måndagen den 8:e september 2008

Skapa säker kontakt med dina läsare

Under rubriken "Här är medierna du inte ska tipsa" listade Resume.se tidigare i somras svenska mediehus som har mejlservrar placerade utomlands (kuriosa: Resume, som har sina mejlservrar i Danmark, glömde dock att lista sig själva). Listan bygger på en sammanställning gjord av Networkers.se som visar att ungefär hälften av de undersökta mediehusen har mejlfunktionalitet placerad utomlands. Det innebär att FRA har möjlighet att avlyssna exempelvis inkommande tips till tidningen.
Tyvärr gäller problemet inte bara mediehusen på listan. Oavsett vilket mediehus du kontaktar löper du risk att bli avlyssnad eftersom det snarare är regel än undantag att mejl tar vägen utanför Sveriges gränser.

Mediehusens ödesfråga stavas trovärdighet. Därför måste den som jobbar med journalistik och användarkontakter hela tiden ligga i framkant för att - så långt det är möjligt - garantera att information som lämnas i förtroende också behandlas med respekt och ödmjukhet.
Jag önskar att mediehusens utveckling hade kommit längre i fråga om digital kommunikation med sina användare. I ord ställer säkert varje mediehus upp på att ta sina användars säkerhet på allvar. I handling är det tyvärr illa, visar en snabb genomgång.

Mediehusen kan vidta en rad åtgärder för säkra kommunikationen med användarna, inte sällan handlar det om enkla och billiga lösningar. I samarbete med Noah Williamsson, utvecklare på HD.se, har Networkers.se tagit fram en checklista med förslag som skapar säkrare användarkontakter.

• Information. Var öppen och berätta för dina läsare/användare/tittare/lyssnare om vikten av säker kommunikation. Utarbeta och förankra en tydlig policy (disclaimer) som beskriver hur ert mediehus hanterar och förvarar information och vilka garantier ni utfäster gentemot era användare.

• Mediehusen lever av tvåvägskommunkation med sina användare. Risken för misstag, läckage eller sabotage av information finns därmed i två ändar. Utbilda därför inte bara egen personal kontinuerligt utan även dina användare i säker kommunikation. Utveckla läsarskolor, bjud in till seminarier och lär dina användare att exempelvis skicka krypterad e-post.

• Öppna hela din webbplats för https, alltså krypterad kommunikation mellan webbläsaren och webbservern. Av ett 20-tal testade nättidningar hittade jag bara en webbplats som hanterar https (SSL) över hela sajten - HD.se. Krypterad trafik är särskilt angeläget i situationer där användaren skickar information till webbplatsen (läsarkommentarer, nyhetstips, forum, omröstningar osv). Många nättidningar slarvar med https-stödet däribland Aftonbladet, Expressen och tyvärr också tidningarna jag själv är ambassadör för.

• Krypterad e-post. Hur ska användarna kunna skicka krypterad e-post till din redaktion om de inte känner till era publika krypteringsnycklar? Publicera mediehusets krypterade nycklar inte bara via nyckelservrar utan även på er webbplats och informera och utbilda dina användare i PGP/GPG.

• SMTP STARTTLS. Protokoll SMTP används för utgående e-post. Med TLS kan mejlservrar utbyta information med varandra över en krypterad förbindelse.

• Säker namnuppslagning via DNS. Det är de så kallade DNS-servrarna som översätter domännamnet (exempelvis networkers.se) till ett IP-nummer och en fysisk server. DNS-systemet spelar alltså en central roll på internet. Tekniken DNSSEC försvårar för den som vill ta kontroll över en DNS för att exempelvis styra om trafiken till en egen server.

• Och så finns det små åtgärder. Vi är några stycken som i dag i en debattartikelMedievarlden.se föreslår att medarbetare inom TU:s medelmsföretag avslutar alla mejl med uppmaningen att mejlet kan vara utsatt för "statligt godkänd signalspaning". TU:s vd, Anna Serner, verkar uppskatta idén.

2 kommentarer:

Anonym sa...

Mr. Networker,

Tror att jag kan tala för fler än mig själv när jag säger - Skriv mer!!! Please. Blir alltid glad när jag ser att det finns nytt inlägg på networkers...

Tyvärr finns frågeställningen du tar upp antagligen inte ens med på tidningarnas agendor. En välbeprövat sätt att driva förändring är genom att skapa transparens. Varför inte sätta upp en tabell med Sveriges tidningar och hur de hanterar frågorna du tar upp? Det skapar positiv exponering för de som tar sina läsare/tipsare på allvar och mindre bra exponering för övriga.

Hur som. Keep it up!

/Anders@Booli

Transparens brukar vara enda sättet att driva förändring.

Bosse Vikingson sa...

En aspekt som vi, tyvärr, ofta glömmer bort är att internationell trafik inte enbart sker genom att de flestas mediehus har sina servrar utomlands. Problemet är inte borta genom att flytta hem dem. Regeringen brukar, ungefär, säga att de ska se till att skydda trafik inom Sverige. Visst. Men källskyddet gäller ju även kontakter med till exempel utländska tipsare. Ska vi inte ge dem samma skydd?
Med ett alltfler internationella kontakter är det inskränkt att låtsas som om detta är ett svenskt problem.