Kjelleren på Litteraturhuset er fullpakket av mennesker en kveld i september. Det er innkalt til debatt om «det digitale grenseforsvaret», DGF. Jeg sitter i salen, og i lommen min ligger mobiltelefonen. Mens debattantene veksler på å gripe mikrofonen, snakker telefonen min også. Hundrevis av ganger. Med tjenere i Irland, Sverige og Amerika.
DGF er, navnet til tross, ikke et grenseforsvar. Systemet består i å ta kopi av alle dataene som flyter over grensene våre. Det er et datalagringssystem. Men da regjeringen i 2016 utredet og nå foreslår å innføre dette systemet, valgte de å kalle det noe annet.
Det var nok klokt. Datalagringsdirektivet, som skulle gi PST omtrent de samme verktøyene som DGF nå skal gi den militære etterretningstjenesten, ble aldri innført, selv om Stortinget vedtok det. EU-domstolen fant at direktivet var i strid med EU. Stortinget vedtok å bryte menneskerettighetene, men ble stoppet av domstolene før de rakk å utføre bruddet.
Men denne gangen er det militæret, ikke politiet. Og det er ikke overvåkning, for nå heter det «forsvar». Kanskje er det også derfor debatten har vært langt stillere denne gangen. Eller så kan det skyldes misforståelsen om at dette bare gjelder utlendinger.
For at noe skal registreres i DGF, holder det nemlig at dataene krysser grensen. Det er ikke noe krav om at de må handle om utlendinger. Og i motsetning til en gammeldags telefonsamtale, har du ingen garanti for hvilken vei datapakkene tar. Internett ble bygget for å unngå sentralstyring av datastrømmene. Det amerikanske militæret, som utviklet prinsippet, ønsket seg et datanettverk som fungerte selv om en eller flere amerikanske byer ble utslettet av en atombombe. Datapakker reiser fra boks til boks på internett, og det er meningen at det skal være umulig å vite hvilken vei de tar. Sender du en fil til en slektning i Sverige, men kabelen til Sverige er skadet, finner systemet en sti – om så rundt hele kloden.
De fleste av tjenestene vi nordmenn bruker, ligger på tjenere i utlandet. Mange helt vanlige, innenlandske kommunikasjoner, for eksempel telefonsamtaler med 4G-lyd eller sms-er, vil også rutes over grensen til Sverige. Ingen har oversikt over hvor mye. Og enda viktigere: Den som bruker tjenestene, for eksempel ved å ringe noen, har ingen måte å selv påvirke hvorvidt dataene krysser grensen. Selv om det dreier seg om å ringe naboen.
Denne typen grenseforsvar virker stadig sjeldnere mot terror. Terroristene har tilpasset seg. Da det ble allment kjent at det amerikanske overvåkningsorganet NSA hadde utviklet DGF-lignende systemer, flyttet terroristene over til krypterte forbindelser. Og ikke bare skurkene: De sivile aktørene, som Apple, Google og Facebook, har gått i bresjen for å fremme kryptering, også i hverdagen. Det gjør de fordi teknologiselskapene er avhengige av at folk stoler på dingsene sine.
Overvåkningstrykket er blitt så stort at helt vanlige folk ser overvåkerne, selv dem som i prinsippet er våre allierte, som en fiende å beskytte seg mot.
Det er heller ingen overreaksjon å kryptere. Overvåkningen som for eksempel amerikanerne bedriver av oss nordmenn, kan de ikke bedrive av sine egne borgere. Vi har heller ingen oversikt over hvilke andre land som følger med på aktivitetene våre på nettet. Og sikkerhetshullene som for eksempel amerikanerne bruker i sin offensive spionasje, er åpne, også for kriminelle på jakt etter kredittkort, løsepenger og utpressingsmateriale.
Kryptering har kommet for å bli. Derfor ler teknologene bare av britenes sikkerhetsminister Amber Rudd, som til stadighet foreslår å forby kryptering. Katten er ute av sekken. De matematiske prinsippene bak kryptering er allment kjent. Det lar seg ikke gjøre å forby ideen.
En annen omvei rundt problemet med krypterte terrorister er å konsentrere oppmerksomheten om metadata. Metadataene er, ifølge DGF-rapporten, som «utsiden av konvolutten».
