3,95 millioner fødselsnummer i min hånd

Her holder jeg 3.95 millioner fødselsnummer i min hånd.

CD-platen ble sendt til norske redaksjoner fra Skatteetaten. Det skjedde i forbindelse med oppdatering av skattelistene som mediene legger ut hvert år.

Ved en feiltagelse inkluderte denne CD-platen også fødselsnummer til samtlige skatteregistrerte nordmenn, og det ble ikke oppdaget før flere måneder etter at tabben var et faktum. Da ba Skatteetaten pent om at redaksjonene leverte den tilbake.

Det gjorde selvsagt min arbeidsgiver Aller Internett (digi.no), og IT-sjefen var også så bevisst på problematikken at han også sørget for å få fjernet opplysningene fra backup-tapene i tillegg til selve databasen på serverne. Hvorvidt de andre gjorde det vet jeg ikke, men egen erfaring fra IT-bransjen tilsier at det neppe ble gjort hos alle.

Poenget med å dra frem denne historien nå, er å poengtere at det aldri er et spørsmål OM personsensitive data kommer på avveie. Det er kun et spørsmål om NÅR.

Det vil også skje med loggene fra Datalagringsdirektivet hvis det blir implementert. Det er så sikkert at jeg vedder 1.000 kr på at innen 5 år etter en eventuell implementering, så har loggene til en av våre toppolitikere lekket. Hvis de er heldige, er det bare til pressen…

PS! Jeg kan finne ut mer om deg ved hjelp av din IP-adresse enn hva jeg kan avsløre med fødselsnummeret ditt.

Oppdatert:

Se forøvrig denne episoden av digi-TV der jeg og journalist Marius Jørgenrud tar for oss oss hvordan fødselsnummeret er bygd opp og problemene med det, samt skandale CD-en: Er fødselsnummeret dødt?

Mine siste 100 artikler

Utviklingen av Gravemaskinen går sin gang, og vi har lagt ut ganske mange eksempler på Sitatsjekk.no.

For de som ikke har fått det med seg, er Gravemaskinen et redaksjonelt nettbasert IT-system som skal gi mer og bedre journalistikk. Systemet utvikles sammen med Atbrox AS i Trondheim, og alt ligger på servere i nettskyen til Amazon.

Systemet skal bidra til bedre journalistikk gjennom tre hovedområder:

  • Redaksjonelt verktøy for gravejournalistikk
  • Journalistisk analyseverktøy
  • Plattform for redaksjonelle tjenester

Som eksempel på analyse, har jeg gjort et søk for å hente ut informasjon om de siste 100 artiklene jeg har skrevet for Kampanje, Teknisk Ukeblad og digi.no. De er lagt ut i et regneark på Google Spreadsheets, og slik ser det ut i Gravemaskinen:

Listen inkluderer ikke alle blogginnlegg eller alt jeg har skrevet på diverse nettforum.

Tanken med å legge resultatene ut i et regneark, er at det gjør det lettere å trekke ut interessant statistikk om f.eks. gjennomsnittslengde o.l.

Who watches the watchmen?

Tirsdag kveld la jeg ut følgende Twitter-melding:

Spørsmålet er en henvisning til filmen og tegneserien Watchmen, der maskerte “superhelter” som bekjemper kriminalitet har tippet over og gått berserk (som igjen har lånt spørsmålet fra grekerne).

Den andre setningen er en henvisning til PST’s Twitter-konto med en bemerkning om at det ikke er så lurt å sende e-post med personsensitive opplysninger til politiets overvåkningstjeneste. Den ble fulgt opp med en egen dedikert Twitter-melding til PSTNorge onsdag, slik at de skulle få tid til å rette sikkerhetstabben sin.

Sammenhengen ble nok ikke tydelig før på torsdag, da jeg fikk følgende analyse publisert i min Kampanje-spalte:

I analysen tar jeg for meg hvordan PST håndterer e-post på en særdeles kritikkverdig måte. Kortversjonen er at inngående e-post mellomlagres ukryptert på servere i USA hvis PST’s primære (og eneste) e-postserver går ned.

Bakgrunnen for min analyse er PST’s skremselspropaganda sist mandag, der de med stor overdrivelse avslører sin manglende kunnskap om Datalagringsdirektivet. Det ble toppsak rundt om i medie-Norge, og det var propagandaen jeg våknet til på radioen.

