– Mange dokumentarister har sjokkerende naive rutiner i sin digitale hverdag, mener Tommy Gulliksen. Det holder ikke å bare videreføre prinsippene fra gamle dager for å holde kildene sine trygge.
– Kildevern står helt sentralt for journalister. Vi er villige til å gå i fengsel for å verne kildene våre. Men i praksis er ofte det digitale kildevernet nesten ikke-eksisterende, sier dokumentarfilmskaper Tommy Gulliksen.
Han mener det både blant dokumentarister og journalister slurves med mye av det digitale. Sensitiv informasjon blir liggende ubeskyttet på telefoner, disker og i skyer. I dag holdt han kurs om digitalt kildevern sammen med IT-konsulent Oscar Werner under Dokumentarkonventet, arrangert av store deler av dokumentarbransjen.
– Folk må kunne stole på at de kan komme til oss filmskapere med info uten å bli drept, fengslet eller miste jobben. Men vi beveger oss inn i en ny tidsalder. Journalister og dokumentarister er helt sikkert like opptatt av å beskytte sine kilder som tidligere, men de har kanskje mer enn nok med å følge med på den teknologiske utviklingen selv. Derfor er det viktig å sette seg inn i den. Det holder ikke å bare videreføre prinsippene fra gamle dager for å holde kildene sine trygge, understreker han.
– Jeg merket det selv da jeg jobba med Edderkoppen som gikk på TV2 i mai i år, om den første islamisten som ble terrorsiktet av PST. Da vi kom i kontakt med ham, havnet også vi inn i PST sin sone. Det er da man finner ut at man egentlig kan lite om digitalt kildevern.
Føre var
Gulliksen minner om at du ikke trenger å ha jobbet med kontroversielle dokumentarer for å havne i en situasjon som plutselig krever digital innsikt.
– Du kan ha laget en kortfilm uten særlig journalistisk eller dokumentarisk bakgrunn, og så velger en kilde å ta kontakt med deg. Det øyeblikket Laura Poitras ble kontaktet av Edward Snowden for eksempel, det øyeblikket er ikke noe du som filmskaper velger selv. Du velger ikke hvem som skal kontakte deg eller når. Men det er en situasjon du plutselig kan havne i, og ansvaret ditt begynner da.
– Det er kanskje et ansvar som oppleves for stort for deg. Nå var heldigvis Snowden dreven på sikkerhet, og tok mye av ansvaret for at kommunikasjonen mellom dem skulle foregå på en trygg måte. Men det kan også være at man blir kontaktet av noen med like eksplisitte opplysninger som ikke tenker på den digitale sikkerheten og sporene man legger igjen. Og det er egentlig ditt ansvar, selv om du heller ikke kan så mye om det.
Viktigheten av kildevern forbindes kanskje først og fremst med varslersaker, men Gulliksen minner om at dokumentarister også slipper inn i andre rom hvor kildene trenger beskyttelse.
– Vi filmer livene til folk i noen av de mest følsomme og sensitive situasjonene som finnes. Det kan handle om sykdom, tap, om å utlevere seg selv og kanskje barna sine – man står plutselig veldig naken. På samme måte som en lege har ansvar for pasientjournalen din – selv om den kanskje ikke inneholder noe oppsiktsvekkende – ønsker vi at de private opplysningene våre skal passes på.
– Disken hvor alt ligger, minnekortene – vi har faktisk et ansvar for hvordan dette materialet tas vare på. Ofte er det som ligger på disse diskene langt mer personlig enn hva en lege har i sin journal. Av personhensyn har vi kanskje utelatt deler av materialet fra den ferdige filmen. Men opptakene ligger fortsatt på noen disker. Hva skjer med dem?
Gulliksen presiserer at han ikke oppfordrer til et sikkerhetstyranni for journalister og dokumentarister, men heller en økt bevisshet rundt deres digitale jobbvaner.
– Enkle grep kan utgjøre en stor forskjell, mener han.
– Og den dagen du virkelig havner i en eksplosiv sak, er ikke meningen at du skal være en utlært ekspert, men at du oppfatter alvoret i situasjonen og får profesjonell hjelp og veiledning.
