journalistik

Dags för journalister att läsa på om data voids

Publicerad 21 november, 2019

Data voids. Informationsluckor på nätet som utnyttjas av dem som vill sprida konspirationsteorier eller rykten. Journalister måste förstå hur de utnyttjas för att sprida dem, alla andra nätanvändare behöver reflektera över hur en sökmotor fungerar.

I veckans Digitalsamtal berättar forskaren Ulrika Hedman om svenska journalisters förhållningssätt till sociala medier. Själv brukar jag tjata om att journalister måste lära sig it-säkerhet, både för att skydda källor och sig själva. Men det finns fler aspekter av teknikutveckling och digitalisering som journalister – men egentligen alla internetanvändare – måste förstå.

En är data voids.

Första gången jag snubblade över begreppet var hösten 2018. Forskaren danah boyd (som bland annat grundat forskningsinstitutet Data & Society, väl värt att hålla koll på!) publicerade en lång text med rubriken Media Manipulation, Strategic Amplification, and Responsible Journalism. Nu har hon tillsammans med Michael Golebiewski skrivit ännu mer, ännu utförligare, om vad en ”datalucka” är, vilka konsekvenser de får och hur vi kan hantera dem: Data voids – Where Missing Data Can Easily Be Exploited.

Hur fungerar en sökmotor?

Innan vi kommer in på vad en datalucka är, först helt kort om hur en sökmotor fungerar. Google, Bing, DuckDuckGo och alla de andra sökmotorerna består, väldigt förenklat, av tre delar:

Ett del som surfar runt på nätet och samlar in all information som det hittar.
En del som analysar det som samlas in.
Och så själva sökmotorn, där vi användare knappar in våra sökbegrepp, sökmotorn tittar igenom all information som samlats in och analyserats och återkommer blixtsnabbt med en lista med länkar för oss att klicka oss vidare till.

Sökmotorerna skriver inga egna texter, spelar inte in egna filmer, skriver inte egna inlägg i sociala medier. De länkar bara till sånt som publicerats på annat håll, av andra.

Vad är en datalucka?

Av det här följer att hur bra länkarna i träfflistan är beror på hur bra det innehåll som sökmotorn hittat är. Det här är egentligen självklarheter, kanske sånt vi instinktivt förstår. Men det får konsekvenser:

Data voids exist because of an assumption baked into the design of search engines: that for any given query, there exists some relevant content. But this is simply not true. When search engines have little available content to return for a particular query, the “most relevant” content is likely to be low quality or problematic or both.

Sökmotorer kan bara jobba med innehåll som finns tillgängligt. Det som ligger överst måste inte vara ”bra”, bara ”bättre” än resten av det som finns tillgängligt. Men hur stor informationsmängd sökmotorn gallrar i tänker vi nog sällan på.

Kampen om att hamna högt i sökresultatet

Det här informationsunderskottet på vissa söktermer går att utnyttja. Search engine optimization, SEO, har blivit en aktivitet, ja till och med en hel bransch, som syftar till att bygga webbplatser som hamnar så högt upp som möjligt i sökresultatet. Ju högre upp, desto större chans att någon klickar sig vidare. Värdefullt för alla som har en närvaro på webben, man vill ju ha trafik.

Men där SEO i första hand handlat om att hitta sätt att sticka ut i träfflistan för populära sökningar tar de som utnyttjar dataluckorna en annan väg. De hittar, eller skapar, sökningar där konkurrensen är låg, publicerar innehåll som därmed med lätthet hamnar högt i resultatlistan och får sedan nätanvändare att börja söka på just de begreppen.

Hur gör man då det?

Journalister måste vara vaksamma med vilka begrepp de använder?

Här kommer journalisterna in. Ett sätt är nämligen att etablera nya begrepp som man sedan förmår journalister att skriva om, bland annat genom att använda trollkonton på Twitter som ställer ”läsarfrågor” till redaktionen där de här begreppen används. När läsarna sedan ser de här nya formuleringarna vänder de sig till nätet för att få veta mer. Och hamnar då i det ”riggade” sökresultatet.

Här går det för övrigt att göra en annan observation värdefull för journalister: Jag har sett diskussioner om hur Boris Johnsson på presskonferenser och i andra sammanhang använt formuleringar som när de citerats av journalister ”begravt” negativa artiklar om Johnson som använt samma begrepp, men egentligen handlat om helt andra saker.

