Er det håp for personvernet i IT-alderen?

Det er lett å bli motløs på personvernets vegne i kjølvannet av Snowden-avsløringene. Men det er håp i hangande snøre.

Mitt vir­ke som fore­le­ser brin­ger meg i kon­takt med svært man­ge nord­menn i tek­no­logi­bran­sjen, fra pro­gram­me­re­re og sys­tem­an­svar­li­ge til eks­per­ter på sik­ker­het og cyber­krig. Det har gitt meg en unik mulig­het til å lod­de stem­nin­gen etter at Snow­den-avslø­rin­ge­ne begyn­te å kom­me som per­ler på en snor som­mer­en 2013.

Det mest slå­en­de når jeg ser til­ba­ke på mine sam­ta­ler den­ne høs­ten er hvor lite over­ras­ket alle er. Hold­nin­gen jeg møt­te var stort sett at det­te var noe man had­de tatt for gitt. De sis­te tjue åre­nes tek­no­logi­re­vo­lu­sjo­ner — Inter­nett, den per­son­li­ge mobil­te­le­fo­nen, sosia­le medi­er, data­lag­ring i nett­sky­en — har alle sam­men gjort masse­over­våk­ning enk­le­re.

Fra den nors­ke vin­mono­pol­de­bat­ten kjen­ner vi argu­men­tet om at til­gjen­ge­lig­het øker mulig­he­ten for mis­bruk, og det sam­me gjel­der tyde­lig­vis også her. I man­ge til­fel­le vir­ker det som om Natio­nal Security Agency (NSA) har over­vå­ket rett og slett for­di de kan.

Mine sam­ta­ler med IT-fol­ket viser hel­ler ingen over­ras­kel­se over at det er ame­ri­ka­ner­ne som ble tatt in flag­ran­ti. Drone­kri­gen og hack­eran­gre­pe­ne på Irans atom­pro­gram er bare to av man­ge eksemp­ler at USA ikke nøler med å bru­ke sin tek­no­lo­gis­ke over­makt om lan­det føler det nød­ven­dig.

Snow­den-avslø­rin­ge­ne er bare en del av det tota­le over­våk­nings­bil­det

Og kan­skje mest inter­es­sant: Jeg har til gode å møte noen som tror at masse­over­våk­nin­gen stop­per med det­te, tross øken­de mot­stand i USA. En dis­trikts­dom­mer kon­klu­der­te nylig med at NSAs inn­sam­ling av tele­fon­data om ame­ri­ka­ne­re var ukon­sti­tu­sjo­nell, noe som har skapt opti­mis­me blant NSA-kri­tis­ke poli­ti­ke­re i kon­gres­sen. Pre­si­dent Oba­ma har også vars­let end­rin­ger i over­våk­nings­po­li­tik­ken.

I et brev til Bra­sils folk skri­ver Edward Snow­den at den glo­ba­le over­våk­nings­kul­tu­ren er i ferd med å kol­lap­se. Det er kan­skje en anel­se over­op­ti­mis­tisk, med tan­ke på at NSA sam­ti­dig er i ferd med å byg­ge data­lag­re med kapa­si­tet til å opp­be­va­re klo­dens sam­le­de årli­ge nettra­fikk. Slik hand­ler ikke en aktør som er på viken­de front.

Datalagring, spaning, kommersiell overvåkning…

Både i og uten­for EU ser vi dess­uten at nasjo­na­le e-tje­nes­ters sam­ar­beids­av­ta­ler med NSA leg­ger en effek­tiv dem­per på kri­tik­ken. Nor­ges morals­ke auto­ri­tet på det­te områ­det er ikke mye verdt, når vi selv er med på å spio­ne­re på sivi­le afgha­ne­re og rus­se­re på veg­ne av ame­ri­ka­ner­ne.

Snow­den-avslø­rin­ge­ne er dess­uten bare en del av det tota­le over­våk­nings­bil­det. I skri­ven­de stund lig­ger EUs data­lag­rings­di­rek­tiv frem­de­les an til å bli iverk­satt i Nor­ge. Data om nord­menns nett­va­ner kan nå sam­les inn i stor ska­la av pri­va­te aktø­rer, etter revi­sjo­nen av ånds­verk­lo­ven i 2013.