Hva må man passe på
– Det er vanskelig å henge med, for plutselig kommer det nye programmer, nye type telefoner, og nye måter å koble seg til nettverk. Bare det å lagre film – i min tid har vi gått fra taper til minnekort. Som filmskaper må man blant annet forholde seg til skylagring, synkronisering og hvilke måter man helst bør ta back up, forteller Gulliksen.
– I mange prosjekter er intervjuer anonymisert med digitale effekter i den ferdige filmen. Men råopptaket er sjelden anonymisert. Ofte ruller kamera fra før intervjuobjektet setter seg, til intervjuet er ferdig, og det er alltid noe i råopptakene som vil kunne avsløre hvem de er. Jeg sitter nå med ti år gamle taper fra Dokument 2 som jeg prøver å få destruert. De kan ikke bare kastes i søpla eller settes på et lager.
Det hører med til sjeldenhetene, men som saken rundt Ulrik Imtiaz Rolfsen har vist – en dokumentarist kan oppleve at noen kommer og tar tingene hans eller hennes. Gulliksen har også opplevd at opptakene hans ble konfiskert.
– Jeg ble pågrepet mens jeg var på jobb i Sverige i 2010, da beslagla de minnekortene mine. Rolfsen opplevde at PST tok harddisken hans. Da er det viktig hvordan man har satt opp slike ting. Er diskene krypterte? Hva med minnekortene?
– Datasikkerhet er et stort felt som man virkelig kan grave seg ned i, fortsetter Gulliksen.
– Utviklingen går fortere enn bevisstheten rundt det. Alle slurver med passord. Men en ting er at privatpersoner gjør det, noe annet er på jobb. Som dokumentarist har du et ansvar for andre menneskers sikkerhet. Det er særlig lett å undervurdere når man lager film i utlandet. Der har man å gjøre med folk som skal bli igjen i det landet, eller det regimet hvor du lager filmen. Det er vanskelig å vite hva som er risikoen for denne personen, og hvilke spor du legger igjen.
– I enkelte deler av verden kan det å prate med en dokumentarist være livstruende. Jeg har et filmprosjekt gående i Nord-Korea nå, for eksempel. Da nytter det ikke med norske forholdsregler.
Huskeliste
– Jeg mener overhodet ikke å være hovmodig her, eller påstå at noen er bedre enn andre. Mange har sjokkerende naive rutiner i sin digitale hverdag. Se bare på hva folk bruker av passord, det er en skattekiste for folk som vil misbruke opplysninger eller overvåke deg.
– Mye av kontakten mellom folk foregår nå via Facebook, mange bruker iMessage. Kommunikasjonsformene fra det private tar man med seg inn i jobbverdenen. Men du skal være ganske kyndig for å vite forskjellen på hvor og hvordan det er trygt å kommunisere og ikke, sier han.
– Bare på telefonen din vil det være mulig å rekonstruere hvem du har hatt kontakt med, telefonnummer, navn, alle sms-utvekslinger, anropslogg, eposter, hvilke bilder du har tatt. Det er utrolig mye som ligger der.
For filmskapere som jobber med film og tv påpeker han at det gjelder å kryptere diskene sine, og passe godt på dem. Det bør i tillegg gå kort tid fra opptaket er gjort og noe blir lagret på et minnekort, til innholdet lagres på et trygt sted, og man kan foreta en sikker sletting av minnekortet.
– Ikke bruk skytjenester. Ingen av dem, fortsetter Gulliksen.
– Finn trygge backupordninger. Og unngå gratis eposttjenester.
– Unngå kommunikasjon via Facebook og lignende sosiale medier. Bruk heller klassiske jobbmailtjenester som du må betale for. Du må ha så sikre kommunikasjonsformer som mulig. Så ikke bruk iMessage. Bruk heller appen Signal, for eksempel, som fungerer for både iPhone og Android. Der krypteres både sms-er og oppringingene. Det brukes mye av journalister og advokater, forteller han.
Han minner også på at med datalagringsdirektivet, lagres alle nettsøkene man gjør.
– Så gjør du research på temaer som vekker oppsikt, bruk web-browseren Tor. Det finnes også VPN-tjenester som krypterer forbindelsen, det er særlig viktig om du jobber i utlandet – i regimer som kan ha stor interesse av å finne ut hvorfor du egentlig er der. De vil gjerne ha tilgang til epostene du sender og hva du søker på. Med kryptert forbindelse kan du i tillegg benytte åpne nettverk uten at det gjør det enkelt for noen å overvåke deg.
Enkle tiltak
– Det er ikke snakk om at folk må legge om livene sine helt, understreker Gulliksen.
– Det kan begynne i det små – lag lange passord! Som Edward Snowden sier – ikke tenk på passord som ord, tenk på det som setninger. DerIngenSkulleTruAtNokonKunneBu er lett å huske, men samtidig et passord det er vanskelig å knekke. Det er mye bedre enn et tilfeldig passord med mange store og små bokstaver og tall etter hverandre, som i tillegg er vanskelig å huske. Det er ofte antall tegn som gjør et passord vanskelig å huske. Det anbefales 13 tegn eller mer.
– Det gjelder også koden på en iPhone. Om du har en firesifret kode er det ufattelig lett å låse den opp. Det er langt lurere å ha en kode satt sammen av mange forskjellige ting etter hverandre som er lette å huske. Fødselsdato, etterfulgt av telefonnummeret ditt og postboksnummeret ditt er vanskelig å knekke. For folk med nyere telefoner bruker du mesteparten av tiden fingeravtrykkleseren uansett, så det er sjelden du trenger det lange passordet. Men slike ting er lurt.
Gulliksen mener digitalt kildevern er som med nettvett og datavett. Det er først når dataen kræsjer at du tenker det hadde vært lurt å ta backup.
– På samme måte her – det er først når politiet beslaglegger noe, eller du mister eller blir frastjålet utstyr at du tenker faen, jeg burde hatt en 13-sifret kode. Da hadde jeg følt meg tryggere nå. Men sånn er vi skapt. Det er lett å være etterpåklok.
Den bevisste dokumentaristen
– Ikke tenk at du skal oppnå alle sikkerhetstiltak, men vær bevisst. Ingen gir deg en gratis epostkonto for å være snill, sier Gulliksen.
– Får du noe gratis er du ikke kunden, du er varen. Det er først når du betaler for en tjeneste at du er kunden. Hvis noe er gratis er det sannsynligvis noen andre som betaler for informasjon om deg, selv om det er litt uklart hvem. Vær særlig bevisst på slike gratistjenester i jobbøyemed. Profesjonelt bør du ha en rent betalt eposttjeneste. Det er en del av å utøve yrket ditt.
– Det er tingene vi disktuterer på kurset, forteller han.
– Forslag til bra tjenester, hvordan sette opp maskinen din best mulig, skru på File Vault på Macen, hvordan kryptere en harddisk, utrolig enkle ting. Ofte er det nok å huke av og trykke lagre, så er det på plass. Men når ingen ber deg om det er det lite sannsynlig at du gjør det av deg selv.
– Jeg var på et foredrag med de to finske journalistene som hadde et graveprosjekt gående mot det finske teleselskapet TeliaSonera. Teleselskapet fant ut om journalistenes arbeid, og satte ned en task force for å overvåke alt de foretok seg elektronisk. De leste epostene deres, så hvem de pratet med på telefon, og fikk dem til og med skygget. Det ble en kjempeskandale i Finland. De hadde i tillegg systematisk overvåket over åtti av sine ansatte for å finne den interne kilden i teleselskapet som lakk informasjon. Så driver du med et kritiske prosjekt om milliardselskaper skal du bare ikke tro at de alltid følger alle spilleregler.
– Det er vår jobb å være paranoide på varslernes vegne, mener han.
– Det var et tilfelle for noen år siden hvor en varsler i politiet fikk sparken fordi kommunikasjonen var kompromittert; han hadde brukt jobbmailen i kontakt med pressen. Det var en kjempetabbe fra varsleren, og som journalist eller dokumentarist kan du ikke alltid unngå slike ting. Du kan jo ikke bestemme hvordan noen tar kontakt med deg. Men det er likevel tungt for dem som jobba med saken å vite at varsleren som brakte saken frem i lyset måtte betale en dyr pris for å ha gjort det.
Gulliksens råd for bedre digitalt kildevern:
1) Unngå usikre kommunikasjonsformer, som iMessage, Gmail og Facebook
2) Unngå skytjenester
3) Krypter disker og pass godt på dem.