Det finns ytterligare en annan aspekt som kopplar till arbetet på en redaktion:

Data voids are especially problematic for YouTube, which is working with far less data and using a recommendation engine to encourage users to stay on the site. /…/ Anywhere that a search or recommender system makes decisions based on public data, there is an opportunity for determined, data-literate manipulators to influence other users’ exposure to content.

I rapporten exemplifieras detta med hur antivaccin-kampanjer lätt får spridning på YouTube. Borde alltså fler redaktioner, myndigheter och andra som baserar sitt innehåll på fakta lägga upp det på YouTube för att förskjuta balansen på plattformen?

Fem typer av dataluckor

I sin rapport lyfter boyd och Golebiewski fram fem olika typer av dataluckor som utnyttjas

Stora, pågående nyhetshändelser (inte minst om de har en geografisk koppling, en liten ort som det tidigare skrivits om)
Nya, strategiskt utvalda, formuleringar (exemplet ovan, där man först skriver innehåll med en ny formulering och sedan på olika sätt etablerar begreppet i det offentlig samtalet)
Gamla, numera oanvända, formuleringar (sökmotorer prioriterar ofta nyare material framför gammalt)
Fragmenterade idéer (där begrepp som till synes är synonymer som leder åt olika håll)
Problematiska söktermer (formuleringar som inte besvaras av mer trovärdiga källor, och därmed istället kan leda till konspirationsteorier och propaganda)

Större problem för svenska journalister?

While this report focuses on the dynamics occurring in English on these sites, these problems are likely to be of even greater concern in non-English settings where there is even less data.

Eftersom storleken på problemet varierar med mängden tillgängligt innehåll är en logisk följd att det är lättare att hitta dataluckor att utnyttja på svenska än på engelska. Desto större anledning för svenska journalister att prata om detta alltså.

Foto: Evgeni Tcherkasski.

På måndag debatterar jag journalister och it-säkerhet i Stockholm

Publicerad 8 oktober, 2019

I våras presenterade Journalistförbundet en medlemsenkät om digitalt källskydd. Den visade tyvärr att medvetenheten om de här frågorna fortfarande är låg bland landets journalister. På måndag är jag i Stockholm ochdiskuterar ämnet hos Publicistklubben.

Som medlem i Journalistförbundets Yttrandefrihetsgrupp var jag med och genomförde källskyddsenkäten, som en uppföljning på liknande enkäter 2009 och 2012. De båda åren var svaren rätt nedslående.

Min förhoppning om att saker och ting skulle ha förbättrats rejält sedan sist kom tyvärr på skam. Många journalister återanvänder lösenord, få har kunskap om kryptering. Vilket för övrigt går att se återkommande exempel på i sociala medier, med journalister på både små och stora redaktioner som efterlyser källor i känsliga frågor, lovar källskydd med bara erbjuder en e-postadress som kontaktväg.

Som förberedelse inför – eller istället för – diskussionen på måndag kan man med fördel lyssna på det här avsnittet av podden Recode/Decode. John Napier Tye, grundare av organisationen Whistleblower Aid, är gäst och pratar bland annat om vilka verktyg de använder när de assisterar högprofilerade visselblåsare i USA.

(Bild från Journalisten, när tidningen skrev om källskydd i våras.)

Alla säkerhetshål påverkar inte dig

Publicerad 26 augusti, 2019

Braskande rubriker om nyupptäckta säkerhetshål riskerar många gånger att orsaka mer skada än nytta. De spelar roll för forskare och utvecklare, men för oss vanliga användare är de mest grundläggande råden kring it-säkerhet fortfarande relevanta.

Rubrik i tidningen Forbes: Apple's iPhone FaceID Hacked In Less Than 120 Seconds

Rubriken i det amerikanska affärsmagasinet Forbes kan inte annat än att upplevas som skrämmande. Apple’s iPhone FaceID Hacked In Less Than 120 Seconds. Hos källan som Forbes hänvisar till, Threatpost, är tonläget betydligt mer nedtonad: Researchers Bypass Apple FaceID Using Biometrics ‘Achilles Heel’.

Det här är ett färskt exempel på hur jag tycker att det ofta ser ut när media rapporterar om nyupptäckta säkerhetshål. Nischmedierna lite mer nyanserade, medan medier med bredare målgrupp slår på stora trumman.

Spelar det någon roll? Av flera skäl, skulle jag säga.

Skapar onödig oro hos allmänheten

Den första invändningen tangerar att vara mediekritik. Gå till dig själv. Hur många fler rubriker än artiklar läser du varje dag? Svår fråga att svara på, men rubrikerna är gissningsvis mångdubbelt fler än antalet artiklar. Rubriker som spetsar till omständigheterna lite extra kan vara ett sätt att locka fler till ett klick. Men samtidigt lämna dem som inte klickar med en felaktig bild av de faktiska omständigheterna.

I det aktuella fallet går det inte att anklaga Forbes för att fara med osanning. Men rubriken drar, i min mening, definitivt åt det sensationella hållet. Och det var också vad som fick mig att klicka på den. Efter att ha läst klart Forbes artikel, och Threatposts sammanfattning av forskarna presentation på den stora säkerhetskonferensen Defcon står det klart att a) det finns ett säkerhetsproblem som b) det är långt i från trivialt att utnyttja men c) de som utvecklar den här typen av biometriska säkerhetslösningar måste känna till och försöka hitta sätt att hantera.

För många rop på vargen är ett problem

Problemet är att den här typen av rapportering för den breda allmänheten blir som pojken som ropade vargen. Många säkerhetshål är av just det här slaget, intressanta och viktiga för utvecklare, men av mindre intresse för den genomsnittliga användaren.

Men, och det här är ett stort och viktigt men, emellanåt upptäcks säkerhetshål som är allvarliga i den bemärkelsen att de faktiskt påverkar användare här och nu, i stor skala. Säkerhetshål där användarna inte bara kan utan också behöver agera, exempelvis genom att uppdatera operativsystemet i sin mobiltelefon så snart som möjligt.

Men om man redan är uttröttad av braskande rubriker om än det ena och än det andra säkerhetshålet är risken stor att man inte tar det som är på allvar på allvar.

Känsla av att säkerhetsåtgärder inte spelar någon roll

Det största problemet med onyanserad rapportering kring nyupptäckta säkerhetsproblem är att det kan skapa känslan av att ingenting spelar någon roll. Om det hela tiden upptäcks nya säkerhetshål, varför då bry sig om vardagsråd om exempelvis vad som är bra lösenord?

Av den enkla anledning att vardagsråden ger ett bra skydd mot vardagsproblemen.

Att en forskargrupp hittar ett sätt att lura mobiltelefoners fingeravtrycksläsare är inte ett problem för de flesta av oss så länge det krävs massor av avancerad teknisk utrustning för att lyckas med det. Avancerade angrepp kommer möjligen utnyttjas mot högprofilerade måltavlor, men det är få av oss som är av intresse för exempelvis säkerhetsmyndigheter runt om i världen.

Däremot kan det vara många av oss som har en kollega eller klasskamrat som är lite för nyfiken av sig och har svårt att hålla fingrarna i styr om vi glömmer mobilen på bordet medan vi går på toaletten. I det läget är både fingeravtrycksläsare och pinkoder ett utmärkt skydd. Att det går att ta sig runt de skyddsmekanismerna är inte ett problem i det sammanhanget.

Därför slutar jag inte att tjata om kryptering

Publicerad 30 november, 2016

”Du kan påverka vad som ska granskas. Kontakta oss dold@svt.se – du kan självklart vara anonym.”

Så har det hänt igen. En redaktion som ägnar sig åt granskande journalistik ber sin publik om tips, inser att den som tipsar mycket väl kan tänkas vilja vara anonym och poängterar därför att källan givetvis får vara det om hen vill.

Detta i samma mening som e-post föreslås som kontaktväg.

Tyvärr är Dolds redaktion inte på något sätt unik. Det ser ut på liknande sätt hos exempelvis Hallands Nyheter och Göteborgs-Posten (del av samma mediakoncern, samma kontaktsida med okrypterat formulär). Dagens Industri en e-postadress i sidfoten och på kontaktsidan. Sidan som hamnar överst när jag googlar efter ”tipsa aktuellt” innehåller en Tänk på-ruta – som handlar om rättigheter för läsarinskickat material. Men inget om källskydd utöver att tipsare kan få vara anonyma. Uppdrag Granskning är som man kan förvänta sig något bättre (vanlig e-postadress i huvudtexten, men länk till säkrare tipsvägen TV-leaks i spalten till höger).

Det här är enligt min uppfattning ett representativt urval över hur det ser ut på svenska redaktioner. Några enstaka som tänkt till i frågan (guldstjärna till bland andra Dagens Nyheter, som på en skrikande röd bakgrund betonar kryptering), en majoritet som inte har gjort det.

Återkommande påminnelser bygger förhoppningsvis medvetenhet

Det här är en av de viktigaste anledningarna till att jag inte slutar tjata om kryptering. Att jag skriver om det här på min egen webbplats och föreslår PGP-krypterad e-post eller direktmeddelanden via Wire för kontakt. Att jag skriver om kryptering i Journalisten. I Internetguider. Att jag pratar om det i Digitalsamtal, att jag twittrar om det. Och att jag tjatar på släkt och vänner att det ska installera appar som Signal och Wire i sina telefoner, och i sin tur tjata vidare på sin släkt och sina vänner att göra det samma.

Allt detta trots att jag under 16 år som journalist fått ett enda tips skickat till mig via en krypterad kanal på internet. Och att jag bara använt kryptering vid några enstaka tillfällen över huvud taget. Men, det ska sägas: Vid de tillfällena har kryptering varit fullständigt nödvändigt, utan den hade kontakten med källan över huvud taget inte blivit av.

Men trots att jag inte ägnar mig åt journalistik där källorna normalt sett vill kunna kommunicera med mig i hemlighet gör många andra journalister det. Och det är inte heller bara i en eventuell roll som hemlig källa släkt och vänner behöver kryptering. Bara vetskapen om att en kommunikationskanal är end-to-end-krypterad gör att man betraktar den på ett lite annorlunda sätt. (End-to-end-kryptering innebär att ett meddelande krypteras i avsändarens telefon och är krypterat över internet, hela vägen fram till mottagarens telefon. Det innebär att det inte finns någon möjlighet för någon på vägen att avlyssna meddelandet.)

Att prata och skriva om kryptering är alltså mitt sätt att höja medvetenheten om kryptering. Vad det är, varför det behövs och – faktiskt – hur lätt det har blivit.

Kryptera nu – sen är det för sent

För journalister är det här ett sätt att visa omtanke gentemot sina källor. Men också ett sätt att göra sig tillgängliga för de källor som på egen hand funderat över risken att deras uppgifter hamnar i fel händer. Jag har inte på något sätt belägg för det här påståendet, men min magkänsla säger mig att det stämmer: Det kommer att bli allt vanligare att källor som kan avslöja riktigt stora saker väljer journalister som på förhand visat att de tänker på källskyddet. Och då inte bara som en viktig princip, utan hur man gör för att i praktiken skydda sin källa.

Mitt envisa tjat om kryptering hoppas jag ska vara ett sätt att göra framtida källor medvetna om den skillnaden: Att journalister håller källskyddet väldigt, väldigt högt – men att det inte är alla som har förmågan att leva upp till det.

Jag hoppas också att jag kan göra fler av mina kollegor runt om på landets redaktioner medvetna om problemen med bland annat e-post eller direktmeddelanden på Twitter, vilket är en annan kanal där jag sett profilerade reportar be om ”källskyddade tips”, och få fler av dem sluta be om tips via osäkra vägar.

Det har blivit enkelt att kryptera!

Någonstans tror jag att det finns en medvetenhet om de här problemen, men att bilden av hur krångligt det är att kryptera lever kvar. Tack och lov är det inte så längre.

Att skicka krypterad e-post är fortfarande bökigt. PGP är den beprövade metoden, och även om det blivit enklare är det fortfarande inte enkelt.

Alternativet är istället att välja någon av de mobilappar med inbyggd kryptering som dykt upp. Signal och Wire är två jag kan rekommendera, eftersom personer jag litar på har rekommenderat dem för mig. Och när det gäller Signal så finns det dessutom namnkunnigt folk som gett appen sitt stöd offentligt.

Men det finns fler appar som är krypterade: Apples iMessage är det. Facebook Messenger är det. WhatsApp är det. Och det är bra, eftersom det får fler att kommunicera krypterat utan att ens vara medvetna om det. Men i det här sammanhanget har de alternativen sina brister.

