Aktuelt

Brolegging med gode intensjoner

Publisert 22.02.2019 - 00:00 Sist oppdatert 29.04.2021 - 19:54

Regjeringens ønske om å overvåke nettrafikken ut og inn av Norge i den nye loven om etterretningstjenesten er blitt skarpt kritisert, både fra dem som mener den går for langt, og de som mener den går for kort. Det er ikke vanskelig å forstå avmakten og frykten som leder stadig flere land til å innføre slike systemer. Truslene er mange og vage. Scenarioene med russisk hacking, kinesisk infiltrasjon og nordkoreansk hærverk kan skremme vettet av enhver.

Det er likevel grunn til å minne om at den vanligste årsaken til at opplysninger kommer på avveie, er manglende sikring av de systemene vi har. Bare denne uken har flere saker kommet til overflaten. I Sverige glemte en leverandør til en helsetelefon å passordbeskytte lydfilene, slik at millioner av samtaler lå åpent på nettet. I Kina gjorde en leverandør av ansiktsgjenkjenningsbasert overvåkning av bevegelsene til muslimer omtrent det samme.

Kriminelle opportunister ligger alltid langt fremme. Automatiske søk etter svakheter i databaser er en selvfølge. Alle sprekker blir utforsket. De mange sakene som dukker opp i medier der data er blitt stjålet, er bare toppen av et isfjell. Aktørene som blir frastjålet passord, brukerkontoer eller persondata har all mulig interesse i å dysse det ned. Omverdenen får høre om bruddene i de tilfellene der hackerne er journalister.

Regjeringens strategi for digital sikkerhet, som ble lagt frem 30. januar, viser at det gjøres mange gode tiltak. Blant annet skal myndighetene bedrive mer inntrengingstesting, der «snille» hackere hyres for å angripe systemene med alle mulige midler.

Men til syvende og sist er det hybris å tenke seg at de norske systemene skal være ugjennomtrengelige. Det overvåkningssystemet som er skissert opp i e-tjenesteloven vil heller ikke være et veldig egnet verktøy til å forebygge angrep, selv om det vil være til hjelp for å finne ut hvem som angrep i ettertid.

Erfaringen tilsier at systemene lekker.

Erfaringen tilsier at systemene lekker. Derfor er det viktigste tiltaket for informasjonssikkerhet å unngå å samle inn opplysninger du ikke har lyst å miste. Folkeregisteret fører for eksempel ikke religiøs tilhørighet på grunn av våre historiske erfaringer. Dette prinsippet om dataminimering glimrer med sitt fravær i regjeringens strategi.

Kanskje er årsaken at det kommer i konflikt med statens interesser ellers. Tollvesenet har tatt i bruk og lagret bilder og registre over grensepasseringer med bil, uten lovhjemmel. Det er nyttig for å stoppe smugling. Utvalget om guttenes resultater i skolen tar til orde for omfattende, nasjonale databaser over alle elevers mentale utvikling. Det er nyttig for å få bedre skole. Både Kripos, Politiets sikkerhetstjeneste og Det nasjonale statsadvokatembetet mener de bør få tilgang til tips og beviser fra e-tjenestens overvåkningssystem. Det ville være nyttig for å for eksempel stoppe overgrep mot barn.

Hver for seg er innsamlingen og overvåkningen i disse tilfellene forståelige, for formålene er så gode. Men sett under ett kan treenigheten av teknisk kapasitet, menneskelig inkompetanse og gode intensjoner gi oss et mer sårbart samfunn – paradoksalt nok.

Her er en tommelfingerregel: Når teknologer er skeptiske, men ledere mener at «det må da gå an» å sikre systemene godt nok, har teknologene historisk sett rett. Av og til er det best å ikke vite.