Den digitale agendaen som EU-kommisjonen har skissert, omfatter områder som spenner hele spekteret av en borgers interaksjon med offentlige myndighet og generelle offentlige, skattebetalte tjenester.
Den viktigste grunnsteinen i denne planen som går under navnet "Digital Agenda", er at alle borgere skal ha en unik elektronisk identifikasjon (eID). Via eID kan enhver person identifiseres i alle samfunnets sammenhenger hvor en nytter elektroniske tjeneste - alt fra bankkort og finansielle transaksjoner, helsetjenester med elektroniske journaler, resepter og medisinsk forskning, DNA og helsehistorikk, offentlig posttjeneste, teletjenester, elektroniske billetter, flyreiser, sosiale tjenester, elektroniske fakturater, elektroniske lønnsslipper, elektronisk CV-databaser, elektronisk strømmåling, elektronisk trafikkmålinger, e-Call, bruk av sensorer i tettbygde strøk, eID i pass og nasjonale eID-kort, et utall av integrerbare registre og databaser, osv. - til der fantasien stopper.
På kryss av landegrensene.
En annen hjørnestein er utbygging av høyhastighetsnett og satellitt kommunikasjon.
Ideelt sett skal dette kutte (dypt) byråkratiet og tilrettelegge for forenkling av den offentlige administrasjonen og sikkerhetsmyndigheter (politi) som da kan, ved et tastetrykk (eller to), monitorere alt som er elektronisk tilgjengelig om en person.
Ved å nytte biometrisk eID tenker en at en også skal få kontroll med (u)lovlig imigrasjon og bedre grensekontroller.
Tilsvarende for "samfunnsikkerhet", hvor DLD er en bit av dette, men en svært viktig del da DLD tilrettelegger for full kontroll over personers bevegelser, om ønskelig.
eID kan også integreres både i simkort og modem...
EU's forskningprogram, FP7, har i hovedsak vært konsentrert rundt bruk av teknologi hvor hensyn til rettsprinsipper, personvern og fundamentale menneskerettigheter har vært påfallende fraværende.
Underveis har en erfart at borgernes motstand og mistillit er proporsjonalt voksende med stigende bevissthet og kunnskapsnivå om de alarmerende farene dette bringer.
Det er også skrevet om hvordan en kan, langsomt, over mange år, introdusere eID, ved eksempelvis å velge tjenester som borgerne har tillit til, som bank og post (MinID og Digipost er typiske eksempler), og fortrinnsvis kombinasjoner av offentlig og private tjenester, for å få borgerne til å gi fra seg personlige data uten stor motstand. (MinID, eID og Digipost må jeg ta separat - disse er verdt å forstå nærmere)
I utgangspunktet eier ikke staten verken personlige telekommunikasjondata, helsedata, biologisk data, CV'er, m.m. - så en konstruerer salgbare markedsføringsargumenter og tjenester som borgere (kanskje) vil akseptere - over tid.
I denne prosessen har det blitt tatt i bruk mye nytale og mange PRbyråer...
Spesielt har forsøk på introduksjon av biometriske ID-kort og pass, samt DLD (ikke minst) bidratt til en stigende mistillit til de statlige myndigheter.
Der foreligger en rekke rapporter om de ovenfor nevnte temaer, og noen er mere avslørende enn andre, eksempelvis dette (bare et lite utdrag):
October 2007 the Future Group was presented with a "Concept" paper from the EU Council Presidency:
"The digital tsunami and its consequences for public security organisations".
As more and more "people, machines and environments are connected" this vastly increases the amount of:
“potential information for use in the day-to-day operations of public security organisations.
One obvious illustration is the ability to track the location of any active mobile phone (and to know where it was last switched off and last switched on). This is just the beginning. In the next few years billions of items in the physical world will be connected, using technologies such as radio-frequency identification (RFID), broadband wireless (WiFi, WiMAX), satellite and wireless (Bluetooth, wireless USB, ZigBee). This means it will be possible to trace more and more objects in real-time and to analyse their movement and activity retrospectively.... In the near future most objects will generate streams of digital data about their location and use - revealing patterns and social behaviours which public security professionals can use to prevent or investigate incidents.”
The “objects” referred to also include people who could be tracked through their car, mobile phone or the clothes they are wearing.
The paper goes on to look at digital transactions, use of biometrics and online behaviour:
“All credit or debit-related purchases already generate monitorable and searchable real-time information; but more and more transactions will be of this kind as we move towards a cashless society...
These trends will be reinforced as biometric measurements are used to enhance security at more and more locations - whether public places such as town halls or train stations; private locations such as amusement venues; or places of work.”
This assumes the widespread use of peoples' biometrics (fingerprints, facial scans or iris scans) in everyday life once they have been collected by national EU states for passports and ID cards.
“Most large cities have already seen a significant increase in the use of closed circuit television (CCTV), and usage (by public and private sector organisations) is likely to increase further and to shift from the current analogue technologies to more easily storable and searchable digital technologies.
Further accelerating the tsunami of data is online behaviour. Social networks such as My Space, FaceBook and Second Life - and indeed all forms of online activity - generate huge amounts of information that can be of use to public security organisations."
Når en forstår de tekniske implikasjonene dette har for både maktfordeling og personvernet (må ikke forveksles med nytalens "samfunnsvern") så vil en stille spørsmål med de etiske og menneskerettslige prinsippene.
Oppgavene den digitale agendaen er ment å løse i henhold til administrativ effektivisering og utvikling av tjenester er mulig å implementere uten å kompromittere personvernet.
Det er neppe vrangvilje bak de valg myndigheter tar ved implementering av usikrede og kompromitterende løsninger. Snarere mangler bevisstheten om implikasjoner og/eller kunnskap om bedre alternativer.
Det er like feil å tro at dette er sort-hvitt; enten en løsning eller personvern - som det er feil å tro at jussen fikser teknologien.
Teknologiske løsninger: The Gold Standard - Privacy by Design
Der er mange dilemmaer... Men de kan løses.
Jeg anbefaler FAD (og IKT Norge?) å invitere Dr. Ann Cavoukian for et seminar eller møte - jeg tror det vil være vel verdt å lytte til hennes erfaringer og kunnskap - god kunnskap å ta med seg når en planlegger en Digital Agenda.
Myten om at personvern må ofres grunnet samfunnsikkerhet (eller innovasjon) er ikke bare feil, det er direkte misledende.
En mobiloperatør som tilbyr tjenester til bedrifter, logger og lagrer alle data som kunden aksesserer. (Ref. DinSide.no 11.12.2011)
Det er mulig å hente ut informasjon om hvor kundene våre har surfet fra driftovervåkningsverktøyene våre, bekrefter teknisk direktør i Network Norway.
...
Datatrafikken overvåkes med ... "prober" på linjene deres, som hovedsaklig skal brukes til å analysere kvalitet, ikke innhold.
Dette er regelrett vås.
Kvalitet på linjer sjekkes og måles med helt andre metoder enn ved å sjekke hvilke nettsider kunden leser.
I samme artikkel kan en lese et helt annen argument:
Grunnen til lagringen skal være å hjelpe operatøren i klagesaker. Om en kunde får en stor regning som følge av 3G-bruk, kan Network Norway hente ut disse loggene for å vise hva kunden faktisk har brukt telefonen til.
.....
Det vanlige er at kunden klager, og om beløpet er såpass stort at vi kan forsvare tidsbruken, spør vi om de ønsker at vi tar ut loggen. Vi prøver å gjøre kunden oppmerksom på hva dette innebærer. Om en ansatt har besøkt pornosider, antar vi at han ikke ønsker at arbeidsgiveren skal få vite om dette.
En kan fort oppfatte dette som om det er best å ikke klage på mobilregningen da operatøren potensielt sitter inne med uheldig informasjon om kundens nettvaner.
Network Norway hevder at loggen aldri hentes ut om ikke kunden selv ønsker det.
"Vi har tatt ut logg og kan dokumentere databruken ned til hver enkelt nettside. Siden det i denne saken ikke er tvist om at forbruket faktisk han funnet sted har vi valgt å ikke legge ved loggen som dokumenterer bruken. Dersom dere eller kunden likevel skulle ønske dette, ber jeg om at dere tar kontakt med undertegnede, og vi vil sende loggen umiddelbart.”
Her tilbyr Network Norway å sende innsikt i kundens akkumulerte nettdata til en tredjepart!
I EU har en et regelverk for prising av trådløse tjenester: Grunnet vanvittig prising, er det satt makspriser for hvor meget en teleoperatør kan kreve pr. tidsenhet.
Bruk av trådløst nett ved roaming (dvs. bruk av andre operatører enn den en er kunde av) er underlagt regulering slik at brukeren er beskyttet av sperre- og varslingsregler ang. bruken av mobilnettet.
(Men Post og Teletilsynet vil ikke kreve sperretjenester for innenlands datatrafikk).
Samtlige norske teleoperatører har lagt seg på den maksimale prisen EU tillater for roaming.
Network Norway bekrefter at loggene kan hentes ut uavhengig av om surfingen har skjedd i Norge eller utlandet.
Dette er interessant å vite da tele/mobil-operatører ikke har lov til dette.
Kan det skje at loggene hentes ut uten kundens samtykke? – Politiet har jo mulighet til å spørre om ting, og om de får en rettslig kjennelse er alle pliktige til å levere informasjon til dem. Utover det gir vi ikke ut loggene. Det skal vi ikke gjøre, det følger av våre interne retningslinjer, svarer direktøren.
