Planene om nye regler for E-tjenesten har fått mye kritikk. NRK har vært i kontakt med flere IT-eksperter og Datatilsynet, som uttrykker bekymring for at forslaget kan innebære at sikre, krypterte meldinger må åpnes i det skjulte for de hemmelige tjenestene.
I forslaget til ny lov for Etterretningstjenesten foreslås det et nytt system som skal kunne overvåke all datatrafikk over norske grenser.
Informasjon om hvem som kommuniserer med hvem, fra hvor og når kommunikasjonen foregår (metadata) skal lagres i en stor database.
Hele systemet har vært omtalt som et digitalt grenseforsvar, som tapper fiberkablene inn og ut av Norge, i utredningene av løsningen.
I det faktiske forslaget til ny lov er dette utvidet til å også kunne gjelde tapping direkte fra tilbydere av tjenester for meldinger og annen kommunikasjon på internett:
Det legges også inn et krav om at kryptering skal fjernes slik at E-tjenesten skal kunne lese informasjonen «uten hinder av linkkryptering eller lignende kryptering som tilbyder kontrollerer».
Disse endringene får flere til å reagere og frykte at formuleringene kan brukes til å bryte krypteringen i slike tjenester.
Krypteringsgründer: – Krav som bare finnes i land som Russland og Egypt
Geir Bækholt har startet opp selskapet Crypho, som lager sikre og krypterte kommunikasjonsløsninger fra Norge.
Dersom man krever at tilbydere av meldingstjenester gir E-tjenesten tilgang til ukryptert informasjon, vil det kunne føre til at selskapet hans må bygge inn såkalte bakdører i løsningen sin.
– Slik jeg forstår dette lovforslaget kan dette i verste fall føre til at vi må ødelegge sikkerheten i systemet for å kunne gi informasjon videre til E-tjenesten, sier Bækholt til NRK.
Appen Crypho er norskutviklet og brukes av både sykehus og politiet. Navnet kommer av gresk og spiller på hemmelig/skjult.
Foto: Ola Hana / NRKDen krypterte kommunikasjonsplattformen deres brukes i dag både av offentlige etater som sykehus og politi, selskaper, privatpersoner og av dissidenter i andre land. Alle sammen er avhengige av å være trygge på sikkerhet og personvern.
De sikreste løsningene har såkalt ende-til-ende-kryptering. Det betyr at ingen kan lese informasjonen i meldingene på veien gjennom nettet, heller ikke de som tilbyr tjenestene. Skal E-tjenesten kunne kreve dette, må det derfor legges inn «bakdører» i dataprogrammene, som man kan hente informasjonen gjennom.
Geir Bækholt i Crypho sier de aldri ville gitt E-tjenesten tilgang via bakdører, og at de da heller ville stengt hele tjenesten eller flyttet til et annet land.
Foto: Øyvind Bye Skille / NRKDette vil ikke bare endre sikkerheten for terrorister eller andre E-tjenesten skal følge med på. Det vil ifølge Bækholt gjøre internett mindre sikkert for alle i hele Norge.
– Sånne krav som dette har vi bare sett gjennomført i land som Russland og Egypt. Det burde ikke være et poeng at Norge er de første i Europa med å rive ned personvernet på denne måten, sier Bækholt.
– Hva gjør dere hvis dere blir pålagt å legge inn ei bakdør?
– Da har vi ikke annet valg enn å stenge. Sånn som våre systemer er bygget opp kan vi ikke gi ut den informasjonen. Om det skal være et lovkrav at vi skal bygge inn sikkerhetshull vil det bryte med vår grunnleggende samvittighet, våre avtaler med kundene og de løftene vi gir sluttbrukerne våre om at de er trygge. Vi må da legge ned driften eller flytte til et annet land, svarer Crypho-gründeren.
Datatilsynet: Kan gi info om alt fra Facebook via finn.no til Grindr
Datatilsynet skriver i sin høringsuttalelse at endringen av hvem som skal gi informasjon til E-tjenesten er en «kraftig utvidelse» av omfanget sammenlignet med Lysne II-utvalgets utredning.
