Baksiden av server som det stikker massevis av røde og oransje ledninger ut av.
Masseovervåking "ved landegrensen" blir en gigantisk håv som samler all slags datatrafikk til og fra uskyldige norske borgere, skriver artikkelforfatterne. Illustrasjonsfoto: Jan Haas / NTB scanpix

Digitalt forsvar for enhver pris?

  • Publisert 30.12.16

Forsvarsutvalg går for massiv data-avlytting, en utett mur som vil svekke personvernet og kan true digitaliseringsbølgen.

Av Morten Dalsmo, konserndirektør, SINTEF Digital og Maria Bartnes, IT sikkerhetsleder, SINTEF

Portrett av mann med briller

Morten Dalsmo er konserndirektør ved SINTEF Digital.

Portrett av kvinne

Maria Bartnes er IT-sikkerhetsleder i SINTEF

Masseovervåking av all datatrafikk ut og inn av landet – bør Norge innføre dette som et våpen mot cyberangrep og terror?

Regjeringen nedsatte Lysne II-utvalget for å få spørsmålet utredet. Svaret kom i høst: et klart «ja». Men denne anbefalingen om å opprette et digitalt grenseforsvar (DGF) nødvendiggjør en debatt. For oss ser det nemlig ut til at fordelene ved systemet ikke oppveier ulempene:

  • Masseovervåking «ved landegrensen» blir en gigantisk håv som samler all slags datatrafikk til og fra uskyldige norske borgere. Nordmenn sender nemlig daglig store mengder data til utlandet gjennom bruk av sosiale medier, meldingstjenester, nettbetaling, og ikke minst skytjenester for datalagring.
  • Samtidig har håven store hull for de med onde hensikter som i tillegg er digitalt kompetente. Det vil derfor være fullt mulig å omgå DGF for den som virkelig ønsker det. Da må det være lov å spørre: Er vi villige til å gi avkall på personvern for å få til en overvåking som uansett ikke gjør det mulig å oppdage og avverge alle mulige angrep?
  • Det skisserte systemet har en nedkjølingseffekt, som utvalget selv påpeker: det vil si at folks atferdsmønster endres. Vi risikerer at helt legitime tjenester unngås fordi brukerne ikke ønsker å bli overvåket. I så fall trues digitaliseringen av samfunnet og de tilhørende effektivitetsgevinstene.
  • Et digitalt klasseskille kan oppstå, mellom de som klarer å omgå statlig overvåking og de som ikke gjør det.

Rapporten er på høring, til 6. januar. Midt i høringsinnspurten avsa EU-domstolen 21. desember en dom som stenger døren for generell lagring av borgernes trafikk- og lokasjonsdata. Hva dette vil bety for DGF-forslaget, er ennå uvisst. Det eneste som er sikkert er at Lysne II-utvalgets innstilling berører verdier som mange mener mye om.

Les også: Følelser truer IT-sikkerheten

«Uknekkbare koder»

Trygghet versus frihet er et vanskelig tema. Vi forstår at E-tjenesten har behov for å identifisere fiendtlig datatrafikk, i tråd med tjenestens mål. Ikke minst fordi vi lever i en tid der rykter sier at russiske hackere prøvde å påvirke presidentvalgkampen i USA. Men det er her det må spørres: Blir gevinsten av det foreslåtte systemet stor nok til å hellige middelet?

Utvalget påpeker at noen land har avverget angrep takket være digital overvåking. Men utviklingen av krypteringsteknologier har i ettertid gitt angripere så store muligheter til å skjule budskap bak «uknekkbare» koder, at suksesshistoriene raskt mister sin relevans.

Les også: Dyrekjøpt utflaggings-erfaring

Mye står på spill

Som IT-forskere jobber vi for at du skal kunne ha grunnleggende tillit til de digitale systemene og tjenestene du bruker. Derfor er vi opptatt av hva som står på spill i denne saken. Vil ikke forslaget stri mot grunnverdiene i et åpent og digitalt samfunn?

Mest iøynefallende er trusselen mot personvernet. Dataanalysene det legges opp til i E-tjenestens regi, vil av tekniske grunner bli omfattende. Dermed vil analysene trolig blottlegge langt flere uskyldige mennesker enn mulige angripere. Dataanalyse er dessuten et umodent fagområde. Muligheten for falske alarmer og falsk mistanke er derfor definitivt tilstede.

Les også: El-nettselskaper øver ikke på IT-angrep

Lekkasjer ingen umulighet

Media har nylig fortalt om NAV-ansatte som snoker i sensitive data. En god del nye medarbeidere må det nødvendigvis bli i E-tjenesten – USAs sikkerhetsorgan NSA har 40 000 ansatte – om det foreslåtte DGF-systemet skal fungere. Vi har ingen garanti for at ikke en eller flere av disse en eller annen gang vil la seg friste til å lekke. Utvalgets rapport omtaler heller ikke muligheten for at DGF i seg selv vil være et angrepsmål.

Utvalget peker selv på at kontrolltiltak for E-tjenesten er krevende. Dette fordi innsyn og åpenhet  kan være ødeleggende for tjenestens arbeid. Vi ser dessuten en fare for at data kan bli brukt til andre formål enn først tenkt, når de likevel er innsamlet.

Alternativer drøftes ikke

Rapporten nevner at det foreslåtte systemet kan fungere med dagens styresett, men ikke ved en ikke-demokratisk maktovertakelse. Utvalget antar at tiltak av typen «sletting av alt materiale», da kan tas i bruk. Men sjansen er stor for at dette ikke vil fungere.

Utvalget drøfter ikke alternativer til DGF. Det finnes imidlertid flere urealiserte terrorforebyggende tiltak som ikke griper inn i personvernet. En debatt vil forhåpentligvis få frem dette og at samfunn aldri blir risikofrie.

Kjernespørsmålene blir: Hvilken restrisiko er vi villige til å akseptere i det digitale rom, som nasjon og som borgere i et fritt demokratisk samfunn? Og hvilken pris er vi villige til å betale for trygghet, ikke først og fremst i penger, men i form av økt overvåkning og kontroll?

Artikkelen sto første gang i Dagens Næringsliv fredag 30. desember 2016 og gjengis her med DNs tillatelse.