Råd til it-ansvarlige i mediehus
Mediebedrifter ligner på andre bedrifter, men har noen særegenheter knyttet til journalistikk og sikkerhet. Her er noen råd til deg som er IT-ansvarlig i en mediebedrift.
- Tenk igjennom trusselnivået for din bedrift. Omtaler dere kontroversielle temaer? Driver dere med undersøkende journalistikk? Beskyttelsen bør være i tråd med trusselnivået.
- Lytt til journalistene og avklar hvilke behov de har for beskyttelse av sine data og hvilke verktøy de bruker.
- Foreslå gjerne nye verktøy eller løsninger som de kan bruke, men hør på tilbakemeldingene.
- Det bør tilpasses en «lekegrind» der man kan holde på med ting som ikke bør gjøres i et normalt regime. Betingelser for bruk må være at det er et reelt behov og ikke bare «jeg liker ikke å jobbe i det normale regimet her» uten at journalisten nødvendigvis må redegjøre veldig mye.
- Hjelp til med å få satt opp trygge og gode miljøer, men respekter likevel at IT-avdelingen ikke bør ha tilgang til disse miljøene.
- Følg opp at miljøene som er satt opp, brukes. Hvis de ikke brukes - finn ut hva som er årsaken.
- Vær rask med å reinstallere evt. kompromittert utstyr ved behov.
- Ha tilgjengelig eget utstyr som kan brukes ved reise til f.eks høyrisikoland. Sørg for å reinstallere dette straks journalisten er tilbake fra reisen.
- Sett opp to-faktor på all innlogging hvor det er mulig.
- IT-avdelingen bør sette seg inn i digitalt kildevern, journalistunntaket i personvernloven og gjøre seg kjent med Vær Varsom-plakaten.
- IT-avdelingen må gi sikkerhetstips til redaksjonen og informere om relevante sikkerhetsproblemstilinger.
- Det er viktig å ha etablert avtaler og kontaktpunkter på forhånd som kan hjelpe deg i en krise. Det er for sent å tenke på dette når det smeller. (Politiet, NSM, Datatilsynet, NorCERT, evt. leverandører av Incident Respons-tjenester, andre mediebedrifter, medienettverk)
- Det bør finnes gode beredskapsplaner som det er øvd på i IT-avdelingen. Alle ansatte må som en del av dette vite hvor man skal henvende seg for å melde fra om mistenkelige og uønskede hendelser.