Er det håp for personvernet i IT-alderen?

Mitt virke som fore­leser bringer meg i kon­takt med svært mange nord­menn i teknologi­bran­sjen, fra pro­gram­merere og sys­te­mans­varlige til ekspert­er på sikker­het og cyberkrig. Det har gitt meg en unik mulighet til å lodde stemnin­gen etter at Snow­den-avs­lørin­gene beg­y­nte å komme som per­ler på en snor som­meren 2013.

Det mest slående når jeg ser tilbake på mine sam­taler denne høsten er hvor lite over­ras­ket alle er. Hold­nin­gen jeg møtte var stort sett at dette var noe man hadde tatt for gitt. De siste tjue årenes teknolo­girev­o­lusjon­er — Inter­nett, den per­son­lige mobil­tele­fo­nen, sosiale medi­er, data­la­gring i nettskyen — har alle sam­men gjort masseovervåkn­ing enklere.

Fra den norske vin­monopolde­bat­ten kjen­ner vi argu­mentet om at tilgjen­ge­lighet øker muligheten for mis­bruk, og det samme gjelder tydeligvis også her. I mange til­felle virk­er det som om Nation­al Secu­ri­ty Agency (NSA) har overvåket rett og slett for­di de kan.

Mine sam­taler med IT-folket vis­er heller ingen over­raskelse over at det er amerikan­erne som ble tatt in fla­granti. Dronekri­gen og hack­eran­grepene på Irans atom­pro­gram er bare to av mange eksem­pler at USA ikke nøler med å bruke sin tek­nol­o­giske over­makt om lan­det føler det nødvendig.

Og kan­skje mest inter­es­sant: Jeg har til gode å møte noen som tror at masseovervåknin­gen stop­per med dette, tross økende mot­stand i USA. En dis­trik­ts­dom­mer kon­klud­erte nylig med at NSAs innsam­ling av tele­fon­da­ta om amerikanere var ukon­sti­tusjonell, noe som har skapt opti­misme blant NSA-kri­tiske poli­tikere i kon­gressen. Pres­i­dent Oba­ma har også varslet endringer i overvåkn­ingspoli­tikken.

I et brev til Brasils folk skriv­er Edward Snow­den at den glob­ale overvåkn­ingskul­turen er i ferd med å kol­lapse. Det er kan­skje en anelse overop­ti­mistisk, med tanke på at NSA sam­tidig er i ferd med å bygge data­la­gre med kap­a­sitet til å opp­be­vare klo­dens sam­lede årlige net­trafikk. Slik han­dler ikke en aktør som er på vikende front.

Datalagring, spaning, kommersiell overvåkning…

Både i og uten­for EU ser vi dessuten at nasjonale e‑tjenesters samar­bei­d­sav­taler med NSA leg­ger en effek­tiv dem­per på kri­tikken. Norges moralske autoritet på dette området er ikke mye verdt, når vi selv er med på å spi­onere på sivile afghanere og russere på veg­ne av amerikanerne.

Snow­den-avs­lørin­gene er dessuten bare en del av det totale overvåkn­ings­bildet. I skrivende stund lig­ger EUs data­la­grings­di­rek­tiv fremde­les an til å bli iverk­satt i Norge. Data om nord­menns nettvan­er kan nå sam­les inn i stor skala av pri­vate aktør­er, etter revisjo­nen av åndsverkloven i 2013.

Edward Snow­den pre­sen­terte britiske Chan­nel 4s alter­na­tive jule­bud­skap (klikk på bildet for å se video).

Vi må leve med at data­trafikk ut av lan­det kan granskes av sven­sk etter­ret­ning, takket være FRA-loven (hva som skjer med “norske” data uten­for Nor­den vet vi ikke, men det er rimelig å anta at flere enn svenskene er inter­essert). Og selvsagt er de fleste av oss utsatt for kon­tin­uerlig kom­mer­siell overvåkn­ing fra aktør­er som Face­book og Google.