Datatilsynet lister opp eksempler på en rekke tjenester, som inneholder alt fra offentlige etater til kjente meldings- og sjekkeapper:
- Oslo kommune
- Kvam Kraftverk
- Skype
- finn.no
- Rana kommune drifts- og anleggskontoret
- Grindr
Direktør Bjørn Erik Thon i Datatilsynet mener lovteksten og utredningen er så uklar at man i verste fall kan inkludere en rekke tjenester, og kunne kreve bakdører i krypteringen.
Foto: Øyvind Bye Skille / NRKHva som vil bli inkludert under bestemmelsene i lovforslaget er vanskelig å si fordi forslaget til lovparagraf er så diffust, mener Datatilsynet.
– Slik det er formulert er det mye som tyder på at alt fra finn.no til elektrisitetsverket kan måtte gi informasjon til E-tjenesten, sier direktør Bjørn Erik Thon til NRK.
Og spørsmålet om de skal måtte bryte krypteringen med bakdører er også veldig uklar.
– Vi vet ikke sikkert at de vil ha inn bakdører, men fordi det er så uklart kan vi ikke utelukke det. Det er en helt uholdbar situasjon rundt noe som er så inngripende som dette, sier Thon.
Datatilsynets direktør understreker at bakdører som skrur av sikringen kryptering gir på nettet kan være veldig problematisk fordi slike tekniske beskyttelser sikrer mange sentrale deler av samfunnet i dag.
– Kryptering er en av grunnsteinene for å kunne ha fortrolig kommunikasjon. De fleste tjenester har i dag kryptering, og det er helt avgjørende for at vi skal ville bruke tjenester fra for eksempel bank og helse digitalt, sier Thon.
Han mener derfor det er svært viktig at en ny lov om Etterretningstjenesten ikke vedtas med slike uklare formuleringer.
– Når vi ser at til og med Riksadvokaten påpeker uklarhet sender det et ganske sterkt signal om at dette forslaget må man begynne på nytt med, sier Thon om hvordan andre tunge høringsinstanser har påpekt at lovforslaget er for dårlig utformet.
Bransjen kritisk til mulige bakdører
Datatilsynet er ikke den eneste aktøren som har reagert på formuleringene i lovforslaget om å gi E-tjenesten tilgang og skru av kryptering.
I høringsrunden har flere andre tunge aktører påpekt at teksten i lovforslaget kan åpne for krav om bakdører.
Blant annet skriver Abelia, NHO-foreningen for teknologibedrifter, dette:
Abelia påpeker at det for tiden er press om å få til slike bakdører i krypterte løsninger i USA og andre land.
De senere år har blant annet Australia vedtatt en lov med lignende bestemmelser. Storbritannias etterretningsorganisasjon GCHQ har foreslått tekniske løsninger for å få bli med i samtaler som et slags skjult «spøkelse» (ghost) som kan lytte og overvåke uten at de som blir fulgt med på oppdager det.
Men slike forslag har fått mye kritikk.
Slike problemer med bakdører påpekes også av Abelia i deres høringssvar:
– Utfordringen med denne typen løsninger er at det ikke er fysisk mulig å gi Etterretningstjenesten muligheter til å omgå kryptering, uten å samtidig åpne denne bakdøren for andre, skriver Abelia.
Dette bekrefter også Crypho-gründer Geir Bækholt.
– Det er en konsensus blant eksperter innen kryptering at man ikke kan lage bakdører uten å ødelegge sikkerheten for alle andre, sier Bækholt.
Telia kritisk til bakdører
Også en av Norges største teletilbydere, Telia, reagerer. De vil helt sikkert bli omfattet av kravet om å hjelpe E-tjenesten med en slik ny lov, og er kritiske til bakdører som kan gå utover sikkerheten og personvernet til kundene.
– Lysne II-utvalget var tydelige i sin anbefaling på at dette kun skulle gjelde linkkryptering, og Telia er svært kritiske til en tilretteleggingsplikt som går lengre enn dette. Utfordringen med en tilretteleggingsplikt som innebærer bakdørsløsninger vil være at det ikke er mulig å gi Etteretningstjenesten tilgang uten å åpne denne bakdøren for andre. Det er svært viktig for Telia å ivareta våre kunders datasikkerhet og personvern, skriver de i sitt høringssvar.
- Les replikk fra Etterretningstjenesten: – Å rope «ulv-ulv»
