Kommentar
Ny etterretningslov trenger en mer grundig debatt enn vi har sett til nå
KOMMENTAR: Når ny etterretningslov nå skal vedtas, er det viktig å sikre en god og solid debatt om hva slags rammer e-tjenestene kan operere innenfor. Hvis masseovervåking skal være svaret, er vi nødt til å stille kritiske spørsmål. Og avklare forholdet til EOS-utvalget som skal overvåke overvåkerne.
(Illustrasjonsfoto)
Christiaan Colen CC BY-SA 2.0
Leif.kirknes@lomedia.no
I disse dager pågår det en stille debatt om ny etterretningstjenestelov, etter at et lovforslag ble lagt fram. Det er uten tvil på tide med en ny lov for å avløse dagens lov fra 1998. Men det er ikke dermed sagt at man blindt bør si ja til absolutt alt som står på listen. Det går an å bestille pepperoni-pizza uten ananas.
Det mest omdiskuterte i lovforslaget er at Etterretningstjenesten skal kunne innhente elektronisk kommunikasjon som krysser den norske grensen. Det er lite kommunikasjon på internett som ikke krysser landegrensene når det kommuniseres i et globalt nettverk med servere som står plassert verden rundt. Det er med andre ord ikke til å unngå at informasjon om også norske borgere vil bli lagret i 18 måneder.
Det er snakk om metadata, altså informasjon som navn, tid, plassering og IP-adresse. Det er lagt opp til at Etterretningstjenesten må innhente tillatelse fra Oslo tingrett, og av dem kan de også søke om rett til sanntidsovervåking. EOS-utvalget skal gis muligheten til å be tingretten om å stanse en pågående innhenting.
Gitt at man aksepterer premisset om at masseovervåking er greit å drive med for en fri og jovial rettsstat, høres dette i utgangspunktet ryddig ut.
Men så er det bare det at EOS-utvalget i sin årsrapport for 2019 nettopp påpeker at Etterretningstjenesten har oppført seg rampete og unnlatt å gi EOS-utvalget informasjon de burde hatt, til tross for at det er meningen at dette utvalget skal informeres om hva som foregår slik at de kan vurdere om det er i henhold til loven.
For ikke å nevne PST, som urettmessig har sneket seg inn i et register eid av et privat selskap uten å ha lov til det.
EOS-utvalget skal kontrollere om de norske e-tjenestene oppfører seg ordentlig. Det er ikke lenge siden årsrapporten for 2019 kom. Der var det flere som fikk på pukkelen.
Fra før var det allerede gjort kjent at PST har snik-innlogget seg på bookingsystemet til Norwegian. EOS-utvalget rettet skarp kritikk via en ekstraordinær pressemelding mot slutten av fjoråret, der de mente PSTs innhenting av flypassasjerdata var ulovlig.
I årsrapporten som kom i 31. mars, gikk det også fram at Etterretningstjenesten i Forsvaret har unnlat å informere EOS-utvalget om et verktøy de har hatt i noen år, som sammenstiller informasjon om kontraterrorisme, inkludert om norske fremmedkrigere.
«Vi kan ikke føre en reell kontroll med tjenestens behandling av opplysninger om nordmenn om vi ikke kjenner til alle systemer, registre og verktøy der slike opplysninger behandles,» skrev EOS-utvalget i årsrapporten.
Mens PST er Politiets sikkerhetstjeneste som sammen med blant annet Nasjonal sikkerhetsmyndighet skal beskytte oss fra innsiden av landet, skal Etterretningstjenesten beskytte oss mot trusler utenfra. Etterretningstjenesten har lovforbud mot å overvåke eller på annen måte fordekt innhente informasjon om folk som oppholder seg i Norge.
EOS-utvalget er en gjeng som er valgt av Stortinget for å sjekke legaliteten i det e-tjenestene driver med. Medlemmene har sikkerhetsklarering og autorisasjon for høyeste nivå både nasjonalt og etter traktat Norge er tilsluttet, det vil si «STRENGT HEMMELIG» og «COSMIC TOP SECERET». Det er altså ikke hvem som helst som sitter i dette utvalget.
De som sitter der er folk som holder tett om ting de får innsyn i og ikke plaprer på puben om statshemmeligheter. Jobben deres er å overvåke overvåkerne. De skal, samtidig som statshemmeligheter og taushetsplikter ivaretas, si fra når våre hysj-tjenester går for langt og opererer utenfor hva loven tillater.
I så måte er det lett å bli skeptisk når Etterretningstjenesten allerede holder ting skjult for EOS-utvalget. Etterretningstjenesten gjør en viktig jobb for å holde landet sikkert, men det finnes likevel grenser for hva vi bør tillate. Hvis det ikke settes noen klare grenser og i det minste bygges et snev av tillit, er det ikke godt å si hva som er konsekvensene ti år frem i tid av av hva vi velger å tillate med ny lov nå.
