Zij leert journalisten zichzelf en hun bronnen te beschermen

Telefoon, mail, zelfs wapens: bijna alles is te hacken, zegt Runa Sandvik, zelf voormalig hacker. Ze werkt nu bij The New York Times, waar ze journalisten leert zichzelf en hun bronnen beter te beschermen.

Runa Sandvik: 'Mensen zijn nog steeds de zwakste schakel. Ik kan nog zoveel trainingen geven, maar de verslaggevers moeten het doen.' Beeld Jeroen de Bakker / de Volkskrant

Bellen, eindeloos bellen. Natuurlijk hadden de Washington Post-journalisten Carl Bernstein en Bob Woodward hun belangrijkste geheime bron, Deep Throat, in de parkeergarage, waar hij de journalisten brokjes informatie toestopte en ze richting gaf. Maar veel van hun Watergate-onthullingen - illegale acties tegen veronderstelde vijanden van toenmalig president Nixon, met medeweten en goedkeuring van de president - kwamen tot stand door de telefoon.

Mogelijke bronnen werden eindeloos opgebeld. Nummers van belangrijke personen werden nog gewoon opgezocht in het telefoonboek. Maar bij de val van Nixon speelde de telefoon nóg een grote rol. Alle presidentiële gesprekken bleken opgenomen, waaruit de bemoeienis van de president bij de illegale acties bleek en hij moest aftreden.

Hadden Bernstein en Woodward hun werk in 2017 zo gedaan, dan was er waarschijnlijk nooit een stuk in de krant gekomen. Want niemand had de journalisten zomaar aan de telefoon te woord gestaan. Een onbeveiligde telefoonlijn? Absurd. De journalisten hadden voor het benaderen van contacten nooit de gewone telefoonlijnen van The Washington Post kunnen gebruiken. Ze hadden de inlichtingendiensten net zo goed meteen kunnen vertellen met wie ze allemaal contact hadden.

Want zoals verslaggevers ooit hun werk deden, is tegenwoordig volstrekt onmogelijk. Technische mogelijkheden en bijbehorende kwetsbaarheden hebben het speelveld voor journalisten voorgoed veranderd.

Journalisten Bob Woodward (links) en Carl Bernstein op de redactie van The Washington Post, april 1973. Beeld getty

Daarom heeft The New York Times sinds vorig jaar Runa Sandvik in dienst, een voormalig hacker en beveiligingsexpert. Deze kleine, tengere vrouw is verantwoordelijk voor de digitale beveiliging van de belangrijkste krant van de Verenigde Staten. Begin vorig jaar bestond haar functie nog niet, maar in de afgelopen anderhalf jaar is haar werk enorm belangrijk geworden. Cruciaal zelfs.

Zij leert verslaggevers hoe ze zich digitaal moeten wapenen. Ze helpt om de bronnen van The New York Times te beschermen. En ze maakt journalisten bewust van de gevaren. Een telefoongesprek is nooit zonder risico's. In een gelekt document kunnen onzichtbare sporen zitten. Een smartphone is een goudmijn voor veiligheidsdiensten.

Sandvik ziet het in Washington, waar 'een heksenjacht' gaande lijkt op klokkenluiders, op bronnen van journalisten. Ze ziet hoe The New York Times zelf ook een doelwit is geworden en last heeft van serieuze hackaanvallen. En hoe verslaggevers onder vuur liggen.

Waar zit de kwetsbaarheid voor journalisten?

'Het proces van informatie verzamelen gaat zo snel, dat journalisten nauwelijks in staat zijn om de juiste voorzorgsmaatregelen te treffen. Wij vragen vaak: wie is er bereid om de gevangenis in te gaan om zijn bronnen te beschermen? Dan steekt iedereen meestal zijn hand op. Maar als we dan vragen welke voorzorgsmaatregelen ze moeten nemen om te garanderen dat het contact met een bron veilig verloopt, steekt niemand zijn hand op. Het is heel lastig voor journalisten om dat volledig te begrijpen. Het zijn geen computerexperts. Maar een beetje basale kennis kan je helpen om je bronnen niet in gevaar te brengen.'

Zijn journalisten naïef?

'Dat denk ik niet. Ze maken zich er wel zorgen over, maar ik denk dat ze het niet altijd begrijpen. Journalisten moeten zich permanent realiseren dat leven in een digitale samenleving betekent dat praktisch elk contact met iemand anders een digitaal spoor achterlaat. Dus ook het benaderen van een nieuwe potentiële bron.'

Weten de journalisten dat ze naar u moeten komen?

'Ja en nee. De eindredacteuren weten dat wel. Toch gaat het soms te snel of wordt het vergeten als mensen denken dat het onderwerp niet gevoelig is. En we hebben hier duizend verslaggevers. Maar we doen het beter dan toen ik kwam. Ik zeg altijd: 'Ik bemoei me niet met de inhoud, ik wil alleen helpen om jouw doel te bereiken. Op een veilige manier.'

Lees verder onder de foto.

'Journalisten zijn zich sinds Donald Trump meer bewust geworden van hun kwetsbaarheid.' Beeld Jeroen de Bakker / de Volkskrant

Begrijpen ze dat?

'Ja, ze zijn zich meer bewust van hun kwetsbaarheid en die van hun bronnen. Dat is ook door Donald Trump veranderd. Iedereen is doordrongen van het belang van betere bronbescherming.'

Wat heeft de krant gedaan om het voor bronnen veiliger te maken?

'We hebben vorig jaar een tippagina gemaakt met allerlei mogelijkheden voor klokkenluiders om informatie vertrouwelijk naar de krant te sturen. Via Signal, SecureDrop, versleutelde mail. De bron kan zelf de veiligste methode kiezen.'

Ondanks alle voorzorgsmaatregelen maken ook journalisten die zich bewust zijn van digitale gevaren fouten. Soms met ingrijpende gevolgen, zoals onlangs bij een publicatie van het Amerikaanse onlinetijdschrift The Intercept.

In juni brachten ze een verhaal over Russische pogingen om de Amerikaanse verkiezingen te hacken. Het was gebaseerd op een gelekt rapport van de inlichtingendienst NSA. Nog voor publicatie arresteerde de FBI een medewerker van de NSA op verdenking van lekken. Ze bekende direct.

Daarna maakte de FBI bekend hoe ze was gevonden. The Intercept had de NSA benaderd met het gelekte rapport, een papieren document, om te verifiëren of het echt was. De NSA vond vervolgens in de systemen terug dat het rapport door zes mensen was geprint. Daarna was het simpel. Uit internetgegevens bleek dat een van deze zes mensen al eens via een privéaccount gemaild had met The Intercept, omdat ze ergens naar op zoek was.

Later onthulden diverse websites dat er op het gelekte document kleine, gele, bijna onzichtbare inktpuntjes zaten, die een soort code vormden waarmee exact te achterhalen was waar en wanneer het geprint was. Een soort digitaal watermerk dat bijna alle printers blijken achter te laten. Probleem is alleen dat bijna niemand dat weet, of wist, tot de NSA-medewerker werd gearresteerd.

Is dit een fout van de journalisten? Hadden die het gelekte document nooit moeten publiceren?

Ze hadden het beter niet kunnen doen, zegt Sandvik. 'Maar die fout had iedereen kunnen maken. Zij wisten niet dat er puntjes in het document zaten die de bron zouden ontmaskeren.'

Nog een voorbeeld waaruit blijkt dat niet alles is te voorzien; dat het gevaar soms ook in het onvoorspelbare schuilt. The New York Times werkte in 2015 aan een verhaal over een bedrijf dat met witwassen te maken had. De verslaggevers waren nog bezig, maar vlak voordat ze zouden publiceren, werden de verdachten van het bedrijf gearresteerd. Er kwam een rechtszaak waarbij justitie een transcript presenteerde van een telefoongesprek tussen de verdachten. Die zeiden daarin dat ze konden zien dat The New York Times hun website meerdere keren per dag bezocht.

Sandvik: 'Zo wist justitie ook dat de krant met een verhaal bezig was en dat zij snel moesten handelen. Dat is een voorbeeld van hoe je als journalist moet weten waar het gevaar ligt en welke sporen je achterlaat. Dat probeer ik duidelijk te maken. Maar het is een grote organisatie, en ik kan niet altijd en overal aanwezig zijn.'

