Norske myndigheter vil masseovervåke og ekspertene hater det

Stortinget vedtok denne uka en lov som gjør at myndighetene får masseinnsamle personlige data. Ekspertene slår alarm og kaller det masseovervåkning av norske borgere. En av dem gir NATT&DAG sine sikkerhetsanbefalinger.
b
a

– Når det først skjer et sikkerhetsbrudd – får vi høre om det? Eller kommer vi om 10, 20 eller 30 år til å få vår egen Snowden, som forteller oss alt som har skjedd?

Mandag 8. juni ble forslaget om en ny lov for Etterretningstjenesten stemt frem på Stortinget. Loven omhandler masselagring av metadata, altså informasjon om navn, IP-adresse, geografisk plassering, dato, klokkeslett.

Kort sagt, all dataen du gir fra deg når du bruker PC eller mobil, bortsett fra selve datainnholdet. Informasjonen skal angivelig brukes for å forbedre rikets sikkerhet. Den kan bli lagret opp til 18 måneder, og når og hvordan E-tjenesten skal bruke det er ennå uklart.

RUNA SANDVIK ER sikkerhetsresearcher med utdanning fra NTNU, og har signert et opprop mot loven for «Tilrettelagt Innhenting», sammen med en lang rekke andre norske sikkerhets-, personvern- og teknologieksperter. Hun er bosatt i New York, med fartstid i krypterte tjenester som Tor og Signal, og sitter i styret i Freedom of the Press Foundation. Før pandemien og protestene i USA jobbet hun som sikkerhetsrådgiver for The New York Times.

Hun har dessuten arrangert et CryptoParty med Edward Snowden på Hawaii. Og hacket en sniper.

I oppropet hevdes det at den nye loven rett og slett er et brudd på menneskerettighetene. Hvordan blir i så fall et slikt forslag stemt frem? Sandvik sier over videochat fra New York at det handler om smutthull, perspektiver og formuleringer.

– Sånn jeg har forstått det så er det snakk om å samle metadata, men ikke nødvendigvis se på metadataen. Jeg tror det er der folk er uenige om hvorvidt det er et overtramp. Er det et overtramp om du samler informasjon, og ikke ser på det? Eller er det først et overtramp når du har tilgang til å se på informasjonen du har samlet?

Det er altså mulig å formulere loven på en måte som får det til å virke som at den ikke bryter med rettighetene?
– Ja. I hvert fall sånn som det er i Norge, hvor folk flest stoler på staten. Når myndighetene sier de skal samle data og ikke se på det, så vil jeg tro de aller fleste regner med det er sant.

Er ikke vi snillere og mindre korrupte enn USA?
– Det er lov å håpe. Haha.

DEN KONTROVERSIELLE LOVEN har en lang historie. Med opphav i EUs såkalte Datalagringsdirektiv (DLD), som ble vedtatt i 2006, var den en reaksjon på 9/11 og terrorangrepene i London og Madrid i årene som fulgte. Direktivet har blitt innført i flere land, men det har også møtt sterk kritikk, og ble av EU-domstolen i Luxembourg erklært ugyldig, og omtalt som et «alvorlig inngrep i den grunnleggende rett til respekt for privatlivet».

I Norge ble DLD vedtatt i 2011, men lagt på is i 2014 etter mange utsettelser. Høyre og Kristelig Folkeparti la frem forslaget om en ny lov tidligere i år, og ble sikret flertall med Arbeiderpartiet, Senterpartiet og Fremskrittspartiet mandag 8. juni. Venstre og SV stemte mot forslaget.

Nå er den altså tilbake. Men hvor blir det av Piratpartiet med Anonymous-maskene sine? Hvor er alle artige.no-memene av Erna som ser på porno-historikken din?

MYE HAR FORANDRET seg siden 2011. Etter NSA-avsløringene til Edward Snowden i 2013 er det blitt vanlig å snakke om overvåkning og datasikkerhet, nå senest da Smittestopp-appen fikk kritikk for å samle inn data. Regjeringens lovforslag, med sine ukjente begreper og abstrakte konsekvenser, kom dessuten inn i et høylytt medielandskap dominert av pandemi og enorme BLM-protester.

– Nå som denne typen overvåkning har blitt mer vanlig i andre land, som USA og England, nå som vi snakker mer om det, og nå som Facebook, Google og alle andre høster data, så virker det kanskje ikke like skremmende som det gjorde.

Runa Sandvik. Foto: Privat

Ironisk nok. Hvor stor inngripen er egentlig denne typen datainnsamling, når det er snakk om metadata og ikke faktisk innhold?
– Metadata i seg selv forteller en historie om hvem du er og hva du gjør. Du trenger ikke ha tilgang til innhold for å lage deg et bilde av hvem folk er. Jeg vil også tro at hvis myndighetene først har fått tilgang til metadata, så er veien kortere til at de vil argumentere seg frem til å få tilgang til selve innholdet også. Jeg tror ikke det er usannsynlig at de vil dra det så langt.

Les også: Smil & Gift møter Une Bastholm

Arbeiderpartiets Jette Christensen, medlem av utenriks- og forsvarskomiteen, sa på Stortingets talerstol torsdag 11. juni at datainnhøstingen i all hovedsak vil gjelde trafikk fra utlandet: «Det vil være en unntaksvis situasjon at noe trafikk- eller metadata fra nordmenn vil være en del av etterretningstjenestens analyser.» I forslagets Kapittel 4 står det at Etterretningstjenesten ikke skal benytte innhentingsmetoder overfor personer i Norge.

Ekspertene fra oppropet mener det ikke vil være teknisk mulig å filtrere bort kommunikasjonen til norske borgere:

«Siden majoriteten av kommunikasjonen vår går gjennom utenlandsk infrastruktur vil dette i praksis også ramme en vesentlig andel av innenlands kommunikasjon. Konsekvensen vil være kontinuerlig masseinnsamling av data fra norske borgere.»

HOVEDARGUMENTET FOR SLIKE lovendringer er at de er nødvendige for rikets sikkerhet. Dersom myndighetene har oversikt over nettrafikken til overgripere, potensielle terrorister og andre suspekte personer, vil det være lettere å avverge forbrytelser.

I oppropet hevder ekspertene imidlertid at økt sikkerhet ikke vil være tilfellet, og at det ikke finnes etterprøvbar dokumentasjon som støtter argumentet. Edward Snowden sa i kjølvannet av Boston-bombingen at den kunne vært avverget om staten hadde brukt tradisjonelle overvåkningsmetoder, fremfor ufokusert å overvåke samtlige innbyggere.

Sandvik mener argumentene for en slik overvåkningsstrategi ligger i tilfellene vi ikke ser.

– Her i USA argumenterer de med statshemmeligheter som bare enkelte i myndighetene har kjennskap til, som offentligheten ikke vet noe om. De prøver å argumentere for at de trenger denne tilgangen uten å kunne forklare til offentligheten hvorfor de gjør det, hva de mener de skal klare å avverge, eller hva de eventuelt kunne ha avverget.

Hva er forskjellen mellom at Google vet alt om oss og at Norge vet alt?
– Forskjellen der er at du har et valg. Du kan velge ikke å bruke Google, du kan velge ikke å bruke Facebook, selv om det ikke er populære valg. Om du bor i Norge står valget mellom å bo eller ikke bo i Norge lenger. Men jeg vet ikke hvor stor forskjellen er i praksis.

Google har ikke voldsmonopol heller.
– Nei.

… Enn så lenge?
– Nettopp.

Les også: Norge har endelig fått sin egen klikk-kåte algoritme-jazzgruppe

I OPPROPET BLOTTLEGGER ekspertene også et … substansielt hull ved hele overvåkningsstrategien: at den er lett å sno seg unna. Hvis du bruker en simpel VPN-tjeneste får nemlig ikke myndighetene tilgang til metadataen din. Philip Manshaus, for eksempel, brukte slike krypteringstjenester. Hvis loven hypotetisk hadde trådt i kraft tidsnok for å kunne avverge moskéskytingen hadde den automatisk innhentede informasjonen om ham vært ubrukelig.

– Hvis du bruker VPN vil de kunne se hjemmeadressen din, og at du brukte en VPN i for eksempel Tyskland i en viss tidsperiode. Det er det.

Hva slags VPN-tjenester funker mot staten? Er det de dyreste som er best, eller?
– Ikke nødvendigvis. Det er forskjellig fra firma til firma hva de gjør med dataen du gir fra deg, og om de gir fra seg dataen til myndigheter dersom de blir bedt om det. Akkurat der vil jeg si det er en enklere løsning å bruke Tor, fordi det er gratis og det ikke er noen som lagrer dataen. Det er ingen mulighet der for en tredjepart å kunne si at noen brukte Tor på fredag i en time og at man besøkte google.com, fordi det ikke er noen som sitter på den informasjonen.

Tor er klønete å bruke til daglig, da?
– Jeg gjorde det i mange år, men nå har jeg en vanlig nettleser jeg bruker til vanlig dilldall, mail, Twitter, Facebook og sånt. Også bruker jeg Tor til enkelte prosjekter og annen research.

Man er ikke helt sjanseløs som privatperson, altså.
– Det er i hvert fall fullt mulig å gjøre det vanskeligere for de som overvåker, ved å bruke Tor, VPN, Signal.

Ingenting er gratis i livet. Bortsett fra å lese NATT&DAG.

Men det koster penger å lage NATT&DAG. Om du vil støtte journalistikken vår kan du donere 350 kr (eller mer) og få tilsendt vår minimalistiske sorte t-skjorte. Den kan du bruke til de fleste anledninger, for eksempel mens du står i kø på NAV etter å ha tatt en master på HF eller mens du møter noen fra finn.no for å selge verdisakene dine så du får råd til mat.

Den passer kanskje ikke til begravelser eller bryllup, men du tilhører jo generasjonen som hverken gifter seg eller har venner, så det går vel fint.

Velg din størrelse: Samtidig godtar du våre vilkår.
Ønsker du å donere et annet beløp (uten t-skjorte) kan du gjøre det direkte med Vipps. Velg «Send» og tast inn nummeret 586717 eller søk opp NATT&DAG.