Presidentskiftet i USA har ført til en endring i debatten om bruk av amerikanske leverandører. I tillegg til leverandørlåsing og mulig utestengelse, er nasjonal suverenitet ett av temaene som dukker opp.
La meg starte med et av veldig få kjente eksempler som demonstrerer allierte staters vilje, evne og intensjon til å utføre digitale angrep mot hverandre: «Operation Socialist». Britiske og amerikanske etterretningstjenester samarbeidet om å trenge inn i infrastrukturen til Belgacom for å drive spionasje mot EU, som var en stor kunde av Belgacom.
Angrepet pågikk i årene 2010 til 2013 og hvem som stod bak ble avslørt gjennom lekkasjene til Snowden. Avlyttingen av Angela Merkel var en del av denne saken.
Vilje til å gå langt
Her er det viktig å merke seg tre ting:
- E-tjenester demonstrerer en vilje til å gå veldig langt for å hente ut informasjonen de ønsker, inkludert å trenge gjennom tekniske beskyttelsesmekanismer.
- Selv allierte nasjoner spionerer på hverandre (her var det to NATO-land som samarbeidet om å trenge inn i infrastrukturen hos ett tredje NATO land).
- Denne operasjonen foregikk mens Obama var president i USA
Det denne historien viser oss, er intensjon og hvor langt noen hemmelige tjenester er villig til å gå for å skaffe informasjon. Samt at dette foregår uavhengig av hvem som til enhver tid er sittende president i USA.
Uthenting av data
Og her kommer bekymringene for det amerikanske lovverket Foreign Intelligence Surveillance Act (FISA). Det gir NSA utvidede rettigheter til å hente ut informasjon, uten å måtte forsere tekniske sikringstiltak, de kan rett og slett be leverandører om å hente ut data, eller be de tilrettelegge for uthenting av data.
En vanlig misforståelse er at denne loven kun kan brukes for å hente informasjon om enkeltpersoner, men fullmaktene er i praksis veldig vide.
De omfatter blant annet «informasjon som gjelder gjennomføringen av USAs utenrikspolitikk». Og da kan man stille spørsmål om den interne saksbehandlingen i offentlige etater (som ofte foregår via e-post) er omfattet av dette?
Har det noe å si?
Men når de likevel klarer å bryte seg inn, har det da noe å si?
Forskjellen på å bruke store amerikanske skytjenester og å ha tjenestene under nasjonal kontroll, går på evnen til å oppdage. Ved å utsette data for lovmessig uthenting direkte fra leverandør, har man ingen evne til å oppdage uønsket aktivitet.
Må aktøren derimot forsere tekniske sikringstiltak for å nå dataene, har man i det minste en mulighet til å oppdage avanserte statlige aktørers aktivitet, slik Belgacom klarte når GCHQ og NSA var på uønsket besøk.
Og vi har eksempler på at vi har evnen til å oppdage og håndtere svært avanserte angrep også i Norge, som hendelsen mot departementene i 2023.
Satser alt på å bygge ny IT-spiller: – Jeg selger hus, hytte og bil om jeg må
