Tilrettelagt og tilsidesatt innhenting

– Lagringen er ikke veldig ulik fra det tidligere foreslåtte datalagringsdirektivet, som ble funnet i strid med menneskerettighetene, skriver Håvard Pedersen i denne kronikken.

Illustrasjon.
Illustrasjon. (Foto: NTB Scanpix)

– Lagringen er ikke veldig ulik fra det tidligere foreslåtte datalagringsdirektivet, som ble funnet i strid med menneskerettighetene, skriver Håvard Pedersen i denne kronikken.

  • Debatt
Håvard Pedersen. Portrett.
Håvard Pedersen. Foto: Privat

I forslaget til ny lov om etterretningstjenestene er det foreslått at myndighetene skal kunne samle inn en stor database om hvilke tjenester norske borgere benytter på nett, når de benyttes og hvem det kommuniseres med. Data vil beholdes i 18 måneder. Dette betyr i praksis at man lagrer nok til å kunne se alt norske borgere gjør på nett.

Denne lagringen er ikke veldig ulik fra det tidligere foreslåtte datalagringsdirektivet, som ble funnet i strid med menneskerettighetene både av den Europeiske Unions Domdomstol i 2014 og av et norsk ekspertutvalg i 2015.

Det er forsøkt gjort en del begrensninger, blant annet en bestemmelse om at metadata om kommunikasjon mellom to norske borgere som ikke er konkret mistenkt for å operere på vegne av fremmede makter ikke skal lagres. At det i de fleste tilfeller er umulig å avgjøre nasjonalitet eller lokasjon sikkert for begge parter i en kommunikasjon gjør denne bestemmelsen til sikkerhetsteater mer enn en faktisk sikkerhetsanordning.

Det er også sagt at etterretningstjenesten skal ha en uttømmende liste over metadata, for å forhindre at man lagrer innholdsdata. Men samtidig har man ingen mekanismer for å hindre etterretningstjenesten i å sette hva de vil på denne listen. EOS-utvalget skal få se denne listen, men lovteksten inneholder ingen form for klagemulighet på hva som settes på listen.

Databasen i seg selv er problemet, ikke hvem som har tilgang

Problemet er ikke nødvendigvis at etterretningstjenesten får mulighet til å søke i disse dataene, men det prinsippielle problemet som oppstår bare fordi disse dataene finnes i sammenstilt form. Hvordan ville du som privatperson reagert hvis posten skulle registrere avsender, mottaker og dato for alle brev du sendte, "i tilfelle vi må drive etterretning senere"?

Hvem som helst som jobber med datasikkerhet kan fortelle deg at ingen systemer er helt sikre

Og hvem som helst som jobber med datasikkerhet kan fortelle deg at ingen systemer er helt sikre. Har du et datasystem er det bare et spørsmål om tid når det blir innbrudd, aldri om. Disse dataene vil være ekstremt verdifulle nettopp for fremmede makter. Når selv ikke NSA klarte å skjerme sine data, hva er oddsene for at den norske etterretningstjenesten vil klare det? Det vil kreve en forholdsvis stor infrastruktur for å håndtere disse dataene, og de som jobber der vil nødvendigvis ha tilgang til alt som er lagret.

I tillegg er lover til for å endres. Når man først har dataene kan man ombestemme seg for formålet. Man ser selvfølgelig for seg at slike endringer må gjennom et storting som vil stemme ned uønskede endringer. Men dessverre er historien full av valg som plutselig gikk en litt annen vei enn planlagt, og plutselig har ett parti makt til å tvinge gjennom lover (eller sidestille dem). Hva kan da utrettes med en slik database som sannsynligvis kan la deg finne legning, religiøsitet og politisk tilhørighet for de fleste innbyggere i landet? Det hjelper ikke at regjeringen ser på muligheten for å tilsidesette lovgivning i fredstid.

Ineffektivt

Den aller største grunnen til at forslaget aldri bør vedtas er at det ikke er i stand til å fange opp kryptert informasjon

Forslaget viderefører også en gammeldags tankegang om at angrep på norsk infrastruktur krysser landegrensene. Tror man at utenlandske hackere kobler seg opp direkte fra sin PC til servere i Norge? Hvor stor del av norsk infrastruktur er flyttet ut av Norge de siste ti årene? Hvordan har etterretningstjenesten tenkt at dette forslaget vil beskytte disse? Og hvor mange land bruker så inkompetente hackere til etterretning at de ikke går via et mellomledd inne i landet de opererer i? Høringsnotatet problematiserer selv dette (7.3.2.3), men det ser ikke ut til å ha vært hensyntatt i lovteksten.

Men den aller største grunnen til at forslaget aldri bør vedtas er at det ikke er i stand til å fange opp kryptert informasjon, som utgjør en stadig større andel av trafikken på internett. Teknikkene for å omgå innhenting ved hjelp av kryptering er mange og enkle. Det tryggeste er å bruke VPN i det trafikken krysser landegrensene. Et annet alternativ er for en fremmed makt å bruke mellommenn til å leie seg serverkapasitet i Norge slik at kommunikasjonen kan gå via krypterte tunneler. Og et tredje er å bruke TOR-nettverket, som totalt skjuler identitetene til to kommuniserende parter.

Hjelp til selvhjelp

Konklusjonen er at det demokratiske samfunnet jeg vil kjempe for å bevare er et samfunn hvor myndighetene ikke besitter en oversikt over hvem jeg kommuniserer med, og når. Det er også et samfunn jeg skulle ønske etterretningstjenestene fant verdt å forsvare.

På grunn av alt dette har SerDeg.no nå publisert en guide som hjelper "folk flest" å forbigå tilrettelagt innhenting ved hjelp av noen enkle grep på sin egen datamaskin. Slik kan du skjerme deg mot brudd på dine menneskerettigheter og sove trygt om natten, vel vitende om at morgendagens lovendringer ikke vil medføre at sensitiv informasjon om ditt privatliv skulle ligge i en database hos myndighetene.

Kommentarer (7)

Kommentarer (7)
Til toppen