tirsdag 7. februar 2017

Digitalt grenseforsvar (DGF)

Professor Olav Lysne har leia utvalet som har føreslått eit digitalt grenseforsvar, DGF, det såkalla Lysne II-utvalet. Lysne I-utvalet vart nedsett av Justisdepartementet tok for seg sårbarheit og var eit naturleg grunnlag for Lysne II som vart sett ned av Forsvarsdepartementet. Olav Lysne sa sjølv på eit seminar arrangert av Den norske dataforening (DnD) at han hadde tvilt seg fram til tilrådinga, og at det ikkje er eit val mellom pest eller ikkje-pest, men om pest eller kolera.

Det digitale grenseforsvaret går ut på å gi etterretningstenesta (E-tenesta) verktøy for innsyn i datastraumane som går til og frå Norge. Dei får med andre ord mulegheit til å avlytta all Internett-trafikk som passerer grensene til landet. Rett nok må innsynet og analysane av data godkjennast av ein domstol før det kan setjast i verk, men her er det fleire gråsoner og uavklarte spørsmål. Kontrollen med DGF kviler på tre pillarar:

  1. Førehandsgodkjenning av domstol (eigen DGF-domstol er føreslått)
  2. Eit tilsyn (DGF-tilsynet) skal overvaka bruken av DGF, i nær sanntid
  3. Ei styrking av EOS-utvalet sin etterfølgjande kontroll
    [EOS er Stortinget sitt kontrollorgan for etterretning, overvaking og sikkerheitsteneste]

DGF-kampanje
Det er for tida stor merksemd om dataangrep mot Norge og politiske miljø, og påstandar om russiske angrep for muleg valmanipulasjon. Den som trur at dette er heilt tilfeldig og uavhengig av DGF er enten naiv eller rett og slett dum. Dette er nok ein velregissert kampanje for å få gjennomslag for det ganske drastiske tiltaket DGF er. At det blir utført dataangrep mot Norge treng me ikkje tvila på, men "timinga" av desse store angrepa er meir enn mistenkjelege. Så eg vel å tenkja mitt..

Høyring med mange skeptiske svar
Høyringa av DGF-forslaget har resultert i mange svar, men ein instans glimrar med sitt fråver: Elektronisk Forpost Norge (EFN). Eg har spurt dei kvifor dei ikkje har levert høyringssvar på dette viktige forslaget, og fått til svar at "det er mange høringer vi ønsker å delta i, men vi har ikke ressurser til å svare på alle". Hallo? Viss ikkje EFN skal svara på ei slik høyring så forstår eg ikkje noko av prioriteringa.

Av høyringssvara er det mange som er skeptiske til det vidtgåande forslaget. Sjølv om dei skisserte truslane blir oppfatta som reelle, og utvalet får mykje skryt for ei grundig vurdering av situasjonen,  meiner mange at det er å gå for langt å lagra all informasjon. Me ser mange av dei same reaksjonane som kom mot Datadirektivet for nokre år sidan.

Høyringssvaret frå Norsk Unix User Group, NUUG, listar opp mange av dei høyringssvara som er skeptiske til forslaget. Dei avsluttar også med følgjande fynd-ord:
NUUG vil avslutningsvis minne Forsvarsdepartementet på at neste gang de låser døren på toalettet for å gjøre sitt fornødende så er det ingen som tror at de gjør det fordi de er kriminelle eller terrorister, men vi respekterer at det er ønsket privatliv.
Alle skal under lupa
Mange høyringssvar, og særleg frå juridiske hald, peiker på faren med den vide og omfattande kommunikasjonskontrollen som ikkje er basert mistanke, som i vanleg etterretning, men som omfattar absolutt alle. Dette er stikk motsett av vanleg etterforsking der datainnhenting berre skal skje etter grunngjeven mistanke. Rett nok skal innsyn i innsamla data berre kunna skje etter vedtak i domstol, men her er det fleire gråsoner som ikkje ser ut til å ha vorte grundig nok diskutert. Til dømes står det i rapporten at det skal takast stikkprøvar dagleg av informasjonsstraumen, men korleis skal den då handterast? Skal det gjerast vedtak kvar dag om tilgang, eller skal ein ikkje sjå på den i det heile? Dette viser kor umuleg situasjonen med eit digitalt grenseforsvar blir med tanke på full kontroll med tilgang.