Kontraktsvilkår:
På sin nettside har Network Norway informasjon om personvern samt generelle vilkår ved kontrakt. Der kan en lese følgende
2.3. KUNDEOPPLYSNINGER
NwN kan videreformidle Kundens navn, adresse og telefonnummer(e) til egne og andres baser, herunder virksomheter som utgir katalog eller drifter opplysningstjeneste.
Kunden kan reservere seg mot markedsføringshenvendelser eller oppføring i kataloger m.v. Dette gjøres ved henvendelse til NwN Kundeservice på tlf 09060.
NwN vil behandle personopplysninger i samsvar med ufravikelig lovgivning. Dersom Kunden ønsker innsyn, endring, eller sletting av registrerte opplysninger, vil NwN innenfor rammen av slik lovgivning etterkomme Kundens ønske.
Punkt 2.3 har ingen informasjon om at brukerens nettlesing logges og lagres...
5. BETALING OG REKLAMASJON
NwN skal fakturere Kunden med 30 dagers frist for betaling. Kunden betaler etter den til hver tid gjeldende prisliste.
Dersom Kunden har innsigelser mot NwNs faktura, må reklamasjonen være NwN i hende innen forfallsdato, hvoretter Kundens reklamasjonsrett bortfaller.
Punkt 5 støtter ikke opp om at nettsurfing lagres kun i 10 dager kombinert med at det lagres under påskudd om å dokumentere mobilbruken dersom kunden reklamerer på regningen. (Med andre ord; lagringen er lengre enn hva de oppgir til til journalisten.)
II. SÆRLIGE VILKÅR – MOBILDATA
II.2. Forbehold om overføringshastighet
For å sikre at alle våre kunder opplever tilgang til og god ytelse på datatjenesten, forbeholder NwN seg retten til å begrense overføringshastigheten til maksimum 128 kbit/s dersom bruken overstiger 5 GB per kalendermåned i 2 måneder eller mer. Begrensningen i hastighet vil gjelde i maksimum 30 dager.
Punkt II.2 forteller at operatøren driver "trottling", noe som er utidig brudd på nettnøytralitet - men noe en ser fra en del teletilbydere.
At de også lagrer privatkunders kommunikasjon og nettvaner, er samme sak, samme problematikk.
Kontraktsvilkår OneCall:
(OneCall er en del av Network Norway).
Heller ikke her er opplysninger om overvåking med registrering og lagring av kundene nettvaner. Abonnementsvilkår Privat,
19. TAUSHETSPLIKT
One Call og de ansatte i One Call plikter i henhold til Lov om Elektronisk Kommunikasjon,§2-9, å bevare taushet om opplysninger vedrørende Kundens bruk av teletjenestene og om innholdet i telekommunikasjonen.
Slike opplysninger kan likevel utleveres med Kundens samtykke, eller gis til domstolene, påtalemyndighetene eller andre offentlige myndigheter når One Call er rettslig forpliktet til å utlevere slik informasjon.
One Call og de ansatte i One Call plikter i henhold til Ekomloven å bevare taushet om opplysninger vedrørende Kundens bruk av tjenestene og om innholdet i Kundens kommunikasjon. Slike opplysninger kan likevel utleveres med Kundens samtykke, eller gis til domstolene, påtalemyndighetene eller andre offentlige myndigheter når One Call er rettslig forpliktet til å utlevere slik informasjon.
Spesifikke opplysninger om kundens bruk av tjenester vil i henhold til Ekomloven ikke lagres lenger enn tre måneder. Denne begrensningen gjelder ikke bruk som ikke er fakturert eller bruk knyttet til fakturaer som ikke er betalt eller som er omtvistet.
Problematisk:
Det er svært problematisk at en teleoperatør overvåker sine kunder. Dessverre så har regjeringer pålagt og godkjent uetiske prinsipper med påfølgende brudd på bl.a. personvernregler. Eventuelt endrer en lover slik at de tilpasses den manglende etikken.
Strengt tatt kan en ikke forvente at en simpel operatør holder bedre sikkerhet og profesjonell standard enn hva en regjering gjør for sitt eget, landets, klassifiserte nett.
Når en kunde, en bedrift, betror en teleoperatør å levere trådløse tjenester så må en kunne stole på at tjenesteyter leverer disse uten å utnytte tillitsforholdet ved å overvåke bedriftens aktiviteter.
Jeg har jobbet med flere prosjekter hvor en slik handling fra netttilbyder vil resultere i kontraktsbrudd. Konfidensialitet er vitalt. I sin ytterste konsekvens bidrar dette til industrispionasje:
En bedrifts aktiviteter på nett avslører svært meget om hva bedriften jobber med og mot, av nye, fremtidige produkter.
Beklageligvis har utro tjenere, som eksempelvis teletilbydere, kombinert med uvettige politikere, medført at en mobiltelefonen ikke lengre er så nyttig som den burde være. Tilsynelatende tror en del politikere at nettet er et verktøy eksklusivt for byråkratiet, og ikke et virkemiddel for business, innovasjon, nyskaping og kreativitet - eller - til og med et verktøy for høyst privat kommunikasjon.
Vi er kommet dit i dag at en ikke kan bruke en mobiltelefon på tiltenkt måte, men må gå via krypterte forbindelser.
Advarsler mot bruk av mobiltelefon:
For en tid siden advarte sikkerhetsrådgiver i PST om bruk av mobiltelefonen ved utenlandsreiser. I artikkelen ble industrispionasje og (andre) staters etterretning omtalt som faremomenter.
Industrispionasje foregår innen samme land. En må ikke reise utenlands for å finne dette.
I vår delvis globaliserte verden, og med et globalt internet, så har statlige myndigheter åpnet opp for å gjøre det enklere for kriminelle.
Ved massiv lagring av unødig og uheldig persondata, kombinert med manglende forståelse for datasikkerhet generelt og sensitiv data spesielt, eksepsjonell lav teknologisk forståelse og grov forsømmelse av vern om den private sfære, så har politikere åpnet dørene for det helt store datautslippet.
Det er forøvrig en god regel å slå av bluetooth på mobil og laptop - ikke minst på flyplasser.
Gratis nettbruk fra tilfeldige tilbydere er ikke helt "gratis".
Hackergruppen Noria gjennomfører et systematisert angrep mot nettsidene til Network Norway etter at det ble kjent at selskapet lagrer datatrafikken til 540.000 kunder.
Noen av oss skriver julebrev på PC'en for så å printe dette ut i et utall eksemplarer.
Jeg gjør dette...
De fleste julebrevene mine er skrevet over et par måneder, mens jeg sitter på flyplasser eller hotellrom...
Rett før jul redigerer jeg teksten, legger inn fotoer og skriver et personlig avsnitt i starten av hvert brev.
Nesten 50 brev... som støtter Posten (jeg kunne jo bare sent dem pr. e-post).
Dette året skal jeg legge inn litt informasjon om Digitalt Personvern og benytte disse morsomme julemotivene laget av Ellen Auensen (se juleplakatene:Juleplakat 1-Snill? og Juleplakat 2-Sjokolade?)
Rett etter at jeg publiserte forrige innlegg (Rosa Panter blir gul solo'ist) fikk jeg et besøk på bloggen som trigget min interesse.
Hvordan jeg vet dette?
Jeg har installert programvare som forteller meg fra hvilke nettverk et besøk kommer fra. Dette fordi jeg ser på pågående overvåking av offentlig nett.
Dette kan jeg komme tilbake til senere dersom interessen for temaet er tilstede.
Men for den vanlige leser så vil jeg presisere at den eneste overvåkingen de utsettes for ved å lese her, er via Google Analytics: Blogspot.com, som jeg bruker, er Google's offentlige bloggtjeneste.
Så, til dette besøket som trigget min interesse. Besøket kom fra
Polen > Krakow > agh.edu.pl (Indect's hjemsted) > Via Google med søk på ordet Indect - og landet på innlegget hvor ordet "Indect" er.
Dette forteller meg at dette uetiske prosjektet er så paranoid at de søker på nett for å sjekke eget rykte, om jeg kan formulere det slik.
Eller kanskje de "bare" bruker Google for å oppdatere egne databaser om hvor(dan) de omtales.
I dag hørte jeg NRK's Søndagsavisen via podkast 4/12. Temaet var PSTs forslag til endringer av terrorloven. Skremmende. Veldig skremmende. Terroriserende skremmende.
Jeg har kunnskap som PST ønsker å kriminalisere at en har, jeg har både gummihansker og avbitertang (jeg er ganske "flink" håndtverker) og jeg kjøpte en helt ekte, kostbar og av beste kvalitet, finlandshette i Helsinki - som gave til en god familievenn som trenger litt ekstra luftveisbeskyttelse (av helsemessige årsaker) når han er ute i naturen på vinteren....
Igjen gikk assosiasjoner til Indect-prosjektet. Dette er et prosjekt som er langt over grensene til hva som med rimelighet kan påberope seg etiske prinsipper.
Dessverre er det dårlig med forskningsmidler for fri forskning, og der vil alltid være noen som prostituerer seg for å få midler til sine gjøremål. Også innen universiteter.
Indect er ikke forskning i ordets riktige forstand, men et EC (EU kommissærerer ikke folkevalgte) prosjekt for å knytte sammen forskjellige (overvåknings)databaser og teknologier. For politi og mot EUs egne borgere.