Mot dette bak­tep­pet er det lett å forstå hvor­for bruk­er­vanene på nett knapt har endret seg etter Snow­den-avs­lørin­gene. Følelsen av at det ikke nyt­ter uansett, paret med opplevelsen av at overvåkn­ing ikke merkes i det daglige og sjelden ser ut til å ramme uskyldige, er en hov­edår­sak til dagens utbredte, still­tiende aksept av tin­ge­nes tilstand.

Kryptering hindrer også kriminelle

Når jeg likev­el argu­menter­er for at van­lige brukere i større grad skal ta kon­troll over sitt eget per­son­vern, er det ikke bare av prin­sip­ielle årsak­er. Vel så vik­tig for min beslut­ning om å ta ans­var for eget per­son­vern har vært real­isas­jo­nen av at det ikke bare er e‑tjenester som har inter­esse av mine data. For krim­inelle er pri­vate data også en poten­siell gullgruve.

Som brukere flest lagr­er jeg stadig mer data på bær­bare enheter, som gjerne er koblet til nettskyt­jen­ester med enda større data­mengder. Sam­tidig bor jeg i en by der tyveri av mobil­tele­fon­er er like van­lig som snø i jan­u­ar, og der jeg selv har opplevd to innbrudd (uopp­klarte, selvsagt) på seks år. At 6 pros­ent i en under­søkelse nylig opp­ga at de hadde opplevd å få iden­titeten mis­brukt til straff­bare han­dlinger, er et sterkt tilleggsincentiv.

Pas­sor­dbeskyt­telse på PC og tele­fon har jeg hatt så lenge jeg kan huske, og de senere årene har jeg også kryptert innhold­et. Å kryptere en bær­bar data­maskin er en rel­a­tivt grei pros­ess — det føl­ger med bruk­er­vennlige krypter­ingsverk­tøy både til Win­dows, OS X og Linux.

Gratispro­gram­met True­Crypt gjør det lett å kryptere fil­er eller map­per som lagres på min­nepin­ner og bær­bare data­mask­in­er, som er særlig utsatt for å bli mis­tet på reis­er, for eksem­pel. True­Crypt er et av pro­grammene NSA har forsøkt skaffe seg en hem­melig “bakdør” til, noe IT-miljøet svarte på ved å sam­le inn penger til en pro­fesjonell gjen­nom­gang av pro­gram­varen. Sta­tus finnes på IsTrueCryptAuditedYet.com.

Prosedyren for net­tbrett og mobil­er vari­er­er avhengig av pro­dusent, men marked­sled­erne Android og iOS har innebygd krypter­ing som kan skrus på av bruk­eren. I mitt til­felle han­dlet det om å huke av for et valg i en meny og la tele­fo­nen gjøre resten — ingen stor invester­ing for å bedre sikker­heten betraktelig.

Bli mindre synlig på nettet

Det er vanske­ligere å beskytte seg på net­tet, ikke minst for­di tjen­estene vi er avhengige av ofte har overvåkn­ing som en del av for­ret­ningsmod­ellen. I prak­sis vet Google ofte like mye om hva en typisk bruk­er er opp­tatt av som ved­k­om­mendes ekte­felle, og Face­book benyt­ter stadig mer avanserte metoder for å fil­trere innhold og skred­der­sy reklame basert på persondata.

Det enkleste mot­til­taket mot den kom­mer­sielle overvåknin­gen (som i sin tur har vært kilde­ma­te­ri­ale for NSA), er å logge seg av Google, Face­book og de andre når man ikke bruk­er dem. Enda tryg­gere er man om man installerer to ulike net­tle­sere: én som brukes til net­tjen­ester, og én som aldri brukes til å logge seg på noe.

Det vil imi­dler­tid ikke hin­dre at IP-adressen, net­tadressen som kan spores tilbake til din fysiske adresse, kan log­gføres av andre. Dette kan du stoppe ved å installere Tor, et pro­gram som anonymis­er­er effek­tivt nok til at NSA tit­ulerte sin hem­melige pre­sen­tasjon om forsøkene på å knekke sys­temet med “Tor Stinks.”

