Saturday, December 18, 2010

Overfiske i personlig informasjon

I det digitale samfunnet finnes stadig mer informasjon lagret om oss. Lagring av informasjon har blitt en integrert del av vår hverdag. Vi legger igjen informasjon frivillig på nettsteder, myndigheter samler inn informasjon, og teleselskapene lagrer informasjon for å kunne fakturere oss. Datahavet med personlige opplysninger vokser hurtig. Konsekvensene er ukjente.

Myndigheter og private aktører vil fiske i datahavet for å kunne tilby oss bedre produkter og tjenester. Informasjonen kan fortelle mye om oss. Hvem vi er, våre (u)vaner og sosiale nettverk kan effektivt kartlegges. Jo fler registere som kan kobles sammen jo mer sier det om oss.

Det er 2 hovedtyper data som kan regnes som personlig informasjon:
  • Innhold 
    • Ustrukturert som bilder, tekst, tale osv
    • Strukturert i fagsystemer som f.eks. skatteetaten bruker
  • Metadata (tekniske data) som avledes av vår bruk og produksjon av innhold. F.eks:
    • IP-adresser
    • Mobilnr
    • epost avs/mottager
    • lokasjon
    • Tidspunkt
    • Ulike karakteristika for data som transporeres
De tekniske dataene beskriver hvem og hvor men også endel om hva. Med tekniske data kan man finne ut ganske mye om hva siden det angir hvor innholdet finnes. Kjenner man avsender og mottager av f.eks. en epost er det ikke noen stor jobb å finne innholdet. Selv om data er kryptert kan karakteristika til en viss grad avsløre hva som sendes.

Det er ikke vanskelig å tenke seg at disse dataene kan benyttes til mange formål. Det er ikke dermed sagt et det er riktig å gjøre det. Datalagringsdirektivet er som en stor trål, som skal sikre bevis om vår atferd og hvem vi kommuniserer med. DLD tar ikke hensyn til om det vi gjør er kriminellt. Alt skal lagres, ihht til gjeldende forslag i 12 måneder. Det er forøvrig 6 måneder mer enn det EU setter som minimumskrav. Myndighetene tenker på sitt eget behov. Våre kommunikasjonsdata er deres verktøy. Personlig informasjon er ikke et verktøy. Teknologien som benytter den er det. Å kalle mitt privatliv for verktøy er en fornærmelse, og sier ganske mye om myndighetenes holdning overfor borgerne.

At de samme dataene kan bli misbrukt og stjålet ser heller ikke ut til å gå nevneverdig inn på politikere selv om det stadig er eksempler i media på at det skjer. De vedtar selv lovtekniske justeringer de ikke ser konsekvensen av, og kriminelle vil skaffe seg illegal tilgang.

Alle som kan litt om fiske vet at formålsløst fiske med feil redskap gir dårlig kvalitet på fangsten. Dessuten kan det gå hardt ut over bestanden av enkelte arter. Analogien her er at DLD vil påvirke oss og endre vår oppførsel. Det kan ha en avkjølende effekt på viktige sikkerhetsventiler i et demokrati. Men her brekker analogien, fordi Fiskerinæringen reguleres av myndighetene slik at de negative effekter ikke blir for store. Det er kriminellt å fiske mer en kvoten. I datahavet går derimot myndighetene selv inn for overfiske uten å sjekke konsekvensene. Med det råkjøret som nå pågår fra Arbeiderpartiets side i Stortinget, velger man bevisst å ikke vente på mer informasjon om DLD er nyttig og sideeffekter. Enkelte politikere bruker til og med private aktørers tvilsomme praksis som alibi for DLD. Alle andre gjør det, og vi vil også være med på festen... Tankesløs og uansvarlig argumentasjon.

De nedsetter ikke engang prinsipper som forslag om utvidelser av direktivet kan prøves mot. Paradoksalt nok med bl.a. Fiskeriminister Helga Pedersen i spissen som burde vite bedre...