– Kildevern står helt sentralt for journalister. Vi er villige til å gå i fengsel for å verne kildene våre. Men i praksis er ofte det digitale kildevernet nesten ikke-eksisterende, sier dokumentarfilmskaper Tommy Gulliksen.
Han mener det både blant dokumentarister og journalister slurves med mye av det digitale. Sensitiv informasjon blir liggende ubeskyttet på telefoner, disker og i skyer. I dag holdt han kurs om digitalt kildevern sammen med IT-konsulent Oscar Werner under Dokumentarkonventet, arrangert av store deler av dokumentarbransjen.
– Folk må kunne stole på at de kan komme til oss filmskapere med info uten å bli drept, fengslet eller miste jobben. Men vi beveger oss inn i en ny tidsalder. Journalister og dokumentarister er helt sikkert like opptatt av å beskytte sine kilder som tidligere, men de har kanskje mer enn nok med å følge med på den teknologiske utviklingen selv. Derfor er det viktig å sette seg inn i den. Det holder ikke å bare videreføre prinsippene fra gamle dager for å holde kildene sine trygge, understreker han.
– Jeg merket det selv da jeg jobba med Edderkoppen som gikk på TV2 i mai i år, om den første islamisten som ble terrorsiktet av PST. Da vi kom i kontakt med ham, havnet også vi inn i PST sin sone. Det er da man finner ut at man egentlig kan lite om digitalt kildevern.
Føre var
Gulliksen minner om at du ikke trenger å ha jobbet med kontroversielle dokumentarer for å havne i en situasjon som plutselig krever digital innsikt.
– Du kan ha laget en kortfilm uten særlig journalistisk eller dokumentarisk bakgrunn, og så velger en kilde å ta kontakt med deg. Det øyeblikket Laura Poitras ble kontaktet av Edward Snowden for eksempel, det øyeblikket er ikke noe du som filmskaper velger selv. Du velger ikke hvem som skal kontakte deg eller når. Men det er en situasjon du plutselig kan havne i, og ansvaret ditt begynner da.
– Det er kanskje et ansvar som oppleves for stort for deg. Nå var heldigvis Snowden dreven på sikkerhet, og tok mye av ansvaret for at kommunikasjonen mellom dem skulle foregå på en trygg måte. Men det kan også være at man blir kontaktet av noen med like eksplisitte opplysninger som ikke tenker på den digitale sikkerheten og sporene man legger igjen. Og det er egentlig ditt ansvar, selv om du heller ikke kan så mye om det.
Viktigheten av kildevern forbindes kanskje først og fremst med varslersaker, men Gulliksen minner om at dokumentarister også slipper inn i andre rom hvor kildene trenger beskyttelse.
– Vi filmer livene til folk i noen av de mest følsomme og sensitive situasjonene som finnes. Det kan handle om sykdom, tap, om å utlevere seg selv og kanskje barna sine – man står plutselig veldig naken. På samme måte som en lege har ansvar for pasientjournalen din – selv om den kanskje ikke inneholder noe oppsiktsvekkende – ønsker vi at de private opplysningene våre skal passes på.
– Disken hvor alt ligger, minnekortene – vi har faktisk et ansvar for hvordan dette materialet tas vare på. Ofte er det som ligger på disse diskene langt mer personlig enn hva en lege har i sin journal. Av personhensyn har vi kanskje utelatt deler av materialet fra den ferdige filmen. Men opptakene ligger fortsatt på noen disker. Hva skjer med dem?
Gulliksen presiserer at han ikke oppfordrer til et sikkerhetstyranni for journalister og dokumentarister, men heller en økt bevisshet rundt deres digitale jobbvaner.
– Enkle grep kan utgjøre en stor forskjell, mener han.
– Og den dagen du virkelig havner i en eksplosiv sak, er ikke meningen at du skal være en utlært ekspert, men at du oppfatter alvoret i situasjonen og får profesjonell hjelp og veiledning.
Hva må man passe på
– Det er vanskelig å henge med, for plutselig kommer det nye programmer, nye type telefoner, og nye måter å koble seg til nettverk. Bare det å lagre film – i min tid har vi gått fra taper til minnekort. Som filmskaper må man blant annet forholde seg til skylagring, synkronisering og hvilke måter man helst bør ta back up, forteller Gulliksen.
