Elektronisk kildevern i NRK

NRK har gjenopptatt samarbeidet med Nasjonal sikkerhetsmyndighet for å avverge datainnbrudd. Vi er forberedt på at det kan skape debatt.

Datasikkerhet

Nasjonal sikkerhetsmyndighet, NSM, meldte nylig om at 50 norske bedrifter var utsatt for datainnbrudd og at slike innbrudd har økt kraftig i år.

Foto: THOMAS PETER / Reuters
Per Arne Kalbakk
Nyhetsdirektør i NRK
Kommentarvignett ytring RIKTIG

Når en varsler tar kontakt med NRK via vanlig e-post er det allerede lagt ut digitale spor som kan sette kildevernet på en prøve. Mye av dagens journalistikk foregår via elektronisk kommunikasjon. E-post er et viktig arbeidsredskap for journalistene. Samtidig kan e-post misbrukes for å ramme NRK.

Nasjonal sikkerhetsmyndighet, NSM, meldte nylig om at 50 norske bedrifter var utsatt for datainnbrudd og at slike innbrudd har økt kraftig i år. Det er ingen grunn til å tro at dette vil avta.

En vanskelig diskusjon

NRK skal drive kritisk og uavhengig journalistikk mot myndigheter og maktinstitusjoner i Norge. Kilder som kommer til oss med informasjon skal være trygge på at vårt krav til kildevern er en ufravikelig forutsetning.

Vår evne til å ivareta det absolutte kildevernet kan bli satt på prøve.

Per Arne Kalbakk, Nyhetsdirektør

Samtidig er NRK pålagt et særskilt beredskapsansvar som innebærer at NRKs infrastruktur må sikres best mulig. Det er derfor et stort dilemma for NRK at vi både skal drive kritisk journalistikk mot sentrale samfunnsinstitusjoner og samtidig være knyttet til noen av disse ved at vi er en del av den nasjonale beredskapen. Vår evne til å ivareta det absolutte kildevernet kan bli satt på prøve.

Vi har vært gjennom en diskusjon om dette nå, og den har vært vanskelig.

Data på avveie

Tidligere hadde NRK en avtale med Nasjonal sikkerhetsmyndighet om bistand til å avverge datainnbrudd. Det skjedde gjennom en såkalt VDI-sensor som var utplassert i NRK. Sensorsystemet hjalp oss med å håndtere angrep.

NSM har tilsvarende avtaler med en rekke offentlige institusjoner og selskaper som har ansvaret for samfunnskritisk infrastruktur. Men NRK valgte å avvikle denne ordningen i 2010 av hensyn til kildevernet. Flere mente at det var en risiko for at data fra disse sensorene kunne komme på avveie og bli misbrukt av myndighetene.

For at vi skal kunne drive god undersøkende journalistikk må vi være bevisst på den risiko det er å kommunisere med kilder på epost.

Per Arne Kalbakk, Nyhetsdirektør

Men etter fire år uten et slikt varslingssystem, vurderer vi risikoen for dataangrep som for høy og vi har besluttet at NSM på nytt skal plassere en VDI-sensor på vårt nettverk.

NRK vurderer den tjenesten NSM kan tilby oss som sikker med hensyn til kildevernet. NRK kunne ha etablert et varslingssystem selv eller vi kunne ha kjøpt en kommersiell tjeneste. Men heller ikke disse alternativene vil kunne garantere kildevernet hundre prosent. Vi har derfor valgt Nasjonal sikkerhetsmyndighet, som kontrolleres av Stortingets EOS-utvalg, som den beste løsningen.

Vi ønsker åpenhet om dette

Sensorovervåkningen omfatter kun trafikkdata og ikke innholdet i e-postene. Dersom identifiserbare personopplysninger likevel oppdages, skal dette loggføres, gjøres kjent for NRK og forelegges EOS-utvalget.

Samtidig har vi satt i gang flere parallelle løp for å sikre at informasjon ikke kommer på avveie, samt å tilby verktøy for å ivareta kildevernet.

Per Arne Kalbakk, Nyhetsdirektør

Etter det NRK kjenner til, er det til nå ikke avdekket misbruk av data fra sensorordningen. EOS-utvalget gjennomfører fire tilsyn med NSM i året. Vi har valgt en løsning som er under demokratisk kontroll.

NRK ønsker åpenhet om dette. For at vi skal kunne drive god undersøkende journalistikk må vi være bevisst på den risiko det er å kommunisere med kilder på e-post. Det kan sammenlignes med å sende et postkort. Det plikter vi å fortelle våre kilder, og minne våre journalister om.

LES OGSÅ: Svar fra NRKs journalistlag

Forberedt på diskusjon

Samtidig har vi satt i gang flere parallelle løp for å sikre at informasjon ikke kommer på avveie, samt å tilby verktøy for å ivareta kildevernet. Tips fra publikum er allerede i dag kryptert i portalen «Nyhetstips 03030». På nyåret 2015 vil alle nye bærbare maskiner leveres med kryptert harddisk. I tillegg vil vi fortløpende kryptere eksisterende maskiner. Våre journalister skal på kurs og lære seg mer om kryptering og hvordan man generelt beskytter seg mot datatyveri og «avlytting». Løsninger for kryptering av tale og SMS på mobiltelefon er under testing.

Vi er forberedt på diskusjon rundt vår beslutning og det enkleste hadde vært å la være å gjenoppta et samarbeid med NSM om varsling mot datainnbrudd.

Men da hadde vi også måtte stå for en slik beslutning i etterkant, om noe skulle skje.

Allmennkringkastere blir stadig oftere utsatt for sabotasjeforsøk, og så lenge vi er en del av den nasjonale beredskapen må vi forholde oss til det. Men med en bevissthet rundt dette mener vi at vi fortsatt skal klare å verne våre kilder.