Gevaarlijke informatie … en dan?

Stel je eens voor dat je je inbox opent en je vindt er een anonieme e-mail van iemand die belangrijke informatie, gevoelige documenten met grote internationale importantie met je wil delen. Die bron en de informatie hebben beveiliging van het hoogste niveau nodig.

Wat doe je?

Dit handboek is gemaakt als instructie voor het omgaan met informatiebeveiliging in het digitale tijdperk, hoe je je werk, je bronnen en je communicatie op verschillende risiconiveaus kunt beschermen.

Informatiebeveiliging (hierna ‘infosec’ van “information security”) is de verdedigingslijn tegen ongeautoriseerde toegang van je informatie. Dat kan een verslag zijn waar je aan werkt, alle bestanden die daarbij horen, de identiteit van je bronnen, je communicatie met hen en soms je eigen identiteit.

Je hoeft geen IT-expert te zijn om infosec toe te passen, hoewel je zeker veel leert als je ermee aan de slag gaat. Als je dit handboek gebruikt, leer je binnen een paar dagen hoe je versleutelde e‑mailberichten en documenten kunt versturen vanaf je eigen uitstekend beveiligde laptop.

Wie vormt een bedreiging?

De onthullingen van Snowden tonen aan dat bepaalde inlichtingendiensten van de overheid exorbitante mogelijkheden hebben om communicatie te onderscheppen en ongeautoriseerde toegang te verkrijgen tot data van vrijwel iedere pc of elektronisch communicatie-apparaat in de wereld. Dit kan een informatieveiligheidsrisico vormen voor onderzoeksjournalisten die werken aan verhalen die tegen de belangen ingaan van die overheden, hun diensten en de gecontracteerde private veiligheidsorganisaties.

Nog niet alle landen hebben uitgebreide, verfijnde technologieën, maar álle landen hebben surveillancevaardigheden die gebruikt kunnen worden en soms ook gebruikt zijn tegen journalisten met mogelijk ernstige consequenties voor die journalisten. Ethiopië, een technologisch minder ontwikkeld land, wordt ervan verdacht aanvallen op afstand te hebben uitgevoerd op journalisten die daar in Amerikaanse kantoren werkten.

In dit tijdperk van globalisering hebben sommige transnationale organisaties grotere rijkdom en macht dan veel soevereine nationale staten. Daarmee in overeenstemming hebben die organisaties soms meer capaciteiten/mogelijkheden op het gebied van veiligheid en surveillance dan overheden.

Het zijn bovendien niet alleen grote corporaties, maar ook van verfijnde criminele organisaties is bekend is dat ze indrukwekkende surveillancetechnologieën hebben. Sommige criminele organisaties hebben zelfs wellicht een overlap met criminele elementen in de overheid. Het leger van Mexico besteedde $350 miljoen aan surveillancemiddelen tussen 2011-2012. In diezelfde periode zijn negen journalisten in Mexico vermoord vanwege hun werk. Er wordt gerapporteerd dat het leger ondertussen technologieën heeft om tekstberichten, telefoongesprekken en e-mails te verzamelen, om op afstand audio van mobiele telefoons op te nemen en zelfs om beweging te detecteren door muren heen met radartechnologie.

Ongeautoriseerde toegang kan inhouden dat je data wordt misbruikt, onthuld, verstoord, aangepast, geïnspecteerd, opgenomen of vernietigd. Het kan jezelf en je bron in juridische of fysieke problemen brengen en de informatie kan in het hart van je verhaal worden getroffen of gecompromitteerd. In situaties waar sprake is van een hoog risiconiveau, kan infosec net zo belangrijk zijn als het dragen van een kogelvrij vest en het reizen met bodyguards. Maar omdat digitale gevaren onzichtbaar, gecompliceerd en vaak niet te detecteren zijn, kunnen ze gemakkelijk worden onderschat of over het hoofd worden gezien.

Sleepnetgevaar (dragnet)

Je zult je waarschijnlijk willen beschermen tegen zogenaamde sleepnet- of dragnet-surveillanceprogramma’s van US National Security Agency (NSA) en de UK Government Communications Headquarters (GCHQ) en sinds 2017 onze eigen Wet op de inlichtingen- en veiligheidsdiensten (Wiv) Deze programma’s verzamelen alle onlinedata en telecommunicatiedata ter wereld en kunnen deze analyseren. Waarschijnlijk is er onderzoek met terugwerkende kracht in de verzamelde gegevens mogelijk. Bijvoorbeeld politiediensten in het Verenigd Koninkrijk hebben opgeslagen data ingezien om honderden journalistieke bronnen te identificeren (IOCCO inquiry into the use of Chapter 2 of Part 1 of the Regulation of Investigatory Powers Act (RIPA) to identify journalistic sources, 4 februari 2015).

Infosec toepassen

Als je een effectieve journalist bent, zul je in de loop van je carrière merken dat je een paar wespen in hun nest verstoort. Daarom is het belangrijk om goede infosec toe te passen. Het moet gewoon worden om verschillende strategieën structureel te gebruiken die je gemakkelijk in je dagelijkse werk kunt inpassen. Het betekent ook dat je per geval moet bekijken welke beschermingsstrategie je moet toepassen. Die strategie verandert en vraagt meer van je als je sterkere infosec-methodes moet gebruiken als je aan gevoelige onderwerpen en/of met kwetsbare bronnen werkt.

De eerste stap om goede infosec toe te passen is daarom de bewustwording van de gevaren. De tweede stap is om je bewust te zijn van de kwetsbaarheden in je hardware en software. Het begrijpen van waarom en hoe kwaadwillende ongeautoriseerde toegang willen en krijgen, is de belangrijkste stap in het leerproces om jezelf ertegen te beschermen.

Legaliteit van de hulpmiddelen (Cryptolaw)

Ondanks het feit dat de zeer uitgebreide surveillance van burgers die de wet respecteren vrijwel zeker indruist tegen de internationale wetten over mensenrechten, is het gebruik van sommige tools die je helpen met het beschermen van je privacy in sommige gevallen (landen) illegaal. Verschillende van de privacy-tools die we in dit handboek bespreken zijn versleutelingstools. Die encryptie kan in sommige landen illegaal zijn of het kan zijn dat je er een licentie voor nodig hebt. Het gaat bijvoorbeeld om de landen China, Cuba, Iran, Libië, Maleisië, Noord-Korea, Singapore, Sudan, en Syrië.

Als je in een aantal van deze landen binnenkomt, kan het zijn dat je moet melden dat je encryptietechnologie op je laptop hebt staan. Je moet overwegen welke juridische implicaties het gebruik van versleuteling dan heeft en weloverwogen besluiten nemen over waar en wanneer het veilig is om de software te gebruiken. Hier vind je meer over de wetten over encryptie in verschillende landen: www.cryptolaw.org.

Het is ook belangrijk je te realiseren dat versleuteling niet meer automatisch betekent dat een overheid niet kan meelezen. Zo is in 2018 in Australië een controversiële wet aangenomen die toegang tot end-to-end-versleutelde communicatie verplichtstelt als bijvoorbeeld de inlichtingendienst daar om vraagt. Dat betekent dat men in Australië van techbedrijven kan eisen dat zij hun veilige berichtuitwisselingsplatforms “backdooren”. En dat maakt ons allemaal onveiliger online. Ook in het Verenigd Koninkrijk wordt een verplichte encryption backdoor overwogen.

In kaart brengen van gevaren

Er is veel informatie in dit handboek te vinden over verschillende gevaren en maatregelen die je kunt nemen om je tegen gevaren te verdedigen. Maar omdat de aanvalstechnologieën steeds veranderen en veel van de methodes volledig geheim zijn, kunnen we nauwelijks met enige betrouwbaarheid zeggen wat de exacte gevaren zijn, wanneer, waar en op wie ze van toepassing zijn, noch over de effectiviteit van de verdediging. Daarom is het van belang dat je zelf een persoonlijke risicoanalyse uitvoert en op basis daarvan passende verdedigingsmaatregelen ontwerpt, terwijl je dit boek doorleest en de instructies toepast.

Het is ook verstandig een aantal praktische zaken daarin mee te nemen – sommige gebruikers compromitteren hun infosec om tegemoet te komen aan praktische wensen en eisen in hun dagelijkse werk, terwijl ze zich bewust zijn van de risico’s. Dit terwijl andere gebruikers uitgekiende infosec toepassen die meer is dan ze eigenlijk nodig hebben, simpelweg omdat ze het voldoende eenvoudig in het gebruik vinden.

De basisvragen

Een paar basisvragen die je jezelf moet stellen als je het gevaar rondom infosec in kaart wilt brengen, zijn:

  1. Wie kunnen je tegenstanders of mogelijke aanvallers zijn?
  2. Over welke hulpmiddelen zouden mogelijke aanvallers kunnen beschikken?
  3. Hoe aannemelijk is het dat je potentiële aanvallers hun eigen tools tegen jou inzetten?
  4. Welke risico’s kunnen vanuit een gerichte aanval ontstaan voor jou en degenen met wie je communiceert en werkt?
  5. Welke risico’s kunnen ontstaan door passieve surveillance en hoe uitgebreid zijn de tools die worden gebruikt in een passieve surveillance?
  6. Welke strategieën voor bescherming zijn praktisch, veilig en effectief in relatie tot het geschatte risico?
  7. Welke strategieën zijn praktisch, veilig, effectief en te instrueren aan bronnen en collega’s in relatie tot het ingeschatte risico en/of de risico’s die ontstaan door de onderlinge communicatie?

Blijf op de hoogte

De gevaren veranderen door de tijd, maar dat geldt ook voor de technologieën die journalisten en burgers ter bescherming staan. Het is dus belangrijk infosec in theorie te begrijpen en jezelf steeds op de hoogte te stellen van actualiteiten rondom het toepassen ervan in de praktijk.