NR-forskerne Lothar Fritsch og Erlend Skomedal mener de kriminelle, ikke politiet, har mest å hente på EUs datalagringsdirektiv, så lenge sikkerhetskravene til teleoperatørene ikke samtidig skjerpes.
UØNSKET: Generalsekretær Per Morten Hoff i bransjeorganisasjonen IKT Norge mener de små teleaktørene blir særlig hardt rammet av EU-direktivet. (Bilde: Trond Heggelund)
- Lagringsdirekivet har et enormt potensial for kriminelt misbruk, mener avdelingsdirektør Leif T. Aanensen i Datatilsynet. (Bilde: Berit Roald/Scanpix)

Datalogger: En honningkrukke for kriminelle

  • IT

EUs datalagringsdirektiv

* EU vedtok i februar 2006 at informasjon om all e-post, SMS- og telefonaktivitet skal innsamles og lagres av nett- og teleoperatører i minimum 6 måneder, maksimum 2 år.

* Direktivet ventes å bli implementert i Norge. I motsatt fall må et flertall i Stortinget for første gang i historien benytte seg av reservasjonsretten i EØS-avtalen.

* Innholdet i e-postene, samtalene eller meldingene forblir privat. Tid, sted, varighet, avsender og mottaker skal derimot lagres. Det gjelder også for hvor lenge en gitt IP-adresse er tilkoblet internett.

* Nettleverandørene og teleselskapene har i andre land fått ansvaret for, og kostnadene med, å lagre informasjonen.

* Alle landets innbyggere omfattes, uten krav til konkret mistanke.

* Det er opp til hvert enkelt medlemsland å bestemme hvilke offentlige organer som skal få tilgang til dataene.

* Myndighetene i de ulike landene skal kunne benytte informasjonen for å bekjempe «alvorlig kriminalitet». Hva det vil bety, avhenger av landenes nasjonale lovverk.

Neste vår kan alle nordmenns e-post- og SMS-korrespondanse, internettrafikk og alle typer telefoni bli loggført og lagret.

Bakgrunnen er EUs omstridte datalagringsdirektiv – hyllet av terrorbekjempere og utskjelt av personvernforkjempere.

Sjef for IT-forskningen ved Norsk Regnesentral (NR), Åsmund Skomedal, peker på en annen og hittil ubeskrevet fare:

– Jussen og forvaltningen henger alltid etter teknologiutviklingen. Dette direktivet har store konsekvenser og medfører stor inngripen i folks liv. Likevel er det gått kort tid fra forslaget lå på bordet til det var en realitet i store deler av Europa. Konsekvensen er at det mangler detaljerte krav og retningslinjer rundt det mest sårbare leddet: teleoperatørenes sikring, lagring og behandling av dataene, sier Skomedal til Teknisk Ukeblad.

Les også: Store bror er lettlurt

Industrispionasje

Det finnes eksisterende standarder for datalagring- og håndtering både i Norge og i Europa ellers. Men disse er så generelle at myndighetene, i Norges tilfelle Samferdselsdepartementet, til sjuende og sist bare må stole på operatørenes egenrapportering om sikkerheten, mener Skomedal.

Sikkerhetsekspertene ved NRs forskningsmiljø for personvernfremmende teknologi, såkalte PET-teknologier, beskriver et sentralt paradoks:

Gevinsten for teleoperatørene ved å gjøre datasikkerheten bedre enn regelverkets minimum, er kommersielt sett lik null. Gevinsten ved å skaffe seg tilgang til trafikkdataene i kriminell hensikt, er derimot enorm.

– Her setter bare fantasien grenser. La oss ta industrispionasje som eksempel. For en høyteknologisk bedrift vil det være gull verdt å vite hvilke patenter konkurrenten snuser på. Svaret kan du enkelt få gjennom telefonlogg eller trafikkdata for e-post, sier NR-forskeren Lothar Fritsch.

Utpressing

Fritsch nevner Forsvarets kommende jagerflykjøp som eksempel på en viktig politisk eller finansiell beslutning der det kan være kjekt å vite hvem som ringer hvem og e-postveksler med hverandre på kritiske punkter i prosessen.

– Trafikkdata i feil hender kan også lett brukes til utpressing av bedrifter, velstående personer eller kjendiser, dersom visse data av eller annen grunn ikke tåler offentlighetens lys, sier han.

Verktøyene for i ettertid å kontrollere hvem som kan ha hatt tilgang til eller tuklet med dataene, er dessuten svært mangelfulle både i privat og offentlig sektor, mener NR-forskerne.

ID-bonanza

Datatilsynet har tidlig markert seg med noe av den sterkeste retorikken mot EUs datalagringsdirektiv. Avdelingsdirektør Leif T. Aanensen trekker frem at en av dagens kriminelle "vekstnæringer", ID-tyveri, kan få en ny dimensjon.

– Om jeg selv var kriminell i et land der direktivet var implementert, ville jeg så fort som mulig skaffet meg opptil flere mobilabonnement i andres navn. Det samme gjelder for e-post. Begår du alvorlig kriminalitet da, kan du for det første slippe unna, men ikke minst forvirre politiet ved å inkriminere uskyldige. Disse kan rammes av noe av det vi misliker sterkest ved direktivet: den omvendte bevisbyrden - bevis din uskyld, sier Aanensen.