I det minste må EOS sikres fullt innsyn i hva som skjer. Og loven må få en klinkende klar instruks der det ikke går an å sluntre seg unna intensjonen, verken ved «alternativ lovtolkning» eller ved å ikke holde EOS-utvalget orientert om hva som skjer.
Jeg skal ikke gå langt inn i historien om amerikaneren Edward Snowden, men bare kort nevne navnet på den tidligere etterretnings-dataeksperten som jobbet for CIA og NSA og så fikk dårlig samvittighet for deres bruk av ulovlige og meget omfattende metoder, og varslet. Jeg ønsker bare å minne om hva slags rabagaster amerikansk etterretningstjenester etterlater inntrykk av å være, med lemfeldig holdning til eget lovverk og tvilsomme etiske kompass.
Våre allierte der, altså. Med alt det i mente, og da altså særlig EOS-årsrapporten for 2019 friskt i minnet, er jeg skeptisk til denne delen av lovforslaget.
En del av argumentasjonen for et slikt system dessuten er ganske tynn, eller i alle fall uklar. Jeg imøteser gjerne en forklaring på hvordan lagring av metadata om kommunikasjon som har skjedd skal hjelpe oss som nasjon mot spionasje og digitale angrep – som har en tendens til å forvolde sin skade i sanntid.
Det er verdt å minne om at Nasjonal sikkerhetsmyndighet fra før har sitt VDI-system (Varslingssystem for digital infrastruktur) ute hos samfunnskritiske norske virksomheter for å oppdage angrep mens de skjer, at mange bransjer har sine egne CERT-er (Computer Emergency Reponse Team), og at systemlogger som alle servere genererer er til god hjelp ved etterforskning av angrep som har skjedd.
Det finnes altså andre veier til Rom, og mange stier er allerede gått opp, hvis det er det digitale domenet den nye loven er ment å beskytte.
For øvrig sitter den største digitale sårbarheten i Norge etter min oppfatning stadig mellom øra. Sosial manipulasjon av mennesker er påfallende enkelt.
Enten det lokkes med gratis Iphone, Bitcoins eller billig bensin og noen derfor klikker på vedlegg, at noen «fra IT-avdelingen» ringer og sier de vil ha passordet ditt, mer sofistikerte og skreddersydde angrep med kapring av epost-utvekslinger, eller til og med ved å skape kaos og splid i samfunnet generelt med bruk av falske informasjonskampanjer, og dermed potensielt påvirke politikk og valg eller skape distraksjoner for å muliggjøre annen type ugagn.
I alle disse tilfellene er det mennesker og dertil årvåkenhet og kritisk sans som er hovednøkkelen til å stoppe angrep, ikke en søkbar logg over 18 måneder med metadata over all nettrafikk som har krysset norskegrensa.
At registeret kan ha en verdi i etterretningsoperasjoner knyttet til mer fysiske angrep, som terroraksjoner, kan hende i de tilfeller der terroristene er digitale kløner. Men da synes jeg debatten bør dreie seg om det, og ikke smykke seg med trend-ord om digital sikkerhet. Med mindre altså noen kan forklare meg hvorledes et slikt register skal hindre digital spionasje og sabotasje.
Jeg har i utgangspunktet ikke noe imot at det norske forsvaret følger med på hva skotske Swindel Mc Supervillain bedriver, men systemet som er skissert vil i sin natur fange inn data om alle norske borgere som bruker Facebook, Google, Microsoft, Amazon og på andre måter kommuniserer med servere utenfor landet eller via kommunikasjonslinjer som tar en snarvei gjennom Sverige.
Jeg synes det er et nederlag for Norge å gå bort fra ideen om «uskyldig til det motsatte er bevist». Etter min mening er det bedre for oss alle om etjenesten spaner på folk de har fattet konkrete mistanker om, framfor å fortløpende sluke massive mengder data mens det muntert nynnes på Øystein Sundes «Kjekt å ha».
Hva har du å skjule, slenger en del folk ut som et «argument». Som privatperson har jeg «intet å skjule», men liker likevel å lukke og låse dodøra før jeg går på dass og har solid passordbeskyttelse på for eksempel Gmail og Facebook. Jeg liker ikke folk som kontinuerlig står og snoker i postkassa mi, selv om «de bare leser utenpå konvolutten». Det hadde ikke vært noe mindre ubehagelig om personen hadde på seg militærdrakt, spion-frakk, James Bond-dress eller datanerdete bekledning.
Jobbmessig som journalist er enhver form for loggføring av denne typen et potensielt kjempeproblem for kildevernet, med mindre man kommuniserer anonymt og skjult via for eksempel krypterte tjenester i «det mørke nettet» (som ironisk nok trolig er det stedet på nettet der de aller fleste store skurkene, pedofile og terroristene med digital kompetanse og et snev av IQ befinner seg). Det finnes andre yrkesgrupper der det også er problematisk med logging av kontaktnett og vaner.