Det er enda et paradoks her fordi Utenriksminister Jonas Gahr Støre sier Wikileaks lekkasjene fra det amerikanske diplomatiet vil ha en nedkjølende effekt på internasjonale relasjoner. Samtidig argumenterer han for DLD. Istedet for å fremme transparens på statlig nivå og beskytte borgernes privatliv snues det hele opp ned. Da er Staten i ferd med å spore av det demokratiske sporet. I et fungerende demokrati er staten et akvarium som innbyggerne kan se inn i, med kun begrensede områder uten innsyn.

For å bortforklare hva de holder på med, ser vi politikere som forsøker å omdefinere og uthule begrepene personvern og rettsstat slik at de passer med deres egne mål. Nytalen har fått flere tunger i argumentasjonen for DLD.

Staten, med hederlige unntak som Datatilsynet og Barneombudet, svikter sin oppgave i det digitale samfunnet. Istedet for å gripe tak i utfordringer og lede mot en positiv utvikling velger man å misbruke makt. Man bytter rolle fra balansert forvalter til opportunist for ensidig måloppnåelse. Samtidig stilles det spørsmål, av EU selv, ved om kriminalitetsbekjempelse vil styrkes med DLD. Høyre kan sette en stopper for et forhastet tiltak med ukjente konsekvenser. De kan, om de vil, bidra til en positivt og helhetlig utvikling av det digitale samfunn.
Posted by at No comments:
Labels: , , ,

Tuesday, December 14, 2010

Datalagring og analyse

Hvor mye skjønner Storberget,om datainnsamling og analyse, når han sier vi trenger DLD for å avsløre terrorister?

Det er 2 muligheter:
  • Han vet at for å finne ukjente potensielle gjerningsmenn må man analysere trafikkdata i store mengder og uavhengig av mistanke. I så fall sier han ikke dette til borgerne.
  • Han har blitt fortalt halve sannheten og har akseptert en mangelfull argumentasjon som tilstrekkelig for å innføre DLD.
Begge deler er alvorlig. Å unndra, eller lyve om, sannheten i en slik sak er alvorlig. Alternativet er inkompetanse.

For å forklare hvorfor det er sånn, må jeg forklare litt om sammenhengen mellom informasjon og kunnskap. DLD krever at trafikkdata lagres. Dette er råmaterialet (bevisene som Storberget kaller det, på tross av at de færreste som er representert i datagrunnlaget faktisk har gjort noe kriminellt). Data er informasjon som må bearbeides og analyseres for å kunne gi kunnskap. Det er ikke slik at terrorister og hasjselgere spretter ut av trafikkdataene bare fordi de er lagret.

Det er det mulig å trekke kunnskap ut av trafikkdata. Kunnskap om våre kontaktnettverk, kommunikasjons- og bevegelsesmønstre. Jeg ser ikke noe galt i det så lenge det benyttes mot de som det er skjellig grunn til å mistenke for kriminell virksomhet. Derimot er det svært problematisk når en skal bruke informasjonen til å finne helt ukjente potensielle gjerningsmenn. Det vil si at Politiet må hente ut trafikkdata for et større utvalg personer. Det er innlysende at de aller fleste av disse vil være uskyldige. Prinsippet om at man er uskyldig til det motsatte er bevist viskes ut. En må spørre seg hvor langt samfunnet er villig til å gå med å samle inn og analysere uskyldige borgeres personlige informasjon.

Skulle det svenske Politiet brukt trafikkdata til å avsløre mannen som sprengte seg selv i Stockholm måtte de ha analysert trafikkdata i store mengder. Selv da har jeg mine tvil om denne personen ville blitt identifisert, men det vil forhåpentligvis etterforskning vise. Dette er ikke snakk om store mengder sett fra et databehandlingståsted. Men det er alvorlig store mengder sett fra personvernssynsvinkel.

Jeg tror Storberget helst vil snakke om hovedregel for uthenting av trafikkdata som er 4 års strafferamme (5 år for lokasjonsdata). Samtidig begunner han innføring av DLD med kriminalitet hovedregelen umulig kan bidra å forhindre kriminalitet og terror. Uthenting av informasjon via domstolskontroll vil ikke ha noen effekt om man skal forsøke å finne helt ukjente gjerningsmenn. PST har allerede i dag mulighet for å hente ut trafikkdata i forebyggende øyemed, uten domstolskontroll. Med DLD vil de få tilgang til enda mer. Er allmenheten godt nok opplyst om disse tingene og er konsekvensene utredet?

Jeg tror Storbergets og Arbeiderpartiets desinformasjon (alternativt: kunnskapsløshet) fungerer veldig bra til å stoppe dette fra å nå ut til borgerne. Media har mye arbeid å gjøre her for å avsløre kunnskapsmangel og tilbakeholdelse av informasjon. De må stille kritiske spørsmål til politikerne som avslører om de da har satt seg godt nok inn i slike problemstillinger.

Jeg funderer på i hvor stor grad det i dag hentes ut store mengder trafikkdata for analyse allerede i dag. Dette er kopier av operatørenes logger, og er nok ikke underlagt dagens sletteplikt. Hvor lenge lagres disse. Finnes det noe regelverk? Såvidt meg bekjent sier heller ikke DLD noe om regelverk for kopier av data, noe som vil bety at PST vil etterhvert kunne besitte ganske store mengder historiske data uten noen plikt til hverken å opplyse den enkelte uskyldige borger (man kan jo alltid gjøre seg skydlig i noe i fremtiden, og da kan det finnes bevismateriale i historikken må vite). Det finnes eksempler på at Politiet har lagret for mye data for lenge. Jeg nekter å tro at det er enestående eksempel hvor det faktisk ble pålagt sletting av data det ikke var tilgang til å lagre.

PS! Informasjon er makt
Jeg tror ikke politikerne skjønner rekkevidden av DLD. At makt kan forflytte seg ut av Stortinget og Regjeringen bortforklares med paranoia og noen har forlest seg på 1984. Som en annen blogger har skrevet: Dette kan like gjerne slå tilbake på politikere og samfunnstopper. PST sjefen kan få den mest politiske stillingen i Norge. Trafikkdata og korrelering av data kan gi et balletak på mange sentrale personer om de ikke holder seg på den smale sti.
Posted by at No comments:
Labels: , , , ,

Monday, December 13, 2010

Digitalt klasseskille

Datalagringsdirektivet medfører lagring av hvem du har snakket med og hvor du har vært i 1 år. Et ganske omfattende tiltak i en liberal rettstat.

På en annen side er det veldig lett å omgå, særlig om man har litt kunnskap og er villig til å endre litt på sine kommunikasjonsmønstre. Dette har ingenting med hvorvidt du er kriminell eller ikke, men er noe tverrgående i befolkningen som mange andre typer kompetanse med mer.

Poenget er at lagring om hvem vi har kontakt med og bevegelsesmønstre er veldig privat informasjon. Teknologien gjør det mulig å samle inn informasjonen på veldig effektivt vis. På god og vondt er teknologien agnostisk til hvem og hvordan informasjonen brukes. Datamaskiner bryr seg ikke om domstolstilgang, strenge regler og direktiver. Den gjør akkurat det den som har tilgang ber den om å gjøre.

Altså må vi ta styring over hvordan teknologien brukes. Den har veldig mange positive effekter, men også endel negative. Massiv overvåkning er helt klart en negativ anvendelse. Jeg erkjenner at overvåkning kan være nødvendig i gitte situasjoner, men jeg anser ikke at nasjonen er i en slik situasjon at alle må overvåkes.

Det spesielle her er at Arbeiderpartiet m.fl. vil i praksis innføre et klasseskille på hvem som kan unngå overvåkning og de som ikke gjør det. Kriminelle som går under radaren kan få mindre fokus på sin virksomhet fordi etterforskningsmetodene til Politiet innrettes mot elektroniske spor. En eventuell feiltolkning eller planting av elektroniske bevis på uskyldige vil dessuten ha alvorlige konsekvenser for den enkelte. Har du ikke riktig kompetanse, eller advokaten din ikke har det vil du kunne ligge dårlig an.

Informasjon gir makt. Det har den alltid gjort. Når staten ekspropierer vårt privatliv, får den så klart mer makt enn tidligere. Skillet går da hvem som klarer unngå at det lagres mye data om dem , og de som ikke gjør det. Det er her skillet for full demokratisk frihet vil gå. Her går grensen til rettsstaten. Blir du utsatt for ID-tyveri og ikke klarer å gjøre rede for deg, kan det bli ubehagelig.

Er det riktig at jeg som kjenner informasjonsteknologien skal ha større ytringsfrihet, personvern og rettssikkerhet enn de som ikke gjør det? Jeg synes det er grunnleggende feil, og det klasseskillet skal ihvertfall ikke økes av en regjering i en liberal rettsstat. Vil vi ha denne type skjevheter i samfunnet knyttet til kunnskap om teknologi?

Jeg blir derfor svært oppgitt over Bjørn Jarle Rødberg-Larsen, ivrig  forkjemper for DLD, som sier jeg inntar elitististens rolle som bedreviter til dette. Det er totalt skivebom og et usaklig forsøk på å underminere min argumentasjon. Jeg prøver å formidle min kunnskap om informasjonsteknologiens positive og negative anvendelsesområder. Hans eget yrke som internettmarkedsfører hører inn under bransje som ikke akkurat er kjent for å ivareta personvernet. Jeg har ikke grunnlag for å påstå at Rødberg Larsen er blant værstingene i bransjen, men helt generellt  benytter de faktisk overvåkningsteknikker for å spore oss når vi surfer på nettet. Problemet er så stort at forbrukermyndigheter vil innføre mottiltak. Har Rødberg Larsen er objektivt syn på personvern og overvåkning, eller kan han være farget av fortreffeligheten han ser i å samle inn informasjon om folk?

Jeg bruker f.eks. Firefox med HttpsEverywhere og Noscript plugins, og kan tildels styre når noen kan spore meg når jeg surfer. Flertallet av nettbrukere vet ikke om hverken problemet eller hvordan unngå det. Det er et stort problem for personvernet.

Det samme gjelder med Datalagringsdirektivet.
Posted by at No comments:
Labels: , , , ,

Friday, December 10, 2010

Når kartet ikke stemmer med terrenget

I dag har Regjeringen vedtatt at innføring av Datalagringsdirektivet skal behandles i Stortinget før jul. Samtidig overrekkes Nobels Fredspris til Liu Xiabo, som kjemper på kinesiske myndigheter som bruker bl.a. overvåkning av elektronisk kommunikasjons for å holde kontroll med sine innbyggere. Ikke så ulikt Datalagringsdirektivet, og det danner derfor et dobbeltmoralsk bakteppe for Arbeiderpartiets vettløse råkjøring.

Oppdatering
Det er kanskje ikke helt innlysende for alle lesere hvorfor jeg setter DLD i sammenheng med utdelingen av Nobels fredspris, men i Aftenposten står det en god kronikk som beskriver hvordan teknologien setter ytringsfriheten under press. Årets prisvinner kjemper nettopp for ytringsfrihet.

Formålet er kanskje formulert litt anderledes enn i Kina, men formålsutglidning er allerede på gang. NAV, Skattemyndighetene og Finanstilsynet vil også bruke trafikkdataene til å avsløre svindlere. Ikke usannsynlig vil man på sikt ende opp med en "kinesisk modell" med ganske så omfattende overvåkning og bruk av innsamlede data.

I det konkrete forslaget (forenklet hos NRK) som foreligger er det foreslått en nedre strafferamme på 4 år (5 år for lokasjonsdata) for tilgang. Man skal altså sikre bevis fra alle innbyggere, men ha en ganske høy terskel for tilgang til data. Samtidig sier man at det hovedsakelig skal gis tilgang vha domstolskontroll. Her er grunnen beredt for formålsutglidninger. Men Politiet opprinnelig ønsket DLD for å sikre bevis vil få en betraktelig høyere terskel før man får tilgang til trafikkdata, enn dagens praksis! Utformingen av forslaget er irrasjonelt og bærer preg av hastverk. Selv Justsisdepartementets pressemelding var mangelfull, den manglet informasjon om at epost og bruk av internett er omfattet av lovendringen. Dessuten så er det en utbredt oppfatning at slike lover er drevet frem av frykt. Frykt er en dårlig driver for rasjonelle handlinger.

Er direktivet egnet for å løse problemene i Politiet? Jeg har tidligere forklart at jeg ikke tror det kan løse de egentlige problemene, og når tilgangen blir såpass begrenset blir effektivitetsgevinsten liten. Faren er at man faktisk vil løse færre saker med trafikkdata enn i dag. Dette på tross av at man har samlet inn massive mengder data, og sikret bevis for både kriminelle såvel som lovlydige Særlig de småkriminelle kan vinne på innføring av DLD. Kriminelle kan også nyttiggjøre seg trafikkdata som de illegalt skaffer seg tilgang til, noe som garantert vil skje. De kriminelle vinner altså enda en gang ved innføring av direktivet. Det er ikke usannsynlig at Høyre faktisk vil kreve enda høyere strafferamme for å gjøre direktivet mer spiselig, alternativt kortere lagringstid. Samtidig sier man data skal sikres med strenge regler, noe som i seg selv en falsk påstand.

Direktivet lider tydelig av design by comittee. Politikere som ikke har satt seg ordentlig inn i problemene, og som ikke lytter til faglig ekspertise hverken på datasikkerhet eller personvern utformer et håpløst ubrukelig direktiv. Jeg tror også det bommer på målet for Politiet. Oppsummert ser jeg disse feil og svakheter, men det er nok mange fler:
  • Massivt inngrep i personvernet og rettsstaten
  • Til tross for massive mengde data, er de gjort mer utilgjengelig for de som skal bruke dem fordi politikere har dealet om minimums strafferamme for å gjøre det "spiselig". Det er misforstått personvern som ligger til grunn for dette. I en personvernkontekst er det ikke Politiets legale tilgang, men illegal tilgang og formålsutglidning som er det største problemet med DLD. Økt lagringstid driver nedre strafferamme for tilganng oppover! Altså jo mer data som lagres, jo mindre tilgjengelig for  Økt strafferamme blir bare leppestift på grisen.
  • Man kan ikke viske ut skadevirkningen av overvåkning ved å ha strengere tilgang. Dataene er lagret og ligger klare til misbruk og formålsutglidning. Da er faren for skade allerede oppstått, og jo mer data jo større sannsynlighet er det for at det skjer. Strenge regler for sikring er ikke sikrere enn fartsgrenser er mot fartsovertredelser. Informasjonssikkerhet er fag og nitidig arbeid, ikke regler. For de som lurer hva jeg tenker på, se på hvordan data ble hentet ut fra Pentagon til Wikileaks. Dette er utfordringer IT/Telekonbransjen uansett bør se på uavhengig av direktivet.
  • Påstanden om at DLD kan benyttes til å sjekke noen ut av en sak tviler jeg på. Dette vil ofte gå på lokasjon, og en må da i såfall sikte personer for en forbrytelse med hele 5 års strafferamme for å sjekke personen ut av saken. Unødvendig arbeid og ubehagelig for uskyldige, og vil neppe bli brukt noen særlig grad. 4 års strafferamme er heller ikke særlig attraktivt for uskyldige...
  • Det hjelper ikke på Politiets ressursproblemer, fordi de småkriminelle går under DLD radaren. Strafferammen blokkerer for bruk av trafikkdata.
  • Teknologien har løpt fra, og vil snart løpe enda raskere fra direktivet. EU komiteer kan aldri holde følge med teknologien. Sosiale media, Skype o.l. omfattes generellt ikke av direktivet, men det vil derimot ble supernøyaktig sporing av din lokasjon pga virkemåten til moderne mobiltelefoner.
Jeg mener det vil være mer hensiktsmessig med generell sletteplikt, med så kort frist som overhodet praktisk mulig. Da trenger man ikke høy minimums strafferamme for tilgang for styre tilgang. Dagens praksis med målrettet tvangslagring ved skjelllig grunn til mistanke opprettholdes. Politiet må heller bli flinkere til se  hvordan de kan benytte det som ellers måtte finnes, også digitalt. Slik får man ikke noe statlig overgrep mot personvernet. Trafikkdata kan brukes i de saker hvor det er hensiktsmessig og vil da være et godt virkemiddel i kampen mot ulike typer kriminalitet. Da binder man heller ikke opp etterforskningsmetoder i teknologiske løsninger som er i rask endring.