Krypteringen i iMessage fungerar bara mellan Apple-prylar. Och skulle avsändare eller mottagare för tillfället sakna internetuppkoppling kommer meddelandet att skickas som ett vanligt sms istället. Det vill säga utan kryptering.

Facebook Messenger och WhatsApp har bra kryptering, samma lösning som i Signal. Här är istället problemet Facebook. Det är helt enkelt onödigt för en journalist och dennes hemliga källor att använda meddelandetjänster som är en del av Facebook. Har man inte varit vänner i de sociala nätverken tidigare är det inte rätt tillfälle att bli det nu, när källan lämnar hemliga uppgifter till journalisten.

Inga journalister har råd att slarva med krypteringen

Så vilka journalister ska fundera på det här? Alla avslöjanden som startade med Edward Snowdens läckor har visat hur omfattande statlig övervakning är. Vilket givetvis är en varningsklocka för journalister som ägnar sig åt journalistik på den nivån att statliga övervakar har ett intresse i den.

Men också den som granskar det lokala näringslivet behöver vara medveten om hur lätt det är att avlyssna exempelvis okrypterad e-post. Har du avslöjat fusk med farligt avfall på den lokala kemifabriken? Har företagets IT-avdelning i så fall läst den e-post som du och källan skickat till och från hens e-postadress på jobbet? Sannolikheten för att svaret på frågan faktiskt är ”ja” är kanske liten. Men den personliga risken källan tar är fortfarande stor, och med det är den lilla extra insats som det tar att installera Signal eller Wire i telefonen inte att begära för mycket.

Att vara proaktiv i de här frågorna är att ge de källor som vill vara hemliga största möjliga förutsättningar att faktiskt vara hemliga. Se till att tidningens/radiokanalens/tv-programmets webbplatser föreslår alternativ till vanlig e-post så att redan den första kontakten kan tas på ett säkert sätt. Några e-postvändor in i kommunikationen kan det vara så dags att reportern föreslår en säkrare lösning.

Några lästips på vägen

Installerar du Wire eller Signal och får dina vänner eller källor att göra samma sak har du kommit väldigt långt. Vill du läsa mer rekommenderar jag bland annat:

Internetstiftelsen i Sveriges Internetguider – Jag är jävig, eftersom jag varit med och skrivit några av dem, men det här är ett bra ställe att börja på: Digitalt källskydd, Digitalt självförsvar, Kom igång med säkrare mobiltelefon, Kom igång med Tor och Kom igång med Tails.
Signal for Beginners – En bra introduktion till funktionerna i Signal.
Surveillance Self-defence – En gedigen samling tips från amerikanska Electronic Frontier Foundation.

Måsteläsning för alla journalister: Digitalt källskydd – en introduktion

Publicerad 28 april, 2015

Idag lanserade .SE och Journalistförbundet den uppdaterade versionen av Digitalt källskydd – en introduktion. Den första utgåvan skrevs av Sus Andersson, Petra Jankov Picha och Fredrik Laurin. Den här gången har även jag varit med i arbetet. Både vad gäller själva huvudguiden, men också genom att skriva de två XL-materialen om hur du kan kryptera e-post med PGP och surfa anonymt med Tor.

I den korta filmen här ovan ger jag några svar på varför journalister – alla journalister! – bör läsa den nya guiden. Och i ett blogginlägg som jag skrev efter vårens upplagor av Mediedagarna i Göteborg och Gräv lägger jag ut texten lite mer.

Om du inte redan är övertygad om varför det är viktigt att du som journalist läser Digitalt källskydd – en introduktion, börja då med mitt blogginlägg. Förhoppningsvis lyckas jag där övertyga dig om varför nätsäkerhet är något som du måste bry dig om. Oavsett om du jobbar med avslöjanden av internationellt intresse eller om du jobbar som lokalreporter.

Vill du och dina kollegor ha hjälp att komma igång, hör av er för att diskutera upplägg på föreläsning och/eller workshop om digitalt källskydd.

Om du som läser det här inte är journalist men gärna vill kontakta journalister på ett säkerhet sätt har du också glädje av att läsa guiden. Men den femte maj släpper .SE en guide riktad mot allmänheten: Digitalt självförsvar – en introduktion. Håll ögonen öppna efter den!

Nästa sida »