Sandvik moet een brug slaan tussen verslaggevers en de ict-afdeling, bedrijfsonderdelen die nauwelijks met elkaar communiceren. Zoals dat in zoveel bedrijven en overheidsinstanties gaat. De inhoudelijke medewerkers kennen het belang van digitale veiligheid, maar weten amper hoe ze daarmee om moeten gaan. De ict-afdeling weet het, maar kan het niet uitleggen.

Lees verder onder de foto.

'Eens per maand stuur ik een valse mail om te kijken hoeveel mensen klikken en hoeveel er hun wachtwoord en gebruikersnaam afstaan.' Beeld Jeroen de Bakker / de Volkskrant

Is het ook een generatiekloof? Vaak wat oudere journalisten, die niet zijn opgegroeid in een digitale wereld en de mogelijkheden en gevaren niet kennen?

'Zeker, dat speelt mee. Het eerste wat ik hier voor alle journalisten heb georganiseerd was een veiligheidstraining. Een basale uitleg van goede wachtwoorden, versleuteling. En verschillende afdelingen hebben verschillende behoeften: de onderzoeksredactie heeft uiteraard het meest nodig.'

'Eens per maand stuur ik een valse mail om te kijken hoeveel mensen klikken en hoeveel er hun wachtwoord en gebruikersnaam afstaan. Daar schrijf ik dan een rapport over. Wat zijn de vijf slechtste redacties? Daar zit een spelachtig element in, dat zorgt voor onderlinge competitie. Mensen zijn nog steeds de zwakste schakel. Ik kan nog zoveel training en adviezen geven, maar de verslaggevers moeten het doen.'

Is in veel bedrijven vaak niet juist de ict-afdeling een zwakke schakel? Updates die te laat worden uitgevoerd, verouderde systemen?

'Grote ict-afdelingen werken op een bepaalde manier. Die beginnen om negen uur en gaan om vijf uur naar huis. En in het weekend zijn ze niet bereikbaar. Dat is nu wel aan het veranderen. Wij doen het anders, andere Amerikaanse media ook, zoals Buzzfeed. Maar alle grote Scandinavische media bijvoorbeeld hebben de afgelopen jaren hun ict juist uitbesteed aan IBM. En ik weet zeker dat IBM in staat zal zijn om je wachtwoord te resetten, maar ze gaan je niet helpen met de veiligheid van je Twitter-account of met het gebruik van Signal.'

De in Noorwegen geboren en opgegroeide Sandvik raakte op haar 15de gefascineerd door computers toen haar moeder er een kocht voor het hele gezin. 'Toen ik klein was haalde ik al speelgoed uit elkaar. Ik wilde weten hoe iets werkte. Daar kon ik echt enthousiast van worden: als iets een puzzel was, kon ik er de hele nacht mee doorgaan totdat ik het begreep.' Dat had ze ook met die eerste IBM-familiecomputer. En digitale veiligheid, waar ze zich nu mee bezighoudt, heeft die puzzelachtige kenmerken ook.

Tijdens haar studie computerwetenschappen raakte ze in Londen betrokken bij de ontwikkeling van Tor, een netwerk dat anonieme communicatie op internet mogelijk maakt. Vrijwilligerswerk. Want toen ze haar studie had afgerond, ging ze voor een bank werken. Ze testte de systemen en deed veiligheidsonderzoek. 'Dat was leuk. Ik leerde hoe ik in systemen kon inbreken en vervolgens ook hoe ik ze kon beschermen.'

Toch stopte ze al na een jaar met die baan om weer bij Tor aan de slag te gaan, vooral omdat Tor meer betaalde. Het belang ervan - anoniem, veilig kunnen communiceren via internet - zag ze toen nog niet zo. 'Wat mij trok was het technische aspect: je kunt een stukje software gebruiken om anoniem te zijn. Ik wilde begrijpen hoe dat werkt.'

Zo kwam ze erachter hoe Tor werkte en wie het gebruikte. En dat het voor sommige internetgebruikers, zoals journalisten en activisten in bijvoorbeeld Azië, van levensbelang was om de censuur te omzeilen. 'Toen zag ik het idealistische concept en niet meer alleen de technische puzzel die het voor mij was.'

