Datalagringsdirektivet

Innledningsvis vil jeg si at jeg ikke er noen stor motstander av datalagringsdirektivet i den hensikt direktivet er tiltenkt å motvirke alvorlig kriminalitet og terror. Jeg er kanskje til og med nøytral til spørsmålet hvis jeg hadde vært sikker på at det som blir lagret ikke blir misbrukt. Det er med denne innfallsvinkelen jeg vil stille noen spørsmål som setter fokus på sikkerheten i datalagringsdirektivet.

Hva er Datalagringsdirektivet (DLD)?
Det er kanskje det første spørsmålet som må besvares. DLD er altså et direktiv som regulerer hva som skal lagres av telefoni og nettaktivitet. Som hvem du ringer og hvor lenge samtalen varer og hvilken ip adresse du oppsøker på nettet. Her er en nettside fra Stopp datalagringsdirektivet som spesifiserer hva som lagres nå og hva som skal lagres med dld.

Datasikkerhet og brukervennlighet er to motpoler som er avhengige av kompromiss. Det er kanskje en påstand, men det er selvsagt mulig med dagens teknologi å sikre data hvis ingen har behov for å få tilgang til de.
Med datalagringsdirektivet (dld) er ikke det tilfellet. Politiet vil ha behov for tilgang til dataene for å kunne drive etterforskning og det reduserer valgene og mulighetene for å sikre dataene 100%.
Et annet spørsmål som dukker opp da er jo selvsagt hvor dataene skal lagres. Det valget er allerede tatt og svaret ble: Hos nettleverandørene. Så hvor mange leverandører av tele og data har vi? I følge Computerworld er det over 230 selskaper.

Jeg har ikke grunnlag for å utale meg om kompetansenivået i disse bedriftene, men påpeker at en av de største truslene mot datasikkerhet er brukere. Og med dette antallet aktører, så er den en anselig mengde brukere som vil ha tilgang. Et argument her er selvsagt at risikoen for at noen skal få tilgang til alle data blir redusert når de er spredt geografisk gjennom mange nettleverandører.
At brukere er en trussel mot sikkerheten kommer tydelig frem i denne artikkelen om Kevin Mitnick på Wikipedia. Han var mest sannsynlig personen som var med på å utforme betydningen av social engineering.

Hvem får lovlig tilgang?
Politiet har et sett med regler for å kunne få tilgang til slike data i dag og jeg antar at det vil videreføres etter dld blir innført. Men i dag er det andre virksomheter som ikke er underlagt samme regelverk som Politiet. Denne artikkelen fra Dagensit fra den 20.11.2010 sier at NAV kan se alt - selv det Politiet ikke får se. Men det er vel ikke det som var målsettingen med dld? Blir dette videreført? Og sist men ikke minst, gjelder dette andre virksomheter også? Jeg kan ikke gi svarene, men synes det er relevante spørsmål.
Etter en voldtekt i Bergen benyttet Politiet data basestasjoner for mobiltelefoner. BT.no skriver en artikkel - 100 menn innkalt til DNA-test etter voldtekter. Resultatet ble dette ifølge artikkelen fra BT.no -33-åringens DNA funnet på åstedet. Dette er selvsagt bra, men det skjedde før dld har blitt innført.

Hvem kan få ulovlig tilgang?
Et eksempel fra den siste tiden er da sikkerhetsforsker Aaron Barr jobbet som sjef i it-sikkerhets selskapet HBGary Federal hadde planlagt å røpe identiteten på personer i gruppen Anonymous. Resultatet av det forsøket har PC-World Norge skrevet om i denne artikkelen fra 08.02.2011 -Anonymous biter fra seg. Artikkelen sier også at første tilgang ble tildelt via social engineering. Ikke lenge etterpå trakk Barr seg fra jobben. Her er er en artikkel fra Forbes som omhandler det.
Et annet eksempel er Sonys nettverk for Playstation brukere som nylig har hatt innbrudd, her er en artikkel fra Dinside som beskriver omfanget.

At det skjer datainnbrudd i Norge er vel ikke noe nytt. Det fremstår ofte som om det har gått bra fordi ingenting er tapt, men det skrives lite om hvilken informasjon andre har fått tilgang til. Sannheten er vel mer at datainnbrudd er så dagligdags at det rett og slett ikke har tilstrekkelig nyhetsverdi til å bli kommentert. Og for de involverte parter er det ikke den type publisiteten de ønsker.
Men vi har vel tiltro til at det som bestemmes innført av det offentlige har så gode rutiner at det ikke gjelder oss. Det er en påstand som leder meg inn på neste spørsmål.

Hvordan er datasikkerheten i Norge?
Digi.no publiserte denne artikkelen etter at NSM (Nasjonal Sikkerhets Myndighet) publiserte sin årsmelding. Overskriften er -Viktige Norske It-systemer er infisert. Det er ikke beroligende lesning i denne sammenheng. Når noen skal lagre all min aktivitet med telefon og nett, så er dette bekymringsfullt. Du finner NSM sin årsmelding her.
Erfaringer fra elektroniske sykehusjournaler er at brukerne leser om blant annet kjendiser som denne artikkelen fra Aftenposten -Ansatte snoker i pasientjournaler.

Hva er konsekvensen ved datainnbrudd?
For de fleste er konsekvensen kanskje ikke så stor, så lenge du holder din sti ren. Jeg vet ikke hva konsekvensen kan være helt spesifikt. Den kan sikkert deles i flere kategorier, der en er i den hensikt å skade noen offentlig.
Hva hvis det var et innbrudd hos det selskapet som har regjeringens telefoner og internett abonnement (Det kan selvsagt hende at det er spredt på flere leverandører). Da kunne kanskje overskriftene i avisene vært:

Helseministeren besøker private klinikker på nettet.

Statsministeren var på hytten når de viktige beslutningene ble tatt.

Stortingsrepresentant som stemte nei for porno, ser porno fra mobiltelefonen sin.
(Her er et eksempel i litt annen kontekst fra VG)

Det er selvsagt andre motiv for å ønske tilgang til informasjonen som blir lagret. Aktiviteten blant utenlandske etterretningsorganisasjoner mot Norge er i følge Aftenposten tilstede -Mer spionasje mot Norge enn det var under den kalde krigen

Jeg oppfatter debatten om datalagringsdirektivet som lite nyansert og med noen få hovedargumenter fra ja- og nei-siden.
Nei-siden benytter til stadighet argumenter som går på overtramp mot personvernet og at det ikke finnes statistikk som viser at innføringen i andre land har hatt utslag på oppklaringsprosenten i kriminalsaker.
Ja-siden argumenterer med at det er et nødvendig verktøy for å bekjempe alvorlig kriminalitet

Sikkerheten i datalagringsdirektivet har ikke blitt debattert i noe stort omfang. Kan det gies gode svar på spørsmålene av de som skal innføre dette? Jeg er ihvertfall ikke overbevist om at sikkerheten er godt nok ivaretatt.

Kilder:
stoppdld.no
idg.no/computerworld
dagensit.no
bt.no
idg.no/pcworld
blogs.forbes.com
dinside.no
digi.no
nsm.stat.no
en.wikipedia.org
vg.no
aftenposten.no

Til forsiden Til artikler