ID-tyver starter i det små, og jobber seg mot å misbruke enkeltpersoners identitet i større skala. Nøkkelen ligger i oppsamling av fragmentert personinformasjon. Samlet øker det falsknerens troverdighet, advarer Aanensen.

– Det kriminelle potensialet for misbruk av trafikkdata er enormt. Alle store og små nett- og telefonioperatører vil neppe kunne ha like god standard rundt egen sikkerhet, sier han.

Ingen skjerping

Hos interesseorganisasjonen IKT Norge får Teknisk Ukeblad opplyst at EU-direktivet ikke ledsages av nye, skjerpede krav til lagring av persondata utover dagens regler.

Fra før kjenner vi til situasjoner som for eksempel i juli 2006, da tyver stakk av med nær 60.000 personnumre fra Tele 2-kunder. Eller for den saks skyld: Da Se og Hør fikk tilgang til kongelig kontoinformasjon fra en utro tjener i Nordea.

– Operatørenes systemer er i dag konstruert for å håndtere fakturering. Nå må det etableres helt nye systemer, både for å håndtere datamengden og for å gjøre dette søkbart. I Danmark har implementeringen av direktivet kostet om lag 250 millioner kroner, og der er foreløpig kun mobiltrafikkdataene omfattet. Det er klart at også sikkerheten vil bli et kostnadsspørsmål, sier IKT Norges generalsekretær Per Morten Hoff.

Store mangler

Potensielle feilkilder hos teleoperatørene kan være utro tjenere, en uærlig ekstern leverandør eller reparatør, en sikkerhetskopi på avveie, dårlig fysisk eller elektronisk tilgangskontroll, manglende kryptering eller sviktende logging.

Deler av bransjen har i dag store mangler på flere av disse feltene, opplyser Datatilsynet, som senest i fjor høst førte tilsyn med utvalgte teleselskapers omgang med persondata.

– Problemene går blant annet på tilgangsstyring og loggføring av hvem som har hatt adgang til dataene, sier Leif T. Aanensen.

Han bekrefter at dagens forskrifter i stor grad baserer seg på bedriftenes skjønnsmessige vurderinger av hva som er godt nok.

– Tilsynsvirksomheten tyder på at heller ikke de kriteriene som finnes, har nådd fram til alle. Mange aktører klarer heller ikke å dokumentere at de i det hele tatt har gjennomført risikovurderinger, sier Aanensen.

Uønsket utgift

Per i dag har de største norske teleoperatørene allerede en viss erfaring med å håndtere trafikkdata i overensstemmelse med politimyndighetene. Det kom blant annet til syne under etterforskningen av "lommemannen"-saken og trusselvideoer om skoleskyting på YouTube.

Men verken Telenor, NetCom eller noen av de flere hundre andre teleoperatørene i Norge ønsker EU-direktivet, ei heller de økte utgiftene det bringer med seg, ifølge IKT Norge og Per Morten Hoff.

– Spesielt mange av de mindre aktørene vil trenge uforholdsmessig store investeringer med tanke på det de har av eksisterende systemer. I tillegg til sikkerhetssituasjonen er det også et bransjeproblem med tanke på konkurranse: Terskelen for å komme inn i markedet for en ny aktør, blir langt høyere med en slik utgift i bunn, sier Hoff.

Ingen unnasluntring

En løsning der for eksempel små teleselskaper får visse lempelser fra direktivet, er heller ikke realistisk.

– Her vil jeg si det er én for alle og alle for én, sier produktdirektør Berit Svendsen i Telenor Norge.

Alle aktører må underlegges samme krav til lagring av trafikkdata dersom direktivet skal ha noen virkning overhodet, mener hun.

– I motsatt fall vil selvsagt de kriminelle ganske enkelt bytte til en mindre aktør. I tillegg ville vi få en konkurransevridning der også vanlige kunder av hensyn til eget personvern går over til mindre operatører, sier Svendsen.

Komplisert

Innføringen av datalagringsdirektivet er blitt en komplisert og arbeidskrevende sak for Samferdselsdepartementet.

Departementet skal komme med sin innstilling til både hvor lenge trafikkdata skal lagres, hvilke typer data som skal omfattes fra hvilket tidspunkt - og hvem som sitter igjen med regningen til slutt. Det vil ta ytterligere noe tid, opplyser ekspedisjonssjef for luft-, post- og teleavdelingen, Ottar Ostnes, til Teknisk Ukeblad.

– Vi regner med å kunne starte høringsrunden i løpet av våren. Dersom direktivet blir implementert, må også straffeprosessloven og loven om elektronisk kommunikasjon endres, med de politiske prosesser det medfører. Et realistisk tidsperspektiv for eventuell implementering er våren 2009, sier Ostnes.

Vurderer å ta regningen

Flere av høringsdeltakerne har allerede flagget sin agenda: Politiet ønsker på sin side minst ett års lagring av dataene. IKT-bransjen ønsker å droppe hele direktivet, sekundært at staten tar kostnadene.

I Danmark måtte bransjen selv betale. Det er imidlertid nasjonal handlefrihet over dette, opplyser Ottar Ostnes.

– Finansieringen, samt spørsmålet om totrinns implementering eller om alt skal tas i en operasjon, er blant momentene vi vil se på, sier han.