Artikel top billede

Sådan kan du sladre uden at afsløre hvem du er

Hvordan kan du lække informationer online uden at afsløre din identitet? De såkaldte whistleblower-systemer skal beskytte kilden og samtidig åbne for anonym dialog mellem modtageren og den ukendte meddeler.

Forleden kunne det amerikanske magasin New Yorker præsentere en ny open source-løsning, Strongbox, som skal gøre det lettere at lække informationer til medierne helt anonymt. Et sådant whistleblower-system skal garantere, at kilder kan aflevere informationer nemt og hurtigt uden at afsløre deres identitet.

Der er selvfølgelig mange metoder til at skjule sig online; men i de fleste tilfælde er det alligevel muligt at spore sig tilbage til den oprindelige ip-adresse og dermed den bruger, der har siddet bag skærmen. Desuden er der brug for en metode til at udveksle beskeder mellem modtageren og den person, der har sendt den oprindelige meddelelse - stadig uden at afsløre  identiteten.

Der kan være meget på spil for potentielle whistleblowere. Typisk er der risikoen for at miste sit job, hvis det bliver afsløret, at man har lækket fortrolige oplysninger fra sin virksomhed. Men konsekvenserne kan også være mere alvorlige.

Den aktuelle sag om den tidligere efterretningsofficer Anders Koustrup Kærgaard viser, at der også kan være store personlige omkostninger for whistleblowere. Han har lækket en videooptagelse med mishandlingen af irakiske fanger og blev i april idømt ugentlige bøder på 500 kroner i et halvt år i Københavns Byret. Sagen behandles nu i Østre Landsret.

Tab for virksomheden

Strongbox er ikke det eneste eksempel på et system, der skal beskytte whistleblowere mod fyring, retsforfølgelse eller det, der er værre. Danske Human Time har udviklet en løsning, som skal sørge for anonym dialog mellem virksomhed og whistleblower, og her mærker man en øget interesse for denne type af systemer.

"Efterhånden har der været så mange eksempler på virksomheder, der enten har været eksponeret uheldigt i pressen eller har oplevet intern økonomisk kriminalitet, der har været tabsgivende for virksomheden. Hvis virksomheden havde haft en whistleblower-ordning, er der en vis sandsynlighed for, at man havde kunnet undgå disse uheldige situationer," forklarer Jesper Dannemann, der er partner i Human Time.

Der er i øjeblikket ved at blive forhandlet et EU-direktiv, der i et eller andet omfang pålægger finansielle virksomheder at indføre en whistleblower-ordning. Det vides endnu ikke, hvordan den endelige udformning af direktivet bliver, eller hvornår det præcist skal træde i kraft.

Der er regler på området, der bl.a. foreskriver, hvilke oplysninger whistleblowere skal have i forbindelse med indberetningen til virksomheden. Man skal have indhentet tilladelse fra Datatilsynet, inden man kan implementere et whistleblower-system. Men sagsbehandlingstiden er meget lang.

Datatilsynet oplyser, at deres gennemsnitlige sagsbehandlingstid er fem måneder, men Human Time har kunder, der har ventet op til 14 måneder på tilladelsen.

"Desværre oplever vi nogen gange, at der kan herske en negativ opfattelse af ordet "whistleblowing", da det fejlagtigt benyttes som synonymt med ord som "sladrehank" og "stikker". Der er dog ikke belæg for disse opfattelser, da der gælder strenge krav til, hvad en whistleblower-ordning må benyttes til," siger Jesper Dannemann.

Bange for repressalier

Datatilsynet har bestemt, at et whistleblower-system alene må benyttes til indberetning af alvorlige sager som f.eks. økonomisk kriminalitet, personfarlig aktivitet eller miljøforurening. Der er altså ikke tale om, at man kan sladre om, hvem der kyssede med hvem til julefrokosten mv.

Retningslinierne fra Datatilsynet betyder blandt andet, at man ikke må benytte almindelige e-mails til indberetning af whistleblower-sager, da personfølsomme oplysninger af denne karaktér ikke må afsendes ukrypteret over det åbne internet.

Mange virksomheder tilkendegiver, at de ikke har behov for en whistleblower-ordning, da de har en åben virksomhedskultur, hvor alle medarbejdere kan kontakte ledelsen, hvis de oplever uregelmæssigheder internt i virksomheden.

"Problemet er, at der har været for mange eksempler på, at medarbejdere i tillid til udmeldingen om en åben virksomhedskultur har henvendt sig til ledelsen med den konsekvens, at de er blevet fyret, forflyttet, forbigået ved lønreguleringen, eller har oplevet tilsvarende negative konsekvenser. Der er derfor et åbenbart behov for at skabe en alternativ sikker og anonym kanal for whistleblowere," siger Jesper Dannemann.

I det danske system skal whistlebloweren i en web-browser klikke på "Indberet"-knappen og udfylde en enkel SSL-krypteret web-formular for at sende en indberetning.

"Det er essentielt at kunne tilbyde 100 pct. anonymitet til whistleblowere. Hvis en virksomhed ikke kan garantere anonymiteten 100 pct. over for whistlebloweren, er der stor sandsynlighed for, at indberetningen aldrig bliver foretaget, da whistlebloweren er bange for eventuelle repressalier qua de uheldige historier i medierne," siger han.

Historiens mest berømte anonyme kilde er nok "Deep Throat", som bidrog til afsløringen af Watergate-skandalen, der fældede den amerikanske præsident Richard Nixon. Kildens identitet blev først afsløret i 2005.

Kodelegende begik selvmord

Den amerikanske løsning Strongbox hos magasinet New Yorker bruger Tor-netværket til at anonymisere data og krypterer samtidig hele overførslen med PGP.

Den er udviklet af hacker-legenden Kevin Poulsen og aktivisten Aaron Schwartz, der begik selvmord i januar. Han var en af stifterne af internet-tjenesten Reddit, men stod anklaget for at have hacket elite-universitetet MIT. Hans arbejde med Strongbox-projektet er beskrevet i denne artikel.

Strongbox bygger på en serie af trin, der sammen skal garantere afsenderens anonymitet. Hele processen er beskrevet i denne infografik.

Det starter med, at meddeleren går på Tor-netværket. Herefter kan man så uploade sine filer eller beskeder, hvorefter afsenderen modtager et tilfældigt genereret kodenavn. Filerne bliver krypteret med PGP og sendt til en server, der er adskilt fra resten af medieselskabets netværk.

Redaktionen hos New Yorker bruger en bærbar computer med en VPN-forbindelse til at kontakte den dedikerede Strongbox-server og se, om der er kommet nyt materiale. Herefter bliver de krypterede filer downloadet til en usb-nøgle.

En anden bærbar computer, der ikke er forbundet med nettet, bliver så bootet fra en live-cd. Indholdet på denne computer slettes, hver gang den starter op. Det skal forhindre, at den f.eks. kan inficeres med malware, der aflurer informationerne.

Herefter bliver en anden usb-nøgle med PGP-krypteringsnøglerne sat i computeren. Den første usb-nøgle med det sendte materiale bliver så tilsluttet, og filerne bliver dekrypteret. Nu har journalisterne adgang til selve filerne.

Strongbox-systemet er indrettet sådan, at redaktionen har mulighed for at sende en besked tilbage til kilden - stadig uden at kende dennes identitet. Denne besked er kun synlig, hvis den oprindelige afsender vender tilbage til Strongbox og benytter det tildelte kodenavn. Ingen andre kan se beskeden.

Den bagvedliggende kode, kaldet DeadDrop, bliver nu frigivet som open source, og avisen forventer, at andre medier og organisationer vil bruge den til at bygge lignende systemer.

Kilde landede alligevel i fængsel

Denne artikel ser nærmere på, hvordan journalister kan kommunikere sikkert med whistleblowere. Her er netop Tor-netværket et godt redskab. Det sørger for at man kan udveksle mails og filer, uden at andre kan lytte med.

Den berømte og kontroversielle internet-tjeneste Wikileaks er også skabt for at hjælpe whistleblowere med at lække følsomme data uden at afsløre deres identitet. Det største kup kom, da Wikileaks kunne offentliggøre en stor samling med diplomatiske telegrammer fra amerikanske ambassader.

Men selvom Wikileaks har gjort alt for at sløre sine kilder, så har en af de formodede whistleblowere, Bradley Manning, nu siddet fængslet i to år på en amerikansk militærbase.

Hos GlobaLeaks arbejder man også på at skabe en open source-baseret whistleblower-platform, der skal sikre anonym kommunikation.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Premium
Her er de bedste antivirus-programmer til Windows 10 lige nu (plus dem du nokskal holde dig fra)
Syv antivirus-programmer ligger helt i top, når det gælder om at levere solid antivirus-beskyttelse til Windows 10. Se listen over de bedste antivirus-programmer lige nu
Computerworld
Tysk unicorn-app stormer ind på det danske marked: Vil levere dine dagligvare-indkøb på 10 minutter
Gorillas er en app-drevet udbringningstjeneste, der er blevet kaldt for Europas hurtigstvoksende startup. Tjenesten vil nu udbringe dagligvare til danskerne inden for 10 minutter.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Whitepaper: Sådan kobler du kunstig intelligens på forskningen
Målrettet anvendelse af AI og High Performance Computing skyder genvej til indsigt i store mængder rå data og – i sidste ende – gennembrud i forskning og udviklingsarbejde.