Nå stemmer de over hvordan du skal avlyttes

Medlemslandene i Europa-organet for telestandarder, ETSI, avslutter i disse dager en avstemming over en anbefaling om avlytting av data- og telesamband, inkludert GSM, GPRS og TETRA.

Avstemmingen startet 3. juli og skal være avsluttet 31. august. Den endelige standarden skal publiseres innen 7. september. Utkastet det stemmes over, er tilgjengelig fra ETSIs nettsted. Går du til ETSIs hjemmeside for lovlig avlytting ("lawful interception"), finner du fort fram til både arbeidsgruppen SEC LI og anbefalingen "Handover interface for the lawful interception of telecommunications traffic".

Dokumentet beskriver avlytting av vanlig telefoni, GSM, TETRA (et lukket system som det er snakk om at politiet og nødstjenester skal bruke i Norge), ISDN og GPRS. Det tar også for seg pakkesvitsjet kommunikasjon, les Internett. Standarden er generell nok til å kunne utvides etter hvert som andre nettverk og tjenester etableres, for eksempel UMTS.

Forslaget har vakt lite oppsikt selv blant personvernaktivister, selv om grupper som Cryptome.org og q/depesche (også kjent som Telepolis) har prøvd å trekke fram mistenkelige sider ved det. Sistnevnte har for eksempel avdekket at det ikke bare finnes politifolk i arbeidsgruppen, med også etterretningsfolk fra England, Israel, Nederland, Russland og Tyskland. De har også funnet fram til formuleringer i utkastet som de tolker dit hen at operatørene skal gjøre det umulig å spore den avlyttende myndighet - altså at etterretningstjenestene skal kunne avlytte ukontrollert - og at operatørene forpliktes til å hemmeligholde avlyttingens omfang.

ETSI-dokumentet er svært teknisk. Det beskriver et grensesnitt mellom politi - eller etterretningsorganisasjon - og operatør - eller tilbyder av Internett-tilgang og Internett-tjenester - som gjør det mulig å gjennomføre lovlig avlytting med minst mulig belastning for operatøren. Grensesnittet deles i tre nivåer. Det første gjelder anmodningen fra politiet om å avlytte et bestemt telefonnummer, IP-adresse eller brukernavn. Det andre gjelder hva slags informasjon skal samles om den avlyttede kommunikasjonen. Det tredje gjelder hvordan innholdet i selve kommunikasjonen skal kommuniseres til den avlyttende myndighet.

Det spesifiseres at grensesnittene er laget slik at de skal kunne tilrettegges med hensyn til nasjonale lover og regler og til spesielle regler som måtte gjelde for bestemte myndigheter som er gitt hjemmel for å kunne kreve avlytting. Det spesifiseres også at en anmodning om avlytting må beskrive hva slags informasjon avlyttingen gjelder, hvilke adresser som er interessante, og over hvilket tidsrom det skal lyttes, samt at den skal ellers være i samsvar med den nasjonale lovgivningen. Krever loven at avlytting skal godkjennes av en domstol, skal operatøren være i stand til å kontrollere at godkjenningen er gitt.

Dokumentet beskriver hvordan man skal forholde seg for at den nødvendige utveksling av informasjon mellom politi og operatør skal kunne befordres av moderne teknologi. Det legger vekt på at politiet ikke skal ha anledning til å blande seg opp i det tekniske ved avlyttingen. Bare operatøren skal kunne aktivere og deaktivere signalfangsten.

digi.no har ikke vært i stand til å finne fram til formuleringer i ETSI-anbefalingen som skal gi etterretningsfolk ukontrollert anledning til å avlytte, og heller ikke til der det skal stå at operatørene plikter å hemmeligholde omfanget av selve avlyttingen, slik personverngruppene hevder. Anbefalingen synes derimot å bære preg av et ønske om å formalisere prosedyrene og tilpasse dem digitale kommunikasjonssystemer mellom politi og operatør, slik at operatøren ikke involveres i annet enn det rent tekniske, utover det å forsikre seg at hver avlytting foregår innenfor de rammene loven krever.

Følgelig finnes det for eksempel regler for hvordan avlyttede "subjekter" skal beskrives i systemet, slik at det blir så vanskelig som mulig for uvedkommende - også teknisk personale hos operatøren - å få innsyn i hva som skjer. Det skal blant annet gis en egen avlyttingsidentitet til hvert ISDN-nummer og hvert mobilnummer som politiet ønsker avlyttet, selv om alle relaterer seg til samme abonnent. Rekonstruksjonen av når vedkommende ringte hvem og hva som ble sagt, skal bare være mulig hos politiet. Operatøren pålegges å oversende politiet det det trenger så fort som mulig - helst straks så sant det er teknisk mulig - og skal ikke innblandes i bearbeidingen av informasjonen. Det betyr at avlyttingssystemet skal kunne mellomlagre informasjonen hos operatøren dersom linjen til politiet er nede eller overbelastet. Slikt kan også automatiseres.

Det ser altså heller ut til å være et poeng for ETSI at operatøren ikke skal kunne følge med i avlyttingens omfang, enn at operatøren skal pålegges å holde slike opplysninger hemmelig.

I forhold til det som er norsk praksis i dag, klargjøres både ansvarsforhold og prosedyrer, og man unngår tilfeller der en politimann - eller en falsk politimann - kan ringe en operatør over en åpen linje og be om avlytting av et eller annet nummer, slik vi faktisk har opplevd. Prinsippet om at politiet ikke skal kunne ha direkte tilgang til selve avlyttingsapparaturen, kan også betraktes som betryggende i forhold til historiske forestillinger om hvordan "sikkerhetspolitiet" kopler seg til en linje og lytter til alt offeret skravler om i telefonen.

Trondheim-lektoren Peder Martin Lysestøl ble i sin tid avlyttet på en måte som strider mot prosedyrene beskrevet i ETSI-dokumentet. På den andre siden var avlyttingen også i strid med norsk lov i de årene han ble avlyttet.

Det er også viktig å merke seg at ETSI-standarden ikke hindrer en etterretningstjeneste fra å avlytte i strid med lovverket, siden den ikke sier noe om hvordan politiet skaffer seg den rettslige kjennelsen som kreves for å sette i gang selve prosessen.

Det man skal være klar over, er at ETSI-standarden åpner for lovlig automatisert avlytting av all slags telefoni og datakommunikasjon, og at sporene etter avlyttingen bare vil oppbevares hos de myndighetene som foretar dem. Standarden sier derimot ingenting om politiets tilgang til logger og annen informasjon som rutinemessig oppbevares hos operatørene før avlyttingen finner sted, og som ofte er vel så viktig for politiets arbeid. Den må følges opp nasjonalt, blant annet for regler om oppbevaring av avlyttingsspor og hva slags innsyn offentliggheten skal gis om omfang og ofre.

Til toppen