For to et halvt år siden skrev DJ-medlem og nu tidligere chefredaktør på Prosabladet Kurt Westh Nielsen i et blogindlæg i Journalisten:
”Når du bliver medlem af Dansk Journalistforbund, får du tilbudt et pressekort. Jeg mener også, du burde få tilbudt en sikker krypteret mail-adresse.”
Det bliver nu til virkelighed for medlemmerne af Journalisterne i DJ, og fra den 15. september klokken 10 tilbydes de en gratis og sikker mail på domænet @journalist.dk-mail.
”Forbundet har før lavet arrangementer, hvor man kunne blive klogere på den digitale sikkerhed. Men for alle dem, der ikke havde tid til at komme til Cryptoparties, var der ikke så meget, DJ kunne tilbyde,” siger Kurt Westh Nielsen.
”Det er fantastisk, at der sker noget nu. Og det er tilfredsstillende, at nogle tanker rent faktisk kan blive til handling i vores verden,” siger han.
Journalisten får selv kontrol
Ifølge Kurt Westh Nielsen bliver den store forskel, hvem der har kontrollen over de mails, journalisterne skriver.
Han forklarer, at de mange journalister arbejder et sted, hvor mail-kontoen i princippet er arbejdsgiverens. Men hvis arbejdsgiveren bliver mødt med en dommerkendelse, der kræver, at de skal udlevere den ansattes mail, er det op til arbejdsgiveren at vurdere, om man vil efterkomme den henvendelse eller ej. Der har journalisten ikke selv nogen kontrol, fortæller han.
”Men det ændrer sig med det set-up og den mailadresse, der kommer nu. Nu bliver det journalisten selv, der får kontrollen og muligheden for at beskytte sig selv og sine kilder,” siger Kurt Westh Nielsen.
Rasmus Mark Pedersen er formand for Journalisterne i DJ, og han fortæller, at samarbejdspartneren er det tyske firma Tutanota. Ifølge formanden har netop dette firma den mest overbevisende sikkerhedsprocedure.
”De slår sig op som ytringsfrihedens forkæmpere. De har lavet det her firma med det for øje at tage privatlivet på internettet tilbage. Det tiltaler jo os som journalister,” siger Rasmus Mark Pedersen.
Han understreger vigtigheden i kildebeskyttelse i journalisternes daglige arbejde. Og han fortæller, at det i dag ikke længere er nok at sige til kilderne, at man ”nok skal lade være med at sige noget til nogen”.
”Man skal også sørge for, at der ikke er nogen, der kan lure med på det, man laver,” siger han.
Ingen adgang til dine mails
Ifølge Rasmus Mark Pedersen er der ikke nogen, der kan lure med hos det tyske firma.
”Det er jo blevet bevist, at NSA har kunnet kigge ind hos både Gmail og Hotmail. Det er ikke blevet bevist, at de kan det hos Tutanota. Derudover er mail fra denne adresse krypteret fra start til slut. Det er Hotmail og Gmail ikke,” siger han.
Han fortæller, at det er fysisk umuligt for Tutanota at kigge med i folks mails – ligesom deres opsætning gør det umuligt at genskabe et password.
Så hvad gør Tutanota, hvis de tyske myndigheder kræver adgang til en af DJ-journalisternes mailkorrespondancer – for eksempel grundet mistanke om en whistleblower?
”Så siger Tutanota, at de ikke har nogen mulighed for at komme ind i mailen. For det har de ikke. Og der er heller ingen, der vil kunne genskabe adgangskoden. Det er alene den enkelte bruger, der kan vurdere, om man vil efterkomme sådan et krav fra myndighederne eller ej,” siger Rasmus Mark Pedersen.
Hvad koster det?
Faktisk har domænet været i Dansk Journalistforbunds hænder i cirka to årtier, fortæller Rasmus Mark Pedersen. Men kun 45 mailbrugere har brugt det, og domænet har ”ligget i dvale”.
Selve domænet har derfor ikke kostet Journalisterne i DJ noget. Men til gengæld kan det blive en dyr forretning, hvis alle journalisterne i forbundet gør brug af tilbuddet.
”Vi betaler 50 kr. om året til Tutanota pr. mailadresse, og vi inkasserer 60 kr. pr. medlem om året. Der er derfor ikke mange penge tilbage til vores andre aktiviteter, og på den måde er det ikke en god forretning,” siger Rasmus Mark Pedersen.
Hvis alle medlemmer af Journalisterne i DJ benytter sig af tilbuddet, vil kontingentet derfor blive hævet, vurderer han.
”Men indtil videre har vi penge nok, og så må vi se, om vi skal rykke på finanserne senere. Men det er jo det, det handler om i en fagforening. De stærke må betale for dem, der har brug for ekstra beskyttelse. Og det er uanset, om det handler om digital beskyttelse, om det er til en form for strejkekasse, eller hvad vi nu ellers tilbyder,” siger han.
Forhåbentligt giver det medlemmerne lyst til at blive
Rasmus Mark Pedersen håber på, at tilbuddet om en gratis og sikker mailadresse vil gøre Journalisterne i DJ til en attraktiv gruppe at blive – eller forblive – en del af.
”Endelig føler vi, at vi har noget på hylderne, som medlemmerne kan få glæde af. Og at vi ikke bare tilbyder holdninger til mediepolitik eller nogle arrangementer i København,” siger han.
”Det er klart, at det er tænkt ind i en større sammenhæng, hvor vi gerne vil sikre vores medlemmer ved at tilbyde dem noget relevant,” siger han.
Hvis man melder sig ud af DJ, mister man adgangen til mailadressen. Men hvis man for eksempel skifter fra at lave journalistik til kommunikation, kan man forblive støttemedlem hos Journalisterne i DJ og derved betale for at opretholde mailadressen.
”Det er en kattelem, vi har lavet, for at folk ikke mister deres mail,” siger Rasmus Mark Pedersen.
Et par ulemper
Men selv om den nye, krypterede mailadresse ifølge formanden for Journalisterne i DJ er fuld af fordele, fortæller Rasmus Mark Pedersen også, at der er en pris at betale for den høje sikkerhed.
”Selve platformen er ikke lige så avanceret som for eksempel Googles, og man kan ikke få sine mails til at spille sammen med eksempelvis Microsoft Outlook. Man skal bruge Tutanotas platforme,” siger han.
Derudover vil spamsikringen heller ikke være lige så god som andre steder, fordi Tutanota ikke læser med i mailsene.
”Men det må man tage med for til gengæld at få en meget bedre sikkerhed,” siger Rasmus Mark Pedersen.
18 Kommentarer
Du skal være logget ind med dit DJ-login for at kunne kommentere på artiklen.
Hej Freja
Mit tillidsmandshjerte kvier mig jo lidt ved at få udført arbejde uden at betale for det, men mit frivillige foreningshjerte glæder sig meget over dit tilbud om at hjælpe os med et tema om digital sikkerhed på hjemmesiden. Så tak for det - lad os tage den bagom.
I forhold til hvordan vi - jeg in persona - informerer om den sikre mail, så synes jeg, du er lidt unfair. Jeg vil bede dig om at kigge på den medlemskommunikation, som vi laver. Jeg har lige sendt et nyhedsbrev ud, og du kan se, hvordan vi omtaler tilbuddet på vores hjemmeside: http://journalisterne.dj
Jeg håber, du opdager, at vi rent faktisk gør meget ud af både at oplyse om fordele og begrænsninger ved Tutanotas system. Hvis du har nogle ændringsforslag lige nu og her, så send det endelig til mig på mail.
Du skriver også, at Tutanota er en løsning, som "vi ikke er sikre på er sikker". Det, synes jeg, er utroligt ærgerligt, at du påstår det. Ja, jeg ved godt, at man i IT-sikkerhed aldrig kan påstå noget er 100 procent sikkert, men som Tutanota selv anfører ovenfor, så er der jo fordele og ulemper ved alle systemer. Og Tutanota er meget sikrere end Google eller de fleste af vores arbejdsgiveres systemer.
Det, vi diskuterede i bestyrelsen dengang vi besluttede os for at gå videre med Tutanota, var netop, at mange journalister har behov for en løsning, hvor kilderne ikke skal være IT-kyndige. Et andet problem med fx Signal er, at dine oplysninger ligger lokalt. Så du mister dit arbejde, hvis fx din mobil bliver væk. Det er også uholdbart for mange journalister, at ens data nemt kan blive væk. Så hellere at nogle andre, troværdige mennesker passer godt på dem.
Og det er sådan set min afsluttende pointe: Vi er helt med på, at vi ikke løser alle problemer med dette tilbud. Men hvis danske journalister begynder at bruge det, så har vi højnet sikkerhedsniveauet markant. Og så skal dem, der har behov for yderligere sikkerhed guides til det. Og det håber jeg, vi kan hjælpe hinanden til.
Bedste hilsner,
Rasmus MP
Ps. Til Michael - du kan desværre ikke bruge Tutanota til at kommunikere med det offentlige, fordi NemID ikke er integreret.
Min Huawei telefon har en mulighed for "hemmelig samtale" https://photos.app.goo.gl/mUQDmWn4w7vqxQmM8 hvor jeg kan sende en sms, der forsvinder efter 30 sekunder. Jeg mener også, at dropbox har en mulighed for at sende et link, hvor dokumentet så forsvinder efter en periode man selv bestemmer.
Hej igen
Signal kan bruges på både android og iphones, samt som desktop app til alle nyere computere. Og ja, modtagere skal også have det installeret, sådan fungerer end-to-end-kryptering – i Tutanota er det, at modtageren får et link til, hvor den sikre kommunikation skal foregå. Fordelen ved Signal er at det også krypterer metadata, og at dataen opbevares på ens egen computer/telefon, ikke deponeret i skyen/hos et privat firma.
Men min anke i forhold til Tutanota er ikke så meget om Signal eller andre programmer er bedre, mere at der er ricisi indbygget, som jeg synes vi har pligt til at fortælle medlemmerne om, før de tager programmet i brug. Og det synes jeg at Rasmus og Journalisterne forsømmer.
Og ja, Kurt, jeg synes også det er ærgerligt at vi nu får en langhåret offentlig debat om det ene eller program er sikkert, som sikkert får de fleste til at stå helt af på spørgsmålet om sikkerhed - derfor anbefalede jeg også at lade være med at tilbyde dem en løsning, som vi ikke er sikre på er sikker. Men når Journalisterne så alligevel gør det, synes som sagt at vi skylder også at fortælle om bekymringerne bag det - selvom det så ikke længere er en ren solstrålehistorie i Journalisten.
Diskussionen er bestemt spændende og super-relevant. Ikke bare for journalister, men jo også for den offentlige sektor, der alene peger på den løsning, som forbundet nu påtager sig at servicere.
For mit vedkommende er det super, for jeg ser hellere, at en korrespondance ligger i forbundsregi end hos en offentlig myndighed.
Og her så et spørgsmål:
Kan vi benytte den nye mail til korrespondance med det offentlige, der jo kræver sikker/krypteret korrespondance?
Hvad angår signal er det lidt op ad bakke, når man kan mailen med en kilde, der så skal have signal installeret - hvor det også er sådan, at det alene er android telefoner, der supporterer signal. (så vidt jeg kan læse mig frem til)
Journalisterne har efter min mening præsteret et glimrende initiativ med dette meget konkrete initiativ om at tilbyde sikker email. Derfor synes jeg ærlig talt, at det er bedrøveligt, at Freja Wedenborg kaster grus i maskineriet ved at advare mod dårlig sikkerhed i løsningen. Som Freja skriver:
"...en lang række sikkerhedseksperter har frarådet DJ at lave den krypterede mailadresse hos Tutanota. Det er en super fin idé, men der er en række problemer ved at deponere medlemmernes mest følsomme oplysninger hos et privat firma."
Jeg ved ikke hvem de navnløse eksperter er, men diskussionen af, hvor sikker løsningen bør være, kan dermed fortsætte i det uendelige. Er der sket noget de sidste år for, at DJ kan tilbyde medlemmer sikker mail? Nej, der rystes på hånden i angst for at påtage sig ansvaret. De navnløse eksperter rådgiver i DJ's lukkede udvalg, og det er først med det konkrete tilbud fra Journalisterne, at vi kan genoptage diskussionen. Jeg kender tyske Tutanota, firmaet bag Journalisternes initiativ, jeg har i flere tilfælde snakket med dem, og er overbevist om deres seriøsitet og de sikkerhedstanker, der ligger bag. De er rundet af at være vokset op i et overvågningssamfund, med et Stasi som en nærværende realitet frem for principielle idealer om den teknisk perfekte løsning, som åbenbart har foregået i MPU.
Alle sikkerhedseksperter kan fortælle dig om det i praksis umulige i at tilbyde et absolut sikkert (mail)system. I sidste instans sætter dine egne grænser for overtalelsesforsøg over moderat fysisk pres til direkte tortur grænser for din lyst til at beskytte din kommunikation. Derfor forekommer diskussionen om sikkerhed atter en gang som meget abstrakt. Men muligheden for at beskytte egne data og tage dem med sig uagtet ansættelsesforhold er for vigtig til at overlade til arbejdsgivere, selvbestaltede eksperter eller myndigheder for den sags skyld.
Derfor glæder jeg mig til at benytte mig af Journalisternes tilbud om sikker mail.
Flere