Artikel top billede

Sådan kan du sladre uden at afsløre hvem du er

Hvordan kan du lække informationer online uden at afsløre din identitet? De såkaldte whistleblower-systemer skal beskytte kilden og samtidig åbne for anonym dialog mellem modtageren og den ukendte meddeler.

Forleden kunne det amerikanske magasin New Yorker præsentere en ny open source-løsning, Strongbox, som skal gøre det lettere at lække informationer til medierne helt anonymt. Et sådant whistleblower-system skal garantere, at kilder kan aflevere informationer nemt og hurtigt uden at afsløre deres identitet.

Der er selvfølgelig mange metoder til at skjule sig online; men i de fleste tilfælde er det alligevel muligt at spore sig tilbage til den oprindelige ip-adresse og dermed den bruger, der har siddet bag skærmen. Desuden er der brug for en metode til at udveksle beskeder mellem modtageren og den person, der har sendt den oprindelige meddelelse - stadig uden at afsløre  identiteten.

Der kan være meget på spil for potentielle whistleblowere. Typisk er der risikoen for at miste sit job, hvis det bliver afsløret, at man har lækket fortrolige oplysninger fra sin virksomhed. Men konsekvenserne kan også være mere alvorlige.

Den aktuelle sag om den tidligere efterretningsofficer Anders Koustrup Kærgaard viser, at der også kan være store personlige omkostninger for whistleblowere. Han har lækket en videooptagelse med mishandlingen af irakiske fanger og blev i april idømt ugentlige bøder på 500 kroner i et halvt år i Københavns Byret. Sagen behandles nu i Østre Landsret.

Tab for virksomheden

Strongbox er ikke det eneste eksempel på et system, der skal beskytte whistleblowere mod fyring, retsforfølgelse eller det, der er værre. Danske Human Time har udviklet en løsning, som skal sørge for anonym dialog mellem virksomhed og whistleblower, og her mærker man en øget interesse for denne type af systemer.

"Efterhånden har der været så mange eksempler på virksomheder, der enten har været eksponeret uheldigt i pressen eller har oplevet intern økonomisk kriminalitet, der har været tabsgivende for virksomheden. Hvis virksomheden havde haft en whistleblower-ordning, er der en vis sandsynlighed for, at man havde kunnet undgå disse uheldige situationer," forklarer Jesper Dannemann, der er partner i Human Time.

Der er i øjeblikket ved at blive forhandlet et EU-direktiv, der i et eller andet omfang pålægger finansielle virksomheder at indføre en whistleblower-ordning. Det vides endnu ikke, hvordan den endelige udformning af direktivet bliver, eller hvornår det præcist skal træde i kraft.

Der er regler på området, der bl.a. foreskriver, hvilke oplysninger whistleblowere skal have i forbindelse med indberetningen til virksomheden. Man skal have indhentet tilladelse fra Datatilsynet, inden man kan implementere et whistleblower-system. Men sagsbehandlingstiden er meget lang.

Datatilsynet oplyser, at deres gennemsnitlige sagsbehandlingstid er fem måneder, men Human Time har kunder, der har ventet op til 14 måneder på tilladelsen.

"Desværre oplever vi nogen gange, at der kan herske en negativ opfattelse af ordet "whistleblowing", da det fejlagtigt benyttes som synonymt med ord som "sladrehank" og "stikker". Der er dog ikke belæg for disse opfattelser, da der gælder strenge krav til, hvad en whistleblower-ordning må benyttes til," siger Jesper Dannemann.

Bange for repressalier

Datatilsynet har bestemt, at et whistleblower-system alene må benyttes til indberetning af alvorlige sager som f.eks. økonomisk kriminalitet, personfarlig aktivitet eller miljøforurening. Der er altså ikke tale om, at man kan sladre om, hvem der kyssede med hvem til julefrokosten mv.

Retningslinierne fra Datatilsynet betyder blandt andet, at man ikke må benytte almindelige e-mails til indberetning af whistleblower-sager, da personfølsomme oplysninger af denne karaktér ikke må afsendes ukrypteret over det åbne internet.

Mange virksomheder tilkendegiver, at de ikke har behov for en whistleblower-ordning, da de har en åben virksomhedskultur, hvor alle medarbejdere kan kontakte ledelsen, hvis de oplever uregelmæssigheder internt i virksomheden.

