Av Tore Tennøe, direktør, og Robindra Prabhu, prosjektleder, Teknologirådet
Kronikken er også trykt i Dagens Næringsliv 8. juni 2016
Da tidligere CIA-sjef David Petraeus ville skjule forholdet til sin biograf og treningskamerat Paula Broadwell, brukte han et klassisk triks. De to elskerne opprettet en Gmail-konto der de skrev utkast til e-poster som den andre kunne lese. Slik unngikk de overvåkning fra Petraeus’ kolleger i CIA: Dersom ingenting blir sendt, er det vanskelig for politi og etterretning å lytte på linja.
I dag er slike spiontriks i ferd med å bli overflødige. Som en reaksjon på Snowden-avsløringene om masseovervåkning, har store aktører som Google, Apple og WhatsApp begynt å kryptere store deler av sine tjenester. Fra å være forbeholdt de teknisk kyndige, har kryptering nå blitt vanlig praksis for de fleste norske nettbrukere.
For justisminister Anundsen er dette bittersøte nyheter. Kryptering for folk flest er bra for samfunnssikkerheten i Norge. Vi lar smarttelefoner og nettbrett håndtere alt fra banktransaksjoner og helseinformasjon, til personlige bilder, e-poster og meldinger. Da er kryptering helt essensielt for å beskytte oss mot identitetstyveri og spionasje, og dessuten for veksten i den digitale økonomien og tilliten til offentlige tjenester.
Haken for justismyndighetene er at kommunikasjonskontroll blir mye vanskeligere å gjennomføre. Politi og etterretning får rett og slett ikke til å avlytte samtaler, lese e-poster eller spore folk når dataene er kryptert. Fra å være en gylden æra for overvåkning, er vår digitale tidsalder i ferd med å bli litt mer anonym. Det teknologien har gitt, tar den nå tilbake.
Politiets nye sveitserkniv
For å ta igjen tapt overvåkningskapasitet, foreslår Justisdepartementet at politiet skal få bruke nye verktøy. I forslaget til endring av straffeprosessloven som skal behandles i Stortinget 8. juni, ber Regjeringen om mulighet for «dataavlesing». Dette er egentlig ikke ett verktøy, men mer som en sveitserkniv for overvåkning. Poenget er at politi og etterretning får mulighet til å gå inn på folks smarttelefoner og datamaskiner og lese før de sender noe.
Dette kan gjøres ved at politiet bryter seg fysisk inn på maskinen og plasserer avlyttingsverktøy. Men ofte vil det være snakk om å digitalt overføre en liten bit med programvare, en såkalt trojaner, uten at brukeren vet det. I klartekst betyr det at norsk politi må begynne å operere som hackere. Kan det gå bra?
En tysk trojaner
I 2011 mottok Chaos Computer Club i Køln en harddisk fra en anonym avsender. Avsenderen hadde mistanke om at disken var infisert av en tysk polititrojaner. Det tyske hackerkollektivet kunne ikke bare bekrefte mistanken, men også avsløre at trojaneren var usedvanlig dårlig sikret.
Når hacker-klubben først hadde brutt seg inn i én trojaner, fikk de tilgang til alle andre maskiner som var infisert av dataviruset. Og når de først hadde tatt kontroll over trojanerne, kunne de i prinsippet gjøre hva de ville, enten det var å skru på webkamera eller plante bevis på maskinen.
Overvåkningsteknologien overskred med andre ord det tysk lov tillater, og ingen sperrer var bygget inn. Tvert imot hadde tysk politi gjort bevisste forsøk på å skjule alle mulighetene som trojaneren ga. Som en bonus kunne hackerne avsløre at kommunikasjonen fra trojaneren ikke gikk rett til tysk politi, men via servere i USA.
Kontroll i gråsonen
Erfaringene fra Tyskland viser utfordringene når staten skal opptre som hacker. For det første kan politi og sikkerhetsmyndigheter paradoksalt nok gjøre egne og publikums systemer mer sårbare. Kommersielle selskaper som leverer slik teknologi på det internasjonale markedet opererer i beste fall i en gråsone, og kan tjene flere herrer. Norske myndigheter bør derfor basere seg på norskutviklede verktøy, få innsikt i kildekoden og holde datastrømmen innenfor norsk jurisdiksjon.
For det andre stilles det nye krav til tilsyn. I Tyskland var det et hackermiljø og ikke tilsynsmyndighetene som blåste i fløyta da politiet tråkket over streken. Skal norsk politi operere som hackere, må vi ha kontrollorganer som har tilsvarende kompetanse. Det bør også vurderes om eksempelvis EOS-utvalget skal få automatisk tilgang til en logg over alle skjulte operasjoner med trojanere og lignende verktøy.
Regjeringen vil begrense politiets adgang til dataavlesing primært ved å stille krav om at det kun skal gjelde alvorlig kriminalitet og ved å kreve rettslig kjennelse. Men dette er ikke nok. Hvis Stortinget skal godkjenne forslaget, vil også kontroll med teknologien være alfa og omega. Loven bør rett og slett bygges inn i kildekoden.