– I mange prosjekter er intervjuer anonymisert med digitale effekter i den ferdige filmen. Men råopptaket er sjelden anonymisert. Ofte ruller kamera fra før intervjuobjektet setter seg, til intervjuet er ferdig, og det er alltid noe i råopptakene som vil kunne avsløre hvem de er. Jeg sitter nå med ti år gamle taper fra Dokument 2 som jeg prøver å få destruert. De kan ikke bare kastes i søpla eller settes på et lager.
Det hører med til sjeldenhetene, men som saken rundt Ulrik Imtiaz Rolfsen har vist – en dokumentarist kan oppleve at noen kommer og tar tingene hans eller hennes. Gulliksen har også opplevd at opptakene hans ble konfiskert.
– Jeg ble pågrepet mens jeg var på jobb i Sverige i 2010, da beslagla de minnekortene mine. Rolfsen opplevde at PST tok harddisken hans. Da er det viktig hvordan man har satt opp slike ting. Er diskene krypterte? Hva med minnekortene?
– Datasikkerhet er et stort felt som man virkelig kan grave seg ned i, fortsetter Gulliksen.
– Utviklingen går fortere enn bevisstheten rundt det. Alle slurver med passord. Men en ting er at privatpersoner gjør det, noe annet er på jobb. Som dokumentarist har du et ansvar for andre menneskers sikkerhet. Det er særlig lett å undervurdere når man lager film i utlandet. Der har man å gjøre med folk som skal bli igjen i det landet, eller det regimet hvor du lager filmen. Det er vanskelig å vite hva som er risikoen for denne personen, og hvilke spor du legger igjen.
– I enkelte deler av verden kan det å prate med en dokumentarist være livstruende. Jeg har et filmprosjekt gående i Nord-Korea nå, for eksempel. Da nytter det ikke med norske forholdsregler.
Huskeliste
– Jeg mener overhodet ikke å være hovmodig her, eller påstå at noen er bedre enn andre. Mange har sjokkerende naive rutiner i sin digitale hverdag. Se bare på hva folk bruker av passord, det er en skattekiste for folk som vil misbruke opplysninger eller overvåke deg.
– Mye av kontakten mellom folk foregår nå via Facebook, mange bruker iMessage. Kommunikasjonsformene fra det private tar man med seg inn i jobbverdenen. Men du skal være ganske kyndig for å vite forskjellen på hvor og hvordan det er trygt å kommunisere og ikke, sier han.
– Bare på telefonen din vil det være mulig å rekonstruere hvem du har hatt kontakt med, telefonnummer, navn, alle sms-utvekslinger, anropslogg, eposter, hvilke bilder du har tatt. Det er utrolig mye som ligger der.
For filmskapere som jobber med film og tv påpeker han at det gjelder å kryptere diskene sine, og passe godt på dem. Det bør i tillegg gå kort tid fra opptaket er gjort og noe blir lagret på et minnekort, til innholdet lagres på et trygt sted, og man kan foreta en sikker sletting av minnekortet.
– Ikke bruk skytjenester. Ingen av dem, fortsetter Gulliksen.
– Finn trygge backupordninger. Og unngå gratis eposttjenester.
– Unngå kommunikasjon via Facebook og lignende sosiale medier. Bruk heller klassiske jobbmailtjenester som du må betale for. Du må ha så sikre kommunikasjonsformer som mulig. Så ikke bruk iMessage. Bruk heller appen Signal, for eksempel, som fungerer for både iPhone og Android. Der krypteres både sms-er og oppringingene. Det brukes mye av journalister og advokater, forteller han.
Han minner også på at med datalagringsdirektivet, lagres alle nettsøkene man gjør.
– Så gjør du research på temaer som vekker oppsikt, bruk web-browseren Tor. Det finnes også VPN-tjenester som krypterer forbindelsen, det er særlig viktig om du jobber i utlandet – i regimer som kan ha stor interesse av å finne ut hvorfor du egentlig er der. De vil gjerne ha tilgang til epostene du sender og hva du søker på. Med kryptert forbindelse kan du i tillegg benytte åpne nettverk uten at det gjør det enkelt for noen å overvåke deg.