In die tijd ontmoette ze ook Edward Snowden, voormalig CIA-medewerker en systeembeheerder bij de NSA. Dat was in december 2012, in Hawaï, een half jaar voordat hij halsoverkop met tienduizenden staatsgeheimen bij zich de VS verliet. In Hawaï werkte hij voor de NSA en organiseerde hij een zogeheten cryptoparty, waar Sandvik uitleg kwam geven over Tor. 'Een half jaar later zag ik een foto in de krant van hem als staatsvijand. Ik dacht: hé, die komt me bekend voor.'

Door Snowden werd bekend wat Amerikaanse inlichtingendiensten allemaal kunnen, hoeveel informatie ze weten te achterhalen en hoe kwetsbaar systemen zijn. Zo onthulde hij het bestaan van het afluisterprogramma Prism, waarmee de NSA gegevens verzamelde van gebruikers van onder meer Google, Facebook, Skype en YouTube. Ook verzamelde de dienst gegevens van betalingen via alle grote creditcardmaatschappijen.

Zelf weet Sandvik ook hoe je ergens digitaal moet binnendringen; daardoor kan ze er anderen tegen beschermen. Ze wist in 2015 een sluipschuttersgeweer te hacken, een speciaal wapen dat door nieuwe techniek beloofde altijd raak te schieten. De gebruiker moest eerst met een rode knop het doelwit vastleggen, daarna kon hij de trekker overhalen, maar het geweer zou pas een kogel afvuren als er zo werd gemikt dat het zeker raak zou zijn.

Binnen een jaar had Sandvik de software van het geweer gehackt. Ze wist de software zo te manipuleren dat de trekker werd geblokkeerd of de kogel steevast naast het doelwit belandde.

Waar anderen vooral een handig wapen zagen dat nooit zou missen, zag Sandvik meteen beveiligingsrisico's. Zij ziet dreiging die anderen niet zien.

Lees verder onder de foto.

'Denk na over alle digitale sporen die je achterlaat.' Beeld Jeroen de Bakker / de Volkskrant

Als bijna alles te hacken is, hoe wapen je je dan tegen digitale aanvallen?

'Als de overheid echt een bron wil achterhalen, zal ze daar waarschijnlijk altijd in slagen. Bij zaken als nationale veiligheid hebben zij altijd meer data en middelen dan wij om iets te achterhalen.'

Maar wat kun je dan nog doen?

'De drempel zo hoog mogelijk maken, daar moeten we ons op richten. We kunnen het nooit waterdicht maken, maar wel zo moeilijk dat het de tijd en het geld niet waard is om ons aan te vallen. Als je bijvoorbeeld je telefoondata niet versleutelt, kan een dienst naar een telefoonaanbieder gaan en de gegevens opvragen. Versleutel je ze wel, dan verhoog je de drempel substantieel. Want dan moeten de diensten je telefoon hacken. Dat kost veel geld, en is moreel ook een heel andere kwestie dan data opvragen.'

Dus u raadt aan altijd gebruik te maken van bijvoorbeeld versleutelde communicatie?

'Het gaat erom dat je goed nadenkt voor je iemand benadert. Kan iets gevoelig worden? Gebruik dan een kanaal dat niet te herleiden is naar jou. Prepaid-telefoon, andere locatie. Leid je internetverkeer om als je een mail verstuurt. Als je vanuit dit gebouw een mail stuurt via het wifi-netwerk, dan gebruik je het ip-adres van The New York Times.

'Een probleem is dat bronnen zichzelf niet vaak zien als bron. Zij denken: hij heeft al zo veel informatie, ik geef alleen maar wat context. Of: ik leg geen informatie of een document over, ik zet alleen maar iets recht. Ze zien dus ook het gevaar niet en zullen het soms overdreven vinden om versleutelde communicatie te gaan gebruiken. En journalisten denken ook nog weleens: ach, het gaat niet om nationale veiligheid. Stuur maar gewoon een mail.'

Niet doen, zegt Sandvik nogmaals. Want ook een onderwerp dat onbelangrijk lijkt, kan heel gevoelig worden. 'Denk na over alle digitale sporen die je achterlaat.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden