Kriminelle og terrorister vil ha få problemer med å unngå å bli fanget opp av politiet på nettet, mener ekspertisen. (Bilde: colourbox.com)
Lothar Fritsch forsker på personvernsfremmende teknologi ved Norsk Regnesentral (NR). - Teknologien for å omgå EUs lagringsdirektiv er relativt tilgjengelig for både kriminelle og folk flest, mener han. (Bilde: Leif Hamnes)

Store bror er lettlurt

  • IT

EUs datalagringsdirektiv

* EU vedtok i februar 2006 direktivet «om lagring av data genererte eller behandlet i forbindelse med tilvejebringelse av offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet». Den danske versjonen av dokumentet kan lastes ned her.

* Informasjon om all e-post, SMS- og telefonaktivitet skal tas vare av nett- og teleoperatører på i minimum 6 måneder, maksimum 2 år. I Norge argumenterer Kripos for at dataene bør lagres i minimum ett år.

* Innholdet i e-postene, samtalene eller meldingene forblir privat. Tid, lokasjonsdata, varighet, avsender og mottaker skal derimot lagres. Det blir også registrert hvor lenge en gitt IP-idresse er tilkoblet internett.

* Det er i andre land internettleverandørene og teleselskapene som har fått ansvaret for, og kostnadene med, å lagre informasjonen.

* Alle innbyggere omfattes, uten krav til konkret mistanke.

* Det er opp til hvert enkelt medlemsland å bestemme hvilke offentlige organer som skal få tilgang til dataene.

* Myndighetene i de ulike landene skal kunne benytte informasjonen for å bekjempe «alvorlig kriminalitet». Hva det vil bety, avhenger av landenes nasjonale lovverk.

* EU-direktivet er nå til behandling i Samferdselsdepartementet, før det i løpet av våren sendes ut på høring.

* Direktivet vil trolig bli implementert i Norge på vårparten neste år, med mindre Norge for første gang i historien benytter seg av reservasjonsretten i EØS-avtalen.

Allerede neste vår kan alle nordmenns e-post- og SMS-korrespondanse, internettrafikk og alle typer telefoni bli loggført og lagret i kraft av EUs omstridte datalagringsdirektiv.

Personvernforkjempere har sammenlignet direktivet med George Orwells dystre framtidsvisjoner om Store brors totalitære overvåking i romanklassikeren "1984".

Det nye lagringskravet for teleoperatørene skal gjøre det lettere for politiet å avskjære og etterforske terrorplaner og det direktivteksten kaller annen "alvorlig kriminalitet".

Les også:

Skype og IRC

Men dersom de kriminelle bruker noe så tilgjengelig som Skype-telefoni, står etterforskerne på bar bakke, opplyser produktdirektør Berit Svendsen i Telenor Norge.

– Vi har ingen mulighet til å overvåke Skype. Og det er bare én av flere måter å omgå direktivets hensikt på, sier Svendsen til TU.no.

Bruk av satellittelefon, chattetjenesten IRC eller å koble seg opp på åpne trådløse nett er andre eksempler på metoder for å unngå å legge igjen identifiserbare trafikkdata.

Vanlige folk får svi

EUs datalagringsdirektiv betyr, hvis implementert i Norge, i prinsippet at hver og én av oss får sin mappe på nettet, mener Svendsen.

– Vi har ikke bedt om dette, vi er redde for at kundenes personvern svekkes betraktelig. Som målrettet tiltak er dessuten direktivet i beste fall svakt, all den tid det er såpass enkelt å omgå det. Kriminelle er smarte, og det er naivt å tro at de ikke allerede har metoder for å unngå å bli overvåket på nettet, sier Svendsen.

Mange muligheter

Det finnes forholdsvis lett tilgjengelig eksisterende teknologi som muliggjør anonym kommunikasjon over nettet også utover disse, opplyser forskeren Lothar Fritsch ved Norsk Regnesentral (NR). Han tilhører NRs forskningsmiljø for personvernfremmende teknologi, såkalte PET-teknologier.

– Fra 1980-tallet og framover har mange PET-konsepter gått fra idé til forskning til software, forteller Fritsch.

Telefonidelen av EU-direktivet kan altså omgås ved hjelp av den allerede relativt velkjente Skype-tjenesten. Men også loggføring av e-post og IP-sporing kan unngås ved hjelp av åpent tilgjengelige metoder, opplyser NR-forskeren.

Frivillige nettverk

– Såkalte pseudonymiseringstjenester basert på nettverk av frivillige eksisterer i dag, og gjør at både nettsurfing og e-postkorrespondanse kan foregå uten mulighet for å bli sporet opp i etterkant, sier Fritsch.

Han nevner såkalte MixMaster-servere for anonymisering av e-post og webbrowseren TORPARK, som anvender såkalt "Onion Routing" (OR).

OR-teknologien gjør at transportmediet – som for eksempel en internettleverandør – aldri finner ut hvem som kommuniserer med hverandre, bare at webtrafikken finner sted. Felles for disse er at de drives videre av frivillige og aktivister.

– Dette er bare noen av flere ulike varianter som eksisterer, forteller Fritsch.

– "Papirtiger"

Bransjeorganisasjonen IKT Norges generalsekretær, Per Morten Hoff, kaller direktivet en "papirtiger" med liten effekt.

– Den som ønsker å unngå overvåking, vil klare det på et eller annet vis. Dermed er det all grunn til å tro at de som driver med det direktivet kaller "alvorlig kriminalitet" slipper unna, mens vanlige, lovlydige folk får byrden med økt overvåking, sier Hoff til TU.no.

Direktivet er i skrivende stund til behandling i Samferdselsdepartementet, men kan være innført i Norge allerede neste vår, får Teknisk Ukeblad opplyst.