Bedst som narkohandlere over hele Europa forlod sig på, at deres kommunikation var krypteret, har efterretningstjenester og politifolk kigget dem over skulderen i årevis:

Sidste år hackede myndighederne i Frankrig og Holland den krypterede chattjeneste EncroChat – og delte millioner af beskeder med Europol.

I marts meddelte Europol, at europæiske myndigheder har overvåget 70.000 brugere af kommunikationstjenesten Sky ECC.
Og i juni kom det frem, at amerikanske FBI og det australske forbundspoliti stod bag firmaet ANOM, der har solgt krypterede telefoner til kriminelle i over 100 lande.

Relevant for journalister

At den slags teknikker ikke kun er en udfordring for kriminelle, stod klart for de fleste i midten af juli.

Her kunne avisen The Guardian og 16 andre medier afsløre, at 50.000 telefonnumre – på blandt andre advokater, politikere og journalister over hele verden – har været potentielle mål for det israelske overvågningssoftware Pegasus. Pegasus gør det muligt at fjernaktivere telefonens mikrofon og kamera – og suge sms’er og mails ud af telefonen.

180 telefonnumre på journalister fremgår af listen. Blandt dem testede Amnesty Internationals Security Lab 15 af telefonerne og fandt spor af Pegasus. Og senere fandt Frankrigs nationale agentur for informationssikkerhed, ANSSI, spor af Pegasus på tre franske journalisters telefoner. Den slags sager rejser spørgsmålet: Hvordan skaber man som journalist en sikker linje anno 2021?

Lad telefonen blive hjemme

Sebastian Gjerding er journalist hos Information og har skrevet om overvågning i godt 10 år.

Han råder journalister til at bruge appen Signal, der krypterer tekst og tale. Men:

”Hvis ens enhed er hacket med for eksempel Pegasus, så hjælper Signal ingenting. Signal beskytter transmissionen, men hvis der sidder nogen og kan følge med i alt, hvad der bliver tastet på din telefon, så er det lige meget,” understreger han.

”Hvis det er en meget fortrolig kilde, vil jeg helt undgå elektronisk kommunikation. En god idé er at gå en tur med kilden uden telefon. Hvis du vil have fortrolighed, hvorfor så gå rundt med en overvågningsenhed i lommen?” siger Sebastian Gjerding.

Journalister har et ansvar

Danske journalister skal i 99 ud af 100 historier ikke bekymre sig om overvågning, siger Sebastian Gjerding. Men journalister har ofte et ansvar, mener han.

”Du skal være bekymret, hvis kilden løber en stor personlig risiko ved at tale med dig. Det kan være, at kilden er kriminel eller taler om meget fortrolige ting. Hvis du har lovet kildebeskyttelse, skal du gøre, hvad du kan for at hjælpe kilden med at beskytte sig selv,” siger han.

Det vrimler med eksempler på overvågning af journalister, siger Sebastian Gjerding. Og Pegasus-eksemplerne står langtfra alene.

”Der er masser af eksempler i USA. Senest med Trump-regeringen, der har overvåget forskellige journalister. Hvis du arbejder med kilder i den anden ende af verden, er der bestemt god grund til at være opmærksom,” siger han.

Sultne myndigheder

Sebastian Gjerding har været med til at afsløre den amerikanske efterretningstjeneste NSA’s overvågning af internettrafik til og fra Danmark.

Amerikanske efterretningstjenester kan også – med loven i hånden – få adgang til data, som danskere har liggende hos amerikanske cloud-firmaer. Og journalister bør bekymre sig om efterretningstjenesternes lange fangarme, siger Allan Frank, it-sikkerhedsspecialist i Datatilsynet.

”Lige så snart du ikke selv har dit researchmateriale i en taske og våger over det med dit liv, så vil jeg som journalist kryptere alt, hvad jeg har med at gøre,” siger han.

”I lande som USA, Ukraine, Rusland og Kina aner vi ved den søde grød ikke, hvordan efterretningstjenesterne opererer. Det er en meget stor ubekendt at spille med,” siger han.

Ifølge Henning Mortensen – formand for Rådet for Digital Sikkerhed – er problemstillingen mest relevant for graverjournalister og korrespondenter.

”I måske 95 procent af de historier, der er i medierne, er der ingen grund til at tage sig særligt i agt i forhold til kildebeskyttelse. Men hvis man interviewer nogen, der har centraladministrationernes interesse i bred forstand, så kan der være høj sandsynlighed for, at der er aktører, som har de midler, der skal til for at trænge igennem til journalister og de medier, de arbejder for,” siger han.

7 gode råd til fortrolig kildekontakt

1. Lav en risikovurdering
Hvis du for eksempel interviewer en whistleblower fra Forsvarets Efterretningstjeneste, er der høj sandsynlighed for overvågning, og det kan have en stor konsekvens for kilden, siger Henning Mortensen, formand for Rådet for Digital Sikkerhed.

2. Læg telefonen
Information-journalist Sebastian Gjerding råder journalister til at lægge telefonen fra sig, hvis man skal interviewe en særligt følsom kilde. For det er muligt at aflytte et rum, hvis man hacker sig ind i en smartphone.

3. Brug kryptering
Allan Frank, it-sikkerhedsspecialist i Datatilsynet, råder journalister til at kryptere deres research. Du kan kryptere en Windows-maskine med Bitlocker, og en Mac med FileVault. Han råder også til at give materialet en ekstra gang kryptering med systemet PGP, især hvis det ligger i skyen.

4. Få fat i Signal
Alle tre kilder peger på kommunikationstjenesten Signal som den mest sikre lige nu. Men ingen af dem vil kalde den 100 procent sikker. Blandt andet fordi den ikke hjælper mod spyware som Pegasus.

5. Brug og smid væk
Hvis du er korrespondent og dækker et land med tvivlsom privatlivsbeskyttelse, så skaf en telefon og computer, som du kun bruger i det pågældende land – og bagefter afskaffer. Sådan lyder anbefalingen fra Sebastian Gjerding.

6. Pas på lufthavne
I nogle tilfælde er det en god idé at slette følsomme data, før man rejser. ”I flere lande kan de vride armen rundt på ryggen af dig og tvinge dig til at lægge fingeren på fingeraftrykslæseren (på telefonen eller laptoppen, red.). USA, Kina og Australien er de mest almene eksempler,” siger Allan Frank.

7. Amerikansk cloud
Amerikanske efterretningstjenester kan – med loven i hånden – få adgang til data hos amerikanske cloud-firmaer, understreger Allan Frank.