Hvordan kan man anbefale et digitalt grenseforsvar i Norge?

Lysne II-rapporten anbefaler et digitalt grenseforsvar (DGF) i Norge. Anbefalingen om å innføre et DGF har utløst en offentlig debatt, og det var også noe av hovedpoenget med rapporten. Dersom regjeringen går videre med arbeidet og det kommer et lovforslag, vil det sikkert utløse en ny runde med debatt. Her går jeg inn på fakta som har vært avgjørende for meg da jeg satt i utvalget.

Generic stock photo shows a woman's hands using a laptop keyboard. PRESS ASSOCIATION Photo. Picture date: Tuesday August 6, 2013. Photo credit should read: Dominic Lipinski/PA Wire

Et digitalt Norge må ha et digitalt forsvar
Det er mange grunner til å si nei til et DGF. Etter å ha gjennomgått den teknologiske virkeligheten i Norge i dag, var det likevel til slutt ikke mulig å overse en viktig grunn til å si ja: Digitaliseringen av Norge. Digitaliseringen av Norge kommer ikke til å stoppe, tvert imot arbeides det iherdig både i privat og offentlig sektor for at den skal fortsette og forsterkes slik at vi blir mer effektive og konkurransedyktige.

Vi må ha et cyberforsvar mot ondsinnede angrep og hendelser over nettet. Slike hendelser har potensielt like stor ødeleggende og drepende effekt som tradisjonelle terrorangrep.  Det dreier seg om angrep på grunnleggende tjenester i landet som kan medføre store tap av liv, helse og også ikke minst demokrati dersom de lykkes. Hva gjelder angrep over internett er det vanskelig å tenke seg alternativer til et forsvar på nett. Spissformulert kan man si at vårt digitaliserte demokrati er avhengig av en viss overvåkning. Særlig nå.

Teknologiske forviklinger
Dersom man aksepterer at cybertrusler gjør en viss overvåkning nødvendig, må man ta stilling til hva som er teknisk mulig. Her er det noen interessante misforståelser i debatten. Flere har sagt at man ikke skal ha «bulk-lagring», men at man kanskje kan akseptere «rettede» søk eller uthenting i datastrømmen. Rett og slett fiske ut det man er interessert i og la alt annet fare forbi uten å ha tilgang til eller se på det. At ingen skal kunne se på alt. Det hadde vært fint. Problemet er bare at det ikke er teknisk mulig.

En slik datastrøm som det er tale om i disse tilfellene er komplisert, og består blant annet av en rekke tekniske metadata som ligger rundt innholdet som formidles. Disse metadataene endres ofte av tjenesteleverandørene av tekniske årsaker. For å kunne følge kommunikasjonen fra en viss app, signatur eller adresse, må man bruke metadata. For å kunne finne riktige metadata må man følge med på hvordan leverandøren «tuner» metadataene fortløpende. Det betyr at noen må kunne se de tekniske innstillingene i hele datastrømmen for å kunne justere silingskriteriene etter nye innstillinger hos leverandørene. Og da er det også mulig å se innhold dersom man skulle ønske det. Det er ikke mulig å ha en fullstendig rettet uthenting. Noen må kunne se på alt, om enn i så kort periode som overhodet mulig.

E-tjenesten skal ha honnør for å muliggjøre en veldig åpen fremstilling av hvordan slike søk skjer. Kanskje kan denne innsikten, åpne for og medvirke til at man får en litt annerledes og mer realistisk diskusjon også i andre land.  Det er lett å være enig i at en «rettet siling» hadde vært det aller beste, men når det ikke er mulig må man sørge for at innsynet er så begrenset som mulig. Det er ikke plass til å gå inn på detaljene om dette i et enkelt innlegg, men rapporten anbefaler at bulk-tilgangen er svært snever med høy grad av tidsbegrensning og ekstern kontroll.

Demokrati og chilling effect
Samtidig må man ta inn over seg at overvåkning kan medføre det mange kaller en chilling effect, altså at personer justerer sin adferd på nettet med en mulig konsekvens at demokratiet ikke får en like fri diskusjon. Det er negativt. Foreløpig er det vanskelig å anslå omfanget av en chilling effect, fordi det ikke er mange undersøkelser på området. Flere av undersøkelsene som finnes viser ikke de helt store utslagene. Men det forskes på dette og det er bra. Uansett, i lys av nyhetene som nå kommer om påvirkning av presidentvalget i USA, må man også innse at fravær av digital kontroll også kan ha en negativ konsekvens for demokratiet. Demokrati og fri meningsutveksling, frie valg, er det viktigste vi har. 

Et argument som stadig kommer opp i DGF-debattene er at faren for terror øker. Noe statistikk viser at det faktisk dør færre i Vest-Europa på grunn av terror nå enn i slutten på forrige århundre. Dette må isolert sett være et sterkt argument mot DGF og all annen overvåkning. Det er mulig å stanse diskusjonen om terror der og si at intet DGF kan vurderes før dagens situasjon er langt verre enn hva den var før. Men, skal man se en sak fra flere sider, så er det grunn til bekymre seg over at tallene på drepte i Vest-Europa nå stiger ganske mye og at arten av terror som nå sees er annerledes enn i forrige århundre. Jeg tror det blir feil å se helt bort fra at også ikke cyber-basert terror kan motvirkes og oppklares ved et DGF såfremt det settes stramme grenser for hvordan, slik vi har foreslått.

