<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Krig og kjærlighet i masseovervåkningens tidsalder

dette er et ran.png ‹ Tilbake til artikler

dette er et ran.png

Fredag 6. januar lukkes høringen om digitalt grenseforsvar (DGF). Løsningsforslaget som presenteres i høringsbrevet fra Lysne II-utvalget er kontroversielt: Etterretningstjenesten bør få lov til å overvåke all tele- og datatrafikk som går inn gjennom eller ut over landets grenser. Storebror ser deg, eller?

Sammenliknet med mediekjøret rundt Datalagringsdirektivet (DLD) har stillheten i denne omgang vært øredøvende, med noen få unntak i form av redaksjonelle innlegg fra september 2016 da utvalget overleverte rapporten til Regjeringen.

Noen mener Lysne II-utvalget går inn for de mest ekstreme overvåkingslovene som noen gang er foreslått i Norge. Andre mener dette er helt nødvendige sikkerhetstiltak. Hva er det egentlig utvalget foreslår? Jeg gjør et forsøk på å bryte ned rapporten i noen enklere bestanddeler:

Hva betyr egentlig digitalt grenseforsvar?

At Etterretningstjenesten kan følge med på (monitorere) all elektronisk kommunikasjon som krysser Norges grenser i den hensikt å oppdage, varsle og håndtere trusler. Med andre ord innsamling av både meta- og innholdsdata fra tale- og datakommunikasjon i massiv skala, og hvor begrensningene på hva man kan gjøre med dataene kommer etter de har blitt samlet inn.

Meta.. data?

Metadata er “data om data”; informasjon som beskriver annen informasjon. Tidspunktet du besøkte en spesifikk nettside fra laptopen din, for eksempel. Eller, hvilke mobilbasestasjoner telefonen din koblet seg opp mot da du gikk hjem fra jobb i går. For de som husker Datalagringsdirektivet tok det sikte på å lagre metadata. Løsningen som skisseres for digitalt grenseforsvar vil derimot ta vare både på innhold og metadata. DGF vil altså lagre og overvåke hvem du har kontakt med, når dere snakker sammen, eller hvor lenge du surfer på Reddit, i tillegg til selve innholdet i trafikken. Det betyr at det du skriver i et innlegg på sosiale medier, snakker om på Skype, bilder du sender på Snap og videoer du streamer på YouTube potensielt kan havne i garnet.

Vil de overvåke kryptert trafikk?

Kort svar: Nei. Etterretningstjenesten har ikke en magisk nøkkel som kan dekryptere alt.

Lengre svar: Når du surfer på nettsider med grønn hengelås (SSL/TLS tilgjengeliggjort over HTTPS) er det rimelig å anta at innholdet i informasjonen du sender og mottar ikke kan leses av andre på veien. Etterretningstjenesten vil i så fall være avhengig av å enten utnytte en svakhet i krypteringen som benyttes. Alternativt må de bryte seg inn på datamaskinen til en av de to partene i transaksjonen for å lese av informasjonen. Etterretningstjenesten skal i utgangspunktet ikke bryte seg inn på datamaskinene til nordmenn i Norge, dette er politiets jobb (se Dataavlesing). I tillegg kan vi regne med at Etterretningstjenesten har kapasitet og kapabilitet til å forsere enkelte krypteringsmekanismer, samt finne og utnytte svakheter i måten de er implementert i kommunikasjonsprotokoller (kjent som “kryptoforsering”). Tilgangen vil med andre ord variere med krypteringen som benyttes av kommunikasjonstjenesten, hvor attraktivt du er som overvåkingsmål, og hvilke kapasiteter og kapabiliteter Etterretningstjenesten til enhver tid besitter.

Hva skal de bruke opplysningene til?

Utvalget skisserer to scenarioer:

  1. Oppdage og forhindre cyberspionasje
  2. Oppdage og forhindre internasjonal terrorisme

Scenarioene beskrives på side 72 i rapporten.

Formålet med innsamlingen blir vesentlig. I desember 2016 avsa EU-domstolen en prinsipielt viktig dom. I utgangspunktet stenger dommen døren for generell lagring av borgernes trafikk- og lokasjonsdata. Dommen kan få stor betydning for DGFs utforming.

Er dette i strid med eksisterende lover og regler?

Kanskje, men jeg er ikke jurist.

Grunnloven §102 sier følgende:

“Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet”.

Hva kan de IKKE gjøre med opplysningene?

Formålet for informasjonsinnhentingen er beslutningsstøtte for myndighetene, og ikke straffeforfølgning.

Hvor lenge skal de ta vare på opplysningene?

Utvalget anbefaler maksimalt 18 måneders lagringstid. Dette blir sannsynligvis kun metadata, ettersom lagring av alt innhold vil kreve enorm lagringsplass.

DGF høres kjent ut. Hvor har jeg lest om dette før?

Venner og kjente i utlandet har lignende programmer. Den amerikanske etterretningstjenesten National Security Agency (NSA) driftet i årevis datainnsamlingsprogrammer ved navn som PRISM, BOUNDLESSINFORMANT, og XKEYSCORE. Disse programmene likner delvis på det digitale grenseforsvaret som skisseres i rapporten.

