måndag 8 september 2008

Skapa säker kontakt med dina läsare

Under rubriken "Här är medierna du inte ska tipsa" listade Resume.se tidigare i somras svenska mediehus som har mejlservrar placerade utomlands (kuriosa: Resume, som har sina mejlservrar i Danmark, glömde dock att lista sig själva). Listan bygger på en sammanställning gjord av Networkers.se som visar att ungefär hälften av de undersökta mediehusen har mejlfunktionalitet placerad utomlands. Det innebär att FRA har möjlighet att avlyssna exempelvis inkommande tips till tidningen.
Tyvärr gäller problemet inte bara mediehusen på listan. Oavsett vilket mediehus du kontaktar löper du risk att bli avlyssnad eftersom det snarare är regel än undantag att mejl tar vägen utanför Sveriges gränser.

Mediehusens ödesfråga stavas trovärdighet. Därför måste den som jobbar med journalistik och användarkontakter hela tiden ligga i framkant för att - så långt det är möjligt - garantera att information som lämnas i förtroende också behandlas med respekt och ödmjukhet.
Jag önskar att mediehusens utveckling hade kommit längre i fråga om digital kommunikation med sina användare. I ord ställer säkert varje mediehus upp på att ta sina användars säkerhet på allvar. I handling är det tyvärr illa, visar en snabb genomgång.

Mediehusen kan vidta en rad åtgärder för säkra kommunikationen med användarna, inte sällan handlar det om enkla och billiga lösningar. I samarbete med Noah Williamsson, utvecklare på HD.se, har Networkers.se tagit fram en checklista med förslag som skapar säkrare användarkontakter.

• Information. Var öppen och berätta för dina läsare/användare/tittare/lyssnare om vikten av säker kommunikation. Utarbeta och förankra en tydlig policy (disclaimer) som beskriver hur ert mediehus hanterar och förvarar information och vilka garantier ni utfäster gentemot era användare.

• Mediehusen lever av tvåvägskommunkation med sina användare. Risken för misstag, läckage eller sabotage av information finns därmed i två ändar. Utbilda därför inte bara egen personal kontinuerligt utan även dina användare i säker kommunikation. Utveckla läsarskolor, bjud in till seminarier och lär dina användare att exempelvis skicka krypterad e-post.

• Öppna hela din webbplats för https, alltså krypterad kommunikation mellan webbläsaren och webbservern. Av ett 20-tal testade nättidningar hittade jag bara en webbplats som hanterar https (SSL) över hela sajten - HD.se. Krypterad trafik är särskilt angeläget i situationer där användaren skickar information till webbplatsen (läsarkommentarer, nyhetstips, forum, omröstningar osv). Många nättidningar slarvar med https-stödet däribland Aftonbladet, Expressen och tyvärr också tidningarna jag själv är ambassadör för.

• Krypterad e-post. Hur ska användarna kunna skicka krypterad e-post till din redaktion om de inte känner till era publika krypteringsnycklar? Publicera mediehusets krypterade nycklar inte bara via nyckelservrar utan även på er webbplats och informera och utbilda dina användare i PGP/GPG.

• SMTP STARTTLS. Protokoll SMTP används för utgående e-post. Med TLS kan mejlservrar utbyta information med varandra över en krypterad förbindelse.

• Säker namnuppslagning via DNS. Det är de så kallade DNS-servrarna som översätter domännamnet (exempelvis networkers.se) till ett IP-nummer och en fysisk server. DNS-systemet spelar alltså en central roll på internet. Tekniken DNSSEC försvårar för den som vill ta kontroll över en DNS för att exempelvis styra om trafiken till en egen server.

• Och så finns det små åtgärder. Vi är några stycken som i dag i en debattartikelMedievarlden.se föreslår att medarbetare inom TU:s medelmsföretag avslutar alla mejl med uppmaningen att mejlet kan vara utsatt för "statligt godkänd signalspaning". TU:s vd, Anna Serner, verkar uppskatta idén.