Tastatur. Skrivebord. PC. Data. IT. IKT. Taste. Skrive. Kunnskapsbedrifter. Kunnskapsintensiv. (Bilde: Colourbox)
UBLID MOTTAGELSE: Noen ganger smiler ikke verden tilbake, noe direktivmotstandere har vist statsrådene Magnhild Meltveit Kleppa (Sp), Rigmor Aasrud (Ap) og Knut Storberget (Ap) den siste uka. (Bilde: Scanpix)

– På sikkerheten løs

  • IT

Datalagringsdirektivet

  • EU vedtok i februar 2006 at informasjon om all e-post, SMS- og telefonaktivitet skal innsamles og lagres av nett- og teleoperatører i minimum 6 måneder, maksimum 24.


  • Direktivet ventes å bli implementert i Norge, til tross for at alle partier på Stortinget minus Arbeiderpartiet og Høyre har flagget sin motstand.


  • Innholdet i e-postene, samtalene eller meldingene forblir privat. Tid, sted, varighet, avsender og mottaker skal derimot lagres. Det gjelder også for hvor lenge en gitt IP-adresse er tilkoblet internett.


  • 8. januar la regjeringen fram sitt høringsnotat om saken, med svarfrist 12. april. Hele 187 høringsinstanser er invitert til å svare.


  • Justisminister Knut Storberget opplyste at dataloggene tenkes som verktøy for politiet i saker med strafferamme på 3 års fengsel eller mer.


  • Det vil måtte foreligge rettskjennelse og skjellig grunn til mistanke mot konkrete personer før data blir utlevert.

Regjeringens høringsnotat

Ingen bønn

Selv om regjeringen i det 60 sider lange dokumentet ikke tar stilling til om direktivet skal bli en del av norsk lov, gjøres noen premisser klare allerede nå:

  • Ideen om et legges død.
  • Alle kommersielle aktører omfattes, og får selv ansvar for å velge – og finansiere – sin lagringsløsning.
  • Lokaliseringsdata fra mobile bakkestasjoner skal med.
  • Alle data lagres like lenge (mellom 6 og 24 måneder).

Generalsekretær Per Morten Hoff i IKT-Norge var raskt ute da den rødgrønne regjeringen la fram sitt høringsdokument om den betente saken sist fredag (se fakta).

– Kundene får til syvende og sist regningen for at staten skal kunne overvåke dem. Det er nådeløs frekkhet fra regjeringens side, tordnet Hoff.

Ingen bønn

Selv om regjeringen i det 60 sider lange dokumentet ikke tar stilling til om direktivet skal bli en del av norsk lov, gjøres noen premisser klare allerede nå:

  • Alle kommersielle aktører omfattes, og får selv ansvar for å velge – og finansiere – sin lagringsløsning.
  • Lokaliseringsdata fra mobile bakkestasjoner skal med.
  • Alle data lagres like lenge (mellom 6 og 24 måneder).

Rammer de små

Per Morten Hoff mener særlig små telekom-utfordrere får en urimelig tilleggskostnad.

– Det må bygges opp separate systemer for dette. Disse er kostbare, og for spesielt de mindre aktørene blir dette konkurransehemmende. Vil disse systemene da bli sikre nok, i en presset økonomisk situasjon? spør Hoff.

Erfaringer fra kontinentet tyder på at svaret er «nei».

Under den nordiske sikkerhetskonferansen NordSec i oktober ble det uttrykt bekymring fra flere av deltakerne, som spant fra multinasjonale IT- og telekomaktører til EU-kommisjonen.

Vage regler

– Mitt inntrykk fra deltakerne var at flere land opplever at operatørene har økonomisk interesse av å vanne ut kravene til sikring og adgangskontroll til dataene, sier Åsmund Skomedal, direktør for IT-forskningen ved Norsk Regnesentral (NR).

Skomedals avdeling samarbeider for tiden med blant andre Difi om spørsmål rundt identitetsforvaltning og tilgangskontroll i offentlige elektroniske tjenester.

– Mange av de samme problemstillingene gjelder for datalagring. Nødvendig sikkerhet krever at løsningene er gjennomtenkt, godt planlagt, og bygd til sitt formål fra bunnen av, sier Skomedal.

- Kakeboks for ID-tyver

Men trenger vi være så redde for at disse dataene skal havne i uvedkommendes hender?

Definitivt ja, mener Datatilsynets informasjonsdirektør Ove Skåra.

Les også: Datalogger: En honningkrukke for kriminelle

– Opplysninger om hvem du ringer til, eller på andre vis kommuniserer med, hvor ofte og hvor lenge, er av stor interesse for ID-tyver, utpressere og industrispioner, for å nevne noen, sier Skåra.

Det vil bli bortimot umulig å kontrollere at sikkerheten er god nok, mener han.

– Vi snakker om hundrevis av aktører som skal lagre disse dataene, men hvor ikke alle er like seriøse. Vi er bare 35 ansatte her, sier Skåra.





Ingen tekniske krav

Dagens regelverk er hva man kaller «funksjonsbeskrevet», forklarer seksjonssjef Fredrik Knudsen i Post- og teletilsynet.

– Det er ingen spesifikke krav til eksempelvis kryptering eller tilgangsstyring, men målkrav om å sørge for at uvedkommende ikke får tilgang, sier Knudsen.

Dette er imidlertid også de mest fornuftige, mener han.

– Ekom-tilbyderne har selv de beste forutsetningene til å velge sikringstiltak, uten detaljerte pålegg fra oss, sier Knudsen.