När visselblåsartjänster kan avlyssnas

Efter SVT:s avslöjanden om Swedbanks penningtvätt har banken gjort ett oväntat tilltag. De har blockerat de anställdas möjlighet att komma åt SVT:s anonyma visselblåsartjänst, något bland annat SVT själva och DI har rapporterat om.  

Tilltaget i sig lär inte hindra bekymrade anställda från att nå SVT:s tipsredaktion på ett säkert sätt. De kan ju oavsett vad nå nämnd tjänst från hemmet. Det är dessutom därifrån som visselblåsartjänster bör användas. Swedbanks tilltag är på så sätt en bra påminnelse om att aldrig använda organisationens datorer eller nätverk för att kommunicera med visselblåsartjänster.

Hänglåset kan bedra

I Bli säker-boken pratar vi mycket om vikten av hänglåset i webbläsarens adressfält. Hänglåset garanterar att webbsidan som visas faktiskt ligger på adressen som står i adressfältet. Det indikerar också att anslutningen är krypterad så att ingen utomstående kan se informationen som skickas. När det gäller organisationers datorer och nätverk räknas dock inte organisationen i sig som utomstående.

Förr i tiden var merparten av all webbtrafiken okrypterad. Med hjälp av brandväggar kunde organisationer skanna all in- och utgående trafik. Skanningen gjorde att organisationerna kunde stoppa exempelvis nedladdningar av skadeprogram innan de ens nådde fram till de anställdas datorer. Idag, när merparten av webbtrafiken är krypterad, kan brandväggarna inte se innehållet i anslutningarna och därmed inte heller skanna efter skadeprogram.

För att lösa problemet började en ny typ av brandvägg användas. Den bryter upp alla anslutningar, något den kan göra tack vare ett tillhörande certifikat som installeras på organisationens datorer. Brandväggen dekrypterar alla anslutningar, skannar innehållet och krypterar dem på nytt. Denna process går helt obemärkt förbi för slutanvändarna och lösningen säkrar organisationen på samma goda sätt som var möjligt på den okrypterade tiden. Lösningen gör dock att organisationen också har teknisk möjlighet att se all data som överförs, och det gäller även om webbläsaren har ett hänglås i adressfältet.

Det är inte alla organisationer som använder denna typ av anslutningsuppbrytande brandvägg, men i grund och botten spelar det i sig föga roll. Organisationens utrustning bör ändå aldrig användas för att rapportera ärenden till visselblåsartjänster. Alla brandväggar kan, oavsett om de bryter krypteringen eller inte, se avslöjande metadata. De kan exempelvis se vilka webbsidor som de anställda besöker och hur mycket data de utbyter med de berörda webbplatserna. För en visselblåsare kan den informationen vara avslöjande nog.

Rapportera säkert

Om du behöver rapportera något till en visselblåsartjänst bör du alltid göra det från en dator och från ett nätverk som du har full kontroll över. Använd endast tipstjänster som är utformade för ändamålet och tänk på att aldrig skicka visselblåsarrapporter via mejl. Mejl som inte krypteras (vilket är omständligt) skickas vidöppet för nyfikna ögon. Ifall du behöver konversera säkert med en journalist använder ni lämpligtvis Signal i stället. Det är en säker och gratis app som finns till både Android och IOS.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar