Ilustrační foto: Profimedia

Dokonalá digitální bezpečnost je mýtus. Novináři ji přesto svým zdrojům často slibují

Napsal/a Jan Žabka 17. února 2022
FacebookTwitterPocketE-mail

Šifrované komunikační aplikace jsou stále populárnější i mezi českými novináři. Jde o jeden ze základních prvků informační bezpečnosti, kterými se snaží v digitálním prostoru chránit sebe, své zdroje a citlivé informace. I při používání šifrovaných kanálů ale musí platit pevná pravidla, jinak je pocit bezpečí novinářů i jejich zdrojů falešný.

Aplikace s takzvaným koncovým šifrováním se staly jedním z běžných nástrojů českých novinářů pro komunikaci s jejich zdroji v digitálním prostoru. Využívají je i politici či tiskoví mluvčí. Důvod je jednoduchý: díky koncovému šifrování nemá k obsahu zpráv přístup nikdo jiný než odesilatel a příjemce, tedy novinář a jeho zdroj.

To je rozdíl oproti SMS zprávám nebo běžným zprávám v aplikaci Messenger, ke kterým mají přístup vlastníci serverů a telekomunikačních sítí, a je tak pravděpodobnější i jejich zneužití.

Populární je především komunikační aplikace WhatsApp, stále více novinářů ale využívá i Signal nebo e-mailovou službu ProtonMail. Cílem je ochránit informace, které mezi novinářem a jeho zdroji proudí a jejichž únik by mohl aktéry této komunikace ohrozit. Jen samotný přechod na šifrovanou komunikaci ale stoprocentně bezpečný přesun informací zaručit nedokáže.

Jak utéct před „velkým bratrem“

Když v roce 2013 britský deník The Guardian publikoval sérii článků o tom, že americká Národní bezpečnostní agentura (NSA) provádí rozsáhlé digitální sledovací aktivity po celém světě, otevřelo to i debatu o informační bezpečnosti uvnitř novinářské komunity.

Začaly vznikat desítky akademických prací na téma bezpečnost novinářů a jejich zdrojů v online prostoru, stejně jako začaly být populární semináře o tom, jak všudypřítomnému „velkému bratrovi“ co nejlépe uniknout.

V extrémním případě to ale u novinářů mohlo vést až k paranoidnímu pocitu, že žijí ve světě, kde je možné kdykoli a kdekoli shromažďovat, identifikovat, zaznamenávat a analyzovat osobní údaje lidí v celosvětovém měřítku.

Tato atmosféra způsobuje, že se zdroje obávají přijít s citlivými informacemi a novináři i celé redakce sahají k autocenzuře. Tento stav přirozeně směřuje k omezení svobody slova, zániku „hlídací“ role médií a s tím i k oslabování demokracie.

Bezpečnostní režim na míru

„V podstatě veškerá komunikace zanechává digitální stopu, která může být využita při vyšetřování úniku utajovaných informací, což komplikuje práci jak novinářům, tak jejich zdrojům,“ píše mediální expert a filozof Ron Deibert ve svém akademickém textu Digitální hrozby vůči novinářům.

A dodává: „Vzhledem k tomu, že novinář citlivé informace mnohdy shromažďuje ve vlastním přenosném zařízení, hrozí při nedostatečném zabezpečení jejich zneužití případnými útočníky.“ Univerzální řešení pro všechny ale neexistuje.

Každý novinář je vystaven jiné míře rizika a pracuje s jinak citlivými informacemi. Investigativní novinář v Česku nečelí stejným bezpečnostním hrozbám jako investigativní novinář v Rusku nebo Číně. Stejně tak novinář zabývající se vědou většinou nepracuje se stejně senzitivními informacemi jako ten, který pokrývá korupci v politice.

Bezpečnostní analytici proto novinářům doporučují, aby si každý vytvořil vlastní bezpečnostní schéma. „Říkáme tomu modelování hrozeb a jde o způsob, jak přemýšlet o tom, co v našich životech stojí za ochranu a jak to případně efektivně chránit. V rámci tohoto procesu bychom měli zjistit, kdo jsou naši potenciální protivníci, kteří by mohli mít záměr nás ohrozit,“ popsal v rozhovoru pro HlídacíPes.org polský bezpečnostní analytik Łukasz Król.

Základem pro „modelování hrozeb“ je zodpovězení následujících otázek. V ideálním případě by si je každý novinář měl opakovat pravidelně, protože se i charakter jeho bezpečnostních potřeb během času mění, a tomu i přizpůsobit své bezpečnostní nástroje a návyky:


  • Co potřebuji ochránit?
  • Před kým to potřebuji ochránit?
  • Jakým následkům budu čelit, když se mi to nepodaří?
  • Jak pravděpodobné je riziko útoku?
  • Co jsem ochoten obětovat (finance, čas, úsilí), abych zabránil potenciálním následkům?

Šifrovaná aplikace není samospásná

Mezi novináři i veřejností je poměrně rozšířený názor, že základem bezpečné digitální komunikace je využívání šifrovaných aplikací. Ty jsou navíc často prezentované jako „bezpečné“, což ale nemusí být pravda, pokud novinář a jeho zdroj při komunikaci nedodržují další bezpečnostní zásady.