PST leverte også en høringsuttalelse som dokumenterer deres manglende kunnskaper om både internett og Datalagringsdirektivet. Som jeg skriver i min egen høringsuttalelse, er jeg tilhenger av å gi politiet og tilsvarende etater verktøyene de trenger, men jeg er en motstander av “lat som om du gjør noe”-tiltak.

Det er Datalagringsdirektivet et av mange skremmende eksempler på, men det er også et direktiv som vil ødelegge ditt og mitt personvern. Jeg har holdt igjen på mine skriverier i forhold til hvordan, men jeg kan si her og nå at ALLE har noe å frykte hvis det innføres. Jeg vet hvordan, men jeg ønsker verken å fortelle hvordan – eller noensinne demonstrere det.

Vi trenger PST, og vi trenger et kompetent politi på nettet. Deres skremselspropaganda om Datalagringsdirektivet avslører dessverre at vi ikke har det politiet Norge trenger. Vi har isteden et overvåkningspoliti som bare later som om de vet hva de driver med. Det gjør meg trist, men også engasjert.

So… who watches the watchmen?

I do.

You do.

We all do.

That’s democracy in action.

Høringsuttalelse om Datalagringsdirektivet

Jeg har levert en egen høringsuttalelse om Datalagringsdirektivet til Samferdselsdepartementet.

Den er tilgjengelig som PDF på Samferdselsdepartementet websider, men jeg legger ut teksten her i sin helhet:

Høringsuttalelse om datalagringsdirektivet
Undertegnede viser til høringsbrev av 8. januar 2010, og vil med dette belyse noen viktige momenter i forhold til eventuell implementering av Datalagringsdirektivet i norsk lov.
Som far er jeg opptatt av at politiet klarer å avsløre pedofile nettverk, samt oppklare annen alvorlig kriminalitet som truer min egen og mine barns trygghet. Som far er jeg likevel motstander av implementering av Datalagringsdirektivet, fordi jeg med min IT-bakgrunn og min journalistiske erfaring fra kriminalitetsbekjempelse på nettet, vet at Datalagringsdirektivet ikke vil hjelpe politiet i deres arbeid. Som far vil jeg ha et sterkt politi med de nødvendige verktøyene, men jeg vil ikke ha «lat som om du gjør noe»-tiltak.
I dette høringsnotatet vil jeg fokusere på hvorfor Datalagringsdirektivet ikke vil bli det etterforskningsverktøyet politiet tror det blir, samt forklare hvordan det truer kildevernet og personvernet.
Datalagringsdirektivet virker ikke
Det er korrekt at logger fra data- og teletrafikk er et nyttig verktøy i etterforskningsøyemed, men det er nødvendig å påpeke på to grunnleggende forutsetninger:
For det første virker slike logger kun for de kriminelle handlingene der vedkommende ikke tenkte over problemstillingen. Det inkluderer som regel kun mindre alvorlig kriminalitet, samt kriminalitet som ikke var planlagt. Alvorlig overlagte kriminelle handlinger kjennestegnes ved at det tas hensyn til alle kjente utfordringer, og et implementert Datalagringsdirektiv vil være godt kjent for slike kriminelle miljøer.
For det andre er både terrorister og pedofile notorisk paranoide. Undertegnede har vært på kurs i avhørsteknikk med Kripos, og fått begreftet inntrykket fra mediesakene av at pedofile ikke en gang innrømmer for seg selv at de er pedofile. Tilsvarende vil også potensielle terrorister gjøre alt de kan av forberedende mottrekk for ikke å tiltrekke seg oppmerksomhet.
Begge disse målgruppene vil ta nøvendige grep for ikke å bli fanget opp av Datalagringsdirektivets logger, og det samme vil andre avanserte organiserte kriminelle miljøer.
Datalagringsdirektivet truer kildevernet
Selv om politiet ikke med viten og vilje ønsker å etterforske en av pressens kilder, er det en sannsynlig konsekvens dersom en person mistenkt for kriminell handling etterforskes ved hjelp av datalogger som er lagret i henhold til Datalagringsdirektivet.
F.eks. er det offentlig kjent at en finansmann som nylig ble etterforsket har vært kilde i en NRK-reportasje. Dersom vedkommende har vært kilden til flere større avsløringer, ville en eventuell etterforskning med utgangspunkt i Datalagringsdirektivets pålagte logger raskt avslørt når vedkommende eventuelt befant seg i andre redaksjonslokaler.
Denne informasjonen kan enkelt kobles opp mot tidligere oppslag, og selv om ikke politiet aktivt er på kildejakt, vil kilden i slike tilfeller avsløres under den etterforskningen.
Datalagringsdirektivet truer nettetterforskningen
Datakrimavdelingen i Kripos har etter eget utsagn kun kapasitet til å etterforske 5 sakskomplekser av større omfang i året.
Dette har blant annet vært til stor frustrasjon for opphavseiere som har måtte ty til privat etterforskning i et forsøk på å komme problemet til livs.
Datalagringsdirektivet vil gjøre jobben vanskeligere og mer komplisert for politiet, ettersom en eventuell implementering vil gjøre mottiltak mer utbredt blant ulovlige fildelere og andre kriminelle miljøer. Disse mottiltakene inkluderer blant annet kryptering og proxy-tjenester som skjuler brukerens IP-adresse.
Dette vil føre til et våpenkappløp et underbemannet politi ikke vil klare å henge med på, og det er dessverre lite som tyder på at politiet vil få verken mer eller bedre nettetterforskningskapasitet i årene fremover.
Datalagringsdirektivet kan ikke garantere for dataene
Undertegnede har som journalist jobbet mye med en sak der advokatfirmaet Simonsen på vegne av filmbransjen har krevd utlevering av personinformasjon for en IP-adresse mistenkt for ulovlig opplasting av filmen «Max Manus» til et piratnettverk.
Post- og teletilsynet, som er ansvarlig for å sikre personvernet, opphevet taushetsplikten. Dermed endte saken i rettsapparatet. Hva som er utfallet der er ukjent, ettersom to rettsinstanser har hemmeligholdt kjennelsen. Dette viser at det ikke vil være tilfredsstillende verken med oppsyn av Teletilsynet eller av domstolene.
Det er også kjent blant alle som jobber med IT-sikkerhet, at IP-adressen er en av de mest kritiske nøkkelopplysningene hackere bruker for å bryte seg inn i nettverk. Det er derfor stor grunn til å tro at slike logger vil bli svært attraktive på et kriminelt marked.
Datalagringsdirektivet truer personvernet
Selv om Datalagringsdirektivet ikke skal lagre innholdet i kommunikasjonen på internett, er det mye som kan avsløres ved hjelp av IP-adresser.
Ved å sjekke hvilke sider som besøkes, kan man finne ut svært mye om en person. Hvis f.eks. en person som jevnlig besøker nettsteder med homoerotisk innhold, religiøse debattforum eller dedikerte nettsamfunn for psykiske lidelser, vil det gi mye informasjon om vedkommende som er av svært privat karakter.
Datalagringsdirektivet gjør alle kriminelle
Til slutt vil jeg komme med en bemerkning som jeg i denne sammenheng synes er veldig viktig: Den dagen staten behandler alle som kriminelle, er dagen alle blir det.
Med dette mener jeg at dersom Datalagringsdirektivet implementeres, vil politiet miste sin naturlige og nødvendige autoritet blant store deler av befolkningen. Undertegnede anser seg selv som en lovlydig borger som ønsker et sterkt velfungerende politi, slik at vi unngår borgervern og aksept for kriminelle grupperinger. Dersom Datalagringsdirektivet implementeres, vil store deler av samfunnet stille seg svært skeptisk til politiets handlinger, og undertegnede frykter for samfunnskonsekvensene ved en slik utvikling.
Mvh
Anders Brenna
Medieutvikler