1984 i 2017?

Hva betyr dette for samfunnet vårt? Rent prinsipielt mener jeg forslaget kan undergrave demokratiet. Det er rimelig å anta at enkelte vil begrense aktiviteten på nettet hvis de vet at “noen” følger med. Heldigvis bor vi i Norge: Sannsynligheten for at styresmaktene henter inspirasjon fra diktaturstater er på nåværende tidspunkt liten. I tillegg stoler de fleste av oss på de som holder i spakene.

Samtidig er jeg ikke sikker på om dette er så mye “verre” enn det kommersielle leverandører som Google, Microsoft, Apple og andre holder på med. Forskjellen er at jeg i møte med disse selskapene bytter personopplysninger mot stadig bedre tjenester. For å sette det på spissen: hjemme har jeg en Google Home-enhet. Jeg har betalt et reklameselskap for at de skal få plassere en mikrofon i stuen min som alltid er på. Hvorfor? Fordi det er nytt og spennende. Livet mitt blir enklere. Bekvemmelighet trumfer personvern. Med DGF vil jeg - visstnok - bytte deler av min anonymitet på nettet mot et sikrere samfunn.

Men denne saken handler vel så mye om personvern som at det opprettes en ny samfunnskontrakt. Jeg tør påstå at det er en fundamental endring i forholdet mellom innbyggerne og styresmaktene. Noen vil kanskje tenke de ikke har noe å skjule. For enkelte kan det kanskje stemme. Balansen på hva vi er komfortable å gi avkall på, og i hvilken grad, varierer fra person til person. Det å lagre informasjon om hvem vi ringer til, hvor lenge vi snakker sammen, hvor vi befinner oss, når vi leser e-post, hvilke nettsider vi besøker, våre seksuelle preferanser, helsetilstand, religiøse og politiske synspunkt, utroskap og potensielle lovbrudd setter selv de mest prektige i søkelyset. Personvernekspert og professor Daniel Solove ved George Washington University Law School sammenlikner denne typen masseovervåkning med Georges Seurats malerier: en enkelt prikk betyr ikke stort, men setter du de i system tegnes det et nyansert portrett.

bilde maleri Jan Henrik.png

Illustrasjon: “Un dimanche après-midi à l'Île de la Grande Jatte”, Georges Seurat, 1884. (Kilde: Wikimedia Commons)

Pro et contra?

Personlig synes jeg masseovervåkning er et svært utfordrende tema. Er jeg egentlig for eller mot?

Jeg diskuterte problemstillingen med en tidligere kollega med lang fartstid i det norske etterretningsmiljøet. Han oppsummerte sitt synspunkt på følgende måte:

"Personverneren i meg synes forslaget er hårreisende, mens min indre etterretningsoffiser mener det er en naturlig utvikling og et steg i riktig retning."
Det er omtrent der jeg lander selv. Jeg står delt i saken. Likevel har jeg nådd noen delkonklusjoner.

Kan vi forhindre at dataene som lagres ikke vil bli benyttet til å etterforske kriminelle handlinger?

Nei, det tror jeg ikke. Når mobben står utenfor porten med tente fakler og høygafler er det vanskelig å holde stø kurs.

Vil systemet misbrukes?

Ja, sannsynligvis.

Vil jeg som borger føle meg tryggere med et slikt system?

Nei. De som ønsker vil sannsynligvis kunne omgå det.

Vil Etterretningstjenesten redusere skadeomfanget av cyberspionasje eller bidra til å stanse internasjonal terrorisme?

Kanskje, men til hvilken pris?

Jan Henrik Schou Straumsheim

Jan Henrik Schou Straumsheim

Jeg heter Jan Henrik Schou Straumsheim, og jobber som rådgiver innen cybersikkerhet og IT-risko i PwC. Jeg har arbeidet i PwC siden 2016, og har tidligere erfaring som sikkerhetsrådgiver i Mnemonic og offiser i Forsvaret. Mine faglige interesseområder er digitalisering, sikkerhet og personvern. Har du synspunkter, innspill, kommentarer eller spørsmål ønsker jeg å høre fra deg!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Digitalisering virker - men for få er i gang…

I PwCs rykende ferske undersøkelse «Fremtidens økonomifunksjon» har vi kartlagt hvor langt dagens økonomifunksjoner er kommet på den ...

Les artikkelen
Les artikkelen

Personvernforordningen og hvitvaskingsloven. Godzilla vs King Kong?

Hvis du jobber med compliance i Finansnæringen, må du ha hatt et friår for å bo sammen med en isolert stamme i det indre av Brasil eller ...

Les artikkelen
Les artikkelen

PwC Global CEO Survey 2018 - den bekymrede optimisten

I PwCs årlige CEO-undersøkelse for 2018 deltok nær 1300 toppledere fra 85 land. Fokuset har vært på hva topplederne ser på som de største ...

Les artikkelen