Kartet stemmer ikke terrenget for Datalagringsdirektivet generellt og Arbeiderpartiets lovforslag spesiellt. Her er noen gode grunner til å kaste forslaget eller i det minste utsette beslutning om å innføre DLD:
  • Datalagringsdirektivet er ikke overenstemmelse med rettsstatens prinsipper, og vil trolig aldri bli det.
  • Direktivet vil ha en chilling effect på et demokratiets grunnleggende mekanismer og sikkerhetsventiler.
  • Det vil ikke kunne løse polititets utfordringer mhp effektivitet. 
  • Det er ventet at EU vil komme med en evalueringsrapport i April og det vil være viktig kunnskap for å kunne gjøre riktig beslutning, dersom man ikke allerede anser personverovergrepet som så stort at det uansett ikke er aktuellt. 
Hastverk er lastverk
Politikerne må ta ansvar og skaffe seg kunnskap. De må lese uttalelsene til alle høringsinstanser, følge med på debatten og ikke minst avvente EUs egen evaluering. Alt annet er viljeløs EU absorbering uten kunnskap om hva man driver med, effekter og bieffekter. Her er ikke poenget å gjøre noe for se ut som man er dyktig politiker. Det virkelige terrenget må kartlegges før man kan finne virkelige løsninger. Man kan ikke løse utfordringer i en liberal rettsstat ved å underminere den. De som sier noe annet kan ikke ha satt seg inn i problemstillingen. Man kan rett og slett ikke slippe løs så dårlig håndverk i samfunnet, så være snill og sett ned foten før det er for sent.

Oppdatering 11.12.2010
Jeg ser jeg har tatt utgangspunkt i hovedregelen for uthenting av data. Forslaget er ganske innfløkt (typisk juss-prosa). Greie oppsummeringer

Forslaget kan ved første inntrykk (innsalg) se ut som om det er streng tilgang til data, men i praksis lekker det som en sil. Forslaget bør så absolutt forkastes, eller helst bruke vetoretten uten mer om og men. Det er umulig å tilfredstille alle som vil ha tilgang og ha god sikkerhet. Det kan man bare glemme.

Vedrørende kritikk av posten
Jeg har blitt kritisert, på Twitter, for første avsnitt i posten fordi jeg er for drøy i min sammeligning med Kinas overvåkning av sine innbyggere. Når man går lovforslaget i sømmene, er det egentlig en drøy påstand jeg kommer med? Det er både likheter og ulikheter, men den totale virkningen på personvern og privatliv har utvilsomt noen sammenfallende trekk.
Posted by at No comments:
Labels: , ,
Subscribe to: Posts (Atom)