En annen mulighet er å bruke en leverandør av et såkalt Vir­tu­al Pri­vate Net­work (VPN), en kryptert “tun­nel” på net­tet som beskyt­ter data og masker­er IP-adress­er. I høst ble det kjent at NSA kan ha klart å knekke del­er av VPN-krypterin­gen, men ifølge leverandørene er teknolo­gien fremde­les sikker nok for van­lige brukere.

Epost-krypter­ing kan være plun­drete, og man må stole på at mot­tak­eren har gjort alt rik­tig på sin side. Da Edward Snow­den først tok kon­takt med jour­nal­ist Glenn Green­wald, var pros­essen med å få Green­wald til å installere epost-krypter­ing så oms­ten­delig at Snow­den var nær ved å gi opp. Her får man håpe at The Dark Mail Alliance lykkes med å skape de de kaller “neste gen­erasjon av pri­vat og sikker epost”.

Sikkerhetstenkning

Den ofte siterte sikker­het­seksperten Bruce Schneier har uttalt at sikker­het først og fremst er en tenkemåte, en sinnstil­stand om man vil. Det beste rådet til IT-brukere i NSA-alderen er å alltid ta muligheten for overvåkn­ing med i bereg­nin­gen når man tar i bruk et produkt.

Et par eksem­pler: Bruk sunt nettvett — ikke gi sosiale medi­er og andre nettst­ed­er mer per­son­sen­si­tiv infor­masjon enn abso­lutt nød­vendig. Og når du vel­ger å bytte ut en bær­bar PC med et net­tbrett, så husk hva tidligere NSA-sjef Michael Hay­den sa da en sel­ger for­t­alte ham at det fantes 400.000 apper i App Store: “400.000 apper betyr 400.000 poten­sielle angrepsmuligheter.”

Men sikker­het­stenkn­ing innebær­er også å erk­jenne meto­dens begren­sninger. Vi vet at det knapt lar seg gjøre å leve og arbei­de nor­malt i dagens Norge uten å bruke noen overvåk­ingsvennlige tjen­ester eller mask­in­er. Selv bruk­er jeg både Gmail og Drop­Box i det daglige, og intet er mer uun­nværlig for driften av enkelt­manns­fore­taket enn smarttelefonen.

Enhver pri­vat strate­gi for å unngå overvåkn­ing vil med andre ord ha store hull, og takket være det tek­nol­o­giske våpenkap­pløpet som nå pågår på net­tet vil stadig nye hull åpne seg. I leng­den må pri­vate brukere sette sin lit til at tek­nol­o­gisel­skapene gjør sitt beste for å tette dem. Den gode nyheten er at sel­skapene ser ut til å erk­jenne dette.

Har IT-selskapene og brukerne samme interesser?

Helt siden Snow­den-lekkas­jene fant veien til offent­ligheten har det vært uro i de amerikanske tek­nol­o­gisel­skapenes rekker. Face­book-sjef Mark Zucker­bergs reak­sjon var typisk: “Å herlig. Det er virke­lig hjelp­somt for amerikanske sel­skaper som tilbyr tjen­ester til folk ver­den over, og det kom­mer virke­lig til å gi bruk­erne tillit til amerikanske nettselskaper.”

Og tillit er virke­lig nøkkelordet her. Der­som IT-bran­sjen skal lykkes med å få bruk­erne til å legge store del­er av livet sitt på nett, må bruk­erne kunne stole på at per­son­da­ta er sikret mot innsyn. I mot­set­ning til folke­val­gte, som kun behøver å forholde seg til vel­gernes dom en gang iblant, “stem­mer” IT-sel­skapenes kun­der hver eneste dag.

Det er også et per­son­lig ele­ment her man ikke skal under­vur­dere. Da to Google-ansat­te ble vist en søt liten Post-IT som vis­er hvor­dan NSA har brutt seg inn i kom­mu­nikasjon­snettver­ket som binder Google og Yahoos server­park­er, “eksploderte de i skjell­sord.” For IT-bran­sjen frem­står NSAs overvåkn­ing som et sys­tem­a­tisk forsøk på å under­grave en struk­tur det har kostet tiår med arbeid og et ukjent antall mil­liarder dol­lar å bygge opp.

