Dicas de segurança digital que editores precisam saber

por Laure Nouraout
Oct 30, 2018 em Segurança Digital e Física

Na semana passada, o Colóquio M100 Sansouci reuniu especialistas internacionais em torno do tema "Liberdade de Imprensa na Era dos Grandes Dados". Com as recentes revelações sobre a vigilância em massa organizada por agências de inteligência, questões são levantadas sobre como os jornalistas podem proteger seus dados e, mais importante, suas fontes. No Colóquio, encontrei com Matthias Spielkamp, editor-fundador do iRights.info, e perguntei a ele sobre jornalismo e segurança em comunicação.

Como anda a vulnerabilidade dos jornalistas?

Matthias Spielkamp: Há sempre um equilíbrio que você precisa encontrar: se eu for a um painel ou uma entrevista e dizer que não há esperança, tudo está sendo espionado, as pessoas simplesmente dizem que não podem fazer nada. Realmente acredito que isso não é verdade, porque nós precisamos olhar para estes modelos de ameaças diferentes. Agora, o modelo de ameaça é: as agências te deixam em paz, mas tentam guardar tudo, tentam saber tudo sobre a sua comunicação. Há maneiras de se proteger contra isso.

Veja a criptografia de e-mail, por exemplo: O PGP é um mecanismo de criptografia que ainda deveria estar seguro, pelo menos por mais de par de décadas. As mensagens que estão armazenadas agora provavelmente podem ser decifradas em 30 anos; agora é muito difícil, quase impossível decifrá-las. Então, se você usar o PGP, o que você está fazendo é tornando mais difícil para as agências de inteligência saberem o conteúdo de sua comunicação.

E os metadados?

Matthias Spielkamp: Este é um problema específico. Isso significa os dados sobre as suas comunicações: por exemplo, ao usar dPGP você não está escondendo para quem você está enviando mensagens. Se eu enviar uma mensagem criptografada em PGP, as agências ainda saberiam que estamos trocando e-mails. Agora, muitos especialistas veem isso como um problema maior. É muito mais difícil evitar esses sinais, você pode fazê-lo quando navegar na web usando o Tor, por exemplo, e você também pode criptografar os dados com sucesso em seus discos rígidos para protegê-los caso sejam perdidos, roubados ou apreendidos.

Você não pode proteger a sua comunicação totalmente, mas pode tornar o trabalho das agências de inteligência muito mais difícil; você pode aumentar o custo, que é muito significativo. Pode proteger a conexão que você está usando com o HTTPS, a conexão de internet segura para troca de senhas e dados de login; pode fazer o mesmo com a sua conta de e-mail para que seus dados não sejam transferidos. Você também pode usar VPNs.

Os editores-chefes estão informados sobre o que está em jogo?

Matthias Spielkamp: Estou bastante certo, embora eu não tenha falado com ele pessoalmente, de que Alan Rusbridger sabe tudo sobre a segurança de comunicações e como proteger os dados que estão armazenando. A mesma coisa vale para os editores das publicações Der Spiegel, Washington Post ou New York Times, as pessoas que trabalham com os arquivos Snowden. Na minha experiência, os editores-chefes de jornais e emissoras de televisão sabem muito pouco sobre como funciona na prática. Uma das razões é que muitas pessoas que não estão trabalhando em reportagens investigativas dizem que não têm nada a esconder. Temos tudo a esconder do governo, especialmente quando estamos trabalhando como jornalistas. Não é assunto do governo [saber] com quem eu estou falando e o que estou dizendo a esta pessoa. Em todos os países democráticos, o jornalismo é legalmente privilegiado.

Como um editor pode implementar soluções básicas?

Matthias Spielkamp: É um sonho meu que os editores-chefes usem parte de seu tempo para ter algum especialista metade de um dia explicando como a comunicação funciona online, como alguém pode ser espionado e que ideias gerais ou ferramentas podem ser usadas para impedir isso. É uma pequena quantidade de tempo para entender esta ameaça. Faço treinamento e dou consultoria sobre isso e na maioria das vezes, os editores me dizem: 'É bom que agora sabemos como usar PGP, mas não podemos instalá-lo em nosso sistema, porque não estamos autorizados pelo departamento de Tecnologia de Informação". Esta é uma situação muito comum!

