måndag 6 april 2009

Öppna nätverk & IPRED i SR Östergötland, Brev nr 2, nu även om mordvapen...

Reportagen om öppna nätverk fortsatte med bl.a. början till en (i mitt tycke oavslutad) granskning om polisens IT-säkerhet, så utöver förra öpppna brevet blev det ett till nedan. Under det följer litet om ett svar från dem samt en replik från mig.

---------- Forwarded message ----------
From: Erik Sundvall
Date: 2009-04-03
Subject: Om öppna nät-reportagen, ett skrivfel på er web (och mordvapen)
To: tahir.yousef@sr.se, nyheter.ostg@sr.se, program.ostg@sr.se

Öppet brev #2 till redaktionen för Radio Östergötland

Hej!

På sidan...
http://www.sr.se/ostergotland/nyheter/artikel.asp?artikel=2741994
(kollat nu kl 9:36)
...har ni nog fått in ett skrivfel...
"Senare när dom här teknikerna kanske ansluter sig i dom skyddade
nätverken som polisen har, så kan man ju använda de här datorerna för
att ta sig vidare in i polisens stängs nätverk, säger Rickardsson."
...ordet "stängs" ska nog vara "stängda".

Nu till potentiellt allvarligare felaktigheter:

Att man använder ett öppet nät betyder inte att man automatiskt är
utsatt för säkerhetsrisker, det är hur man använder nätet och vilka
säkerhetslager man själv lägger på över det öppna nätet som avgör
risken.

Om jag förstår Rickardsson rätt så är det en "man in the
middle"-attack han är orolig för. Kan ni kolla om det var det han
menade och i så fall om det stämmer t.ex. komplettera er webbtext med
en länk till http://en.wikipedia.org/wiki/Man-in-the-middle_attack
(läs det gärna som fortbildning, där står även hur man med lämpliga
kommunikationsprotokoll kan undvika dessa attacker, även via öppna
nätverk). Det behövs folkbildning i dessa frågor på samma sätt som i
trafikvett, så där kan ni göra en journalistisk insats.

Om det är detta man är orolig för ("man in the middle") bör nästa
frågeställning för en grävande teknikkunnig journalist bli:
När teknikerna via ett öppet nätverk laddar ner program de avser köra
på ett internt säkerhetskritiskt nät, är de då så dumma att de inte
laddar ner det via säkra kommunikationsprotokoll eller alternativt via
säkra kanaler försäkrar sig om att checksumman
(http://sv.wikipedia.org/wiki/Checksum) som garanterar oförändrad
programkod stämmer?

Om så är fallet, d.v.s. att man har säkerhetsinkompetenta
datortekniker anlitade hos polisen, så har ni grävt fram något
viktigt, däremot om de vidtar vanliga rimliga säkerhetsåtgärder vid
arbete som detta så har ni blåst upp en storm i ett vattenglas.

Har ni kollat upp vad som egentligen skett och gett datorteknikerna
chans till replik innan ni kablade ut nyheten? Det är jättebra att
journalister börjar intressera sig för IT och de möjligheter och
risker det ger, bra jobbat på den punkten. Om ni inte själva har
djupare kunskap på området hoppas jag dock att ni dubbelkollar och
lyssnar på flera experter än en innan ni publicerar. Vill ni ha en
internationell topp-referens om datorsäkerhet kan ni i Linköping hitta
professor Viiveke Fåk, se http://www.icg.isy.liu.se/people/en/viiveke/
(Som hennes tidigare student vill jag påstå att hon är pedagogisk nog
att funka väl i radio, hon har funkat bra i TV i alla fall.)

Det som definitivt stämmer i era reportage...
http://www.sr.se/ostergotland/nyheter/arkiv.asp?artikel=2737633
http://www.sr.se/ostergotland/nyheter/arkiv.asp?artikel=2738778
http://www.sr.se/ostergotland/nyheter/arkiv.asp?artikel=2740559
...är att man via oskyddade öppna nätverk tillåter folk i närheten att
på ett anonymt sätt göra saker som de inte skulle kunna göra hemifrån
utan att enkelt spåras av FRA. Det ligger inte i polismyndighetens
uppdrag att tillhandahålla sådan samhällsservice, däremot skulle man
kunna argumentera för att sådant ligger i bibliotekens uppdrag.

