Gå direkt till textinnehållet

Schibsted övervakar sina journalister – med risk för källskyddet

SvDs och Aftonbladets journalisters digitala beteendedata registreras av ett amerikanskt it-säkerhetsbolag. ”Vi informerade inte tillräckligt om detaljerna om vad mjukvaran gör när den först rullades ut”, säger Schibsteds data- och teknikchef Sven Størmer Thaulow till Journalisten.

Sommaren 2020 införde Schibsted ett nytt skydd mot hackerattacker och ransomware – en EDR-programvara (Endpoint Detection & Response) som tillhandahålls av ett amerikanskt it-säkerhetsföretag. Mjukvaran övervakar datorer och varnar användare för potentiella skadliga filer och sajter, samt farliga enheter som befinner sig i samma nätverk. Övervakningen är automatiserad och bara om programmet slår larm är det aktuellt med manuell kontroll.

Schibsted hade sedan länge planerat att införa EDR-teknik för att skydda företaget från ransomware, men när pandemin tvingade anställda att börja arbeta hemifrån blev det bråttom. Risken för företaget att bli utsatt för en attack ökade om datorerna var utspridda i en mängd olika hemnätverk, i stället för samlade i Schibsteds interna nätverk.

Schibsted uppger för Journalisten att information om den nya programvaran skickades till samtliga anställda, men medger att flera detaljer utelämnades, bland annat missade man att berätta att programvaran registrerar filnamnen i alla datorer.

Thomas Berglund, ordförande i journalistklubben på Svenska Dagbladet, bestrider företagets påstående att personalen har informerats över huvud taget:

– Det är möjligt att det stämmer att information gick ut, men det är i så fall något som jag som klubbordförande – och vad jag kan förstå något som även övriga på SvDs redaktion, samt även de anställda på de norska tidningarna – har missat. De ansvariga har ju också ”pudlat” och erkänt att man i stort inte har informerat alls, säger Thomas Berglund.

– Vi har inga misstankar om att Schibsted spionerar på sina anställda, eller att källskyddet har röjts i något fall. Men eftersom EDR loggar filnamn finns det förstås en källskyddsrisk, säger Thomas Berglund.

Thomas Berglund, ordförande i journalistklubben på SvD.

Journalistklubben på SvD har uppmanat medlemmarna att aldrig inkludera namnet på en källa eller göra en källa spårbar när man döper en fil.

– Vill man vara på den säkra sidan måste man gå tillbaka och döpa om gamla filer för att undvika att namnet loggas, säger Thomas Berglund.

Att registreringen sker hos ett amerikanskt företag som lyder under amerikansk lagstiftning kan också vara problematiskt, menar han.

– Vad händer om amerikanska myndigheter får nys om att SvD planerar att avslöja något i stil med det som Assange avslöjade? Kan vi lita på vår EDR-leverantör?

EDR-programvaran registrerar domäner som användaren besöker, dock inte exakta sidor. Kollar en Aftonbladetreporter på en Youtubefilm på jobbdatorn registreras bara domännamnet, youtube.com, inte länken till den specifika videon.

Dessutom registrerar programmet andra enheter som ger sig till känna på samma nätverk. Om man jobbar hemifrån kan samboendes datorer och mobiltelefoner alltså registreras.

– Det har inte varit någon folkstorm här på redaktionen, men vi har medlemmar som är rejält förbannade på detta. Från klubbens sida menar vi att man borde ha gått ut med tydlig information när programvaran togs i bruk sommaren 2020. Jag förstod själv inte vad EDR-övervakningen innebar förrän jag nu i december tillsammans 150 andra upprörda och undrande Schibstedanställda deltog i en digital hearing som hade anordnats av fackklubben på norska Aftenposten, säger Thomas Berglund.

Han är djupt kritisk till att Schibsted undanhållit viktig information från de anställda.

