De fleste kjenner til at GDPR skaper ulike utfordringer relatert til bruk av amerikanske sky-tjenester. Færre tenker over at det Schrems II-dommen påpekte som problematisk, også er svært problematisk helt uavhengig av GDPR.
Det gjelder den lovfestede retten som gir amerikansk etterretning svært vide fullmakter til å innhente informasjon om andre lands borgere. Dette kan gjøres enten ved retten de har for å drive avlytting av nettverk, men også den lovmessige tilgangen de har til data lagret hos amerikanske sky-leverandører – uavhengig av hvor i verden disse dataene befinner seg.
Hva som er lovlige mål for denne uthentingen, er definert ganske vidt. Oppsummert gjelder det all informasjon som har etterretningsmessig verdi, og så lenge den ikke inkluderer amerikanske borgere (de er beskyttet av fjerde grunnlovstillegg i USA).
Akutt mangel på norske KI-talenter
Erfaringer
Etterretning krever hemmelighold for å være effektiv, og derfor er det helt naturlig at det er minimalt med informasjon offentlig tilgjengelig her. Men noe har lekket ut, spesielt fra lekkasjene Snowden stod bak, men også fra avsløringen av uønsket etterretningsaktivitet mot allierte.
Vi har noen dokumenterte hendelser som demonstrerer en vilje til å ta i bruk svært inngripende og omfattende metoder for også å overvåke allierte. Eksempler på dette er:
- Inntrengningen hos Belgiacom, som gav tilgang til å overvåke kommunikasjonen fra deres kunder (inkludert medlemmer av flere EUs sentrale organisasjoner). I hovedsak var det trolig GCHQ i England som stod bak, men med støtte fra NSA.
- Avlyttingen av statsledere i Hellas.
- Avsløringen av målrettet amerikansk spionasje i samarbeid med Danmarks e-tjeneste, mot blant annet Norge og Sverige.
Og med dette som bakteppe, kan vi også gjøre oss opp noen antagelser på hva som kan gjøres når dataene er tilgjengelig for lovlig og hemmelig uthenting direkte fra leverandørene. Og så er det selvsagt fristende å bruke sannsynlighet for å definere risikonivået på dette.
Vurdering av sannsynlighet
Vurdering av sannsynlighet kan i mange tilfeller gjøre risikovurderinger bedre. Dette gjelder spesielt der man har relevante data å forholde seg til. Vurderer man sannsynlighet ved naturkatastrofer, har man gjerne historiske data og informasjon om omstendigheter, og nye hendelser tilfører enda mer kunnskap, noe som igjen fører til bedre vurderinger.
Men hva når man ikke har tilgang til nødvendige data? Når hendelsene man ønsker å unngå, oppstår uten at man får vite om dem, slik at historiske data er fraværende? Og man samtidig vet at nye uønskede hendelser også vil forbli hemmelige?
Da er man nødt til å gå tilbake til et helt elementært ja/nei spørsmål: Er risikoens eksistens akseptabel?
Grindr-saken: − Ukontrollert og omfattende deling av sensitive data
Oppsummering av hva vi vet
Vi vet at etterretningstjenester i USA har en lovhjemlet rett til å hente ut informasjon fra amerikanske skyleverandører. Vi vet at det å inneha noe som kan defineres som etterretningsinformasjon (en altomfattende definisjon), er nok til å bli et mål for slik innhenting. Vi har sett flere eksempler på at USA er villige til å ta i bruk svært inngripende og omfattende metoder for også å overvåke allierte. Og vi vet at den lovmessige uthentingen kan skje uavhengig hvor dataene fysisk er lagret.
Veien videre
Det vi har behov for, er en klar, tydelig og godt kjent definisjon på hvilken informasjon som må beskyttes mot fremmed etterretning. Og eierskapet av denne definisjonen må plasseres hos noen med myndighet til å følge det opp.
Her kan man ta i bruk klassifiseringen «ugradert skjermingsverdig» og stille krav til beskyttelse i henhold til veiledninger fra NSM. I tillegg er det min mening at NSM bør bli tillagt myndighet til å overstyre lokale vurderinger og pålegge ett gitt nivå av beskyttelse. Årsaken er at det bør bli risikabelt å bedrive sjonglering med begreper og vurderinger med det mål å unngå kravene som følger det å beskytte ugradert skjermingsverdig informasjon.
Så er spørsmålet om dataene blir tryggere om de tas ut av offentlige skytjenester og lagres lokalt eller i nasjonale skytjenester. Svaret er at man unngår den uønskede lovmessige uthentingen, men vil kreve økte ressurser på sikring og deteksjon. Med de fordeler og ulemper det har.
Avslutningsvis vil jeg igjen minne om at dette dreier seg om å besvare ett enkelt spørsmål: Aksepteres risikoen for at andre land kan bruke egne lover for å hente ut dataene? Er svaret NEI, kan ikke offentlige skytjenester benyttes. Er svaret JA, kan man starte vurderingene opp mot GDPR.
Temu selger elektronikk som kan overvåke og spionere