Jeg valgte bevisst å skrive så kort som mulig, og uten å forklare i detalj alle eksemplene. Det har kommet inn ekstremt mange høringsuttalelser, og det er grunn til å tro at personlige innspill ikke vektlegges i samme grad som uttalelser fra tyngre organisasjoner. For meg var det derfor viktigst å gi en forståelig forklaring av problemstillingene som forhåpentligvis huskes.

Selv har jeg lest ganske mange uttalelser allerede, både fra de som er for og i mot, og jeg satser på å ihvertfall skumme gjennom alle slik at jeg har et godt overblikk.

Dessuten skal disse indekseres opp av Gravemaskinen etterhvert, slik at innspillene blir strukturert og tilgjengeliggjort i enklere form for ettertiden. Jeg kan si allerede her og nå, at mange av de usaklige påstandene vil bli ettergått.

Her er en direktelenke til alle høringsuttalelsene:

Et søk på Datalagringsdirektivet i Gravemaskinen (intern beta) viser dessverre at pressen i alt for liten grad har skrevet om det de siste dagene:

Systemet er som nevnt ikke helt ferdig, og jeg ser at det er noen artikler som ikke har blitt fanget opp. Det er flere, men det er ikke mange flere, og det indikerer at pressen fortsatt har et problem med å forstå alvoret.