– Det är uppenbart att företagets legitima behov av att skydda sig från nätattacker i det här fallet har krockat med de anställdas lika legitima krav på integritet och källskydd. Nu måste EDR genomlysas ordentligt, allt måste upp på bordet, inte minst när det gäller den amerikanska leverantören. Viktigare än vad man faktiskt gör, är vad man under andra betingelser skulle kunna göra. Med tanke på att Schibsted till mycket stor del är att medieföretag, med anställda journalister som bland annat har som uppdrag att granska digital övervakning i övriga samhället, är det uppseendeväckande hur taffligt detta har skötts, säger Thomas Berglund.

Sven Størmer Thaulow, teknikchef på Schibsted. Foto: Schibsted

Schibsteds data- och teknikchef Sven Størmer Thaulow uppger för Journalisten att EDR anses vara marknadsstandard och används av många mediehus för att skydda journalister och deras källor mot cyberattacker.

– Utan EDR blir vi blinda för om en hacker är aktiv på journalistens dator och samlar information om källor, säger Sven Størmer Thaulow.

Men han medger att man brustit i information till de anställda när programvaran installerades 2020.

– Vi har informerat om EDR, men vi informerade inte tillräckligt om detaljerna om vad mjukvaran gör när den först rullades ut. Den informationen gick vi ut med nu i december, säger Sven Størmer Thaulow.

Att mjukvaran registrerar alla filnamn på journalisternas datorer, innebär inte det en risk för automatiserade källskyddsbrott?
– Det finns en teoretisk risk för källskyddet, men det är viktigt att komma ihåg att det inte är någon person som sitter och läser informationen. Programmet samlar in information och skickar den till en server för automatisk analys. Metadatan raderas automatiskt efter en viss tid. Men vårt råd är att inte använda personlig eller känslig information i filnamnen eftersom det finns en risk, även om den är högst teoretisk. Programvaran registrerar inget innehåll i filerna, utan bara namnet på filen.

Registrerar programmet vilka journalisterna chattar med eller mejlar?
– Nej. IP-adresser registreras, men när du chattar eller mejlar går kommunikationen via olika servrar och därför kan man inte med hjälp av EDR-programmet se vem du har kontakt med. Det borde i alla fall inte vara möjligt, med det jag vet om programmet.

Ni har anlitat ett amerikanskt it-säkerhetsföretag. Kommer de att lämna ut metadata om amerikanska myndigheter kräver det?
– Alla företag som kan tillhandahålla EDR-tekniken är i dagsläget amerikanska eller israeliska. Precis som andra teknikföretag är de helt beroende av att kunderna kan lita på att uppgifterna är skyddade, så skulle de lämna ut uppgifter utan att ta juridisk strid skulle de vara körda.

Hur är det med registreringen av andra enheter i samma nätverk, innebär inte det en risk? Om man till exempel träffar en anonym källa och båda sitter uppkopplade på samma nätverk?
– Den risken är väldigt liten. Risken att bli utsatt för ransomware är oerhört stor, men de risker som vi ser för att källskyddet skulle röjas är mycket små och högst teoretiska. Arbetar man med exceptionellt känsliga uppgifter, som Pandora Papers eller en kartläggning av ett globalt pedofilnätverk, då ska man använda helt stängda system, det vill säga datorer som inte är uppkopplade mot nätet. Och även om man skulle vara inkopplad i samma nätverk som en källa går det inte att se vad som sker på källans dator.

Så EDR-programmet registrerar inte när någon i familjen går in på Pornhub på en annan dator i samma hemnätverk?
– Nej, men om du går in på Pornhub på en av Schibsteds datorer registreras det att du har varit där men inte vad du tittat på. Det är ju som sagt var ingen som kommer att se det om inte ditt surfande leder till att det hamnar skadliga filer på datorn och man behöver vidta åtgärder manuellt. Man får använda sin jobbdator privat, men ska man privatsurfa på sidor som man inte vill att arbetsgivaren under några som omständigheter ska få kännedom om … ja, jag skulle avråda från att använda jobbdatorn, säger Sven Størmer Thaulow.

Fler avsnitt
Fler videos