Stipendiat i informatikk ved UiT, Bjørn Aslak Juliussen, opplyser oss i to innlegg om problematiske rettslige aspekter og uklarheter knyttet til ny lov for etterretningstjenesten og tilrettelagt innhenting. Statssekretær Tone Skogen svarer Juliussen, men dessverre er ikke statssekretærens svar like opplysende som stipendiatens. La meg forklare hvorfor:
Skogen skriver at «Tilrettelagt innhenting vil etablere en nasjonal evne som gjør at Norge ikke lenger ligger åpent for de mest avanserte truslene i det digitale rom.»
Dette er en politisk formulering som verken rettslig, teknologisk eller faktisk er forankret i virkeligheten. Enkelt forklart er alle datamaskiner som er direkte koblet mot internett, «åpent tilgjengelige», uavhengig av geografisk lokasjon. De fleste datamaskiner og nettverk av betydning for Norge, er derimot ikke direkte eksponert (åpent) mot internett. I tillegg er en rekke ulike sikringstiltak implementert for å forhindre uautorisert tilgang, og nettverkene overvåkes med aktive og passive, målrettede metoder. Jo viktigere datanettverkene er for Norge, desto høyere er kravene til sikring og målrettet, lokal overvåkning. Dette følger blant annet av Sikkerhetsloven. Nasjonal sikkerhetsmyndighet (NSM) drifter varslingssystem for digital infrastruktur (VDI) som overvåker flere hundre av de viktigste IKT-systemene for Norge. Derfor gir ikke formuleringen om «at Norge ikke lenger ligger åpent», noen mening.
I samme setning viser Skogen til at det er «de mest avanserte truslene i det digitale rom» som tilrettelagt innhenting skal beskytte Norge mot. En av de mest avanserte cyberoperasjonene vi har sett i historien, pågikk fra 2019 og frem til i dag. Dette var leverandørkjedeangrepet mot programvareprodusenten Solarwinds. Operasjonen rammet både offentlig- og privat sektor i USA. Det amerikanske justisdepartementet har bekreftet at de ble utsatt for datainnbrudd og opptil ti andre sentrale offentlige institusjoner ble rammet. Dette til tross for at USA har både sikkerhets- og etterretningskapabiliteter i en klasse uten sidestykke. Det er med andre ord ikke gitt at innhentingen vil beskytte Norge mot de mest avanserte truslene. I etterkant har den amerikanske etterretningstjenesten NSA gått offentlig ut med en anbefaling om å implementere såkalt Zero-Trust beskyttelse. Dette er lokal sikring av IKT-systemer som ikke har negative eller utilsiktede sideeffekter for samfunnet.
Videre skriver Skogen at «truslene er vedvarende og økende, noe blant annet cyberoperasjonene mot Stortinget det siste året har vist.»
At truslene er vedvarende og økende er vi enige i. Stortinget har blitt utsatt for to datainnbrudd i nyere tid. Det første fant sted høsten 2020, og deretter våren 2021. Etter det første datainnbruddet viste PSTs etterforskning at Stortinget manglet grunnleggende sikkerhetstiltak for pålogging til våre fremste folkevalgtes e-post servere. Etter det andre datainnbruddet uttalte Stortinget at såkalte «nulldagssårbarheter» tilknyttet e-post serveren Microsoft Exchange, var blitt utnyttet. Det er likevel mulig å beskytte seg mot slike scenarioer, ved å implementere en rekke ulike sikringstiltak i Stortingets egne IKT-systemer. Det faktum at Stortinget avdekket datainnbruddene tyder imidlertid på at den målrettede overvåkningen av Stortingets IKT-systemer faktisk fungerte.
Det er flere momenter i statssekretærens innlegg som kunne vært adressert her, men jeg tror poenget allerede fremgår. Skal vi som borgere kunne ta stilling til forholdsmessigheten av å etablere en permanent statlig infrastruktur for kontinuerlig masseinnhenting og lagring av data, og om nytteverdien veier opp for de negative sidene, må vi forholde oss til dokumenterbare påstander. Her har jeg kun tatt utgangspunkt i statssekretærens egne, udokumenterte påstander, og utfordret dem med offentlig tilgjengelig informasjon. Det er ikke slik at enten så innfører man dette, eller så har vi ingen sikkerhet i Norge. Det er en falsk dikotomi. Innhentingen må vurderes i lys av de øvrige tiltakene som allerede eksisterer.
Dersom tilrettelagt innhenting likevel blir implementert, er spørsmålet hvordan lovverket utformes slik at det skaper størst mulig forutberegnelighet for norske borgere og institusjoner. Dette er ikke bare viktig for nordmenn som vil få en ukjent størrelse av sine data lagret i lengre tid fordi det er teknisk umulig å filtrere ut alle «norske data», men også for domstolen som skal ta stilling til Etterretningstjenestens begjæringer om søk i dataene og for EOS-utvalget som skal kontrollere virkemiddelbruken. Ikke minst er dette viktig for Etterretningstjenesten selv, som har alt å tjene på at de opererer innenfor tydelig definere rettslige rammer gitt av folket de forvalter makten på vegne av. Spesielt er dette viktig ettersom offentligheten vil ha med minimalt innsyn i den hemmeligholdte praktiseringen.
Juliussen viser i sitt innlegg til at EU-domstolen differensierer ulike former for metadata (f.eks. trafikk- og lokasjonsdata, brukeridentiteter samt IP-adresser), noe den vedtatte etterretningstjenesteloven ikke gjør. Et annet sentralt moment som EU-domstolen vektlegger, er at innhentingen kun kan utføres når staten står overfor en «seriøs trussel mot nasjonal sikkerhet» som er «ekte og tilstede eller overskuende» og som er «tidsbegrenset for en periode som er strengt nødvendig men som kan utvides dersom trusselen vedvarer». Dette har heller ikke dagens lovverk innarbeidet. I regjeringens analyse av EU-domstolens og EMDs avgjørelser skriver arbeidsgruppen at «det er grunn til å vurdere dette nærmere i forbindelse med en videre utredning av beslutningsprosedyren i § 7-3.» Dette er en klok vurdering og bør konkretiseres i tydelige rettslige vilkår som inngår i en revidert etterretningstjenestelov.
Det burde ikke være vanskelig for statssekretæren å finne bedre argumenter dersom nytteverdien er så åpenbar. Etterretningstjenesten vil nok kunne opplyse både Skogen og oss andre om nyttige bruksområder. Tjenesten har alt å vinne på at vi har tillit til prosessen.