BreakingCIO Peter Cabello stopper i Pandora: "Det mit team har opnået på få år er intet mindre end enestående."

Sådan kan du sladre uden at afsløre hvem du er

Hvordan kan du lække informationer online uden at afsløre din identitet? De såkaldte whistleblower-systemer skal beskytte kilden og samtidig åbne for anonym dialog mellem modtageren og den ukendte meddeler.

Forleden kunne det amerikanske magasin New Yorker præsentere en ny open source-løsning, Strongbox, som skal gøre det lettere at lække informationer til medierne helt anonymt. Et sådant whistleblower-system skal garantere, at kilder kan aflevere informationer nemt og hurtigt uden at afsløre deres identitet.

Der er selvfølgelig mange metoder til at skjule sig online; men i de fleste tilfælde er det alligevel muligt at spore sig tilbage til den oprindelige ip-adresse og dermed den bruger, der har siddet bag skærmen. Desuden er der brug for en metode til at udveksle beskeder mellem modtageren og den person, der har sendt den oprindelige meddelelse - stadig uden at afsløre  identiteten.

Der kan være meget på spil for potentielle whistleblowere. Typisk er der risikoen for at miste sit job, hvis det bliver afsløret, at man har lækket fortrolige oplysninger fra sin virksomhed. Men konsekvenserne kan også være mere alvorlige.

Den aktuelle sag om den tidligere efterretningsofficer Anders Koustrup Kærgaard viser, at der også kan være store personlige omkostninger for whistleblowere. Han har lækket en videooptagelse med mishandlingen af irakiske fanger og blev i april idømt ugentlige bøder på 500 kroner i et halvt år i Københavns Byret. Sagen behandles nu i Østre Landsret.

Tab for virksomheden
Strongbox er ikke det eneste eksempel på et system, der skal beskytte whistleblowere mod fyring, retsforfølgelse eller det, der er værre. Danske Human Time har udviklet en løsning, som skal sørge for anonym dialog mellem virksomhed og whistleblower, og her mærker man en øget interesse for denne type af systemer.

"Efterhånden har der været så mange eksempler på virksomheder, der enten har været eksponeret uheldigt i pressen eller har oplevet intern økonomisk kriminalitet, der har været tabsgivende for virksomheden. Hvis virksomheden havde haft en whistleblower-ordning, er der en vis sandsynlighed for, at man havde kunnet undgå disse uheldige situationer," forklarer Jesper Dannemann, der er partner i Human Time.

Der er i øjeblikket ved at blive forhandlet et EU-direktiv, der i et eller andet omfang pålægger finansielle virksomheder at indføre en whistleblower-ordning. Det vides endnu ikke, hvordan den endelige udformning af direktivet bliver, eller hvornår det præcist skal træde i kraft.

Der er regler på området, der bl.a. foreskriver, hvilke oplysninger whistleblowere skal have i forbindelse med indberetningen til virksomheden. Man skal have indhentet tilladelse fra Datatilsynet, inden man kan implementere et whistleblower-system. Men sagsbehandlingstiden er meget lang.

Datatilsynet oplyser, at deres gennemsnitlige sagsbehandlingstid er fem måneder, men Human Time har kunder, der har ventet op til 14 måneder på tilladelsen.

"Desværre oplever vi nogen gange, at der kan herske en negativ opfattelse af ordet "whistleblowing", da det fejlagtigt benyttes som synonymt med ord som "sladrehank" og "stikker". Der er dog ikke belæg for disse opfattelser, da der gælder strenge krav til, hvad en whistleblower-ordning må benyttes til," siger Jesper Dannemann.

Bange for repressalier
Datatilsynet har bestemt, at et whistleblower-system alene må benyttes til indberetning af alvorlige sager som f.eks. økonomisk kriminalitet, personfarlig aktivitet eller miljøforurening. Der er altså ikke tale om, at man kan sladre om, hvem der kyssede med hvem til julefrokosten mv.