Edward Snowden presenterte britiske Channel 4s alternative julebudskap (klikk på bildet for å se video).

Edward Snow­den pre­sen­ter­te bri­tis­ke Chann­el 4s alter­na­ti­ve jule­bud­skap (klikk på bil­det for å se video).

Vi må leve med at data­tra­fikk ut av lan­det kan grans­kes av svensk etter­ret­ning, tak­ket være FRA-loven (hva som skjer med «nors­ke» data uten­for Nor­den vet vi ikke, men det er rime­lig å anta at fle­re enn svens­ke­ne er inter­es­sert). Og selv­sagt er de fles­te av oss utsatt for kon­ti­nu­er­lig kom­mer­si­ell over­våk­ning fra aktø­rer som Face­bo­ok og Goog­le.

Mot det­te bak­tep­pet er det lett å for­stå hvor­for bru­ker­va­ne­ne på nett kna­pt har end­ret seg etter Snow­den-avslø­rin­ge­ne. Følel­sen av at det ikke nyt­ter uan­sett, paret med opp­le­vel­sen av at over­våk­ning ikke mer­kes i det dag­li­ge og sjel­den ser ut til å ram­me uskyl­di­ge, er en hoved­år­sak til dagens utbred­te, still­tien­de aksept av tin­ge­nes til­stand.

Kryptering hindrer også kriminelle

Når jeg like­vel argu­men­te­rer for at van­li­ge bru­ke­re i stør­re grad skal ta kon­troll over sitt eget per­son­vern, er det ikke bare av prin­si­pi­el­le årsa­ker. Vel så vik­tig for min beslut­ning om å ta ansvar for eget per­son­vern har vært rea­li­sa­sjo­nen av at det ikke bare er e-tje­nes­ter som har inter­es­se av mine data. For kri­mi­nel­le er pri­va­te data også en poten­si­ell gull­gru­ve.

I prak­sis vet Goog­le ofte like mye om hva en typisk bru­ker er opp­tatt av som ved­kom­men­des ekte­felle

Som bru­ke­re flest lag­rer jeg sta­dig mer data på bær­ba­re enhe­ter, som gjer­ne er kob­let til nett­skyt­je­nes­ter med enda stør­re data­meng­der. Sam­ti­dig bor jeg i en by der tyve­ri av mobil­te­le­fo­ner er like van­lig som snø i janu­ar, og der jeg selv har opp­levd to inn­brudd (uopp­klar­te, selv­sagt) på seks år. At 6 pro­sent i en under­sø­kel­se nylig opp­ga at de had­de opp­levd å få iden­ti­te­ten mis­brukt til straff­ba­re hand­lin­ger, er et sterkt til­leggs­in­cen­tiv.

Pass­ord­be­skyt­tel­se på PC og tele­fon har jeg hatt så len­ge jeg kan hus­ke, og de sene­re åre­ne har jeg også kryp­tert inn­hol­det. Å kryp­te­re en bær­bar data­ma­skin er en rela­tivt grei pro­sess — det føl­ger med bru­ker­venn­li­ge kryp­te­rings­verk­tøy både til Win­dows, OS X og Linux.

Gra­tis­pro­gram­met TrueCrypt gjør det lett å kryp­te­re filer eller map­per som lag­res på minne­pin­ner og bær­ba­re data­ma­ski­ner, som er sær­lig utsatt for å bli mis­tet på rei­ser, for eksem­pel. TrueCrypt er et av pro­gram­me­ne NSA har for­søkt skaf­fe seg en hem­me­lig «bak­dør» til, noe IT-mil­jø­et svar­te på ved å sam­le inn pen­ger til en pro­fe­sjo­nell gjen­nom­gang av pro­gram­va­ren. Sta­tus fin­nes på IsTrueCryptAuditedYet.com.

Pro­se­dy­ren for nett­brett og mobi­ler varie­rer avhen­gig av pro­du­sent, men mar­keds­le­der­ne And­roid og iOS har inne­bygd kryp­te­ring som kan skrus på av bru­ke­ren. I mitt til­fel­le hand­let det om å huke av for et valg i en meny og la tele­fo­nen gjø­re res­ten — ingen stor inves­te­ring for å bed­re sik­ker­he­ten betrak­te­lig.

Bli mindre synlig på nettet

Det er vans­ke­li­ge­re å beskyt­te seg på net­tet, ikke minst for­di tje­nes­te­ne vi er avhen­gi­ge av ofte har over­våk­ning som en del av for­ret­nings­mo­del­len. I prak­sis vet Goog­le ofte like mye om hva en typisk bru­ker er opp­tatt av som ved­kom­men­des ekte­fel­le, og Face­bo­ok benyt­ter sta­dig mer avan­ser­te meto­der for å fil­tre­re inn­hold og skred­der­sy rekla­me basert på per­son­data.

Det enk­les­te mot­til­ta­ket mot den kom­mer­si­el­le over­våk­nin­gen (som i sin tur har vært kilde­ma­te­ria­le for NSA), er å log­ge seg av Goog­le, Face­bo­ok og de and­re når man ikke bru­ker dem. Enda tryg­ge­re er man om man instal­le­rer to uli­ke nett­le­se­re: én som bru­kes til nettje­nes­ter, og én som ald­ri bru­kes til å log­ge seg på noe.

Ikke gi sosia­le medi­er og and­re nett­ste­der mer per­son­sen­si­tiv infor­ma­sjon enn abso­lutt nød­ven­dig

Det vil imid­ler­tid ikke hind­re at IP-adres­sen, nett­adres­sen som kan spo­res til­ba­ke til din fysis­ke adres­se, kan logg­fø­res av and­re. Det­te kan du stop­pe ved å instal­le­re Tor, et pro­gram som ano­ny­mi­se­rer effek­tivt nok til at NSA titu­ler­te sin hem­me­li­ge pre­sen­ta­sjon om for­sø­ke­ne på å knek­ke sys­te­met med «Tor Stinks.»

En annen mulig­het er å bru­ke en leve­ran­dør av et såkalt Vir­tu­al Pri­va­te Network (VPN), en kryp­tert «tun­nel» på net­tet som beskyt­ter data og mas­ke­rer IP-adres­ser. I høst ble det kjent at NSA kan ha klart å knek­ke deler av VPN-kryp­te­rin­gen, men iføl­ge leve­ran­dø­re­ne er tek­no­lo­gi­en frem­de­les sik­ker nok for van­li­ge bru­ke­re.

Epost-kryp­te­ring kan være plun­dre­te, og man må sto­le på at mot­ta­ke­ren har gjort alt rik­tig på sin side. Da Edward Snow­den først tok kon­takt med jour­na­list Glenn Green­wald, var pro­ses­sen med å få Green­wald til å instal­le­re epost-kryp­te­ring så omsten­de­lig at Snow­den var nær ved å gi opp. Her får man håpe at The Dark Mail Alli­an­ce lyk­kes med å ska­pe de de kal­ler «nes­te gene­ra­sjon av pri­vat og sik­ker epost».

Sikkerhetstenkning

Den ofte siter­te sik­ker­hets­eks­per­ten Bruce Schnei­er har uttalt at sik­ker­het først og fremst er en tenke­måte, en sinns­til­stand om man vil. Det bes­te rådet til IT-bru­ke­re i NSA-alde­ren er å all­tid ta mulig­he­ten for over­våk­ning med i bereg­nin­gen når man tar i bruk et pro­dukt.

Enhver pri­vat stra­tegi for å unn­gå over­våk­ning vil ha sto­re hull

Et par eksemp­ler: Bruk sunt nett­vett — ikke gi sosia­le medi­er og and­re nett­ste­der mer per­son­sen­si­tiv infor­ma­sjon enn abso­lutt nød­ven­dig. Og når du vel­ger å byt­te ut en bær­bar PC med et nett­brett, så husk hva tid­li­ge­re NSA-sjef Michael Hay­den sa da en sel­ger for­tal­te ham at det fan­tes 400.000 apper i App Sto­re: «400.000 apper betyr 400.000 poten­si­el­le angreps­mu­lig­he­ter.»

Men sik­ker­hets­tenk­ning inne­bæ­rer også å erkjen­ne meto­dens begrens­nin­ger. Vi vet at det kna­pt lar seg gjø­re å leve og arbei­de nor­malt i dagens Nor­ge uten å bru­ke noen over­vå­kings­venn­li­ge tje­nes­ter eller maski­ner. Selv bru­ker jeg både Gmail og Drop­Box i det dag­li­ge, og intet er mer uunn­vær­lig for drif­ten av enkelt­manns­fore­ta­ket enn smart­te­le­fo­nen.

Enhver pri­vat stra­te­gi for å unn­gå over­våk­ning vil med and­re ord ha sto­re hull, og tak­ket være det tek­no­lo­gis­ke våpen­kapp­lø­pet som nå pågår på net­tet vil sta­dig nye hull åpne seg. I leng­den må pri­va­te bru­ke­re set­te sin lit til at tek­no­logi­sel­ska­pe­ne gjør sitt bes­te for å tet­te dem. Den gode nyhe­ten er at sel­ska­pe­ne ser ut til å erkjen­ne det­te.

Har IT-selskapene og brukerne samme interesser?

Helt siden Snow­den-lek­ka­sje­ne fant vei­en til offent­lig­he­ten har det vært uro i de ame­ri­kans­ke tek­no­logi­sel­ska­pe­nes rek­ker. Face­bo­ok-sjef Mark Zucker­bergs reak­sjon var typisk: «Å her­lig. Det er vir­ke­lig hjelp­somt for ame­ri­kans­ke sel­ska­per som til­byr tje­nes­ter til folk ver­den over, og det kom­mer vir­ke­lig til å gi bru­ker­ne til­lit til ame­ri­kans­ke nett­sel­ska­per.»

Og til­lit er vir­ke­lig nøk­kel­or­det her. Der­som IT-bran­sjen skal lyk­kes med å få bru­ker­ne til å leg­ge sto­re deler av livet sitt på nett, må bru­ker­ne kun­ne sto­le på at per­son­data er sik­ret mot inn­syn. I mot­set­ning til folke­valg­te, som kun behø­ver å for­hol­de seg til vel­ger­nes dom en gang iblant, «stem­mer» IT-sel­ska­pe­nes kun­der hver enes­te dag.

Det er også et per­son­lig ele­ment her man ikke skal under­vur­de­re. Da to Goog­le-ansat­te ble vist en søt liten Post-IT som viser hvor­dan NSA har brutt seg inn i kom­mu­ni­ka­sjons­nett­ver­ket som bin­der Goog­le og Yahoos ser­ver­par­ker, «eks­plo­der­te de i skjells­ord.» For IT-bran­sjen frem­står NSAs over­våk­ning som et sys­te­ma­tisk for­søk på å under­gra­ve en struk­tur det har kos­tet tiår med arbeid og et ukjent antall mil­li­ar­der dol­lar å byg­ge opp.

Diagram tegnet av NSA-ansatte for å vise overvåkning av Googles data.

Dia­gram teg­net av NSA-ansat­te for å vise over­våk­ning av Goog­les data (kil­de: Wash­ing­ton Post).

Det er mot den­ne bak­grun­nen vi må se IT-sel­ska­pens erklæ­rin­ger om at de fra nå av vil sik­re sine sys­te­mer i enda stør­re grad enn tid­li­ge­re. Goog­le-sjef Eric Schmidt sa det slik i en tale i Wash­ing­ton nylig: «Vi kan gjø­re slutt på sen­sur fra myn­dig­he­te­ne på et tiår. Løs­nin­gen på pro­ble­met med over­våk­ning fra myn­dig­he­te­nes side er å kryp­te­re abso­lutt alt.»