Analogien med konvolutten illustrerer hvor galt det kan gå når moderne teknologi skal forklares med «gammeldagse» eksempler. Dette blir som å si at en firefelts motorvei er som en sti, fordi begge går mellom to punkter. Det er ikke direkte usant, men for en fotvandrer som aldri har sett en bil før, ville det oppleves som en litt mangelfull opplæring.
Mobiltelefonen rister. Det er en facebookmelding. For å motta denne har dataene krysset grensene. Og for hver av disse samtalene registreres metadata, som for eksempel ip-adressen, og dermed posisjonen min, tidspunktet – og at jeg kontakter Facebook. Og det gjelder heller ikke bare samtaler: Hele tiden «pinger» telefonen min ulike tjenester for å sjekke om det har dukket opp noen oppdateringer. Hver gang blir det en transaksjon som DGF ville kopiert og lagret. Og hver av dem har metadata. Hadde jeg hatt en sjekke-app installert, ville det vært mulig å se det ut fra metadataene. Om jeg beveget meg til en elskerinne, og to uker etter til en abortklinikk, ville det være mulig å se, helt uten å se innholdet. Dette er virkelig noen underlige konvolutter! Sannheten om metadata er at du vil kunne finne ut nesten alt som er interessant å vite om en person, uten noen gang å se inni konvolutten.
Med et trykk åpner jeg appen Orbot. Den aktiverer en tilkobling til Tor-nettverket. Nå forsvinner mange av metadataene mine inn i et sort hull. Datatransaksjonene fordeles på et knippe anonyme portvoktere. Deretter pakkes de inn i lag etter lag av kryptering mens de sendes videre til nye mellomstasjoner. Det er derfor det heter Tor – the onion router. Når dataene kommer ut igjen i andre enden, er det ikke mulig for en utenforstående å forstå at pakken som gikk inn, er pakken som kom ut. Alt dette gjøres kun for å riste av seg forfølgere. Og allerede nå kan jeg se, på min egen telefon, flere år før DGF kan settes ut i live, hvordan terrorister kommer til å omgå også metadatalagringen. Med to trykk på skjermen. Poff. Dark net.
Når terrorargumentet er blitt svakere, har DGFs forkjempere byttet strategi. Nå er DGF blitt et tiltak mot cyberangrep. Strømforsyning og oljeindustri må vernes mot ondsinnede hackerangrep, og DGF kan brukes til «obduksjon» av disse angrepene.
Om domstolen som skal avgjøre hva forsvaret skal få søke på, er tilstrekkelig rundhåndet med tillatelsene, kan systemet kanskje overvåke angrep i sanntid, også. Men det er noe uforløst i argumentasjonen for at kraftverkene skal beskyttes av et grenseforsvar. I den fysiske verdenen har vi vakter og gjerder rundt institusjonene. Det digitale grensegjerdet må vel også kunne trekkes rundt institusjonene, i stedet for hele landet?
Det finnes en tredje begrunnelse for DGF, i tillegg til cyberangrep og terror: Våre Nato-forpliktelser. Argumentet er gammelt og velbrukt. Norsk politi og etterretning har alltid hengt etter de mest drakoniske statene, men vi må tilby noe for å få etterretning tilbake. Om argumentet har vært litt hult før, er det helt tømt nå.
USA har gått i front for å destruere personvernet på internett. Data er blitt samlet inn og misbrukt i stor skala. Samtidig har landet fått en ledelse som, for å si det pent, ikke har utvist stor tilbakeholdenhet og respekt for spillereglene mellom land. En stor, pågående etterforskning forsøker å finne ut om den sittende presidenten har et usunt forhold til Russland.
At vi må ha gode nok overvåkningssystemer til å tilfredsstille amerikanernes datahunger, er allerede en anakronisme. At disse dataene ikke finnes, føles mye tryggere.
Igjen sitter uhyggen. De som vil forsvare oss, ønsker seg et system som neppe vil hjelpe mye, men argumenterer med at vi må ha det som de andre har. Hvordan skal vi egentlig sikre oss mot terrorisme? Svaret er at ingen vet, og at DGF vil være utdatert før det er rullet ut. Imens flyttes stadig viktigere deler av livene våre til rettsløse jurisdiksjoner, via postnasjonale datahaller, til private algoritmeselskaper vestenfor makt og østenfor blåne. Det er sårbart, det.
Og dermed har den politiske logikken sneket seg inn: Noe må gjøres. Dette er noe. Ergo må dette gjøres. Koste hva det koste vil.