Dia­gram teg­net av NSA-ansat­te for å vise overvåkn­ing av Googles data (kilde: Wash­ing­ton Post).

Det er mot denne bak­grun­nen vi må se IT-sel­skapens erk­læringer om at de fra nå av vil sikre sine sys­te­mer i enda større grad enn tidligere. Google-sjef Eric Schmidt sa det slik i en tale i Wash­ing­ton nylig: “Vi kan gjøre slutt på sen­sur fra myn­dighetene på et tiår. Løs­nin­gen på prob­lemet med overvåkn­ing fra myn­dighetenes side er å kryptere abso­lutt alt.”

Obama er under økende press

Par­al­lellt med den tekniske opp­graderin­gen har man også startet en poli­tisk kam­pan­je. I beg­yn­nelsen av desem­ber sto blant annet Apple, Face­book, Google, Microsoft og Twit­ter bak et åpent brev til pres­i­dent Oba­ma og kon­gressen, der de ber om dypt­gripende reformer av dagens overvåkningspraksis.

På reformgovernmentsurveillance.com pre­sen­ter­er sel­skapene fem veile­dende prin­sip­per for overvåkn­ing i fremti­den, deri­blant at et det etableres et ram­mev­erk for å løse kon­flik­ter mel­lom ulike lands lovverk på området. Med et slikt ram­mev­erk på plass ville det f.eks. være let­tere for Afghanistans reg­jer­ing å han­dle på veg­ne av de mil­lion­er av afghanere som vår e‑tjeneste etter egen innrøm­melse har overvåket.

Da ledere for de samme tek­nol­o­gisel­skapene møtte Oba­ma i midten av desem­ber, gjorde de det klart at de hadde en ganske annen dag­sor­den enn pres­i­den­ten. Han ville diskutere prob­lemene med nettst­edet Healthcare.gov, de ville snakke om hvor­dan man tøyler NSA.

Det er som sagt uvisst om pres­i­den­ten kom­mer til å fores­lå endringer som virke­lig mon­ner, men pres­set fra en IT-bran­sje som Oba­ma er avhengig av å stå på god fot med har uansett løftet spørsmålet opp til top­pen av den poli­tiske dag­sor­den. For en gangs skyld skal vi for­brukere være glade for lob­by­istenes inn­fly­telse i Wash­ing­ton D.C.

Overvåkn­ing vil alltid være en del av livet i et mod­erne sam­funn. Men det vi kan håpe på er at Snow­den-affæren (som forøvrig langt fra er avs­lut­tet — det vil komme mye nytt mate­ri­ale i tiden fre­mover) vil fun­gere som en så kraftig vekker at det settes en stop­per for e‑tjenestenes ukon­trollerte tråling etter data fra nett og telefoni.

Vi kan også håpe og for­vente at IT-bran­sjen i større grad enn før kjem­per for sine bruk­eres per­son­vern, både på den juridiske, poli­tiske og tek­nol­o­giske are­na. Kan­skje, og forhåpentligvis, vil det ned­slående bildet jeg teg­n­er i beg­yn­nelsen av artikke­len vise seg å være feil.

I så fall kan vi om noen år være der at brukere ikke behøver å forholde seg til den oven­stående smør­brødlis­ten av tiltak. At sikker­het ikke for­dr­er bevis­ste valg og til dels store investeringer av tid og krefter, men ist­e­den er stan­dard­innstill­in­gen i vik­tige sys­te­mer, eller noe man enkelt skrur på med ett klikk.

Det vil utvil­somt gjøre hverda­gen vanske­ligere for dem som overvåk­er, uansett hvor legit­ime motivene måtte være. På den annen side: Det er noe overvåk­erne burde ha tenkt på før de ga seg i kast med å rokke ved net­tets grunn­leggende infra­struk­tur. NSA med samar­bei­dspart­nere har ene og alene seg selv å takke for dagens situasjon.