Program pro whistleblowery

Poslední aktualizace: 20. ledna 2021

Chcete upozornit na korupci, nepravosti a prohřešky proti etickému chování ve státní správě nebo podnikání? Za tímto účelem nabízím whistleblowerům propracovaný systém zabezpečeného navázání kontaktu včetně anonymizované komunikace a důvěrného předávání informací. V závislosti na jejich charakteru mohu poradit s výběrem vhodného média pro další investigativní práci až po konečné zveřejnění – jak v rámci České republiky, tak v případě potřeby i v zahraničí (zejména v německojazyčných zemích).

Ochrana zdroje

Nejvyšší prioritou je vždy ochrana zdroje. Ta je garantována Tiskovým zákonem (§ 16 o ochraně zdroje a obsahu informací).

Kdo je „whistleblower“?

Whistlebloweři brání demokracii a veřejné finance. Upozorňují na korupci a další nešvary a to nejen ve státní správě. Evropská unie přijde ročně o zhruba 5,5 až 9,6 miliard € v oblasti veřejných zakázek, protože není zaručena dostatečná ochrana whistleblowerů. V současné době je dostatečně chrání zhruba 10 zemí EU. Poslanci Evropského parlamentu se proto dohodli s vládami členských zemí na dalekosáhlé právní ochraně, aby whistlebloweři mohli o protiprávním a neetickém jednání informovat bez obav. Na tuto právní ochranu mají mít nárok i neziskové organizace a novináři, pomáhající whistleblowerům. Více se dozvíte například na stránkách Evropského parlamentu. Další užitečné informace najdete i na webu Whistleblower Protection.eu. Na „whistleblowing“ se dokonce připravuje norma ISO s označením 37002 a měla by být po r. 2021 implementována v každé firmě od 50 zaměstnanců výše, která to s etikou podnikání myslí vážně.

Bezpečnostní minimum

Neberte vlastní bezpečnost a bezpečnost svých blízkých na lehkou váhu. Osoby, stojící za nepravostmi, na které jste se rozhodli upozornit, mohou přijít o hodně. Jelikož se už svými činy pohybují za hranicí zákona, nemusí mít velké zábrany, přikročit k „nestandardním prostředkům“ i ve snaze vás umlčet. Jelikož tedy jde o důležité téma a také vývoj na poli digitálních technologií je rychlý, v zájmu co nejvyšší ochrany zdrojů problematiku zabezpečení bedlivě sledujeme a následující doporučení jsou průběžně doplňována a aktualizována tak, aby co možná nejvěrněji odrážela současné poznatky.

Počítač, který by potřeboval 4,2 hodiny na prolomení 8místného hesla, by na prolomení 16místného hesla potřeboval 5,7 bilionů let.

Nejlepším způsobem, pokud se pro oznámení rozhodnete, je zůstat nepoznán zainteresovanými osobami. K tomu může posloužit vhodné nasazení technických prostředků. Mějte ale na paměti, že ani ty nejlepší a nejmodernější technologie nebudou nic platné, pokud nedodržíte základní bezpečnostní pravidla. Mohou vám pomoci zachovat si anonymitu, ale stejně tak mohou přispět k vašemu odhalení. Než se mnou navážete kontakt, přečtěte si prosím následujících 15 pravidel pro bezpečnou komunikaci:

1. Neustále používejte nejnovější verze operačního systému, programů a aplikací, Javy, aktualizovaný antivir atd. a používejte pouze legální software.
2. Pro veškerá přihlášení používejte bezpečná hesla (min. 16 náhodných písmen, čísel a zvláštních znaků). Nezbytnou podmínkou je, že každé vaše heslo bude unikátní! Unikne-li totiž jedno heslo (a to se čas od času stává s železnou pravidelností), nebudou zkompromitovány vaše další účty. Proto bude nezbytný dobrý správce hesel, např. 1Password, LastPass nebo Dashlane.
3. Všude kde to je možné, používejte 2fázovou autentifikaci. Před potvrzovacími hesly zaslanými prostřednictvím SMS dejte přednost kódu vygenerovanému pomocí speciální aplikace (SIM karty může potenciální útočník – relativně jednoduše – duplikovat, více např. zde). K tomu je třeba použít aplikace jako jsou např. Google Authentificator (App Store, GooglePlay), Authy (App Store, GooglePlay) či ho lze rovnou vygenerovat v dobrém správci hesel, jako např. výše uvedený 1Password (návod zde). Kód je jednorázový, v čase proměnný a v současné době je považován za bezpečnější, než právě potvrzovací SMS.
4. Používejte šifrování disku (BitLocker Drive Encryption ve Windows a FileVault v Mac OS, data moderních mobilních telefonů jsou většinou standardně šifrována), v případě přenášení citlivých dat na externích discích (HDD nebo flash), nezapomeňte šifrovat i je.
5. Pro odesílání citlivých informací nepoužívejte pracovní počítač (pokud patří organizaci, pro kterou děláte a/nebo k němu mají přístup její správci IT) ani pracovní e-mail a pracovní připojení k internetu a vyvarujte se všech nezabezpečených veřejných WiFi sítí (například v kavárnách ap.) – používejte výhradně své vlastní zařízení.
6. Svůj počítač i mobilní telefon uzamykejte pokaždé, když u nich nejste (v zásadě jakékoliv zařízení, které jste nezamčené na okamžik ztratili z dohledu, můžete považovat za kompromitované).
7. Pokud vaše aplikace pro zabezpečenou komunikaci (Signal, Threema, Peerio – poslední dvě nejsou spárovány s telefonním číslem, lze tedy komunikovat zcela anonymně), používají heslo pro přístup (nebo biometrické zabezpečení), zapněte ho.
8. V obzvlášť citlivých případech nepoužívejte ani vlastní telefon (ať už pevný nebo mobilní) nebo váš soukromý e-mailový účet.
9. Pro anonymizaci vaší digitální stopy na internetu používejte VPN (Virtual Private Network, lze doporučit NordVPN, která se dlouhodobě umisťuje na čelních pozicích testů), prohlížeč Tor (jediným autorizovaným prohlížečem pro síť Tor na iPhone je Onion Browser) v kombinaci se  zašifrovanou e-mailovou službou – vysoké standardy splňuje např. švýcarský Proton (který je navíc dostupný i ve formě mobilní aplikace).
10. Pro dosažení maximální míry bezpečí a anonymity lze také použít tzv. live operační systém Tails založený na linuxové distribuci Debian, jeho instalace a provoz je však již poněkud náročnější.
11. Pokaždé když pracujete na svém počítači nebo mobilním zařízení, sedněte si tak, aby nikdo neviděl – jak lidé, tak kamery – co děláte, tedy např. zády ke zdi (pozor i na okna, teleobjektivem lze obsah vašeho displeje detailně vyfotografovat i z velké dálky).
12. Zásadně nevěřte telefonním operátorům, internetovým providerům, poskytovatelům e-mailových služeb, opravářům a servisům a už vůbec ne jejich zaměstnancům; telefonní hovory, SMS zprávy a nezašifrované e-maily se nikdy nedají považovat za bezpečné; zařízení, které prošlo servisem, je už kompromitované (a to nejen, pokud na něm byla data, někdo na něj mohl nahrát špionážní software, přidat sledovací či odposlouchávací zařízení ap.).
13. Možná nejdůležitější rada vůbec: o svých záměrech a aktivitách s nikým nemluvte,
14. a když už s někým musíte komunikovat, postarejte se, aby dodržoval stejná pravidla.
15. Přesto mějte vždy na paměti, že 100% bezpečnost nikdy neexistuje. Existují jen dobré postupy a aplikace, pomocí kterých je možno se jí přiblížit (a abychom si zbytečně nekomplikovali životy, vynaložené prostředky a námaha by měly odpovídat míře rizika a účelu).

Zabezpečený kontakt

Než přistoupíte ke kontaktu, seznamte se prosím s výše uvedeným Bezpečnostním minimem.

E-mail

Pro důvěrné a zabezpečené předávání informací nebo v případě odůvodněné žádosti o poradenství v oblasti bezpečného předání dat prosím použijte zašifrovanou e-mailovou komunikaci pomocí služby Protonmail. Po každém použití služby na počítači se nezapomeňte ihned odhlásit a zavřít okno prohlížeče. Přístup do aplikace na mobilním telefonu si zabezpečte pomocí otisku prstu (v levém horním rohu Menu/Nastavení/sekce Ochrana/Povolit Touch ID).

Mobilní aplikace

Kontaktovat mě můžete i ze svého chytrého mobilního telefonu prostřednictvím aplikace Threema. Komunikace je anonymní a zašifrovaná. Aplikaci si zabezpečte otiskem prstu (Settings/Passcode Lock/Touch ID).

Kontakt lze do aplikace Threema přidat i naskenováním QR kódu přímo z aplikace (Contacts/+/Scan an ID):

Aplikaci si můžete stáhnout z AppStore (79 Kč) pro telefony iPhone nebo z GooglePlay (89,99 Kč) pro telefony s operačním systémem Android.

Zabezpečené předávání dat

Větší množství dat (do 5 GB zdarma) můžete předat prostřednictvím šifrovaného úložiště TresorIt. Data jsou uchována po dobu 7 dní nebo 10 stažení. Po nahrání souborů je vygenerován odkaz, který lze zaslat zašifrovanou e-mailovou službou Protonmail nebo šifrovanou aplikací Threema. Provozovatelé služeb Protonmail, Threema a TresorIt sídlí ve Švýcarsku a řídí se švýcarskými zákony na ochranu soukromí, které jsou přísnější než zákony USA a EU.

Otázka motivace a anonymity

Utajení zdroje je důležité především ve fázi shromažďování informací a jejich ověřování. V prvé řadě vůči těm, jichž se týká, případně i vůči státním orgánům, pokud existuje podezření, že by mohly čelit nátlaku zainteresovaných osob či zájmových skupin. Z etického hlediska však zůstává ke zvážení, zda svou identitu se zveřejněním kauzy v médiích neprozradit. Informace tak získají na věrohodnosti a na váze, stejně jako to může hrát důležitou roli v dalším trestněprávním vyšetřování. Pokud vycházím z toho, že náprava neuspokojivého stavu byla vaší původní motivací (a tu novináři také budou zkoumat), pak prosím zvažte i tuto možnost. Na druhou stranu vás mohu ubezpečit, že zkušení investigativní novináři vaši totožnost bez vašeho výslovného souhlasu neprozradí ani pod policejním a soudním nátlakem.

Shrnutí

Anonymní e-mailové účty jako např. výše uvedený Protonmail vám dávají možnost používat e-mailovou komunikaci na kterou jste zvyklí a zároveň skrýt vaši identitu. I když je obsah zpráv spolehlivě šifrován, musíte vždy počítat s tím, že lze vystopovat vaši IP adresu a další data, na jejichž základě je možné odhalit vaši identitu. Tomu lze do značné míry zabránit již zmíněnou anonymizací prostřednictvím sítě Tor, ale především použití VPN.

V případě potřeby vám mohu poskytnout další bezpečnostní poradenství.

Podkladová fotografie pro použitou titulní grafiku je převzata od: Rene Bernala ze serveru Unsplash.