Enkle tiltak
– Det er ikke snakk om at folk må legge om livene sine helt, understreker Gulliksen.
– Det kan begynne i det små – lag lange passord! Som Edward Snowden sier – ikke tenk på passord som ord, tenk på det som setninger. DerIngenSkulleTruAtNokonKunneBu er lett å huske, men samtidig et passord det er vanskelig å knekke. Det er mye bedre enn et tilfeldig passord med mange store og små bokstaver og tall etter hverandre, som i tillegg er vanskelig å huske. Det er ofte antall tegn som gjør et passord vanskelig å huske. Det anbefales 13 tegn eller mer.
– Det gjelder også koden på en iPhone. Om du har en firesifret kode er det ufattelig lett å låse den opp. Det er langt lurere å ha en kode satt sammen av mange forskjellige ting etter hverandre som er lette å huske. Fødselsdato, etterfulgt av telefonnummeret ditt og postboksnummeret ditt er vanskelig å knekke. For folk med nyere telefoner bruker du mesteparten av tiden fingeravtrykkleseren uansett, så det er sjelden du trenger det lange passordet. Men slike ting er lurt.
Gulliksen mener digitalt kildevern er som med nettvett og datavett. Det er først når dataen kræsjer at du tenker det hadde vært lurt å ta backup.
– På samme måte her – det er først når politiet beslaglegger noe, eller du mister eller blir frastjålet utstyr at du tenker faen, jeg burde hatt en 13-sifret kode. Da hadde jeg følt meg tryggere nå. Men sånn er vi skapt. Det er lett å være etterpåklok.
Den bevisste dokumentaristen
– Ikke tenk at du skal oppnå alle sikkerhetstiltak, men vær bevisst. Ingen gir deg en gratis epostkonto for å være snill, sier Gulliksen.
– Får du noe gratis er du ikke kunden, du er varen. Det er først når du betaler for en tjeneste at du er kunden. Hvis noe er gratis er det sannsynligvis noen andre som betaler for informasjon om deg, selv om det er litt uklart hvem. Vær særlig bevisst på slike gratistjenester i jobbøyemed. Profesjonelt bør du ha en rent betalt eposttjeneste. Det er en del av å utøve yrket ditt.
– Det er tingene vi disktuterer på kurset, forteller han.
– Forslag til bra tjenester, hvordan sette opp maskinen din best mulig, skru på File Vault på Macen, hvordan kryptere en harddisk, utrolig enkle ting. Ofte er det nok å huke av og trykke lagre, så er det på plass. Men når ingen ber deg om det er det lite sannsynlig at du gjør det av deg selv.
– Jeg var på et foredrag med de to finske journalistene som hadde et graveprosjekt gående mot det finske teleselskapet TeliaSonera. Teleselskapet fant ut om journalistenes arbeid, og satte ned en task force for å overvåke alt de foretok seg elektronisk. De leste epostene deres, så hvem de pratet med på telefon, og fikk dem til og med skygget. Det ble en kjempeskandale i Finland. De hadde i tillegg systematisk overvåket over åtti av sine ansatte for å finne den interne kilden i teleselskapet som lakk informasjon. Så driver du med et kritiske prosjekt om milliardselskaper skal du bare ikke tro at de alltid følger alle spilleregler.
– Det er vår jobb å være paranoide på varslernes vegne, mener han.
– Det var et tilfelle for noen år siden hvor en varsler i politiet fikk sparken fordi kommunikasjonen var kompromittert; han hadde brukt jobbmailen i kontakt med pressen. Det var en kjempetabbe fra varsleren, og som journalist eller dokumentarist kan du ikke alltid unngå slike ting. Du kan jo ikke bestemme hvordan noen tar kontakt med deg. Men det er likevel tungt for dem som jobba med saken å vite at varsleren som brakte saken frem i lyset måtte betale en dyr pris for å ha gjort det.
Gulliksens råd for bedre digitalt kildevern:
1) Unngå usikre kommunikasjonsformer, som iMessage, Gmail og Facebook
2) Unngå skytjenester
3) Krypter disker og pass godt på dem.
Legg igjen en kommentar