Oberoende och ovetandes om de diskussioner som hållits här på listan och vid en fysisk träff har jag hållit på och planerat för en svensk whistleblowertjänst. Anledningen är att anonymitet och säkerhet är låg eller nästan obefintlig i de svenska initiativ som tagits till whistleblower-tjänster. Bl.a. några inom offentlig sektor samt på Sveriges radio. Om jag minns rätt nu så har jag hittat sammanlagt 7 sådana initiativ av olika slag.
Jag har gått i tankarna nu i ett drygt år om att starta en svensk tjänst, men först nyligen börjat göra tester och prata med folk om sponsring och fråga efter intresse. Anledningen är att man i min kommun diskuterat frågan i politiken och tillslut kommit fram till att man bara vill inrätta ett halvhjärtat försök till intern whistleblowing-service i kommunen, halvhjärtad därför att det inte går att vara anonym i praktiken och för att endast ett fåtal saker får rapporteras in om ett fåtal personer. Försöket är dock ett steg i rätt riktning som jag välkomnar och lovordar, det är inte många kommuner som ens tagit "bäbissteg" i rätt riktning. Det är få politiker som är tillräckligt tekniskt kunniga och säkerhetsmedvetna för att förstå eller kunna implementera en lösning som skyddar visselblåsaren. Eftersom jag är en av dessa få så bestämde jag mig för någon månad sedan att göra slag i saken och ordna en teknisk lösning för svenska visselblåsare med både anonymisering och kryptering som offentliga aktörer skulle kunna använda sig av om de så önskar.
Jag har kollat runt, testat och kommit fram till att GlobalLeaks är den mest effektiva lösningen sett ur relationen användbarhet genom antal arbetstimmar för mig. Det är allsidigt och tillåter många olika typer av syften och mottagare på en och samma server vilket möjliggör kompatibilitet med kommuner, medier, NGO:s och statliga myndigheter utöver eventuell egen mottagning av tips. Nackdelen är att GL-utvecklingen bara är i alfa-fasen, men GL verkar lovande och man har aktiva människor i projektet.
Eftersom jag blivit uppmärksammad på att det hållits en diskussion här i DFRI och fler verkar vara intresserade så tänkte jag att istället för att flera medlemmar ska uppfinna hjulet på nytt på olika håll så kan vi samarbeta både för föreningens och visselblåsarnas bästa. Finns det ett intresse av samarbete kring ett svenskt GlobaLeaks-projekt?
En prototyp som drivs i en hidden service har jag redan skapat och i princip skulle jag kunna lansera en tjänst inom ett par dagar. Men jag vill helst först köpa in dedikerad NY utrustning och låta programvaran arbeta under en längre tid och se om allt funkar vecka ut och vecka in, månad efter månad, med test från mig/oss och kanske allmänheten. Sedan skulle jag vilja göra intrångstester eller låta andra testa att göra intrång. Men i princip går det att lansera en tjänst väldigt snart om man inte bryr sig om att vara noggrann med säkerheten initialt, själv tror jag mer på att initialt testa tjänsten på ett sätt så att det är öppet för allmänheten att se hur det funkar.
För att sedan få en bättre och mer språkligt anpassad lösning så behöver vi hjälpa GlobalLeaks-projektet genom att skapa en svensk översättning. Att blanda svenska och engelska ser lite oproffsigt ut, men det funkar i en uppstartsfas. Man bör också försöka hitta sponsorer. Och sist men inte minst, man behöver få olika aktörer att ta emot tipsen via GlobaLeaks på ett säkert sätt. Alltså att utbilda kring säkerhet, t.ex. genom guider på webben eller föreläsningar för mottagarnas IT-anställda.
I ett senare skede borde programvaran göras kompatibel med fler operativsystem än vad de erbjuder idag. Om vi får tid över så skulle portning till operativsystem kända för högre säkerhet vara ett bra sak att bidra med också till projektet. I dagsläget rekommenderar de enbart Ubuntu 12.04 LTS och deras val kanske beror mer på att det OS:et har 3-år av säkerhetsuppdateringar garanterade snarare än att det skulle hålla högsta möjliga säkerhet allt sammantaget. Men det är bara min gissning. Bugrapportering och granskning av koden skulle kunna vara något annat att hjälpa dem med som i längden skulle gynna programvaran men framförallt visselblåsarna.
Är det folk här på listan som också testat GL? För dem som funderar så kan jag säga att installationsanvisningarna och en del annat är bristfälligt, så ge inte upp om det låser sig utan sök i hjälpen eller på nätet efter lösningar om ni vill testa också.
Inget hindrar att andra i föreningen gör andra försök med annan tillgänglig open-source-kod eller egen kod parallellt och att vi drar slutsatser efter försöken. Har någon testat andra alternativ eller egenskapad kod för en whistleblowing-tjänst och har något intressant att rapportera?
Finns det ekonomi, intresse eller marknadsföringsresurser i föreningen för att driva denna typen av projekt i föreningens regi eller bör vi skapa en separat förening med mål att samla in egna pengar för whistleblower-tjänsten?
MVH, David