Ein dom i EU-domstolen rett før jul (C-203/15 og C-698/15, 20. des. 2016) mellom Tele2 og den svenske Post- og telestyrelsen ga Tele2 rett i å sletta data, noko PTS ga dei beskjed om at dei ikkje hadde lov til. Tele2 hevda ordren frå PTS stridde mot menneskerettane og viste til ei liknande sak i Irland. Tele2 vann fram og EU-domstolen sa i dommen at å lagra slike data var i strid med retten til privatliv. Det var også EU-domstolen som torpederte Datalagringsdirektivet, som var ei heit sak i mange land inkludert Norge.

Føremålsgliding
Mange høyringssvar peiker med rette på den stor faren med føremålsgliding, dvs. at data etter kvart blir brukte til noko anna enn det dei var tenkte. Og det gjekk ikkje lang tid før dette vart demonstrert til fulle: Politiet har gått ut og sagt at det er utenkjeleg at data frå DGF ikkje skal kunna brukast i alvorlege kriminalsaker. Greitt at katten vart sleppt ut av sekken med ein gang!

Eit godt eksempel på føremålsgliding finn me i trafikken. Fotoboksane som vart sette opp for 30-40 år sidan skulle berre avsløra fartssyndarar. Men me veit alle at dei har vorte viktige datainnsamlarar i straffesaker. Det same kan me seia om mobilnettet.

"Rikets sikkerheit"?
Argumentet om "Rikets sikkerheit" pleier trumfa det meste, og E-tenesta brukar det sjølvsagt for det det er verdt. Det blir likevel hult når me høyrer at Naudnettet faktisk blir delvis drifta frå India. Viss noko så viktig som drift og tilgang til Naudnettet kan setjast bort til framande makter, kva skal me då med eit digitalt grenseforsvar? Eit digitalt grenseforsvar vernar oss ikkje mot grenselaus naivitet og stupiditet, og det er kanskje den største utfordringa vår. Statoil demonstrerte eit tilsvarande mangelfulle rutinar for tryggleik då det viste seg at ein indar heldt på å laga katastrofe på Mongstad etter å ha gjort ein datafeil.

"Alle andre gjer det"
Dette er også eit vanleg argument, og eit argument me er vande til å høyra også frå barn. Det er vanskeleg å møta argumentet om at "alle andre gjer det" med faste grenser for barn, og det er vanskeleg i det vaksne livet også. Alle andre nasjonar avlyttar nett-trafikken, så kvifor skal ikkje Norge gjera det? Men det er ikkje eit haldbart argument, for då kastar ein over bord alle prinsipp og let seg styra av det andre gjer, enten det er bra eller ikkje. NSA avlyttar alt og alle og skaffar seg tilgang til data hjå kven dei vil. Vil me at E-tenesta skal gjera det same her i landet?

Pest eller kolera?
Det er ingen grunn til å bagatellisera dilemmaet me står overfor i denne saka. Internett blir i aukande grad brukt til angrep mot ulike mål. Er svaret på desse truslane ei avlytting av all nett-trafikk? Eg meiner det er feil svar, og at ein i staden for bruk av hagle heller må tenkja presisjon. Det kan også virka som "godt gammalt" etterretnings-handverk er gløymt. Men sosiale metodar (snakka med folk, bruka informantar osv.) er sterkt undervurdert i slikt arbeid. Kanskje er det også ei form for latskap; det er meir komfortabelt å sitja passivt og motta ein straum av data enn å gå aktivt ut og kartleggja og følgja opp mistenkjelege miljø.

Mykje tyder på at forslaget om eit digitalt grenseforsvar slik det no føreligg, er for vidtfemnande og ikkje kan godtakast. Det er all grunn til å håpa på eit mindre omfattande inngrep og at vern av privatliva våre blir verdsett høgre.

Ingen kommentarer: