Slovenski mediji se na varovanje svojih digitalnih komunikacij požvižgajo

Slovenske medijske hiše za kibernetsko varnost bodisi nimajo denarja bodisi v njej ne vidijo smisla, saj »vsi vemo, da preiskovalnega novinarstva v Sloveniji praktično ni.«

Foto: Michael Coghlan
Foto: Michael Coghlan

V začetku leta 2012 je britanski novinar in režiser dokumentarnih filmov Sean McAllister pripravljal dokumentarec o političnih aktivistih v Siriji. Med drugim se je v Damasku srečal tudi z mladim računalnikarjem »Kardokhom« (tak je bil njegov spletni vzdevek), ki mu je pomagal navezati stike z drugimi oporečniki. Vendar so Kardokha vse bolj skrbele novinarjeve lahkomiselne komunikacijske navade, saj se je z viri pogovarjal po mobilniku, jim pošiljal sporočila sms in elektronska pisma.

»Takoj je bilo jasno, da se ne zaveda prisluškovalnih metod, ki jih uporablja sirski režim,« je Kardokh povedal za ameriško revijo CJR.

Njegova zaskrbljenost je bila upravičena. Ko so McAllistra aretirali agenti sirske obveščevalne službe in zaplenili njegove elektronske naprave (mobilnik, prenosni računalnik, kamero …), so pridobili tudi številne podatke o njegovih sogovornikih, saj novinar ni uporabljal niti najosnovnejših previdnostnih ukrepov – varnih gesel in šifriranja podatkov na disku. Ko je Kardokh izvedel, da je McAllister zaprt, je nemudoma izključil mobilnik, posvaril druge aktiviste in pobegnil iz države, saj je vedel, da bodo agenti kmalu obiskali tudi njega. Nekateri McAllistrovi sogovorniki so pravočasno pobegnili, druge so aretirali in nekatere celo ubili.

Eno leto pozneje je ameriška režiserka in novinarka Laura Poitras prebrala nenavadno elektronsko pismo. Neznani pošiljatelj jo je prosil, naj mu pošlje svoj javni šifrirni ključ. Poitras mu je poslala ključ in prejela novo šifrirano elektronsko sporočilo, ki ga je lahko odprla samo ona. Neznanec ji je poslal navodila za uporabo še bolj zaščitenega komunikacijskega kanala in čez nekaj časa ji je razkril prve dokumente o razsežnostih globalnega prestrezanja elektronskih komunikacij. Novinarka se je povezala z ameriškim blogerjem Glennom Greenwaldom in skupaj sta se odpravila v Hong Kong, kjer je neznanec dobil ime: Edward Snowden.

Novinarka bi zamudila največjo zgodbo v karieri, če ne bi znala odgovoriti na anonimno elektronsko pismo. Sirska tajna služba morda ne bi našla in zaprla političnih aktivistov, če bi znal McAllister zavarovati svoje podatke in zaščititi vire. Brez varnejše uporabe elektronskih komunikacij kmalu ne bo več mogoče opravljati novinarskega poklica, je v pogovoru za New York Times povedal Edward Snowden. »Vsako nešifrirano sporočilo, ki ga pošljete po svetovnem spletu, takoj konča pri vseh obveščevalnih službah na svetu, zato je nezaščiteno elektronsko komuniciranje med novinarjem in virom izjemno lahkomiselno.«

Priporočila varnostnih in medijskih strokovnjakov so bila jasna. Če bomo hoteli novinarji v elektronski dobi pridobiti in ohraniti zaupanje virov ter se zaščititi pred elektronskim nadzorom, se bomo morali naučiti novih veščin za varovanje zasebnosti – od uporabe šifriranih komunikacijskih kanalov do skrbnega zaklepanja podatkov na elektronskih napravah. Vendar številni hekerji, aktivisti in varnostni svetovalci opozarjajo, da medijska podjetja nimajo predvidenih varnostnih politik in usposabljanj niti za tiste novinarje, ki pokrivajo občutljive teme in morajo pri delu obvarovati identiteto svojih virov.

To velja tudi za Slovenijo, kjer ne manjka anekdotičnih primerov novinarske informacijske lahkomiselnosti. Skoraj noben novinarski kolega ali urednik ne uporablja niti najbolj osnovnih varnostnih orodij: varnega gesla, šifriranja elektronskih sporočil, pošte in elektronskih pogovorov, podatke in stike pa nezavarovano prenaša na pametnem mobilniku ali prenosniku. Nobeno medijsko podjetje ni izdelalo varnostnih protokolov, kdo ima dostop do občutljivih podatkov, kako komunicirati z viri in na kakšen način hraniti zaupne informacije. Na varnostnih delavnicah in kriptozabavah skoraj nikoli ni bilo novinarjev.

Vse to je bilo med strokovno javnostjo dobro znano, vendar za resnejšo analizo razmer niso dovolj samo anekdote. Zato smo lani skopaj z dvema profesorjema na ljubljanski fakulteti za družbene vede – Markom Milosavljevičem in Jernejem Amonom Prodnikom – zasnovali preprosto raziskavo ter jo objavili v jesenski številki Teorije in prakse.

Zanimalo nas je, kako so razkritja Edwarda Snowdna vplivala na delo slovenskih novinarskih redakcij. Za sogovornike smo izbrali odgovorne urednike vseh največjih slovenskih medijev (ali njihove namestnike), urednike oddaj, kjer novinarji uporabljajo preiskovalne metode, in nekaj novinarskih specialistov. Z njimi smo opravili poglobljene intervjuje in poskusili izvedeti, kakšno je njihovo poznavanje kibernetske varnosti, kako bodo poskrbeli za varovanje novinarskih virov v digitalni dobi in kako je razkritje globalnih elektronskih prisluškovanj vplivalo na njihovo delo.

Ugotovili smo, da se slovenske novinarske prakse po Snowdnovih razkritjih niso spremenile.

Nobena redakcija ni najela varnostnih svetovalcev, pripravila varnostnih protokolov ali poslala novinarjev na izobraževanje iz kibernetske varnosti. Nekateri sogovorniki so odgovarjali opravičujoče: da se načeloma zavedajo problema elektronskega nadzora (»slišali smo zgodbe o prisluhih«) ali so celo zaznali »nenavadno obnašanje računalnika ali telefona«, ampak ga ne znajo rešiti, ker imajo premalo tehničnega znanja in še manj denarja za varnostne tečaje. En urednik je dejal, da je debata o uporabi varnostnih orodij zgrešena, ker novinarji ne bi smeli igrati tajnih agentov, saj samo legitimno opravljajo svoj poklic. Podoben argument smo slišali večkrat, saj je več vprašanih sklenilo, da ne bodo podlegli strahu in paranoji, ker je njihovo delo transparentno in »ničesar ne skrivajo«. V eni izmed redakcij so celo potrdili, da bi lahko kdor koli neopaženo vstopil v njihove prostore, v drugi so se pohvalili, da za zaupnejše pogovore uporabljajo spletno aplikacijo viber.

V drugi skupini so bili intervjuvanci, ki so trdili, da telefonom in elektronski komunikaciji novinarji že tradicionalno ne smejo zaupati. Mentorji in predhodniki so jih naučili, da je treba vse občutljive informacije izmenjati ali predebatirati osebno. Povedali so, da svoje vire in komunikacijo varujejo tako, da »preklopijo na analogno« – da občutljivih informacij ne izmenjujejo v elektronski obliki, ampak se osebno srečujejo z viri ali uporabijo posrednike (»če delaš v Ljubljani, se lahko s skoraj vsakim virom še isti dan srečaš v mestu«). Zanje elektronski prisluhi niso bili velik problem, zato niso razmišljali o varnejši rabi elektronskih komunikacijskih orodij (»na računalniku nimam nič pomembnega«). Niso pa znali odgovoriti na vprašanja, povezana z metapodatki, ki jih shranjujejo operaterji in rutinsko zbirajo obveščevalne agencije. Prav tako niso bili seznanjeni z ugotovitvami raziskovalcev, da je v slovenskem komunikacijskem omrežju precej varnostnih lukenj.

Še bolj zanimivi so bili argumenti, da elektronski prisluhi v slovenskem medijskem prostoru niso resen problem, ker je domače preiskovalno novinarstvo precej specifično.

Več urednikov je priznalo, da v njihovi redakciji ali celo mediju ni preiskovalnega novinarstva. Slišali smo, da »v Sloveniji ni Snowdnov« in da mediji vsako leto objavijo komaj kako »resnično preiskovalno zgodbo« – ki ni zgolj objavljena govorica ali informacija, ki jo je novinarju posredovala določena interesna skupina (najbolj priljubljena oblika so anonimne ovojnice z dokumenti, ki se skrivnostno pojavijo na redakciji). Iz pogovorov je bilo mogoče razbrati sprijaznjenost, da je postalo novinarstvo samo nekakšno vrvohodstvo med interesnimi skupinami – čigave posredovane namige bo objavila določena redakcija – ali celo cinizem: kdo bo njim prisluškoval, če večina novinarjev v vsej karieri ni imela v rokah občutljive informacije ali se srečala s pomembnim virom.

Po objavi članka mi je več poznavalcev elektronskih komunikacij v neformalnih pogovorih povedalo, da orodja za varnejše elektronsko komuniciranje ne morejo zagotoviti zasebnosti, kadar postane novinar tarča hekerjev ali tajne službe, saj se noben posameznik ne more zavarovati pred naprednim kibernetskim napadom. Nekaj novinarskih kolegov je podvomilo, da bi se vlaganje v izobraževanje in varnostno politiko kateremu koli mediju v Sloveniji sploh izplačalo – da žvižgači in preiskovalno novinarstvo v našem medijskem prostoru ne bi pomagali prodati časopisov ali povečati gledanosti televizijskih oddaj. Izvedel sem tudi, da noben tehnološko ozaveščen žvižgač ne bi komuniciral po elektronskih kanalih – še zlasti ne z novinarji, ampak bi si pomagal s kurirji in posredniki. Najbolj pragmatičen pa je bil sogovornik, ki je trdil, da se morajo slovenski novinarji še najbolj bati delodajalcev, saj je elektronski nadzor na delovnem mestu pri nas daleč največji problem pri varovanju zasebnosti. Sploh zato, ker vse uprave iščejo načine, kako zmanjšati število zaposlenih in je lahko že kak nepreviden klik ali predolgo kosilo razlog za odpoved. Ali načine, kako omejiti neprijetne novice o nepravilnostih v podjetju – zlasti o kršitvah delovne zakonodaje med honorarnimi sodelavci.

Ti pomisleki so utemeljeni, vendar bi morali slovenski novinarji in medijske hiše kljub temu izboljšati (oziroma vzgojiti) varnostno kulturo.

Za nekdanje socialistične države je značilen nekoliko specifičen razvoj telekomunikacijskega omrežja. Telekomunikacije so bile večinoma centralizirane in so potekale preko osrednjih vozlišč, kar je tajni službi in policiji omogočalo lažji nadzor, ta arhitektura pa se je ohranila tudi pozneje, ko so privatizirani državni telekomi gradili širokopasovna omrežja. Zato je ostal zakonit nadzor telekomunikacijskega prometa razmeroma preprost.

Druga skupna značilnost je (ne)kultura varovanja zasebnosti, na kar so pogosto opozarjali uradi informacijskega pooblaščenca v regiji. Predstavnikom tajnih služb, policije ali celo nižjim državnim uradnikom je bilo težko dopovedati, da morajo pri dostopu do osebnih podatkov spoštovati določene zakonske omejitve. Nič nenavadnega ni bilo, če je policist za prijatelja preveril registrsko tablico simpatične neznanke ali je davčni uradnik mimogrede pogledal, koliko je zaslužil njegov sosed. Pomembno je tudi dejstvo, da je pri postavljanju telekomunikacijskega omrežja, informatike in spletnih storitev v zadnjih dvajsetih letih sodelovalo neznano število zunanjih sodelavcev, ki lahko danes delajo tudi kot zasebni detektivi ali informacijski plačanci – osebe z nepooblaščenim dostopom do informacij, ki so lahko zelo koristne za morebitno izsiljevanje, pritiske ali osebne napade, na kar so novinarji vedno občutljivi. Kriptografija sicer ni vsemogoča, ampak je mogoče že z uporabo prosto dostopnih varnostnih orodij dovolj dobro zmanjšati možnost za takšne vdore – podobno kot so kakovostna protivlomna vrata dovolj dobra varovalka pred priložnostnimi vlomi.

Orodja za varovanje komunikacijske zasebnosti niso pomembna samo kot učinkovite ključavnice, ki odvračajo priložnostne elektronske vlomilce. Novinarstvo je informacijski poklic in novinarji so dolžni upoštevati dobre prakse, ki veljajo pri delu s podatki – sploh osebnimi in zaupnimi. Na mojih elektronskih napravah je veliko osebnih informacij o mojih sodelavcih, sogovornikih in virih, ki sem jih dolžan varovati: telefonske številke, fotografije, sporočila, dopisovanje, osnutki člankov in dokumentov. Nobenega opravičila ne bi bilo, če bi te podatke izgubil skupaj z nezavarovanim mobilnikom ali ukradenim prenosnikom samo zato, ker nisem šifriral pomnilnika ali nastavil dovolj dolgega gesla. S takšno malomarnostjo ne bi le ogrozil posameznikov, ki so mi zaupali, ampak bi izgubil tudi velik del verodostojnosti, kadar bi od drugih zahteval visoko varnostno kulturo.

Informacijska varnost je le eno izmed številnih področij, kjer novinarji od drugih zahtevamo bistveno višje standarde, kot smo jih pripravljeni zagotoviti sami. Naša raziskava je pokazala, da slovenske novinarske redakcije kljub Snowdnovim razkritjem, opozorilom in dobrim praksam tujih centrov za preiskovano novinarstvo ne upoštevajo niti najbolj osnovnih pravil za varnejše elektronsko komuniciranje in novinarjem ne posredujejo znanja, ki ga potrebujejo za preiskovalno delo. Ob nedavni prisluškovalni aferi so številni mediji »iskali odgovorne« in se spraševali, kako so bili lahko arbitražni pogajalci in obveščevalci tako neprevidni, da so se pustili posneti tujim varnostnim službam, čeprav bi se zlahka tudi sami znašli na enakem sramotilnem stebru. Odnos do informacijske varnosti se bo zato spremenil šele takrat, ko bodo postali novinarji, internetni podjetniki, zdravniki, odvetniki, javni uslužbenci in drugi skrbniki občutljivih podatkov kazensko odgovorni zaradi malomarne izgube podatkov v nezavarovanih podatkovnih zbirkah, mobilnikih ali prenosnikih.

Izgube, ki nikoli ne prizadene samo krivca, kar so zelo kruto občutila imena, ki jih je sirskim tajnim policistom razkril neodgovorni Sean McAllister.

Lenart J. Kučić je raziskovalec medijev in novinar Sobotne priloge časnika Delo

Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto

Deli zgodbo 0 komentarjev