Personvern svekker USAs kyberforsvar

Obama-regjeringen sliter med å finne den rette balansen mellom to valgløfter.

Under valgkampen i fjor kom USAs president Barack Obama med to løfter som nå viser seg å være vanskelig å forene: Kyberforsvaret skal trappes opp og effektiviseres, samtidig som personvernet skal styrkes. Forgjengeren, George W. Bush, var ikke spesielt dyktig på kyberforsvar, og var også mindre opptatt av personvernet.

Bush-regjeringen la i 2003 opp en plan, døpt «Einstein», for å verne nettverkene til de sivile føderale myndighetene.

Disse nettverkene skulle i et trinn én få et felles system for å varsle om inntrengningsforsøk og andre typer angrep. I trinn to skulle Einstein styrkes med en felles varsling av virus og andre former for ondsinnet kode. I et tredje og avgjørende trinn skulle Einstein trappes opp for ikke bare å varsle om fare, men også avverge angrep. Trinn én og to av Einstein kan bare varsle: Det er ingen felles verktøy for å holde inntrengere ute, eller luke dem ut.

Siden 2003 er Einstein én og to implementert til en viss grad: Et begrenset antall departementer og direktorater har det felles varslingssystemet Einstein én, men departementet for innenrikssikkerhet (Department of Homeland Security) er hittil alene om utvidelsen Einstein to.

Erfaringene er ikke spesielt gode. I en rapport fra USAs riksrevisjon (Government Accountability Office, GAO) i 2007, ble varslene fra systemet beskrevet som upålitelige.

Einstein to vil, ifølge kildene til Wall Street Journal, tidligst kunne implementeres gjennom mesteparten av det føderale regjeringsapparatet om halvannet år.

Årsaken til at det tar så lang tid, kan føres tilbake til Bush-regjeringens uvørne omgang med personvernet.

Etter terrorangrepene 11. september 2001 fikk sikkerhetsdirektoratet National Security Agency (NSA) nærmest fritt spillerom til å avlytte telefoni og nettrafikk, og tele- og nettoperatørene bøyde seg uten hørbare protester. Dette ble offentlig kjent i 2005. Skandalen rystet Bush-regjeringen, NSA og tele- og nettoperatørene. Operatørene krevde klare garantier for å samarbeide om overvåkingen som er nødvendig for å få de to første trinnene i Einstein til å fungere.

Einstein trinn tre, som Obama-regjeringen har gitt sinn prinsipielle tilslutning til, utgjør en langt større utfordring til personvernet enn de to første.

Teknologien i trinn tre viderefører funksjonalitet utviklet hos NSA. Blant de påkrevde egenskapene er evnen til å lese og automatisk analysere inn- og utgående meldinger og annen trafikk. Per i dag tillater ikke amerikansk lov rutinemessig avlytting av nettrafikk: Avlytting krever rettslig kjennelse, og kan bare gis mot spesifiserte individer.

Skal Einstein trinn tre implementeres, og USAs sivile føderale myndigheter få et nettverk som faktisk kan forsvare seg mot angrep utenfra, kreves det med andre ord en drastisk omlegging av personvernet.

Teleoperatøren AT&T trenerte – også av andre, det vil si tekniske og praktiske årsaker – en henstilling fra Bush-regjeringen om å kjøre et pilotprosjekt for Einstein trinn tre. Obama-regjeringen har nå gitt grønt lys for dette forsøket, og har nedsatt en egen gruppe for å klargjøre forholdet til personvernet.

En mulighet for å kunne forene Einstein tre med personvernet, skal være å flytte selve trafikkovervåkingen fra regjeringskontorene til tele- og nettoperatørene. Et så tett samarbeid mellom privat og offentlig sektor i et så følsomt område reiser en rekke vanskelige politiske utfordringer.

Mens utredningene pågår, må USAs sivile føderale myndigheter nøye seg med et kyberforsvar som ikke er oppdatert med tanke på dagens trusselbilde.

    Les også:

Til toppen