Retningslinierne fra Datatilsynet betyder blandt andet, at man ikke må benytte almindelige e-mails til indberetning af whistleblower-sager, da personfølsomme oplysninger af denne karaktér ikke må afsendes ukrypteret over det åbne internet.

Mange virksomheder tilkendegiver, at de ikke har behov for en whistleblower-ordning, da de har en åben virksomhedskultur, hvor alle medarbejdere kan kontakte ledelsen, hvis de oplever uregelmæssigheder internt i virksomheden.

"Problemet er, at der har været for mange eksempler på, at medarbejdere i tillid til udmeldingen om en åben virksomhedskultur har henvendt sig til ledelsen med den konsekvens, at de er blevet fyret, forflyttet, forbigået ved lønreguleringen, eller har oplevet tilsvarende negative konsekvenser. Der er derfor et åbenbart behov for at skabe en alternativ sikker og anonym kanal for whistleblowere," siger Jesper Dannemann.

I det danske system skal whistlebloweren i en web-browser klikke på "Indberet"-knappen og udfylde en enkel SSL-krypteret web-formular for at sende en indberetning.

"Det er essentielt at kunne tilbyde 100 pct. anonymitet til whistleblowere. Hvis en virksomhed ikke kan garantere anonymiteten 100 pct. over for whistlebloweren, er der stor sandsynlighed for, at indberetningen aldrig bliver foretaget, da whistlebloweren er bange for eventuelle repressalier qua de uheldige historier i medierne," siger han.

Historiens mest berømte anonyme kilde er nok "Deep Throat", som bidrog til afsløringen af Watergate-skandalen, der fældede den amerikanske præsident Richard Nixon. Kildens identitet blev først afsløret i 2005.

Kodelegende begik selvmord
Den amerikanske løsning Strongbox hos magasinet New Yorker bruger Tor-netværket til at anonymisere data og krypterer samtidig hele overførslen med PGP.

Den er udviklet af hacker-legenden Kevin Poulsen og aktivisten Aaron Schwartz, der begik selvmord i januar. Han var en af stifterne af internet-tjenesten Reddit, men stod anklaget for at have hacket elite-universitetet MIT. Hans arbejde med Strongbox-projektet er beskrevet i denne artikel.

Strongbox bygger på en serie af trin, der sammen skal garantere afsenderens anonymitet. Hele processen er beskrevet i denne infografik.

Det starter med, at meddeleren går på Tor-netværket. Herefter kan man så uploade sine filer eller beskeder, hvorefter afsenderen modtager et tilfældigt genereret kodenavn. Filerne bliver krypteret med PGP og sendt til en server, der er adskilt fra resten af medieselskabets netværk.

Redaktionen hos New Yorker bruger en bærbar computer med en VPN-forbindelse til at kontakte den dedikerede Strongbox-server og se, om der er kommet nyt materiale. Herefter bliver de krypterede filer downloadet til en usb-nøgle.

En anden bærbar computer, der ikke er forbundet med nettet, bliver så bootet fra en live-cd. Indholdet på denne computer slettes, hver gang den starter op. Det skal forhindre, at den f.eks. kan inficeres med malware, der aflurer informationerne.

Herefter bliver en anden usb-nøgle med PGP-krypteringsnøglerne sat i computeren. Den første usb-nøgle med det sendte materiale bliver så tilsluttet, og filerne bliver dekrypteret. Nu har journalisterne adgang til selve filerne.

Strongbox-systemet er indrettet sådan, at redaktionen har mulighed for at sende en besked tilbage til kilden - stadig uden at kende dennes identitet. Denne besked er kun synlig, hvis den oprindelige afsender vender tilbage til Strongbox og benytter det tildelte kodenavn. Ingen andre kan se beskeden.

Den bagvedliggende kode, kaldet DeadDrop, bliver nu frigivet som open source, og avisen forventer, at andre medier og organisationer vil bruge den til at bygge lignende systemer.

Kilde landede alligevel i fængsel
Denne artikel ser nærmere på, hvordan journalister kan kommunikere sikkert med whistleblowere. Her er netop Tor-netværket et godt redskab. Det sørger for at man kan udveksle mails og filer, uden at andre kan lytte med.

Den berømte og kontroversielle internet-tjeneste Wikileaks er også skabt for at hjælpe whistleblowere med at lække følsomme data uden at afsløre deres identitet. Det største kup kom, da Wikileaks kunne offentliggøre en stor samling med diplomatiske telegrammer fra amerikanske ambassader.

Men selvom Wikileaks har gjort alt for at sløre sine kilder, så har en af de formodede whistleblowere, Bradley Manning, nu siddet fængslet i to år på en amerikansk militærbase.

Hos GlobaLeaks arbejder man også på at skabe en open source-baseret whistleblower-platform, der skal sikre anonym kommunikation.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital Vækst 2021

Vi ved, at fremtidens vindervirksomheder er digitale. På konferencen undersøger vi de tre vigtigste aspekter i den digitale transformation: Forretningsmodellerne, de menneskelige og organisatoriske faktorer samt valget af teknologier. I tre Digitale Dilemmaer giver vi en række digitale frontløbere fem minutter hver til at levere deres bedste guldkorn, og herefter åbner vi for spørgsmål fra salen – også digitalt. Diskussionen modereres af chefredaktør på Computerworld, Lars Jacobsen.

21. januar 2021 | Læs mere


Strategiske it-sikkerhedsdage 2021

God it-sikkerhed er blevet en strategisk disciplin der kombinerer ledelse, adfærd, processer og teknologi. Men hvor lægger du niveauet? Hvad er vigtigt for forretningen og den drift? Hvad er knapt så vigtigt? Hvordan indtænker du it-sikkerheds-indsatsen strategisk? Hvad gør du, når skaden er sket? Bliv klogere på ”Strategiske it-sikkerhedsdage 2021: Trusler, tendenser og værktøjer”.

26. januar 2021 | Læs mere


Fuel your IT with the best-kept secret in IBM

It takes massive computing power to accurately calculate weather forecasts – and to secure that people and businesses are able to access detailed information about whether it is going to rain, shine, storm, or snow. In this seminar, you will have the chance to hear the British Met Office describe how they do exactly that.

28. januar 2021 | Læs mere






Premium
CIO Peter Cabello Holmberg stopper hos Pandora efter fem år: ”Jeg trives med transformationer, hvor det ikke bare handler om at ændre retningen fem grader"
Efter fem år i spidsen for it hos en af Danmarks største virksomheder stopper Peter Cabello Holmberg som CIO hos Pandora efter hans stilling er blevet sammenlagt med e-handelschefen. "Det er det rigtige at gøre."
Computerworld
Nokia tog afsked med tusindvis af ansatte efter kæmpe nedtur: Sådan går det for dem i dag
Mere end 21.000 forlod Nokia under selskabets nedtur, som også ramte hårdt i Danmark. Nu har forskere undersøgt, hvordan det er gået for de tidligere Nokia-folk.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
White paper
Kunsten at navigere i en tilpasningsøkonomi
Evnen til at tilpasse sig en verden i konstant forandring bliver afgørende for virksomhedens mulighed for at vækste i fremtiden. Ét af de finansielle håndtag du kan skrue på, er en hel eller delvis outsourcing af it-driften. I e-bogen ”Kunsten at navigere i en tilpasningsøkonomi” får du viden om, hvordan din virksomhed kan bruge tilpasningsøkonomi til at håndtere fremtidens krav til it. Vi spørger blandt andet: - Kan din virksomhed skalere og tilpasse sin digitale kapacitet og økonomi? - Har dine kunder tillid til, at du har de skarpeste it-løsninger? - Ville I kunne styrke forretningen ved at give jeres it mere fokus? - Kan I få øget funktionalitet til samme pris? Vi fokuserer på risiko, økonomi, fokus og valg af it-partner, som er fire opmærksomhedspunkter du skal have styr på for at lykkes med at tilpasse virksomheden til at modstå forandringerne i verden.