLAN og Bluetooth når du ikke
bruker det.
• Bruk et sterkt passord til å låse enheten
med.
• For å beskytte informasjonen bør du
kryptere innholdet på enheten.

117. Flopp

119. Naiv / Paranoid
• Bruk internett
• Legg igjen
(mange) digitale
spor
• Ikke legg alle
opplysningene i
en kurv

120. • «Selvfølgelig har det en
fremtid. Liksom pandaen
utvilsomt vil overleve i
zoologiske haver rundt om i
verden»

121. Takk for meg!
• 900 77 860
• abrenna@gmail.com
• blogg.abrenna.com