Råd til it-ansvarlige i mediehus

11.11.2020

Mediebedrifter ligner på andre bedrifter, men har noen særegenheter knyttet til journalistikk og sikkerhet. Her er noen råd til deg som er IT-ansvarlig i en mediebedrift.

  • Tenk igjennom trusselnivået for din bedrift. Omtaler dere kontroversielle temaer? Driver dere med undersøkende journalistikk? Beskyttelsen bør være i tråd med trusselnivået.
  • Lytt til journalistene og avklar hvilke behov de har for beskyttelse av sine data og hvilke verktøy de bruker.
  • Foreslå gjerne nye verktøy eller løsninger som de kan bruke, men hør på tilbakemeldingene. 
  • Det bør tilpasses en «lekegrind» der man kan holde på med ting som ikke bør gjøres i et normalt regime. Betingelser for bruk må være at det er et reelt behov og ikke bare «jeg liker ikke å jobbe i det normale regimet her» uten at journalisten nødvendigvis må redegjøre veldig mye. 
  • Hjelp til med å få satt opp trygge og gode miljøer, men respekter likevel at IT-avdelingen ikke bør ha tilgang til disse miljøene. 
  • Følg opp at miljøene som er satt opp, brukes. Hvis de ikke brukes - finn ut hva som er årsaken.
  • Vær rask med å reinstallere evt. kompromittert utstyr ved behov. 
  • Ha tilgjengelig eget utstyr som kan brukes ved reise til f.eks høyrisikoland. Sørg for å reinstallere dette straks journalisten er tilbake fra reisen. 
  • Sett opp to-faktor på all innlogging hvor det er mulig.
  • IT-avdelingen bør sette seg inn i digitalt kildevern, journalistunntaket i personvernloven og gjøre seg kjent med Vær Varsom-plakaten. 
  • IT-avdelingen må gi sikkerhetstips til redaksjonen og informere om relevante sikkerhetsproblemstilinger. 
  • Det er viktig å ha etablert avtaler og kontaktpunkter på forhånd som kan hjelpe deg i en krise. Det er for sent å tenke på dette når det smeller. (Politiet, NSM, Datatilsynet, NorCERT, evt. leverandører av Incident Respons-tjenester, andre mediebedrifter, medienettverk)
  • Det bør finnes gode beredskapsplaner som det er øvd på i IT-avdelingen. Alle ansatte må som en del av dette vite hvor man skal henvende seg for å melde fra om mistenkelige og uønskede hendelser.