Obama er under økende press

Paral­lellt med den tek­nis­ke opp­gra­de­rin­gen har man også star­tet en poli­tisk kam­pan­je. I begyn­nel­sen av desem­ber sto blant annet Apple, Face­bo­ok, Goog­le, Micro­soft og Twit­ter bak et åpent brev til pre­si­dent Oba­ma og kon­gres­sen, der de ber om dypt­gri­pen­de refor­mer av dagens over­våk­nings­prak­sis.

reformgovernmentsurveillance.com pre­sen­te­rer sel­ska­pe­ne fem vei­le­den­de prin­sip­per for over­våk­ning i frem­ti­den, der­iblant at et det etab­le­res et ram­me­verk for å løse kon­flik­ter mel­lom uli­ke lands lov­verk på områ­det. Med et slikt ram­me­verk på plass vil­le det f.eks. være let­te­re for Afgha­ni­stans regje­ring å hand­le på veg­ne av de mil­lio­ner av afgha­ne­re som vår e-tje­nes­te etter egen inn­røm­mel­se har over­vå­ket.

Da lede­re for de sam­me tek­no­logi­sel­ska­pe­ne møt­te Oba­ma i midt­en av desem­ber, gjor­de de det klart at de had­de en gans­ke annen dags­or­den enn pre­si­den­ten. Han vil­le dis­ku­te­re pro­ble­me­ne med nett­ste­det Healthcare.gov, de vil­le snak­ke om hvor­dan man tøy­ler NSA.

NSA med sam­ar­beids­part­nere har ene og ale­ne seg selv å tak­ke for dagens situa­sjon

Det er som sagt uvisst om pre­si­den­ten kom­mer til å fore­slå end­rin­ger som vir­ke­lig mon­ner, men pres­set fra en IT-bran­sje som Oba­ma er avhen­gig av å stå på god fot med har uan­sett løf­tet spørs­må­let opp til top­pen av den poli­tis­ke dags­or­den. For en gangs skyld skal vi for­bru­ke­re være gla­de for lob­by­is­te­nes inn­fly­tel­se i Wash­ing­ton D.C.

Over­våk­ning vil all­tid være en del av livet i et moder­ne sam­funn. Men det vi kan håpe på er at Snow­den-affæ­ren (som for­øv­rig langt fra er avslut­tet — det vil kom­me mye nytt mate­ria­le i tiden frem­over) vil fun­ge­re som en så kraf­tig vek­ker at det set­tes en stop­per for e-tje­nes­te­nes ukon­trol­ler­te trå­ling etter data fra nett og tele­fo­ni.

Vi kan også håpe og for­ven­te at IT-bran­sjen i stør­re grad enn før kjem­per for sine bru­ke­res per­son­vern, både på den juri­dis­ke, poli­tis­ke og tek­no­lo­gis­ke are­na. Kan­skje, og for­hå­pent­lig­vis, vil det ned­slå­en­de bil­det jeg teg­ner i begyn­nel­sen av artik­ke­len vise seg å være feil.

I så fall kan vi om noen år være der at bru­ke­re ikke behø­ver å for­hol­de seg til den oven­stå­en­de smør­brød­lis­ten av til­tak. At sik­ker­het ikke ford­rer beviss­te valg og til dels sto­re inves­te­rin­ger av tid og kref­ter, men iste­den er stan­dard­inn­stil­lin­gen i vik­ti­ge sys­te­mer, eller noe man enkelt skrur på med ett klikk.

Det vil utvil­somt gjø­re hver­da­gen vans­ke­li­ge­re for dem som over­vå­ker, uan­sett hvor legi­ti­me moti­ve­ne måt­te være. På den annen side: Det er noe over­vå­ker­ne bur­de ha tenkt på før de ga seg i kast med å rok­ke ved net­tets grunn­leg­gen­de infra­struk­tur. NSA med sam­ar­beids­part­ne­re har ene og ale­ne seg selv å tak­ke for dagens situa­sjon.

TEMA

O

vervåkn
ing

5 ARTIKLER FRA VOX PUBLICA

FLERE KILDER - FAKTA - KONTEKST

1 KOMMENTAR

  1. Glim­ren­de skre­vet, Erik!

til toppen