Eșec / Succes în protejarea sursei. Măsuri practice de securitate

Acest articol face parte din seria de articole “FreeEx Digest nr. 5 // Jurnaliștii și sursele lor”.

Protejarea identității sursei este esențială în orice demers jurnalistic, însă nu este suficient doar un puternic simț etic. De cele mai multe ori, jurnaliștii folosesc strategii și instrumente diverse pentru a sigura confidențialitatea atât a surselor, cât și a documentelor care sunt utilizate pentru a proba faptele expuse. Jurnaliștii intervievați au acceptat să împărtășească atât astfel de strategii profesionale, cât și cazuri de succes sau de eșec în încercarea de a proteja identitatea surselor.

Tips&Tricks

Securizarea documentelor, a imaginilor și a înregistrărilor audio

• Consultă-te cu sursa înainte de publicarea oricărui document
• Evită să publici documentele originale în facsimil; reconstituie de la zero sau redesenează documentele originale (pot exista marcaje pe ele – de ex. imprimantele pot lăsa urme specifice pe pagină, care pot localiza exact unde s-a tipărit documentul)
• Elimină orice posibil indiciu: puncte, caractere speciale, sublinieri
• Șterge metadatele documentelor, imaginilor, înregistrărilor audio și video
• Elimină orice element de context (de ex. imagini de background care pot duce la localizarea documentelor, persoanelor etc.)
• Anonimizează informațiile care pot pune sursele în pericol
• Modifică vocea și imaginea sursei anonime, eventual prin folosirea unui ‘actor’ care să înlocuiască sursa
• Fă curat înainte de publicare (de ex. pune chat-urile pe self-erase messages, șterge e-mail-uri, mesaje și notițe care nu ai vrea să ajungă în instanță sau în public, arhivează dovezile pentru ce ai publicat ca să le poți folosi dacă cineva te dă în judecată
• Cere sprijinul unui cap limpede, separat de autorii materialului jurnalistic, care să re-verifice, înainte de publicare, că nu există scăpări de securitate de tipul celor de mai sus

Luiza Vasiliu: Din fericire, până acum am reușit să le protejez, dar pot să spun ca au fost mai multe situații când pur și simplu, pentru că am funcționat pe acest heirup al jurnalismului independent, ni s-a întâmplat să scăpăm documente unde nu anonimizaserăm un nume. Și din fericire, a fost întotdeauna cineva super pe fază, care ne-a tras de mânecă la două-trei-cinci minute după publicare, astfel încât am dat jos rapid, documentul și l-am înlocuit și am evitat dezastrul. Da, s-a întâmplat de mai multe ori, cu toți ochii care au trecut pe acolo, cu toată atenția la toate lucrurile care au trebuit verificate, pur și simplu să uiți un nume neanonimizat într-un document și să riști să îl distrugi pe omul ăla. Zic „din fericire” pentru că am reușit să reparăm de fiecare dată și nu s-a întâmplat nimic nasol. Dar așa e, știu f*k-up-ul uriaș pe care l-au avut The Intercept și m-am speriat foarte tare. Au dat niște documente pe care nu le-au curățat înainte și a devenit evident care a fost imprimanta de la care au fost tipărite. Ajută să vezi cum greșesc alții ca să te păzești tu mai bine. Când avem documente …. uneori te concentrezi așa mult să le cureți, dar uiți să anonimizezi un nume. Probabil ne-ar ajuta și pe noi dacă am avea un fel de check list înainte de publicare.

Ștefan Cândea: Spre exemplu, cazul The Intercept. Au primit un document de la o sursă dintr-o bază militară din State și au făcut un articol și au publicat documentul în facsimil. Care document, pentru că venea de la o unitate militară, are niște markere care pot să indice pe ce imprimantă, din ce unitate, a fost tipărit. Documentul avea niște semne care indicau NSA unde și când a fost tipărit. The Intercept a publicat documentul original cu tot cu aceste indicii (microdots). Și, practic, au băgat sursa în închisoare, prin publicarea documentului. Este un exemplu de eșec în securitatea operațională. De aceea, când publici documente, trebuie să te sfătuiești cu sursa, în primul rând, și, în al doilea rând, să faci tot posibilul să nu dai indicii, metadate, să elimini elemente cum ar fi puncte, caractere italice. În general, te ferești să publici documentele originale, dacă sursa vrea să fie anonimă. Dacă nu vrea să fie anonimă, tot ai o obligație care, iarăși, este stipulată în agreement. Să te consulți cu sursa înainte să publici documente. Pentru că poți să adaugi la lista de acuze ulterioare asupra sursei, legat de modul în care au ajuns datele respective în posesia ei, pentru că poate să fie acuzată de hacking, de furt, etc.

Alex Nedea: Nu mi s-a întâmplat. (...) Am ajuns la concluzia că e atât de greu să protejezi o sursă până în pânzele albe, dacă îți vorbește cu spatele la cameră, încât este musai să nu-l ai pe omul ăla în carne și oase în momentul în care publici interviul. Adică să fie alte umbre și alt om și altă voce. Și să scrie acolo ‘am folosit un actor pentru a proteja sursa’. Pentru că există tot felul de modalități prin care poți să refaci o voce distorsionată, (...) pe baza unui contur să-ți dai seama cine e de fapt. Și noi asta facem de cele mai multe ori. Glugă-n cap, cu un actor și scriem acolo: ‘imagini reconstituite și voce reconstituită’.

Tips&Tricks

Securitate digitală în comunicații și în păstrarea documentelor:

• Folosește parole puternice și criptează computerele, laptop-urile, telefoanele, hard disk-urile externe, memoriile USB etc.). Depozitează-le în locuri sigure
• Evaluează cu maximă atenție riscul stocării informațiilor și documentelor în cloud. Nu folosi platformele unor terți pentru a face accesibile documente sursă decât dacă știi exact cine are access și la ce anume are acces pe platforma respectivă
• Ia în calcul că sursa ar putea să fie sub supraveghere tehnică (este subiect al unei investigații penale)
• Folosește aplicații care permit crearea de conturi dedicate pentru comunicarea cu o singură persoană (de ex. Wire)
• Folosește aplicații de comunicare securizate, criptate, cum ar fi Signal, inclusiv pentru apelurile telefonice (niciodată GSM). Instruiește sursa în digital security (dar evită supra-tehnologizarea comunicării dacă sursa nu este pregătită și contextul nu o cere)
• Preia și transmite date prin suporturi informatice (memorii USB, hard disk-uri externe, etc.), nu on-line
• Folosește, când este necesar, burner phones (telefoane și cartele SIM temporare)

Securitate în interacțiunile fizice cu sursa:

• Alege cu atenție locurile de întâlnire
• Pentru surse sensibile: fără camere de supraveghere stradală, fără telefoane mobile. Asigură-te inclusiv că nu ești urmărit
• Folosește intermediari de încredere

Ana Poenariu: Ideal ar fi, în primul rând, să fii foarte atent cum manageriezi documentele pe care le primești de la surse. Ar trebui să ai niște noțiuni de digital security. Sunt foarte importante. Niște minime noțiuni în zona asta salvează, de multe ori, nu doar sursa, ci și jurnalistul. Trebuie să fii foarte conștient despre felul în care comunici cu sursa pentru că s-ar putea să aibă telefonul urmărit de autorități, poate e subiectul unei investigații penale. Și trebuie să fii conștient inclusiv de riscurile astea. De exemplu, există aplicații, pe care le poți folosi și poți crea un user special cu care să vorbești doar cu o singură persoană, în așa fel încât să nu mai știe nimeni că tu ești în contact cu acea persoană. În cazul surselor foarte sensibile există situații în care nici măcar editorii nu știu cu cine ai vorbit. Evident că tu prezinți probe că ai vorbit (notițe, capturi de ecran în care numărul de telefon al sursei este anonimizat), dar există și situații foarte sensibile.

Alex Costache: Când e o chestiune mai sensibilă sau o sursă sensibilă, te asiguri că rămâne confidențială discuția și alegi să comunici (...) pe anumite aplicații pe care le consideri mai criptate și care se șterg imediat după ce ai discutat. Adică nu WhatsApp, că nu se știe cât e de criptat.

Alex Nedea: Sunt expert în a ști cum să-mi protejez toate conturile, calculatorul, toate informațiile de pe el, wireless-ul cu care lucrez. Nu vorbesc pe telefon cu oamenii ăia decât doar pe Telegram sau WhatsApp, pentru că sunt convins că sunt printre... sunt nr. 9 de pe o listă de telefoane ascultate. Și-o să fim probabil pe nr. 2, pe 1 cât de curând.

Emilia Șercan: Nu comunicăm niciodată pe telefonul normal. Folosim aplicații. Avem foarte mare grijă când ne întâlnim. Când ni se transmit documentele, la fel. Ne luăm măsuri de protecție și, de cele mai multe ori, solicitările de protecție vin din partea mea. Eu, una, nu am nicio problemă să fiu expusă, pentru că sunt ziarist și aia e, dar întotdeauna mă gândesc la omul respectiv, la eventualele consecințe pe care le poate suferi. Oamenii nu își pot imagina consecințele propriilor acțiuni, de aceea mă simt responsabilă să îi avertizez. (...) Ca să nu existe niciun fel de contact între noi, folosind tot felul de circuite pentru a comunica... Am făcut treburile astea și repet, în majoritatea cazurilor, solicitările de protecție vin din partea mea pentru că îmi dau seama cât este de important ca omul respectiv să fie total protejat și să nu existe niciun fel de indiciu că el/ea îmi este mie sursă.

Victor Ilie: Evit telefoanele pe GSM pentru că sunt foarte ușor de interceptat, de către oricine. Folosesc aplicații criptate. Laptopul meu are o parolă foarte bine criptată. Sunt atent la locurile în care mă întâlnesc cu sursele. Dacă e o sursă mai delicată, mă asigur inclusiv că nu sunt urmărit. (...) Pe de altă parte, ni s-a întâmplat să avem breșe de securitate, din greșeală, dar nu a făcut nimeni, niciodată, ceva de tipul ăsta intenționat în redacții.

Luiza Vasiliu: Nu las niciodată laptopul într-un loc public nesupravegheat. (...) Din păcate observ că toată lumea din jurul meu folosește [Dropbox, Google Drive, n.n.]. Și e ciudat că deși ai unele metode de protecție, pe de altă parte te vulnerabilizezi pe alte căi și aici mi se pare că e o muncă infinită, oricât de mult te-ai proteja.

Romana Puiuleț: Să zicem că ai un prieten din copilărie care locuiește în orașul X și-l trimiți să se întâlnească cu sursa ta, la ușa instituției pe care o reprezintă, și acest proxy, prieten din copilărie, pe urmă îți va trimite pe niște canale securizate sau personal, pe un stick, documentele pe care le cauți. Folosim metode inventive și noi, atunci când vrem să obținem informații și să ne protejăm, în același timp, oamenii care ne furnizează informații. (...) Primul demers pe care-l facem e să cerem o întâlnire, și acolo stabilim cum vom comunica. Uneori chiar le explicăm ce metode de securitate folosim, ce e un VPN, ce să-și descarce pentru a-și securiza mai bine laptopul sau telefoanele. Să ne garantăm și lui și nouă securitatea.

Răzvan Luțac: Bineînțeles, să nu mă duc la el la muncă, să mă vadă lumea pe acolo – e o altă chestie de absolut bun simț.

Tips&Tricks

Modifică detaliile despre sursă pentru a o proteja după publicare:

• Lărgește mulțimea din care poate face parte sursa, chiar dacă se diminuează din credibilitatea sursei în fața cititorului
• Evită să menționezi poziția ierarhică sau profesia sursei
• Localizează sursa în altă regiune a țării
• Dacă este cazul, nu împărtăși detalii despre sursă nici măcar editorului

Răzvan Luțac: În primul rând, mă interesez, dacă îmi dau niște documente, să văd câtă lume a avut acces la acele documente. Încercăm să vedem dacă sursele pot fi, într-un fel sau altul, identificate. Cu cât vorbim de mai puține persoane care au acces la informația aia, cu atât e mai nasol. De multe ori, să zicem că un om ne aduce niște informații. Îl întrebăm pe omul respectiv dacă s-a adresat autorităților. Poate aflăm și de la autorități, ca să nu-i îngreunăm lui situația, să aflăm și dinspre partea cealaltă, dinspre autorități, de respectivele probleme.

Romana Puiuleț: (...) De multe ori încercăm tot felul de strategii ca să ducem atenția din zona sursei. Dacă-i o femeie, spunem că e bărbat sau trimitem într-o altă regiune a țării (...). Și întotdeauna ne întrebăm ‘informația aia unde e de fapt, în câte zone poate să fie?’. Și, dacă e în mai mult de două-trei zone, deja e un pic mai safe pentru sursa noastră pentru că e clar că nu e singurul care poate să dețină informația aia.

Zoltán Egyed Ufó: De exemplu, o tehnică a mea: nu scriu ce fel de poziție are respectivul. Puteam să zic [într-o investigație care viza un spital, n.n.] că sursele sunt medici, dar atunci restrângeam foarte mult, adică îi ușuram munca directorului [care încerca să afle sursele, n.n.] foarte mult, adică știa foarte ușor unde să caute. Și atunci am scris că un angajat din spital sau angajați din spital. Atunci m-au atacat pe mine că da, probabil ai dat încredere unei femei de serviciu și ziceam da, poate. Dar ei încercau să scoată de la mine informația, prin tehnici din astea, cu discreditarea ta. Și tu, ca să te aperi, să nu fii discreditat, începi să dai informații despre surse, că nu e femeie de serviciu, e cadru medical, și atunci deja ai restrâns grupul surselor posibile. Sau zici că e medic la un departament și atunci lui îi este foarte ușor să găsească sursa şi să se răzbune.

CONTEXT INTERNAȚIONAL

Cazul The Intercept – avertizor condamnat

Istoria platformei de investigații The Intercept începe în anul 2014, când a oferit spațiu amplu pentru publicarea documentelor divulgate de Edward Snowden, fost analist în cadrul NSA (Agenția Națională de Securitate). De altfel, brandul The Intercept s-a construit în jurul unor investigații și dezvăluiri care vizau sistemul de securitate al Statelor Unite ale Americii și care au atras atenția publicului american asupra unor practici netransparente de supraveghere a populației, pe care guvernul a încercat să le țină departe de ochii publicului.

În 2017, Reality Winner, fost traducător în cadrul Forțelor Aeriene ale SUA, a dezvăluit o serie de documente clasificate care indicau interferențele Rusiei în alegerile americane din 2016. După doar trei săptămâni, Winner a fost reținută de autoritățile federale, care au reușit să-i descopere identitatea în urma unui articol publicat de The Intercept. În procesul de documentare a articolului, jurnaliștii au făcut o serie de greșeli, cum ar fi să trimită spre verificare, către un alt contractor al NSA, documentul original primit de la Winner (pe care, ulterior, l-au și publicat în facsimil). Documentul conținea indicii despre imprimanta de unde fusese tipărit și, coroborat și cu alte informații (unele dezvăluite tot de ziariști, cum ar fi adresa poștală de la care fusese primit documentul), a condus autoritățile la localizarea sursei acestuia. Winner a fost eliberată condiționat în 2021, după ce a ispășit mai mult de patru ani în închisoare pentru divulgarea de documente clasificate.

Neglijența The Intercept în protejarea sursei a fost criticată de comunitatea jurnalistică și a forțat redacția să își modifice protocoalele de securitate în relația cu sursele.

Un ghid din 2019 al Government Accountability Project, o organizație americană care a asistat peste 8000 de avertizori de integritate, în cei 45 de ani de activitate, indică un set de pași și reguli de conduită și de securitate în comunicații și în publicarea informațiilor, pe care ar trebui să le urmeze un jurnalist atunci când lucrează cu avertizori de integritate. Una dintre concluziile acestui ghid este: “Din cauza riscurilor, jurnaliștii nu ar trebui să promită anonimitate totală, pentru că nu o pot garanta”.