Noen debattanter har antydet at utvalget mener at DGF bør tillates fordi lignende systemer finnes i land rundt oss. Det er naturligvis ikke slik at fordi andre land har overvåkningsregimer, må Norge ha det. Men andre lands overvåkningsregimer rammer intern-norsk kommunikasjon. Det er ikke alle som er klar over dette. Om man sender en mail fra en adresse i Norge til en adresse i Norge, så vil den svært ofte fanges opp av utenlandsk etterretning likevel fordi den rutes gjennom land som har slik overvåkning. Det betyr at norske borgeres kommunikasjon ikke er særlig mye mindre overvåket om Norge ikke har en egen kontroll. For meg er dette ikke noe argument i noen retning - bortsett fra at det er relativt naivt å tro at vi ikke blir overvåket om Norge unnlater å innføre DGF. En annen ting er at det er relevant i forhold til studier av chilling effect - fordi vår intern-norske kommunikasjon er allerede overvåket av andre land. Chilling effect er vel ikke bare interessant i forhold til hva som skjer hos norske myndigheter.

Hva er alternativene?
Da vi skulle utarbeide vår anbefaling i utvalget, så vi også på hva alternativene til et DGF er. Noen av de som nå debatterer har sagt at det ikke er deres ansvar å ta stilling til alternativer. Det er lite ansvarlig. Dersom vi ikke har et grenseforsvar, må norske bedrifter og offentlige virksomheter forsvare seg på en annen måte mot cyberangrep. Kanskje ved hjelp av flere private aktører eller ved å legge tilsvarende funksjoner til andre offentlige myndigheter. Det er langt fra sikkert at en slik løsning gir bedre kontroll og mindre overvåkning, mindre chilling effect eller mindre fare for formålsutglidning.

Nye dommer
Til slutt noen ord om de nye dommene om menneskerettigheter og overvåkning. Det er flere av dem, og det vil komme enda flere. I debatten sammenligner noen DGF med Datalagringsdirektivet (DLD). Det blir feil. Det DGF som er foreslått er vesensforskjellig fra DLD. Det er også vesensforskjellig fra de overvåkningsregimer som praktiseres i andre land i Europa og som vil bli prøvet for retten fremover.

Åpenheten fra E-tjenesten rundt hvordan DGF kan settes opp er imponerende. Sikkerhetstiltakene rundt det DGF vi har foreslått er mye sterkere enn hva vi er kjent med finnes noe annet sted. Hva DGF skal kunne brukes til er svært snevert og snevrere enn noe sammenlignbart land. Lovteksten et DGF skal bygge på er ikke skrevet, og kan skrives så konkret at selv om faren for formålsutglidning ikke kan fjernes, så kan den gjøres liten ved hjelp av god lovteknikk. Uansett er hva som vil bli akseptert av en menneskerettighetsdomstol et sammensatt og komplisert spørsmål. Jeg vil mene at det ikke er opplagt at dommene så langt forhindrer enhver form for et DGF og jeg blir jo litt overrasket når noen debattanter er skråsikre på at det ikke kan skje. Av og til kan man lure på om også dommerne har forstått det teknologiske faktum. Har domstolen i Tele2-avgjørelsen forstått om det teknologisk sett er mulig å programmere rettede søk uten å la programmererne studere hvordan de dataene det skal søkes i ser ut?

4 kommentarer

Kritisk

24.01.2017 kl.11:50

Nei - vi trenger absolutt ikke et "digitalt forsvar" som overvåker oss nordmenn 100 %.

Det spiller ingen rolle om "vi ikke har noe å skjule" (sic) - dette handler om viktige prinsipper i et demokrati. Det er faktisk enda viktigere i en digitalt samfunn å ha grenser som myndighetene ikke har lov å overskride.

Gaudervelde

24.01.2017 kl.13:13

Det er forskjell på å ha et digitalt forsvar og det som legges opp til her, med total overvåkning av alle, uten mistanke og uten en kjennelse fra retten.

Jeg støtter Datatilsynet 100% som korrekt sier at den europeiske menneskerettighetskonvensjonens artikkel 8 og Grunnlovens § 102 slår fast at alle borgere har rett til vern av sitt privatliv og sin korrespondanse.

Skvatt

24.01.2017 kl.13:14

Jau då, detta er særs viktegt å gjennomføra, men me lyt setje som ein absolutt føresetnad at heile DGF skal leggjast på DAB+. Det er nemleg heilt forhufselegt viktegt at det skal vêre moderande og framtidsretta, og då er det berre DAB+ som gjeld. Detta er til dømes heile Rikskringkastinga heilt samde i, og dei lyt me alltid lita på. Dessutom tykkjer eg me lyt kjenna oss mykje tryggare dersom me verte overvaka or Onkel Stat, og at det ikkje berre er utlendingar som føretek all overvakinga. Det vil føre til at me søv beitre um notta, sann. Jau!

Sajber

24.01.2017 kl.13:21

Et digitalt forsvar et viktig, men dersom det innebærer utsrakt overvåkning er det å anse som brudd på grunnleggende menneskerettigheter.

Å tro at man kan implementere en quick fix med en digital grensekontroll er i beste fall naivt og i verste fall ødeleggende.

Det var dette med å putte alle eggene i samme kurv.

Dette vil tilsi falsk trygghet.

Overvåkning er heller ikke det samme som å hindre uvedkommende tilgang.

Dette er nok et eksempel på at det er politikere som er den største trusselen mot mennesker frihet.

Sånn sett er de å anse som farligere enn terroristene som bare angriper trygghet.

Politikerne bruker konstruert trusselbilder og skremsel for å skape et inntrykk av at mer og mer overvåkning er veien å gå.

De bruker økonomisk kriminalitet som et argument for å fjerne kontanter når dette også i realiteten handler om kontroll av innbyggere.

Big brother mentalitet.

Det er fullt teknisk gjennomførbart å sikre kritisk infrastruktur og installasjoner uten at man skal ha blanko fullmakt til å overvåke absolutt all datatrafikk

Skriv en ny kommentar

hits