Många medieföretag lägger ut it-driften på entreprenad
Svenska medieföretag lägger ut it-uppdrag på externa bolag. Ändå menar it-cheferna att källskyddet inte är hotat. ”Det juridiska ansvaret ligger hos journalisten”, säger Johan Ribberheim, informationssäkerhetsansvarig på SVT.
Transportstyrelseskandalen upptog nyhetsflödet en stor del av sommaren, och mycket av kritiken som riktades mot myndigheten handlade om beslutet att outsourca hanteringen av känsliga uppgifter. Men många svenska medieföretag outsourcar också sin it visar Journalistens rundringning. Tidningarna i Bonnier News, däribland Dagens Nyheter, som var först med att berätta om skandalen på Transportstyrelsen, har outsourcat it-driften till leverantörer som har sina datacenters och sin personal i Sverige. Dessutom används molntjänster för e-posten, som finns i Office 365.
– I fallet för e-post har vi gjort en riskanalys och bedömt att Office 365 ger oss en bättre sammanvägd e-postsäkerhet, bland annat en säker lösning för tvåfaktorsautentisering, än om vi skulle ha e-posten hos en lokal leverantör i Sverige, säger Michael Pettersson, it-säkerhetsansvarig på Bonnier News.
På Sveriges Television har man extern expertis och externa servrar både i Sverige och utomlands.
– Delar av de administrativa systemet ligger hos en extern part i Sverige. Vi har vår e-post hos Microsoft i Europa. När det gäller våra produktionssystem och sändningssystem så ligger ingenting ute, säger Johan Ribberheim, informationssäkerhetsansvarig på SVT.
Finns källskyddade uppgifter på externa servrar?
– Ja och nej. Vi har sedan många år en lösning med PGP-kryptering. Källskyddat material får inte finnas i okrypterat skick i vår it-miljö. Ett krypterat dokument utan nyckel bedömer vi som tillräckligt säkert. Har man ett superscoop som utländska underrättelse- eller säkerhetstjänster ser ett högt värde i ska man inte hantera sådana uppgifter alls i en digital miljö.
Flera av de it-chefer och experter som Journalisten pratat med anser att det största problemet är okunskap om it-säkerhet bland journalister.
– Det är många som inte är insatta i it-säkerhetsfrågor trots att vi lever i en digital värld. Vi tillhandahåller verktygen och utbildningarna, men det juridiska ansvaret för källskyddet ligger hos den enskilda journalisten, säger Johan Ribberheim.
– Ett annat stort problem är att man lämnar digitala spår hela tiden. Man pratar i mobiltelefon, man skickar meddelanden, och även om de är krypterade så lämnar de spår. Man kanske träffar en källa på ett kafé och betalar med kreditkort, eller på bussen dit.
Inom NTM-koncernen har man valt att lagra all data internt i egna servrar just med tanke på källskyddet.
– Källskyddet är det vi har utgått från när vi valt system. Vi valde den lösningen för flera år sedan, och har valt att bygga vidare på den. Vi tar alltid den diskussionen med journalistklubbarna. Saker kan förändras över tid men just i de här dagarna känns det väldigt bra att vi har all drift som rör journalistiskt arbete internt, säger Christian Åvall, it-chef på NTM-koncernen.
På Mittmedia planerar man att gå i helt motsatt riktning. Till 2020 ska it-driften vara utlagd på entreprenad.
– Det är inte en del av vår kärnverksamhet att upprätthålla fysiska servrar i en datahall, säger Per Olofsson, it-chef på Mittmedia.
Var kommer servrarna att hamna?
– Det beror helt och hållet på hur vi klassar vår data. Viss data kommer att finnas i molntjänster, men känslig data, till exempel personuppgifter och källskyddat material kommer att hanteras på ett annat säkerhetsklassat sätt.
På Aftonbladet och Svenska Dagbladet vill man inte svara på Journalistens frågor. Schibsteds it-chef Anna Cobdal anser att uppgiften om huruvida man har externa servrar är en säkerhetsfråga som man inte diskuterar med utomstående.
Utläggningen av it-drift på externa bolag kan leda in på juridiskt osäker mark, särskilt om servrarna är placerade i andra länder. En hittills oprövad fråga är vad som händer om en åklagare begär husrannsakan rörande en server med källskyddade uppgifter som är placerad hos ett externt bolag, såväl i Sverige som utomlands.
– När åklagare ville genomföra husrannsakan mot Aftonbladet för att få tillgång till ett fotografi 2015 vann Aftonbladet den striden, eftersom meddelarfriheten hotades. Om åklagare vänder sig till ett externt bolag för att få ut sådana uppgifter borde källskyddet också gälla, men det är inte prövat och därför mer osäkert, säger Tove Carlén, ombudsman på Journalistförbundet.
– När det gäller källskyddet kan man inte vara nog försiktig. Förbundets uppmaning särskilt sedan FRA-lagen infördes är att alltid tänka på källskyddet i alla kommunikationer. Riskerna blir generellt större om man släpper kontrollen över driften, säger Tove Carlén.
Frilansjournalisten och föreläsaren Anders Thoresson har bevakat it-säkerhet i många år, bland annat ur källskyddsperspektiv och han sitter i Journalistförbundets yttrandefrihetsgrupp. Han menar att det inte behöver vara fel att lägga ut it-driften externt.
– När du lägger driften på ett annat bolag avsäger du dig en del av kontrollen, samtidigt som det kan vara en genväg till ökad säkerhet eftersom externa stora it-bolag har en större kompetens på it-säkerhet. Hur mycket resurser har ett svenskt mediebolag att lägga på att rekrytera kompetent it-personal? Men det gäller att man har koll på hur juridiken ser ut i de länder där man har servrarna, säger Anders Thoresson.
När det gäller källskyddat material menar Anders Thoresson att det sällan finns någon anledning att ha sådant på internetanslutna datorer.
– Uppgifter om skyddade källor ska man inte ha på en dator som kopplas upp till nätet.