Rubriksättningen "Bibliotek en plats för olaglig fildelning" på er
webb för första artikeln är dock i min mening mycket olämplig som jag
skrev i mitt förra öppna brev, att Corren hade lika olämplig rubrik på
sin notis om ert reportage gör inte saken bättre, men det kan ju ni
inte lastas för. Om ni hade gått till butiken Clas Ohlson och testat
att kontant och anonymt köpa t.ex. en kniv eller yxa samt sedan visat
detta för butiksföreståndaren och konstaterat att denna kan användas
för mord. Hade ni då satt rubriken "Clas Ohlson en plats för inköp av
mordvapen"? Om det bevisligen ofta skedde mord med just produkter från
denna butik kunde man motivera grävande journalistik om detta och
sedan vara nöjd med att man lyckats få dem att sluta sälja de
produkterna. Den minskade samhällsservicen man orsakat hade då
förhoppningsvis vägts upp av den ökade tryggheten. Om det dock inte
fanns något känt samband mellan Clas Ohlson och mord, men butiken ändå
väljer att ta bort produkterna efter ert reportage av oro för att
någon skulle inspireras av ert reportage skulle ni då se det som ett
positivt bevis på att ni hade rätt och hade gjort en bra insats med
reportaget?

Det är otroligt bra att ni engagerar er i IT-relaterad samhällsdebatt,
men snälla, fördjupa resonemangen, gräv djupare och tänk efter några
varv till för att få till en riktigt folkbildande effekt istället för
att riskera skapa oro och misstro mot det nya.

Vänliga hälsningar,
Erik Sundvall

---------------

Efter detta fick jag ett vänligt svar från Tahir som handlade om att han inte hann läsa och svara på mina långa mail, men skulle göra det inom kort. (Jag har inte frågat om lov att publicera hans svar här därav parafrasering istället för citat). Mitt svar på det finns nedan.

---------- Forwarded message ----------
From: Erik Sundvall
Date: 2009-04-06
Subject: Re: Om öppna nät-reportagen, ett skrivfel på er web (och mordvapen)
To: Tahir Yousef , nyheter.ostg@sr.se, program.ostg@sr.se

[...]

Hej!

Tack för ert svar. Det går väl rätt fort att _läsa_ mailen, fem
minuter kanske? Det viktigaste för min del var att ni skulle
åtminstone _läsa_ och reflektera över dessa tankar innan eventuell
fortsättning av reportageserien om öppna nät eftersom reportagen
aktivt kan påverka övervakningskänslan i samhället och
sammhällsservice i form av t.ex. anonym internetläsning på bibliotek.

Att ge seriöst svar har jag dock full förståelse för att det skulle ta
tid om ni väljer att göra det, samt förståelse att ni kan behöva
prioritera tiden till annat.

Det som hade varit bra att få ett kort och snabbt svar på var om ni
var intresserade av att jag höll tyst på nätet några dagar om några av
de nyhetstips jag skämtsamt kallade för "scoop" i mitt första öppna
brev, så att ni skulle hinna göra något utav något av dem _innan_ jag
lägger ut texten på nätet. Det är ju nu i och för sig inget som
hindrar er att ta upp de spåren oavsett om jag lagt ut brevet eller
ej. All bakomliggande fakta fanns ju redan på nätet innan jag mailade
er, jag bara samanställde det i en form jag trodde var till nytta för
er. På sin höjd kommer några promille av era lyssanre ha läst mailet
på nätet innan ni eventuellt använder det som inspiration, så kör på i
er egen takt om ni är intresserade. Jag tror att det är fler av era
lyssanre än jag som är intresserade av dessa frågor men att de liksom
jag har full förståelse för att det finns annat som måste proiriteras
i nyhetsbevakningen.

Lycka till med fortsatt nyhetsrapportering och samhällsanalys, ni har
viktiga påverkande roller i samhället.

Vänliga hälsningar,
Erik Sundvall

Uppdatering 9 april:
Jag fick nu ett utförligare svar som jag frågat om jag får lägga ut på nätet. Återkommer.

Inga kommentarer:

Skicka en kommentar