Jde především o pravidelnou aktualizaci softwarů, které využívají, využívání dostatečně silných hesel, která jsou nejlépe zajištěna dvoufázovým ověřením a vygenerována správcem hesel, aby se pro různé aplikace neopakovala. Důležité je mít také dostatečně zabezpečené dané zařízení a nejlépe pro přístup do něj využívat místo číselného kódu otisk prstu nebo rozpoznávání obličeje.

Pokud novinář a jeho zdroj nedodržují základní bezpečnostní postupy, hrozí, že i komunikace zabezpečená koncovým šifrováním bude prolomena. Koncové šifrování totiž sice znemožňuje nahlédnout do obsahu zpráv při cestě od odesílatele k příjemci, ale pochopitelně jej umožňuje přečíst na zařízení daného novináře a zdroje.

Pokud by tedy například novinář někde zapomněl telefon, spoléhal na využívání aplikace typu Signal, ale nevěnoval by již pozornost zabezpečení telefonu, v nesprávných rukou by byl přístroj snadným zdrojem informací. Stejně tak lze komunikaci ze šifrovaných aplikací jednoduše zaznamenat snímkem obrazovky, a tak může uniknout i obsah konverzace.

I v případě využívání aplikací s koncovým šifrováním navíc účastníci komunikace zanechávají provozovateli dané aplikace svá metadata. Může jít o telefonní čísla, e-mailové adresy, IP adresy nebo například o polohové údaje.

Takto například švýcarská služba ProtonMail v roce 2019 byla schopna poskytnout IP adresu francouzského aktivisty policii poté, co ji k tomu vyzval švýcarský soud.

V případě uniklých citlivých informací pak mohou metadata třeba prozradit whistleblowera. Především v totalitních státech může být problematická už jen pouhá konverzace mezi novinářem a disidentem, což může vést třeba k jejich zatčení.

Dokonalá bezpečnost neexistuje

Novináři by proto před veřejností neměli bez kontextu označovat využívání jakýchkoli komunikačních kanálů jako „stoprocentně bezpečné“, přestože rizika mohou být minimální.

Děje se to přitom i v Česku. Na sociálních sítích je možné narazit na proklamace novinářů ve smyslu „kontaktujte mě bezpečně skrze tento kanál“. Dopustila se toho i média jako Deník N či A2larm při kauze někdejšího politika Dominika Feriho, když jejich novináři zřídili „speciální bezpečný e-mail [email protected]“. Právě tam měli lidé zasílat případná další svědectví sexuálního obtěžování bývalým poslancem TOP09.

Komunikace přes ProtonMail je ale šifrovaná pouze v případě, že jak odesilatel, tak příjemce vlastní e-mailovou schránku služby ProtonMail. Pokud by jim někdo zaslal svědectví z klasických široce využívaných e-mailových služeb, jako je Seznam nebo Gmail, pak sdělení šifrováno není a za určitých okolností by se k obsahu zpráv mohla dostat třeba policie.

Je tedy zjevné, že něco jako „dokonalá bezpečnost“ v digitálním prostředí zkrátka neexistuje. „Zatímco ochrana zdrojů se jeví jako vysoce naléhavé téma, pesimistické názory na účinnost informační bezpečnosti vzbuzují řadu otázek, zejména pokud jde o to, zda může být zmíněná potřeba ochrany vůbec naplněna,“ píše ve své publikaci Zabezpečený whistleblowing v digitální době italský mediální výzkumník Philip Di Salvo.

Pravidla hry navíc přepsala kauza Pegasus, kdy si i některé evropské vlády pořídily stejnojmenný špionážní software ke sledování svých vlastních kritiků, včetně novinářů. Program se dokáže nabourat do jakéhokoli mobilního telefonu, aniž by si toho jeho majitel vůbec všiml.

„I ty nejdokonalejší postupy v oblasti informační bezpečnosti se mohou stát zbytečnými ve scénářích, kde se jedná o pokročilou technologii spywaru,“ konstatuje Di Salvo. 

Podle Łukasze Króla ale ani existence těchto programů nemá vést k rezignaci na bezpečnost: „Existuje Pegasus, ale zároveň je k dispozici neuvěřitelně snadné zabezpečení. Přijde mi to trochu jako zázrak, že mám v kapse malé zařízení, které je v podstatě neproniknutelné pro kohokoli kromě zpravodajských agentur na nejvyšší úrovni. Tedy aspoň, pokud se o něj dobře starám, aktualizuji ho a používám zabezpečené aplikace.“

Pop-up mobil Mobile (207451)
SMR mobil článek Mobile (207411)
SMR mobil článek 2 Mobile (207416)
SMR mobil článek 2 Mobile (207416-2)
SMR mobil článek 2 Mobile (207416-3)
SMR mobil pouze text Mobile (207431)

Líbil se vám tento text? Pokud nás podpoříte, bude budoucnost HlídacíPes.org daleko jistější.

Přispět 50 KčPřispět 100 KčPřispět 200 KčPřispět 500 KčPřispět 1000 Kč

LockPlatbu on-line zabezpečuje Darujme.cz

Skyscraper 2 Desktop (211796-4)