Under er en gjennomgang av Indect, og er verdt å lytte til. De første minuttene er kanskje litt kjedelige, men se videre:
Her kommer det frem både kritikk og at dette er (kun) i politiets interesse, mot borgernes interesse, men betalt med skattepenger fra borgerne mot deres ønske. Det kommer også frem at Indect er forespeilet at nasjonale lovgivninger vil endres, for å tilpasses... pre-krime.
(PS: EU skepsisen er økende...)
Vi har hørt PST's Janne Kristiansen fortelle at mere overvåking må til for å fange opp solo'ister....
Hun har bedt om endringer i terrorlovgivningen og unntak fra "de strenge personvernreglene" for å utføre systematisk kartlegging av politisk, religiøst, etnisk og hvem-vet-hva folk kan grupperes etter. Alt dette mener hun er nødvendig for å avsløre mulige intensjoner før noen er i stand til å gjennomføre terror.
Hun ønsker også å kriminalisere enkeltpersoners forberedelse til terror... helst før de selv er klar over at de har en profile som peker mot at de kan bli kriminelle i fremtiden.
Straff før de får gjort noe straffbart - preventiv straff?
Assosiasjoner går til Indect, et creepy, pengeslukende prosjekt med paranoide og psykopatiske trekk - noe som, etter særdeles grov kritikk, forsøkes glattes over via en egen paragraf om "Indect's approach to ethical issues"...
Fra EU parlamentet i april 2011 ble det krevd at Indect må stoppes inntil det ble lagt frem full dokumentasjon samt en gjennomgang av etiske prinsipper. Dette er hva de folkevalgte sier:
27. Stresses that all research conducted within the FP7 must be conducted in accordance with fundamental rights as expressed in the European Charter; therefore, strongly urges the Commission to immediately make all documents related to INDECT (a research project funded by the FP7 aimed at developing an automated observation system that constantly monitors web sites, surveillance cameras and individual computer systems) available and to define a clear and strict mandate for the research goal, the application and the end users of INDECT; stresses that before a thorough investigation on the possible impacts on fundamental rights is made, INDECT should not receive funding from the FP7
Trenger vi mere overvåking for å plukke ut solo'istene blant oss?
Pilotprosjektet Global Shield (initiert av USA og WCO, World Custom Organization), er et målrettet tiltak. Målet er å overvåke kjemikalier som passerer tollgrenser/tollmyndigheter, eventuelt også hindre distribusjon av kjemikalier og eksplosiver som kan nyttes til å eksempelvis lage bomber. I flg. USA så var prosjektet suksessfullt og vurderes forlenget: 30 tonn kjemikaler er blitt beslaglagt og et 20-talls bomber er hindret potensielt brukt.
Global Shield er samarbeide mellom tollmyndigheter og politi og visstnok førte prosjektet til at 1 person ble rapportert fra norske tollmyndighetene - mens 63 andre personer, deriblant Breivik, havnet på en liste som var resultat av en mere tilfeldig valutaregistersøk foretatt av tollmyndighetene. (Dette skriver PST.)
Breiviks handel for 121,22kr. fra et polsk firma desember 2010, var ikke tilstrekkelig for å trigge alarm.
Han har selv dokumentert kjøpet, 300gr. sodium nitrit til 10€, betalt med Visa.
Videre skriver han (side 1403) at han bestiller 150 kg aluminium pulver som han betaler via bankoverføring av 2000€ til samme firmaet i Polen. Også dette skjer i samme måned, dvs. desember 2010.
Han benytter leveringsadresse i Sverige slik at leveransen ikke passerer norske tollmyndigheter.
Dette kjøpet dukker ikke opp på radaren hos norske tollmyndigheter...
Så mye for Global Shield i Europa, som har basert seg på rutiner med EU's tollmyndigheter... som ikke har tollbarrierer mellom landene.
Da er det heller ikke merkelig at dette antiterror prosjektet ikke har ført til beslag av kjemikaler i Europa - men derimot i Afghanistan, Pakistan og landene rundt. Jeg så fra nyhetene da USAs sikkerhetsminister erklærte hvor suksessfullt Global Shields hadde vært... Bergens Tidende skriver mere om dette 26.nov.
Avisen skriver også at "22.juli kunne vært unngått hvis politiet og tollvesenet hadde samarbeidet bedre, fastslår fersk rapport".
Knut Storberget sa han ikke kunne huske å ha blitt informert om forbindelsen mellom Breivik og antiterrorsamarbeidet Global Shield. Da var det vel (heller) ikke så viktig for ham.
Kanskje fru PST kan kaste nytt lys over dette senere på dagen(?)
Det kan virke som der allerede er mere enn nok overvåking allerede, men at prosedyrene rundt oppfølgingen er ikke-eksisterende, tilfeldige og/eller dårlige. Det er kanskje heller ikke spesielt smart å basere bekjempelse av terror på ikke-eksisterende tollgrenser innenfor EU.
(Og - apropos - hvorfor har vi SWIFT?)
Målrettede tiltak krever målrettet logikk.
Masseovervåking av alle borgeres elektroniske kommunikasjon, gjøremål, reiser og bevegelse er ikke et målrettet tiltak.
Det siste blir som å lete etter gule pelshår fra en rosa panter.
Samhandlingsreformen, Stortingsmelding nr. 47 (2008-2009), gir mål om at elektronisk kommunikasjon skal være den normale måten å kommunisere på i forholdet mellom behandler og pasient og en bedre integrering av helseregistre.
Pr. i dag har vi flere sentrale helseregistre:
Dødsårsaksregisteret - Folkehelseinstituttet
Kreftregisteret – Kreftregisteret
Medisinsk fødselsregister - Folkehelseinstituttet
Meldingssystem for smittsomme sykdommer - Folkehelseinstituttet
Det sentrale tuberkuloseregisteret - Folkehelseinstituttet
System for vaksinasjonskontroll (SYSVAK) - Folkehelseinstituttet
Forsvarets helseregister - Forsvaret Sanitet
Norsk pasientregister - Helsedirektoratet
Nasjonal database for elektroniske resepter - Helsedirektoratet
Reseptregisteret – Folkehelseinstituttet
NOIS-registeret - Folkehelseinstituttet
Norsk intensivpandemiregister (NOPIR) - Helsedirektoratet
Abortregisteret - Folkehelseinstituttet
samt flere titalls medisinske registre
I tillegg kommer flere varianter av pasientjournal systemer brukt av leger og sykehus lokalt og regionalt.
Det er rimelig å anta at det vil bli utveksling av data mellom pasientjournaler og helseregistre, da en ser for seg at alle skal kommunisere sammen og utveksle data, også på internasjonalt nivå når dette er ønskelig.
Dette åpner muligheter for flere bruksområder men også store farer for at sensitiv pasientdata kompromitteres.
Helse og Omsorgsdepartementet har en høring ute om Strategi for modernisering og samordning av sentrale helseregistre og medisinske kvalitetsregistre ("Nasjonalt helseregisterprosjekt")
Dagens personidentifiserbare sentrale helseregistre er unntatt fra hovedregelen om at pasienten skal samtykke for registrering. Regjeringen vurdert at nytteverdiene overstiger de personvernmessige ulempene.
Nasjonalt helseregisterprosjekt legger liten vekt på personvern, og delvis forveksler personvern med generell datasikkerhet.
Datatilsynet har foreslått et større perspektiv rundt sentrale registre, og en nærmere vurdering av behovet for en stortingsmelding hvor landets fremtidige organisering av helseregistre drøftes, herunder hvordan personvernet best kan ivaretas gjennom alternative arkitekturer basert på pseudonymer (anonymisering).
(Ref. Datatilsynets Uttalelse 1 og Uttalelse 2)
Bioteknologinemnda påpeker behovet for robuste løsninger for personvern, juridisk og teknologisk.
Nemnda påpeker alvorlige mangler, og fremhever at data fra blodprøver (arvestoff) deles nå på internasjonalt nivå, hvor Folkehelseinstituttet og NTNU/HUNT er sentrale aktører. Og det forhandles internasjonalt om kommersialisering av arvestoff-informasjon fra forsøksdeltakere.
Dette har reist etiske diskusjoner i internasjonalt forskermiljø.
Etter det nemnda forstår vil et pseudonymt og person-entydig register kunne ivareta hensynet til både personvern og forskning, kvalitetssikring, administrasjon, planlegging og styring.
Og resultatet av RødGrønn personvern? Fundamental Rights and Citizenship Program of the European Commission støttet Privacy International for en undersøkelse av personvern i Europa.
"Key Findings" ble gruppert som "good, heroic, awkward, bad, ugly":
Ugly
* Direct access to information held by third parties without warrants or oversight, conducted by unaccountable bodies. (e.g. Bulgaria, Croatia, )
* Inability to audit and review the actions of security services. (e.g. Lithuania, Croatia, Estonia, Hungary, Sweden)
* Medical databases are emerging with centralised registries. (e.g. Croatia, Czech Republic, Denmark, Sweden, Norway, UK).
(klikk for større bilde)
Den samme rapporten omtaler myndighetenes lederegenskap:
Igjen er Norge representert med en stor sort sirkel:
versting her også.
"viktig at vi får en mer helhetlig, en felles orientert tilnærming til data og elektroniske pasientjournaler. Her kommer også spørsmål rundt personvern fram.Det er alltid en debatt rundt personvern. Det er veldig viktig. Men vi må passe på at dette ikke står i veien for økt pasientsikkerhet og økt behandlingskvalitet. Det vil alltid være en avveining der".
I Aftenposten 24.november kan en lese at en av bistandsadvokatene, Carl Bore, mener at mere overvåking er "En rimelig pris å betale".
Dette er min kommentar til hans innlegg:
Carl Bore henvisning til at "Wessel-Aas tar til orde for å ikke å øke terrorbeskyttelsen"..., noe som viser en noe tendensiøs gjengivelse av hva Wessel-Aas faktisk har skrevet.
Bore overser også henvisningen til hva analysesjefen i PST har sagt om at det faktisk ikke er alt vi kan beskytte oss mot i et åpent samfunn, og at det ville være uheldig om samfunnet hadde forventninger om at PST kan beskytte oss mot alt.
Fra Bore kan en få inntrykk av at grunnet til at PST ikke avslørte Breivik er relatert at PST har begrensede fullmakter.
Inntrykket forsterkes ytterligere når jeg kommenterer (via twitter) "at en advokat fremmer overvåking av borgeres lovlydige aktiviteter er bemerkelsesverdig" - og Bore svarer meg med "Du vil heller vente på neste terrorangrep!?".
Disse usaklige stråmannsargumentene finner jeg usmakelig, og dette minner litt om WoT-slogan [WoT: War on Terror];
enten er du med oss eller så er du mot oss, eller, enten er du i favør av statsmaktens overvåking av lovlydige borgere eller så er du mot terrorbeskyttelse.
Jeg er først og fremst i favør av en frisk, oppegående rettstat, hvor alle borgere har beskyttelse for overgrep. Dette innebærer rimeligvis at lovlydige borgere som utøver lovlydige aktiviteter ikke skal overvåkes av statsmakt.
I kjølevannet av alle terrorlovgivningene siste 10 årene så ha borgerne fått svekket rettsvern, omvendt proporsjonalt med utvidede mandater til en stadig voksende terrorindustri.
Bore skriver at å overvåke lovlydige borgeres gjøremål "er en rimelig pris å betale" (for å hindre solo'ister a-la Breivik).
Jeg lurer på hva Bore (eller andre) tror kunne vært plukket opp på forhånd, via overvåking av befolkningen - dvs. innen denne mannen parkerte foran regjeringsbygget 22./7.
"Overvåkning av hatefulle politiske og religiøse ytringer på nettet"?
Jeg har lest Breiviks "manifest" og hans "profil" vil ikke passe de populistiske mytene om politisk og religiøst ståsted.
Det kan ikke være forbud mot, eller overvåkingsgrunn, at folk misliker feminister i særdeleshet, kvinner generelt, islamister, katolikker, Arbeiderpartiets kontrollerende adferd, Regjeringens overvåkingsregime eller at folk er motstandere av EU, globalisering, korrupsjon eller nazister.
Breivik var særdeles bevisst på å holde seg under grensen for hva som kunne trigge noen form for overvåkingsradar, inklusive bruk av mobiltelefon og elektroniske sporbare transaksjoner.
Bore viser også til eksempel fra USA, hvor José Pimentel ble arrestert i NewYork etter å ha vært overvåket over et par år. Denne ensomme ulven- solo'isten - kom under lupen etter at han endret navn og konverterte til Islam, visstnok. Angivelig drev han drev et noe ekstremt nettsted nettsted (www.trueislam1.com) og forsøkte angivelig å få kontakt med Al/el-Q[something], og det ble brukt informanter gjennom overvåkingen. Videre detaljer kjenner jeg ikke, men blere nyhetsmedia har skrevet om dette, bl.a. The Guardian (New York bomb suspect Jose Pimentel not a serious terror threat: FBI sources)
Kanskje Bore har en matematisk algoritme som kan bidra til å plukke ut en Breivik-solo'ist blant potensielt 5 millioner overvåkede borgere?
PST har allerede i dag vide fullmakter til å etterforske hva de finner mistenkelig. Og slik skal det være.
Jeg synes Carl Bore er naiv som tror at mere overvåking vil trygge samfunnet. Men det er også et spørsmål om hvilke samfunn vi vil ha. Her er det Bore som er populist, og bør også bli mere bevisst de skader uhemmet overvåking påfører demokrati og rettstat.
Jeg kan forstå at en bistandsadvokat i Breivik-saken har engasjement, men å så visjoner om utopiske luftslott har jeg mindre forståelse for.
PST kan ikke beskytte oss mot alt.
Og det kan forøvrig heller ikke elektronisk overvåking gjøre.
Vi kan ikke bygge et samfunn rundt terrorfrykt, på bekostning av demokrati, rettstat og frihet.
Da blir vi terrorens fanger.
Mange nettbaserte tjenester benytter lokasjonsdata. Enda flere tjenester akkumulerer lokasjonsdata - i tilfelle dette skulle kunne brukes til noe "nyttig" - som eksempelvis å selge databaser til statlige eller private ... (Der er meget en kan gjøre for å beskytte seg mot dette, inklusive å produsere feile lokasjonsdata, men er ikke temaet her.)
Nettjenester av typen RobbMeNow.com finnes i mange varianter. Eksempelvis Google's Latitude, Foursquare, Loopt, Gowalla, osv.
Mens en tidligere satte opp automatisk svar (autoreply) på e-post: "Jeg er bortreist 2 uker..." eller la beskjed på telefonsvareren hjemme: "Vi er på ferie ..."
så publiseres nå slike meldinger via sosiale media, som G+, Twitter eller Facebook.
Der er nesten ingen ende på eksempler av 'over-sharing' av personlig informasjon. Er en i tvil om en har gitt fra seg tilstrekkelig informasjon så kan en jo legge ut hele agendaen sin i nettskyen.
Andre tjenester, som Bipper, gir foreldre kontroll over barna's bevegelser og hvordan de får bruke mobiltelefonen. (Bipper demo). Bruk av slik teknologi for å kontrollere og overvåke barn er forøvrig ikke ukjent... Bipper bSafe ble senere lansert som trygghetsalarm for kvinner. Det sendes melding med GPS posisjonering til en liste av kontakter (samtidig) dersom alarmen utløses. (Hvordan de som mottar en slik melding, kan hjelpe, er imidlertid usagt.)
Overfall på åpen gate, og utrygghet for vold i det offentlige rom kan også forebygges ved bruk av digitale tjenester.
Og da tenker jeg ikke på CCTV eller kameraer, som ikke bidrar til annet enn å lete etter "beviser" i ettertid.
C U Home - Følg meg hjem:
En enkel liten "app", for å bestille en tjeneste: Følg meg hjem!
Ved oppstart av programmet blir mine lokasjonsdata automatisk sendt til en server. På skjermen får jeg adressen hvor jeg befinner meg.
Jeg taster inn adressen dit jeg skal gå.
Jeg mottar klarsignal og verifiserer at jeg bestiller tjenesten.
Jeg tenker meg at denne tjenesten leveres av politiet (e.l.), av følgende årsaker: Om overgrepsvold oppstår må noen rykke ut fort. Alternativt har tjenesten ingen nytte.
I tillegg vil overgrep varsles umiddelbart, i sann-tid, mens der er store muligheter både for å avverge og/eller pågripe den/de som forgriper seg.
En ulende politibil som nærmer seg den geografiske lokasjonen hvor overgrepet antas å foregå, vil sannsynligvis ha en effekt...
Patruljerende politi i nærheten kan fort komme til unnsetning...
Løsningen krever svært lite, og tjenesten kan prises (som en bussbillett). Alt forutsetter selvsagt at der fysisk finnes reelle personer bak tjenesten.
For den som leverer (og våker) tjenesten, kan det se noenlunde slik ut på PC-skjermen:
Mens privatpersoners trafikkdata bør forbli privat (og ikke datalagres), så bør en tenke kreativt for nyttige samfunnstjenester.
Løsningen ovenfor koster så å si ikke noe, og lar seg implementere på få dager.
PS: ("Hjelp" kan være speed-dial, men mobilen går raskt i 'sleep' etter bruk. Der finnes løsninger for dette, men detaljene er ikke relevante for å illustrere en nyttig tjeneste)
I (bl.a.) Aftenposten september 2008 kunne en lese at UD ved statssekretær Terje Moland Pedersen(A) uttalte at norske myndigheter hadde avtalt med USA at de skulle få utlevert norske borgeres personlige data.
"Norge og USA er i ferd med å få på plass en avtale om utlevering av persondata i krigen mot terror. Nordmenns reisehistorikk, epostadresser, mobilnumre og internettvaner kan dermed bli overlevert amerikansk etterretning."
Bakgrunnen er at USA og EU snart er enige om en avtale som gir amerikansk etterretning lettere tilgang til data om privatpersoner. Avtalen vil gi USA lovlig tilgang til privatpersoners kredittkorttransaksjoner, reisehistorikk fra flyselskaper og internettvaner. Dette er informasjon som norske etterretning i stor grad allerede har, eller har mulighet til å skaffe seg, om norske borgere. Amerikanerne ønsker å dele denne informasjonen..... Ambassaden opplyser at møtet denne uken "hadde vært avtalt i lang tid for å diskutere en rekke temaer av interesse for Justisdepartementet i forhold til terrorisme og katastrofeberedskap".
Tross at den sittende Regjeringen synes det er storveis å overvåke sine borgere, for så å distribuere høyst personlig informasjonen til andre lands etterretning, så er imidlertid ikke saken like klar innen EU - ennå...
PNR diskuteres heftig, og videoene under er fra workshop om temaet, arrangert denne uken, av EDRI.
(Et lite PS: Cecilia Malmström har ikke kommet opp med noe som har imponert EU Parlamentet, samt at EU's Data Protection Agency er skeptisk, se link til EDRI ovenfor).
I artikkel i New Europe 19.okt.2011 er intervju med Edward Hasbrouck, en autoritet innen temaet: Air-travel data puts Europeans at risk of identity theft
Han forklarer svært godt hvordan PNR bryter menneskerettigheter, personlig frihet, sivile rettigheter, rett til fri bevegelse, osv. - og hvordan bookingsystemene (Computerised Reservation System, CRS) er kaotiske, uten sikkerhet eller kontroll med hvor dataene er lagret, hvor mange "kopier" der er (geografisk distribuert), hvorvidt dataene er riktige eller hvem som har aksess.
I prinsippet kan "alle" aksessere en stor mengde akkumulerte data om europeiske borgere, både fra Kina, USA eller Europa. Den eneste som ikke har (eller får) aksess, er borgeren som eier dataene.
Jeg anbefaler å høre hva han har å si, samt lese slides - der er flere overraskelser...:
Edward Hasbrouck talking about Passenger Name Records (PNR) at The European Parliament 19 October 2011.
Hvor er debatten om dette i det norske landskapet?
Kontakt ditt reiseselskap, flyselskap, osv.
Be om en utskrift av dine data, sammen med en beskrivelse om hvordan dataene behandles, hvem som har aksess, osv.
En ørlite uoppmerksom nettbruker, og spesielt barn og unge, kan fort komme i en situasjon hvor åndsverksloven brytes - uten å være klar over dette selv. Det er langt fortere (ubevisst) enn visse myndigheter er blitt villedet til å tro. Sagt med andre ord, underholdningsindustrien er ikke tilpasset digitale media og særdeles dårlig tilpasset forbrukernes behov. Jeg vil påstå at de heller ikke tjener artistene - langt mindre vårt felles kulturelle landskap.
Godt Nettvett?
Det gir en aldri så liten aha-opplevelse å begi seg ut på å forklare det ulogiske for logisk tenkende, normalt intelligente barn.
Den digitale åndsverkloven er ikke logisk, ikke rettferdig ovenfor artistene, skremmer forbrukerne vekk og favoriserer en overflødig tredjepart som opererer som parasitt på vår kreativitet og vår felles kultur.
Sanity-check
Vi starter med hva vi har; Kamera for egne fotoer, PC med lisensiert programvare, musikk - alt kjøpt og betalt, skatt, moms og avgifter på avgifter inkludert.
Det en eier har en vanligvis eierretten over. Eller i alle fall bruksretten.
Tror vi.
Inntil videre.
Det er rimelig at barn tenker at det en har kjøpt, det kan en dele med andre. Gode borgere; empati, gi av sitt overskudd, dele med de som ikke har, dele opplevelser med venner...
Å dele er ikke å stjele:
Skremselspropaganda er ikke godt pedagogisk hjelpemiddel, en kan få mareritt av mindre.
(Jeg noterer meg bak øret at jeg må spørre ACTA-Departementet etter informasjonsmateriale for barn...eh.. og for voksne)
Men neste fase er morsommere. Omtrent som å bygge med digitale Lego™ - uten påbud om hva en får lov å gjøre med byggeklossene.
Tror vi.
Enn så lenge.
Vi skal eksperimentere med egne fotoer for å lage en minnealbum for venner og familie. Huskatten blir ofret. Den har både Facebook-konto med 'RealName', e-ID-implant og egen blogg - og den er ikke videre bekymret for face recognizion av ansiktstrekkene sine eller ID-tagging.
(klikk på fotoet for større versjon)
Alt går veldig greit inntil musikkvalget skal legges inn:
En <klikk> på "♫" og husstandens musikk-biblioteket vises. Inkludert den melodien kattens minnealbum skal ha som bakgrunnsmusikk.
Har vi lov?
Klart barn ønsker å vise frem hva de har laget, dele sine kreative opplevelser, dele minner, dele med venner, dele med klassekamerater og familie. Den hjemmelagede videoen skal legges på kattens blogg...
For den valgte musikken, så er der ingen informasjon om utgivelsen eller eieforholdet.
Etter noe undersøkelser og en del tilfeldigheter finner jeg at artisten er norsk og (via Twitter) at dette er TONOs domene.
Etter ytterlig styr finner jeg en mail-adresse hos TONO Norge - og sender en forespørsel for fremgangsmåte:
Hei.
Etter (svært) mye leting så har jeg funnet frem til deg via denne adressen (via www.tono.no).
Saken er som følger:
Jeg har kjøpte musikk (via iTunes), av en norsk artist; <navn+track>
Denne kjøpte jeg eksplisitt for bakgrunnsmusikk for en kort video jeg laget for/med barn -
og som viser (videoklippet) av en kattevenn barna har.
Nå ønsker jeg å legge dette video-klippet på en privat webside (en "blogg").
Jeg har forsøkt å finne frem til artisten, for å innhente tillatelse (mot betaling).
Hvordan går jeg frem?
Hva koster dette?
Og hvor mye vil artisten få selv, om det er TONO som skal ha betalt?
Neste dag får jeg informasjon om en minstepris (300kr. + pris pr. streamet minutt), samt en ny kontaktperson.
Etter noe kommunikasjon med ham, blir jeg bedt om å kontakte EMI i Sverige.
Noe mere kommunikasjon og flere dager senere har fortsatt ingen respons materialisert seg...
Jeg har heller ikke fått svar på purringer...
Jeg reflekterte også over hvordan jeg skal kunne måle antall "streamede minutter" dersom jeg skulle få tillatelse til å bruke musikken.
Dette vil bli en teknisk utfordring da der ikke er funksjonalitet som forteller noe om dette.
Den potensielle (og teoretisk mulige) fremgangsmåten ville kreve at kattens blogg blir flyttet på en privat server, og med nedlasting av spionprogram mot de som måtte finne på å se videoen.
En annen mulighet kan være å se på "antall hits", men disse inkluderer også alle som snoker (hvert blogginnlegg resulterer i aktiviteter og "hits" fra visse land, på begge sider av Atlanteren) og kan ikke relateres "streamede minutter".
Jeg var spendt på hvordan dette skulle måles.
Jeg er fortsatt spendt på å lære mere om dette...
Og jeg venter fortsatt på informasjon om hvordan en forbruker skal - lovlig - kunne få kjøpe musikk til personlig bruk.
Det tok noen få minutter å sette sammen videoen.
Men det tar timer, dager, uker, måneder... å få tillatelse til å betale ytterlig mere for å bruke musikk en allerede har betalt for... Om en noensinne får svar...
Hva slags rettspraksis er dette?
Hva lærer en barna om dette?
At CopyRight = CopyWrong - Fordi vi har uskikkede politikere?
Mens vi venter:
Vi finner musikk fra Free Music Archive slik at videoen kan deles med andre, og denne gangen ikke på kattens blogg, men her:
I mellomtiden har (minst) en (norsk) artist mistet inntekt...
Hva tenker ACTA-ministeriet om dette?
Måling av "streamed minutes"?
Kulturministeren?
Skal artister ikke få selge sine verker til forbrukere?
Skal ikke forbrukerne ha noen rettigheter?
Teknologien har langt på vei gjort mellomleddene overflødige, og disse kjemper på alle bauer og kanter - mens politikere lar seg bruke som marionetter for å ta kvelertak på artisters inntekter, forbrukeres rettigheter, kreativitet, vår felles kultur og menneskerettigheter.
Oppdatert 6.12.2011:
Tidligere har en beskyttet seg mot kriminelle.
Nå må en også beskytte seg mot de som formodentlig skal håndheve loven: PST vil ha full tilgang til datamaskiner
Kort, historisk: 2002:
Riksadvokaten går sterkt imot (daværende) justisministers forslag til nye lovbestemmelser mot terrorisme. (ref. Aftenposten)
2005:
Politiet (PF) krever hemmelig avlytting i private hjem. Dette fordi kommunikasjons avlytting ikke var nyttig i "det endrede kriminalitetsbildet": De kriminelle var forlengst oppmerksom på politiets metoder, og hadde gått over til å kommunisere ansikt til ansikt i private boliger. (Ot.prp. nr. 60 (2004-2005))
2009:
"Romavlytting av private hjem er i strid med grunnloven, fastslår regjeringsutnevnt utvalg", kunne en lese i Aftenposte 29.06.09
Daværende justisminister Dørum fikk sterk kritikk da han la frem lovforslaget om romavlytting. Han ville i utgangspunktet tillate romavlytting uten at det ble krevd såkalt «skjellig grunn til mistanke» (sannsynlighetsovervekt på minst 50 prosent) om at noe galt kunne skje. Det holdt at PST «ønsket å undersøke om noen forberedte» alvorlig kriminalitet, som det het.
2009:
Metodekontrollutvalget leverer sin NOU 2009:15 “Skjult informasjon - åpen kontroll”. (se spesielt 23. Dataavlesing)
I denne utredningen kan vi lese
"at PST ikke har anledning til å foreta ransaking av noens private hjem etter politiloven § 17d, ble begrunnet med at departementet ikke ønsket å «trå Grunnloven for nær», jf. Ot.prp. nr. 60 (2004–2005) side 132".
En interessant observasjon med tanke på at metodene det argumenteres for, er ytterst intrusive i den mest private sfære.
Og her argumenteres det, som i 2005, om "det endrede kriminalitetsbildet", men da omvendt, altså at nå er de kriminelle gått tilbake til metoder som de i 2005 argumenterte mot.
Det har forøvrig ingen hensikt å lete etter logikk i politisk bullshit:
.... er opptatt av de rettspolitiske dilemmaene som nye politimetoder skaper. Vektingen mellom enkeltmenneskes krav til personvern og samfunnets behov for beskyttelse er viktig. Ved å ta i bruk nye metoder i forebyggende arbeid, innenfor strenge rammer, kan personvernet styrkes i forhold til dagens situasjon...
En tankevekker til politisk bullshit; det har blitt fremmed teori om at nivået i nettdebatter er farget av respektløs bullshit fra politikere og byråkrater. Eller med andre ord: Skal en heve nivået må en stoppe denne bullshittingen og vinne tilbake respekt...
Hvorfor "Dataavlesing"?
Det er blitt vanskelig(ere) å overvåke innholdet av hva borgerne formidler, både innenfor familien, venneketsen og via det offentlige nettet.
I tillegg bruker ordinære borgere krypterte tjenester. Derfor må Staten skaffe "verktøy" for at statlige organer skal bryte seg inn i den private sfære for å overvåke kommunikasjonen, før den blir kryptert.
Kort oppsummert så er dette spionprogrammer (spyware og malware) som installeres på private maskiner (PC, servere) hjemme hos folk, og uten at eierne vet om dette. For å installere den ondsinnede programvaren kan politiet bryter seg inn i boligen for å få fysisk aksess til PC'en, eller - mest realistisk, innstallerer sine trojaner via nettet; hacking for datainnbrudd i private hjem.
Sitater under er fra 23.3.5 Gjennomføringen av dataavlesingen “Skjult informasjon - åpen kontroll”
(må ikke forveksles med The lunatic asylum hackers guide to the dysfunctional universe) :
...I utgangspunktet kan man imidlertid se for seg to hovedgjennomføringsmåter:
politiet utnytter et sikkerhetshull i datasystemet eller sender en e-post som inneholder et skjult vedlegg med det aktuelle programmet, at politiet installerer programmet i forbindelse med en hemmelig ransaking eller etter å ha utført innbrudd i datasystemet.
...
For eksempel kan utstyr som leser av tastetrykkene monteres i tastaturet (key-logging)
...
headsett eller mikrofon ...
...
Det er neppe til å unngå at gjennomføringen av dataavlesingen vil kunne fange opp opplysninger som ikke var ment kommunisert eller lagret, og som dermed ikke ville blitt fanget opp ved tradisjonell kommunikasjonsavlytting eller hemmelig ransaking og beslag.
...
Utvalget presiserer derfor at dataavlesingen må innrettes slik at det ikke fanges opp opplysninger ut over det som er nødvendig for å kunne gjennomføre en kommunikasjonsavlytting eller en hemmelig ransaking og beslag.
...
dataene skal komme politiet i hende, må programvaren enten lagre dataene på datautstyret, eller sende dem ut via Internettet eller annet tilgjengelig eller installert nettverk/radioutstyr som politiet råder over.
...
Etter at dataavlesingen er gjennomført bør programvaren avinstalleres. Dette kan gjøres på samme måte som installeringen, eller ved at for eksempel et softwareprogram tilintetgjør seg selv
...
dataavlesingen må innebære så liten sikkerhetsrisiko for mistenktes datasystemer som mulig.
...
Ved politiets installasjon av programvare for å muliggjøre dataavlesing kan slike svakheter utnyttes. Det innebærer at også andre kan utnytte de samme svakhetene. I tillegg vil politiets programvare kunne inneholde svakheter som kan utnyttes av andre.
...
Det er for utvalget opplyst at selv kriminelle som foretar innbrudd i datasystem regelmessig tetter de sikkerhetshull som er utnyttet, for å verne om det datasystemet de har skaffet seg kontroll over. Det samme vil selvsagt også politiet kunne gjøre. [skal en le eller gråte]
...
gjennomføringsmåten må tilpasses den enkelte sak, og metodebruken vil utvikle seg i takt med den teknologiske utviklingen, er det ikke mulig generelt å gi føringer på denne forholdsmessighetsvurderingen. Påtalemyndigheten må foreta en vurdering av dette spørsmålet i forbindelse med begjæringen til retten om tillatelse til å bruke metoden,
...
Det vil til slutt være opp til retten å vurdere om sikkerhetsrisikoen i den enkelte sak er akseptabel.
Wow, am I impressed!
Hva ble skrevet om "Dataavlesing" tidligere, i NOU 2003: 18 ?
.....såkalte trojanske hester, ormer, sniffere mv.
Dette er dataprogrammer som kan installeres hemmelig i dataanlegg og som kan ha forskjellige funksjoner. For eksempel kan programmene legge «vertsmaskinen» åpen for «innbrudd» utenfra, eller de kan lagre og/eller sende informasjon som ligger på maskinen.
Programmene kan også overvåke de enkelte inntastingene underveis, og sende denne informasjonen til politiet før den krypteres. Bruk av slike programmer reiser en rekke tekniske og rettslige spørsmål.
Det må legges til grunn at i mange tilfeller vil det være nødvendig med hjemmel utover de som er gitt i gjeldende lovgivning. For å besvare hjemmelsspørsmålet sikkert kreves imidlertid en avklaring av hvilke programfunksjoner som kan være aktuelle, i hvilken grad programmene kan skade vertsmaskinen, om programmene kan forstyrre eller forsinke vertsmaskinens funksjoner, hvor stor plass slike programmer kan oppta på vertsmaskinens harddisk, om programmene kan installeres uten at det medfører datainnbrudd osv.
Også andre IKT-relaterte metoder kan visstnok tenkes anvendelige i etterforskingsøyemed, for eksempel avlytting av elektromagnetiske felt.
2011 - her er vi nå:
Men tankene er frie?
Datalagringsdirektivet (DLD) måtte innføres for å legalisere den overvåkingen som allerede ble utført - slik at disse data kunne brukes som bevismateriale i en rettssal.
Slik er det også med spion-overvåkingen som politiet nå ber om å få bruke, og denne gangen også uten at der foreligger mistanke. Også omtalt som "Lovendring for soloterrorister"
Når de etterforskende myndigheter møtes til konferanse for å lære om "Intelligence Support Systems" så er der en lang rekke aktører som ønsker å markedsføre sine intrusive produkter.
En av disse er "hacking teamet", som markedsfører programvare for "Remote Control System": "A Stealth, Spyware-Based System for Attacking, Infecting and Monitoring Computers and Smartphones (Windows, Windows Mobile, Mac, iPhone, Symbian and BlackBerry). Full intelligence on target users even for encrypted communications (Skype, PGP, secure web mail, encrypted disks, etc.)"
Programvaren installeres ved fjern-infisering (remote infection), og er usynlig for PC-eieren:
Spionen som snoker, monitorerer alt; web-aksess, personlig mail, dokumenter som skrives og leses, tastetrykk-logging (keystroke), dokumenter som printes, VoIP (internet telefoni), avlytting via systemets mikrofon og PC-tilknyttet kamera, osv. - og logger alt til en fjernliggende kontrollsystemet.
Også kaldt "evidence collection".
Statlig spionprogrammer som "remote rettsmedisinsk software" (nytale)
Tyske Der Chaos Computer Club (CCC) har over flere år advart om at statsorgan nytter spyware og malware for i hemmelighet å bryte seg inn på borgeres datamaskiner - og med de problemer dette medfører.
I går publiserte CCC at de har utført en grundig analyse av regjeringens spionprogrammer. Rapporten foreligger med tekniske detaljer.
Regjerinens spiontrojaner åpner for overvåking av de mest intime detaljer, inklusive å ta kontroll over kamera og mikrofon (for å se og lytte hva som foregår i hjemmet).
Spionprogrammene har grove implementasjonsfeil, og gir en rekke sikkerhetshuller i systemene det spioners på. Disse kan også nyttes av tredjepart.
Tyskland, som Norge, har introdusert nytale når en skal omtale statlig mangel på etikk og moral, for ikke å si brudd på menneskerettigheter... Dette heter "kilde-avskjæring" ("source telekommunikasjon surveillance" eller "dataavlesing" på norsk) og skal utelukkende brukes for oppfanging av "internet-telefoni" ved "lovlig avlytting".
CCC har nå publisert myndighetenes ondsinnede programvare (malware) i form av kildekoden sammen med en detaljert rapport om funksjonaliteten og teknisk vurdering.
Myndighetenes programvare "light" er en kamuflert trojan som går langt ut over den tillate "avskjæringen av kommunikasjonen". Programvaren laster selv ned (via nettet) flere trojaner, og som gir myndighetene fjernkontroll (remote control) for å kjøre programmer.
En fullt funksjonerende statlig trojan har kontroll over nettsurfing, lesing, skjermbilder, skriving, manipulering av filer, tilgang til mikrofon og kamera, samt tastatur (keystroke).
Dette viser at de (tyske) etterforskende myndigheter aldri reflekterer over å respekterer loven eller rettstaten, og anser seg uavhengig hva de folkevalgte regjerende myndigheter måtte bestemme om dette. Dette vises også i de metoder og "løsninger" som presenteres på konferanser (se ovenfor).
Programvaren er også både teknisk råtten og åpner sikkerhetshull for tredjepart, samt gir infisering av annet ondsinnet programvare og produksjon av falske data.
Kontrollsenteret, hvor dataene sendes til, ligger på en leid server i USA.
CCC krever at hemmelighetene rundt infiltrasjon av systemer for informasjonsteknologi, iverksatt av statlige myndigheter - stoppes.
Samtidig oppfordrer de alle hackere og de som er interessert i teknologi å gjøre mere for å analysere data...
Oppdatering 10.10.2011 (takk til @extev)
Da Frankfurter Allgemeine Zeitung (FAZ) ikke er en hvilken som helst blekke, har saken fått mye oppmerksomhet og både den tyske innenministeren og justisministeren (som er DLD motstander) har lovet full etterforskning og oppklaring, også etter krav fra de ditto komiteene i Bundestag.
Innenriksministeren og politiet i Bayern har innrømmet at de har brukt det omtalte programmet i etterforskningen av en sak, og bl.a. endte opp med > 60.000 ulovlige screenshots fra PCen de overvåket. Programmet var konfigurert til å ta screenshot hvert 30. sekund.
Tyske media går ut i fra at også politiet i andre delstater har brukt og bruker det omtalte programmet.
På riksplanet benekter alle ansvarlige noen som helst befatning med saken, og sier at de ikke tillater ulovligheter.
Anti-Counterfeiting Trade Agreement bør enhver lese litt om... Se videoen under dersom ACTA er et ukjent begrep. Dette er et monopolistisk monster som truer våre friheter, menneskerettigheter, innovasjon og kreativitet - og mangler totalt respekt for den private sfære.
Amerikansk underholdningsindustri presser for dette, og forhandlinger har gått bak lukkede dører. De presser for signering innen utgangen av 2011 (og helst før borgerne forstår hva som foregår).
Ukjent er det dog ikke; ACTA er dokumentert via en rekke "Wikileaked cables", dokumentert av bl.a. La Quadrature du Net, samt via dokumenter lekket fra EU-kommisjonen. Disse viser at det bevisst er holdt viktig informasjon unna EU-parlamentet. Litt om dette er omtalt i Secrets and lies and EU-file-sharing talks og også fra EDRI (Digital Civil Rights in Europe). (EU-parlamentet er borgernes valgte representanter, mens EC er en selvutnevnt, ikke-folkevalgte, udemokratisk maktsenter.)
Prosessene er ikke transparene. Industrien har fått enerett til å fremme lovgivning fra mørklagte bakrom, Foundation for a Free Information Infrastructure analyserte lovforslagene i teksten i ACTA, og kom da med rapporten The world faces major challenges
(i noen av dokumentene kommer det også frem at EC anbefales å ikke nytte europeisk juridisk rådgivere.)
Se rapporten som ble publisert nylig, samt pressekonferanse 4.10.2011 ( nederst, "Kilder verdt å lese")
Slikt kan ikke skje i Norge?
I 2010 ble det avslørte at hemmelig notat til Kulturdepartementet (KD) ikke var journalført i Offentlig Elektronisk Postjournal.
Notatet var fra aktørene i underholdningsindustrien. Dokumentet dikterer endringer de vil ha i norsk lovverk, og kan leses i sin helhet her (Anbefales lest da det er en pre-historisk kuriositet fra en anti-digital tidsånd).
De krever lovendringer slik at den digitale teknologien kan tilpasse seg deres fysiske media. Der hvor dette ikke lar seg gjøre, skal teknologien tilpasse seg, og borgerne skal elektronisk overvåkes. Slik at industrien kan få bevismateriale de mener de har krav på.
Kort oppsummert:
svekke personvernet, unntak fra en rekke personvern- og taushetsplikt-bestemmelser
rett til å akkumulere og lagre IP-adresser og annen trafikkinformasjon
unntak fra sletteplikt av trafikkdata; lagring på ubestemt tid
DLD skal tilpasses rettighetshavernes behov, og detaljdata om innhold skal lagres.
internettleverandører skal pålegges å utlevere IP-adresser og identitet når rettighetshaverne ønsker
IPRED-lignende lovgivning skal innføres
blokking av eller via ISP'er, etter forespørsel fra industrien.
endringer i Åndsverkloven, Personopplysningsloven og Ekomloven, etter behov.
kostnadene skal betales %-vis av tjenesteyter (som i relativiteten betyr brukeren)
Kulturministerensnakker om IP adresser som om disse var en slags magiske, kryptiske nummre. Ministeren bør oppdatere seg om at enhver kan gjøre oppslag på IP-nummer og få tilbake eierens navn, adresse, tlf. og e-post adresse. Dette er personlig, identifiserbar data for de som har fast IPnummer (som er svært, svært mange av oss, helt siden vi fikk bredbånd...). Ministeren bruker gammel, utdatert informasjon som villeder til å tro at en må via en autoritet (som Post&Teletilsyn) for å få identiteten bak IPnummeret.
Eller sagt med andre ord: Har du mitt IP-nummer kan du gjøre oppslag på nettet, og få tilbake navn, adresse, tlf. og mail adresse.
En IP-adressen er definert som "personlig informasjon" av EU-lovgivningen.
Ministerens forslag strider også mot EU e-Privacy direktivet (hun feilinformer forøvrig om franske lovgivning, i sin iver etter å fortelle at hennes forslag er så meget bedre. Men dette er uvesentlig her.)
Det er dessverre ikke bare i USA at industrien driver useriøst eller jakter mindreårige, men også i andre land hvor regjeringer har kompromittert borgernes rettsvern. Der hvor LexACTA (eller LexSimonsen) opererer, er ingen trygge. (se også Music royalty collectors accused of copyfraud)
Nedlastere blir også utsatt for utpressing.
... Lawyers and middlemen react to this by saying that since the law (on the copyright monopoly) is not in sync with technological progress, the technology is broken and must be fixed with the help of the law.
... Everybody else — in particular creators, authors, and people under 35 — react to this by saying that since the law is not in sync in technological progress, the law is broken and must be fixed with the help of technology.
✎ "Opphavsmannen har som nevnt enerett til å gjøre sine verk tilgjengelig for allmennheten. Dette gjelder selvfølgelig også på Internett"
Sitatet er fra Kulturdepartementets høringsnotat; "Endringer i åndsverkloven (tiltak mot ulovlig fildeling og andre krenkelser av opphavsrett m.m. på Internett)"
Problemstillingen blir unødig (og villedende) komplisert og vanskelig når det forsøkes definert teknologiske muligheter i fortid, nåtid og fremtid. For så å tilpasse teknologien etter juridiske termer.
Der er ingen prinsipiell forskjell på "streaming" og opp/nedlasting, og det er uvesentlig om der er "kopier". Når en leser noe via nettet, så vil gjerne det en leser bli lastet ned, som en funksjon av hendelsen. Med den følge at materiale kan bli liggende på ens PC og/eller server, uten at en selv har eksplisitt gjort noe for at så skulle skje.
Det eneste en bør forholde seg til er hvorvidt noe stjeles bevisst og/eller for eventuell videre distribusjon eller for salg.
Noe som der allerede er lover mot.
Vi har mange eksempler på hvordan underholdningsindustrien, ved statens hjelp, klarer å ruinere både teknologi, brukervennlighet og kreativitet. (MP3-debatten burde vel også være velkjent). Når digital-TV gir TV-seerne dårligere mulighet til å ta opp programmer for å se etter behov og lagring vanskeliggjøres, så settes utviklingen flere 10-år bakover.
Utgangspunktet for denne høringen er tilsynelatende hvordan rettighetsinnehaver skal kunne identifisere den/de som ulovlig publiserer (eller distribuerer) dennes materiale (elektronisk).
Det fremkommer vagt av høringsnotatet at borgerne skal overvåkes, men ikke hvordan. Og overhode ingen ansvarlige. Industrien skal få overvåke selv, og drive jakten på borgerne.
Altså den som er den sterkeste part i saken skal kunne overvåke og kjøre løpet på sine premisser.
Metoden er katastrofal for rettsvernet, og som nevnt ovenfor har der vært mange problemer både i USA og Europa relatert denne snuskete forretningsmodellen.
I korte trekk så fremkommer det at rettighets-innehaveren har IP-adresse for de(n) som mistenkes for å ha krenket innehaverens rettigheter. Og for å opprette sak mot den som kan ha gjort dette, trenger en identifikasjonen bak dette IP-nummeret.
Det sies altså ikke hvordan en tenker seg at en skal få tak i disse IP-nummer som mistenkes for brudd på åndsverksloven, utover at rettighetsinnehaver kan/bør få lov til å logge disse.
Men i hovedsak blir dette forsøkt dyttet over på nett- og tjeneste-leverandører, ved at de blir forsøkt ansvarliggjort via et overvåkingsregime de "frivillig"(?) må implementere.
✎
"Departementet foreslår en lovhjemmel som gir rettighetshaverne adgang til å registrere og lagre IP- adresser når slik behandling er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav. "
På dette punktet må en spørre departementet hvordan dette er tenkt. Dette er også en grov utvidelse av den høyst kontroversielle DLD-overvåkingen.
Videre mener departementet at rettighetshaver skal få tilgang til identiteten bak IP-adressen uten at sistnevnte får kjennskap til dette:
✎ "Underretning til abonnenten:
Ettersom saken nettopp vil gjelde spørsmålet om den aktuelle abonnentens identitet skal utleveres til rettighetshaveren, vil det være vanskelig å gjøre vedkommende til part i saken. Det ville dessuten innebære stor fare for bevisforspillelse. Departementet finner det imidlertid rimelig at abonnenten i etterkant av avgjørelsen underrettes, hvis resultatet blir at vedkommendes identitet utleveres. Etter at rettighetshaveren har fått kjennskap til abonnentens identitet kan det for eksempel være aktuelt med tiltak for å få undersøkt datautstyr og liknende. Dette taler for at rettighetshaveren bør ha en viss tid til å foreta slik bevissikring før abonnenten underrettes. Samtidig bør underretningen heller ikke skje for lenge etter at utlevering er besluttet."
Hvordan har en tenkt å bryte seg inn hos IP-adressens eier, for å undersøke datautstyr - og for å finne ut hvem i familien, i firmaet eller innenfor rekkevidden av husstandens trådløse nett - kan ha gjorde hva, og i det aktuelle tidspunktet?
Og alt dette uten å informere den mistenkte?
I stedet for å utlede kostbare prosedyrer og groteske rutiner som bryter menneskerettigheter, trenge seg ytterlig mere inn i borgernes privatliv - så kunne en starte med et enkelt system for å forebygge, ved bevisst og målrettet informasjon. Dette systemet kan en senere evaluere - enten for å videreføre ordningen og/eller for å oppnå bedre kunnskapsgrunnlag, osv.
Mulig fremgangsmåte
Rettighetsinnehaver har IP-adresse som har krenket rettighetsinnehaver: (klikk på tegningen under, for større utgave)
Dette er kun en grov skisse over mulig løsning, hvor prosessen er automatisert, og hvor ingen persondata kompromitteres. Prosessen foregår uten inngripende fra personer, utover at rettighetsinnehaver ("klageren") selvsagt må registrere sin klage.
(Klageren bør få en kopi av klagen, men dette er unødige detaljer her.)
Når klagemeldingen mottas av nett-adressens abonnent, er det opp til denne å avgjøre hva som videre skjer.
Mulige årsaker kan eksempelvis være:
-Husstandens mindreårige har gjort dumme ting. Bevisst eller ubevisst.
-En voksen har dummet seg ut....
-IP-abonnenten blir oppmerksom på at husstandens trådløse nett ikke er sikret mot ekstern aksess fra nabolaget...
osv.
Der er mange muligheter, hvorav en rekke av disse kan ordnes i minnelighet.
Det er rimelig å anta en denne automatiserte prosessen kan luke bort kanskje ~80% av tilfellene, samt også har dette en preventiv effekt;
Ved å vedlegge en fotnote med viktige informative opplysninger (for erfaringsbasert læring) er det rimelig å anta at en viss selvjustis kan forventes.
Lignende løsninger fungerer for rapportering av e-post spam (som igjen gir grunnlaget for å bygge "spamfiltre" en kan abonnere på).
Frankrike har en tilsvarende ordning for å stoppe SMS-ads på mobiltelefonen. Denne løsningen fungerer svært tilfredsstillende.
Ofte kan en luke bort en vesentlig stor andel uønskede hendelser ved å implementere enkle, rimelige, automatiserte rutiner, til og med uten at disse kompromitterer personvernet.
Det er en viktig samfunnsoppgave å forebygge ved å spre kunnskap, og på en skånsom måte - ikke minst for de yngste.
Advarsel: Å akkumulere IP-adresser er ingen bevis mot/om en persons handlinger. Adressen kan være kamuflert eller bevisst forfalsket, eller den kan representere veldig mange brukere.
Forslaget fra Kulturdepartementet er også en utglidning av datalagring direktivet (DLD). Til og med "deep packet inspection" diskuteres (snoking i innholdsdata). (Metoden forkastes fordi den er "ressurskrevende"...)
Når rettighetsbeskyttet arbeide publiseres uten samtykke:
Tilsvarende omvendt:
Rettighetsinnehavere bør pålegges at det publiserte materiale er tilstrekkelig merket, også slik at personen kan kontaktes ved potensiell forespørsel om tillatelse til å gjengi/nytte/kjøpe deres arbeide. (Dette er ofte svært komplisert pr. i dag.)
Blokking av nettsteder:
Blokking basert på IP-nummer eller domenenavn (DNS blokking) er en svært kontroversiell løsning.
Dette er advart mot, bl.a. fraInternet's Advisory of the Security and Stability Advisory Committee (SSAC). Fra "DNS Blocking: Benefits versus Harms"
Blocking or altering responses to Domain Name System (DNS) queries is increasingly prominent. Domain name or Internet Protocol (IP) address filtering (or otherwise preventing access to web content as a matter of security policy) may be viewed by some organizations as a natural extension of historical telephony controls that aimed to block people within an organizations from incurring toll charges.
...
All technical approaches to DNS blocking, and even more so attempts to circumvent the blocking, will have some impact on the security and/or stability of users and applications, and on the coherency or universal resolvability of the global namespace.
Kulturdepartementet roter til teknologien:
✎ Som eksempel på legitime tredjepartsinteresser ved forføyninger om blokkering av nettsted med ulovlig innhold, kan nevnes at også tilgangen til lovlig innhold vil kunne rammes av den samme forføyning.
Og om DNS- blokkering:
✎ Kostnadene og byrden som påføres internettilbyderne (etablering av infrastruktur for blokkering samt selve blokkeringen) ved den blokkeringsteknikken som vurderes må da inngå i proporsjonalitetsvurderingen som må foretas før blokkering eventuelt pålegges, se punkt 3.2.5.
Et eksempel på DNS-blokkering/-manipulering er Kripos ́ barnepornofilter (CSAADF - Child Sexual Abuse Anti Distribution Filter). (Noe som er høyst kontroversielt i Europa, teknologisk problematisk, og tjener ikke barna. Men dette er ikke tema her.)
DNS-blokkering/-manipulering er den enkleste og minst ressurskrevende form for teknisk blokkering hvis man ønsker å forhindre tilgang til bestemte tjenere på Internett.
Siden det er vanlig at mange nettsteder deler IP-adresse, vil IP-blokkering gi et langt større problem med ”falske positive” enn DNS-blokkering. I tillegg er IP-adresser mer flyktige enn DNS-adresser slik at det er mer arbeidskrevende å vedlikeholde et filter basert på IP-blokkering.
Et tanke-eksperiment:
En butikk i et shoppingsenter selger bøker, musikk, videoer, spill, aviser, blader, osv. Blant vareutvalget er der også et blad med innhold som er produsert ulovlig i henhold til åndsverkloven.
Departementet for Innovativ-Shopping utleder potensielle løsninger:
- En stenger shoppingsenteret. Tross alt finnes andre shoppingsentre.
- En stenger butikken. Trenger en egentlig dette vareutvalget?
- En ber kundene identifisere seg med biometrisk ID, ved inngangen til shoppingsenteret.
- Kundene som forlater shoppingsenteret må registrere alle sine varer og innhold i vesker.
- En sperrer E18 da veien fører til den aktuelle butikken. Vei-blokking har vist seg effektivt.
Når krenkelsene stadig gjentas og/eller er grove:
En må følge de prosedyrer en gjør ellers i hverdagen.
Massiv overvåking og kontroll av borgerne er ikke en akseptabel løsning. Det eneste en oppnår er massiv politikerforakt og tillitsbrudd mellom borger og stat.
Det er rett og slett ikke mulig å fikse teknologi ved hjelp av loven.
Det er også svært vanskelig å forklare barn om digitale rettigheter.
(Ideelt hadde det vært greit om underholdningsindustrien ble kastet ut av internet, inntil de finner løsninger som kan fungere i det digitale landskapet av kreativitet og innovasjon.)
Men det gjør det ikke enklere at også voksne har forskjellige oppfatninger om hvordan dette bør fungere. Ikke minst er det bekymringsverdig at politiet sammen med underholdningsindustrien har en annen virkelighetsoppfattelse enn jurist og departementet har - om samme tema.
Undersøkelsen er foretatt av Forbrukerrådet, oppdatert i 2010
(klikk på tabellen ovenfor, for større utgave)
(tillatelse til gjengivelsen er innhentet fra Forbrukerrådet)
Likevel er der altså (mere eller mindre) gråsoner som kan være uklare... for mange.
Med tanke på hvem som blir satt til å behandle slike klagesaker, så er dette høyst betenkelig... Derfor er det hensiktsmessig å luke ut de som mere eller mindre uvitende har gjort noe dumt, ikke minst for mindreårige...
Og det er ikke underholdningsindustrien som skal operere som politi på nettet!
"Whereas intellectual property is important to society and must be protected, it should not be placed above individuals' fundamental rights to privacy and data protection [and other rights such as presumption of innocence, effective judicial protection and freedom of expression]. A right balance ... should be ensured."
--European Data Protection Supervisor, Peter Hustinx--
EU law precludes the imposition of an injunction by a national court which requires an internet service provider to install a filtering system with a view to preventing the illegal downloading of files 24.11.2011