O departamento de TI não está focado neste tipo de segurança: eles têm a mais recente proteção contra malware, porque precisam para proteger o sistema contra vírus e cavalos de troia. Antes, a NSA não estava especificamente de olho em você, porque você era apenas um jornal regular, não tinha nenhuma razão para pensar que a NSA estava de olho em você, mas isso já não é o caso: eles estão de olho em tudo, cada pedaço de comunicação. A mudança que tem que ocorrer é de cima para baixo: se o editor-chefe, ou mesmo o CEO, não entende o que está acontecendo, essas coisas não vão mudar. Isso tudo é gerenciado centralmente e se você é apenas um editor regular, você não pode mudá-los. Os editores administrativos precisam saber o que está acontecendo para que possam iniciar essa mudança.

A indústria da mídia está correndo atrás?

Matthias Spielkamp: Tenho tentado convencer as empresas de mídia a mudar suas práticas. Primeiro de tudo, você pode mudar as coisas de maneira sistemática: fazer com que seja uma situação-padrão que as pessoas naveguem anonimamente; pode fornecer treinamento para seus funcionários saibam como trocar e-mails criptografados; pode tornar impossível para as pessoas não criptografar dados em seu disco rígido.

O problema é que mexe com as pessoas. É um negócio complicado e a maioria dos executivos não está muito qualificada sobre o assunto. Se falar com diretores de tecnologia, basicamente tem que confiar neles e, até agora, eles estavam no negócio de dizer "temos de verificar que os nossos sistemas estão funcionando corretamente, o que por si só já é bastante difícil". Mas agora você tem que pesar contra o novo modelo de ameaças que estamos enfrentando. Eu diria que é quase irresponsável para a gestão de uma empresa de jornalismo não mudar esta política.

Todo mundo sabe que se você quer mudar o sistema de computador em sua empresa, vai enfrentar oposição. As empresas têm menos dinheiro do que antes, têm menos recursos; e nesta situação, muitas pessoas têm a reação de "vai embora!", mas eu diria que vão pagar por isso mais tarde.

O que você está sugerindo como primeiros passos?

Matthias Spielkamp: Primeiro, saiba sobre o assunto se você é um tomador de decisões. Então você terá uma melhor compreensão do que precisa mudar e conversar com o seu departamento de TI, descobrir quais as mudanças que pode fazer, e pode ser gradual.

Editores-chefe também devem oferecer uma forma segura para delatores, vazadores e fontes enviarem informações a eles. Manning tentou sem sucesso entrar em contato com o NYT, WaPo e (provavelmente) Politico antes de recorrer ao Wikileaks. O Zeit Online na Alemanha oferece uma caixa preta de envio através do seu site para que as pessoas possam fazer upload de arquivos de forma anônima.

Em paralelo, ofereça treinamento para sua equipe, porque tudo isso tem que acontecer junto. Não se trata apenas de como usar o PGP ou Tor, é também a forma de entender ou avaliar o modelo de ameaça: 'Como é que a minha comunicação realmente está ameaçada e o que eu preciso fazer sobre isso?' Nem todo mundo tem que fazer o que Greenwald e seus colegas estão fazendo, porque a NSA está atrás deles. A NSA não está atrás de você ou eu, mas apenas no sentido de que não estão tentando acessar meu computador especificamente, mas a NSA está atrás de todos nós quando se trata de comunicação em geral. Isto é a vigilância em massa.

Este artigo foi publicado originalmente no site da Global Editors Network e é reproduzido na IJNet com permissão. A Global Editors Network é uma multi-plataforma de comunidade dedicada ao jornalismo sustentável e de qualidade, capacitando redações através de uma variedade de programas projetados para inspirar, conectar e compartilhar.

Laure Nouraout é coordenadora de mídia social para a Global Editors Network. Siga-a no Twitter: @LaureNouraout.

Imagem sob licença CC no Flickr via Tactical Technology Collective