Nå er det i utgangspunktet ikke meg og deg Etterretningstjenesten skal sniktitte på, men Mc Supervillain. Men mellom en Etterretningstjeneste som holder ting skjult for EOS-utvalget og et PST som ifølge samme utvalg begår ulovligheter ved å sniktitter på andres databaser er jeg altså ekstra skeptisk til at alle parter skal klare å holde fingra fra fatet når godtebollen først står der på bordet.
For alt vi vet kan det hende Etterretningstjenesten allerede har forsynt seg og aktivt utfører slik overvåking. Det er vanskelig å vite med alt hemmelighetskremmeriet. Hvordan vil for øvrig Etterretningstjenesten svare hvis våre store allierte knakker på døra og ber om tilgang til registeret? Det finnes mange spørsmål verdt å drøfte rundt den foreslåtte lovoppdateringen.
I flere år har det blitt gjort forsøk på å innføre slik overvåking. Datalagringsdirektivet fra EU var den store «kampen» for ti års tid siden, en EU-lov med bakgrunn i 9/11-angrepet som ble forsøkt implementert i Norge.
Den var det politiet som skulle ha nytte av, og i siste utkast etter lange kamper og debatter gikk Stortinget med knepent flertall inn for seks måneders lagring av metadata og lokaliseringsdata, både på nett og telefonisk. Det måtte være en strafferamme på fem år for å benytte dataene.
Men systemet rakk aldri å bli tatt i bruk før EU-domstolen i april 2014 erklærte direktivet ugyldig fordi det «innebærer et meget omfattende og særlig alvorlig inngrep i den grunnleggende rett for respekt til privatlivet og beskyttelse av personopplysninger uten at dette inngrep er begrenset til det sterkt nødvendige».
I 2016 anbefalte Lysne II-utvalget etablering av et digitalt grenseforsvar. Det ble påbegynt lovrevisjon i 2017, et forslag ble lagt fram i 2018, da under kallenavnet «digitalt grenseforsvar». Etter en solid høringsrunde med mange kritiske tilbakemeldinger i 2019, står vi nå igjen med lovforslaget som skal opp i Stortinget, som nå kalles «tilrettelagt uthenting».
Det er synd for debatten at mange av motstemmene fra «gamle dager» tilsynelatende har forsvunnet siden den store ståheien som var rundt Datalagringsdirektivet. Det var til og med underskriftsaksjoner og egne demonstrasjoner mot Datalagringsdirektivet.
På en av dem argumenterte Heidi Nordby Lunde (H) med at massiv kameraovervåking ikke har gjort Jernbanetorget fritt for kriminalitet. Hun satt ikke på Stortinget da. Ap og Høyre stemte for. Men det var splid i Høyre, og politikerne der fikk lov til å stemme etter egen overbevisning. Stortingsdebatten varte i 9,5 time, med 105 innlegg. Fem av Høyres politikere stemte mot eget parti.
Det var altså ingen tvil om at det var en velgjennomarbeidet beslutning som til slutt ble fattet.
En slik reflektert og grundig diskusjon har jeg ikke sett om ny etterretningslov, som bærer visse likhetstrekk med Datalagringsdirektivet. Venstre, Sv og Rødt er denne gangen imot. Ap Har ikke flagget sitt syn. Utover det har det ikke forekommet mye kjekling mellom politikerne.
Det har tilsynelatende heller ikke vært noen særlig debatt om den nye loven blant «folk flest».
Det er mulig folk har blitt lei å lese seg opp på stadig nye lovforslag. Mulig debattantene har blitt gamle. Eller at korona og iskant er fremst på dagsordenen nå, og diskusjonen om hva vi mener om masseovervåking dermed uteblir. Risikoen er at man kan ende opp med å få en ikke godt nok gjennomtenkt og gjennomarbeidet lov, som kan bite befolkningen bak senere.
Det pågår for tiden to saker i Den Europeiske Menneskerettsdomstolen mot England og Sverige om deres variant av det Norge nå vil innføre. Det kan med andre ord hende vi havner i samme situasjon som med datalagringsdirektivet igjen.
Datatilsynet sier i en uttalelse at de nå vil vurdere om det nye forslaget er klart nok og gir nødvendige rammer for kontroll. Jeg gleder meg i alle fall til å lese om det.
Husk uansett at den beste IT-sikkerheten for nasjonen Norge er kritisk sans hos hver og én av oss i det digitale rom. Og at selv om ananas er ganske standard på pepperoni-pizza, går det an å pelle av akkurat den uten at man dermed er imot pepperoni-pizza.
