Alternativer til digital grensemur bør utredes
Debatten om innføring av “digitalt grenseforsvar” har endt som en skyttergravskrig – fordi spørsmålet som utløste den er feil stilt.
I Adresseavisen og andre medier har forslaget til ny e-tjenestelov utløst høylytte diskusjoner. Vil den føre til overvåking av uskyldige norske borgere eller ei?
Utgangspunktet er at regjeringen for snart tre år siden ba et utvalg (Lysne II) utrede om Norge bør begynne å overvåke all datatrafikk inn og ut av landet – for å forebygge cyberangrep og terror. Mandatet til utvalget ble dermed å ta stilling til en ordning som Forsvarets e-tjeneste alt hadde argumentert for at Norge burde opprette av rent etterretningsfaglige hensyn.
Med dette var premissene for hele den etterfølgende diskusjonen lagt.
Start i feil ende
Den skisserte masseovervåkingen, kalt “digitalt grenseforsvar (DGF)”, er av myndighetene blitt fremstilt som eneste mulige alternativ hvis vi skal verne om Norges interesser i det digitale rom. Lysne II-utvalget anbefalte regjeringen å sette DGF-ordningen ut i livet. Nettopp dette skal den nye foreslåtte e-tjenesteloven legge til rette for.
I stedet burde regjeringen ha startet i den andre enden. Mandatet til ekspertutvalget burde vært å se storsamfunnet utenfra – og så utrede hvordan e-tjenesten skal opptre i det digitale rom. Det vil si: diskutere hvordan tjenesten skal fungere i en digital tidsalder, uten at grunnleggende menneskerettigheter eller andre etiske verdier i det sivile samfunnet blir truet.
Men en slik sjanse til å se etter alternativer til den foreslåtte DGF-ordningen, nå omdøpt til “tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon”, fikk ingen.
Framstilt som “fiskegarn”
I stedet har diskusjonen låst seg fast langs en frontlinje, der stridens kjerne er denne:
For å sile ut informasjon som er relevant og lovmessig innenfor oppdraget, tenker e-tjenesten å bruke datafiltrering. Inntrykket myndighetene har skapt av DGF, er at ordningen blir som et fiskegarn.
Vanlige folks datatrafikk til og fra utenlandske servere ved bruk av sosiale medier, meldingstjenester, nettbetaling og skylagring, er uinteressant og skal enkelt skal slippe gjennom. Ifølge argumentasjonen skal god kontroll på “maskevidden” sørge for at bare de skyldige storfiskene går i garnet!
Men i virkeligheten gjøres filtreringen av algoritmer som analyserer alle data – for så å slå ned på det som er spesielt interessant eller mistenksomt. Det hele basert på bruk av kriterier.
Problematiske kriterier
Myndighetene, med forsvarsministeren i spissen, bedyrer at dette ikke betyr at e-tjenesten vil lese e-posten til vanlige norske borgere. “Etterretningstjenesten har ikke lov til, og heller ingen interesse av å følge vanlige folks aktiviteter på internett”, skrev statsråd Frank Bakke-Jensen i en kronikk i Adresseavisen 23. november.
Mange andre, inklusive oss som forsker på datasikkerhet, mener derimot at kriteriene til algoritmene utgjør et problem. Hvordan vet vi at kriteriene som brukes er riktige? Hvordan kan du som mistenkt forsvare deg mot kriteriene som har pekt ut nettopp deg?
Dette alene er grunn god nok til å hevde at alternativer til DGF bør utredes.
Etablerte samfunnsprinsipper som personvern, kildevern og rettssikkerhet utfordres når samfunnet digitaliseres. Men det betyr ikke at de er mindre relevante av den grunn, snarere tvert imot. I stedet for å behandles som hinder på veien, bør disse prinsippene legge grunnlaget for e-tjenestens virksomhet for å beskytte det digitale Norge.
Artikkelen sto første gang i Adresseavisen lørdag 8. desember 2018 og gjengis her med avisens tillatelse.