"Problemet er, at der har været for mange eksempler på, at medarbejdere i tillid til udmeldingen om en åben virksomhedskultur har henvendt sig til ledelsen med den konsekvens, at de er blevet fyret, forflyttet, forbigået ved lønreguleringen, eller har oplevet tilsvarende negative konsekvenser. Der er derfor et åbenbart behov for at skabe en alternativ sikker og anonym kanal for whistleblowere," siger Jesper Dannemann.

I det danske system skal whistlebloweren i en web-browser klikke på "Indberet"-knappen og udfylde en enkel SSL-krypteret web-formular for at sende en indberetning.

"Det er essentielt at kunne tilbyde 100 pct. anonymitet til whistleblowere. Hvis en virksomhed ikke kan garantere anonymiteten 100 pct. over for whistlebloweren, er der stor sandsynlighed for, at indberetningen aldrig bliver foretaget, da whistlebloweren er bange for eventuelle repressalier qua de uheldige historier i medierne," siger han.

Historiens mest berømte anonyme kilde er nok "Deep Throat", som bidrog til afsløringen af Watergate-skandalen, der fældede den amerikanske præsident Richard Nixon. Kildens identitet blev først afsløret i 2005.

Kodelegende begik selvmord

Den amerikanske løsning Strongbox hos magasinet New Yorker bruger Tor-netværket til at anonymisere data og krypterer samtidig hele overførslen med PGP.

Den er udviklet af hacker-legenden Kevin Poulsen og aktivisten Aaron Schwartz, der begik selvmord i januar. Han var en af stifterne af internet-tjenesten Reddit, men stod anklaget for at have hacket elite-universitetet MIT. Hans arbejde med Strongbox-projektet er beskrevet i denne artikel.

Strongbox bygger på en serie af trin, der sammen skal garantere afsenderens anonymitet. Hele processen er beskrevet i denne infografik.

Det starter med, at meddeleren går på Tor-netværket. Herefter kan man så uploade sine filer eller beskeder, hvorefter afsenderen modtager et tilfældigt genereret kodenavn. Filerne bliver krypteret med PGP og sendt til en server, der er adskilt fra resten af medieselskabets netværk.

Redaktionen hos New Yorker bruger en bærbar computer med en VPN-forbindelse til at kontakte den dedikerede Strongbox-server og se, om der er kommet nyt materiale. Herefter bliver de krypterede filer downloadet til en usb-nøgle.

En anden bærbar computer, der ikke er forbundet med nettet, bliver så bootet fra en live-cd. Indholdet på denne computer slettes, hver gang den starter op. Det skal forhindre, at den f.eks. kan inficeres med malware, der aflurer informationerne.

Herefter bliver en anden usb-nøgle med PGP-krypteringsnøglerne sat i computeren. Den første usb-nøgle med det sendte materiale bliver så tilsluttet, og filerne bliver dekrypteret. Nu har journalisterne adgang til selve filerne.

Strongbox-systemet er indrettet sådan, at redaktionen har mulighed for at sende en besked tilbage til kilden - stadig uden at kende dennes identitet. Denne besked er kun synlig, hvis den oprindelige afsender vender tilbage til Strongbox og benytter det tildelte kodenavn. Ingen andre kan se beskeden.

Den bagvedliggende kode, kaldet DeadDrop, bliver nu frigivet som open source, og avisen forventer, at andre medier og organisationer vil bruge den til at bygge lignende systemer.

Kilde landede alligevel i fængsel

Denne artikel ser nærmere på, hvordan journalister kan kommunikere sikkert med whistleblowere. Her er netop Tor-netværket et godt redskab. Det sørger for at man kan udveksle mails og filer, uden at andre kan lytte med.

Den berømte og kontroversielle internet-tjeneste Wikileaks er også skabt for at hjælpe whistleblowere med at lække følsomme data uden at afsløre deres identitet. Det største kup kom, da Wikileaks kunne offentliggøre en stor samling med diplomatiske telegrammer fra amerikanske ambassader.

Men selvom Wikileaks har gjort alt for at sløre sine kilder, så har en af de formodede whistleblowere, Bradley Manning, nu siddet fængslet i to år på en amerikansk militærbase.

Hos GlobaLeaks arbejder man også på at skabe en open source-baseret whistleblower-platform, der skal sikre anonym kommunikation.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere