Dansk politi dumper: Nabolande er langt bedre til at få oplysninger ud af it-giganter

Illustration: MI Grafik
Tyskland henter oplysninger fra Google otte gange så ofte som de danske myndigheder, viser Ingeniørens kortlægning. Dansk politi sakker bagud, mener it-eksperter.
16

Myndighederne i vores nabolande er langt bedre end de danske til at hente oplysninger fra de globale it-giganter og anvende dem i deres efterforskning af kriminalitet.

En kortlægning, som Ingeniøren har udført på baggrund af de såkaldte transparency-rapporter fra Microsoft, Face­book og Google, viser, at Tyskland og Frankrig benytter it-giganterne mellem fem og ti gange oftere end de danske. Det er vel at mærke justeret for indbyggertal.

Eksempelvis beder de tyske myndigheder Google om at udlevere data om, hvem mistænkte har kommunikeret med, eller hvad de har skrevet, 142 gange årligt for hver million indbyggere. De danske myndigheder gør det kun 19 gange årligt pr. mio. indbyggere.

Illustration: MI Grafik

Også vores nordiske naboer er lidt flinkere end dansk politi og efterretningstjeneste til at få oplysninger fra it-giganterne. Sverige bruger således fem gange så ofte Facebook-data som de danske myndigheder.

Ingeniørens kortlægning viser desuden, at dansk politi i langt de fleste tilfælde foretrækker at gå samme vej, som de har gjort i årtier: gennem teleselskaberne. Telenor er det selskab, som offentliggør de transparency-data, som bedst kan sammenlignes med it-giganternes. Med udgangspunkt i de data kan det estimeres, at politiet beder om traditionelle teledata 48 gange så ofte, som de spørger om data fra it-giganterne.

Baggrund for sessionslogning

Det var ellers netop danskernes ændrede vaner væk fra traditio­nel telefoni og over mod apps som Face­book Messenger, Skype og Snapchat, som fik daværende justitsminister Søren Pind (V) til sidste år at foreslå at genindføre den stærkt kontroversielle sessionslogning. Logningen blev senere taget af bordet igen i den form, som forslaget dengang havde, men også Pinds efterfølger, Søren Pape Poulsen (K), har argumenteret for, at politiet skal have effektive redskaber til efterforskningen.

Imidlertid viser Ingeniørens kortlægning ifølge it-sikkerheds­efterforsker Peter Kruse fra firmaet CSIS, at dansk politi selv sidder fast i gammeldags metoder.

»Der er stor forskel på, hvordan politiet opererer i forskellige lande, og på de tekniske kompetencer. Vi har bedre erfaringer med at gå til politiinstanser i andre lande end til de danske og til Europol,« siger han.

Illustration: MI Grafik

Peter Kruse er ærgerlig over, at politiet i stedet forsøger at få genindført sessionslogning, som giver en omfattende overvågning og lagring af danskernes færden på internettet, men som efter hans erfaring i praksis er vanskeligt at benytte, netop pga. de store datamængder.

»Når jeg arbejder med efterforskning, er der ikke noget, jeg hellere vil end at få oplysninger fra en leverandør. Det er de mest brugbare data, som kan løfte bevisbyrden i en retssag,« siger han.

Det er i teorien muligt at se, hvem der har talt sammen på f.eks. Skype, hvis begge er omfattet af sessionslogning, men det er ifølge eksperterne meget lettere at spørge Microsoft, der ejer tjenesten.

Let adgang til metadata

Formanden for IT-Politisk Forening, Jesper Lund, påpeger, at politiet selv har talt om, at de kriminelle løber fra dem på nettet. Han påpeger, at it-tjenester, der er gratis, og hvor brugerne betaler med oplysninger om sig selv, af kommercielle årsager opsamler mange data. De er også tilgængelige for myndighederne, hvis de beder om det på det rette grundlag.

»Det undrer mig, at politiet ikke er opmærksom på de muligheder,« siger Jesper Lund, der er stærk fortaler for mere privacy og mindre logning på nettet.

Han påpeger, at der efter amerikansk lovgivning – som en del tjenester retter sig efter – er relativt let adgang til metadata om, hvem der har kommunikeret med hvem.

Ifølge Jesper Lund er samarbejdet med de danske teleselskaber så etableret, at politiet har en tendens til kun at benytte gammeldags teledata.

»Samtlige betjente i Danmark er opmærksomme på, hvad der skal til for at foretage en telefonaflytning og få metadata fra et teleselskab, men ikke på, hvad der skal til for at få data af Facebook,« konstaterer han.

Direktøren for brancheforeningen Telekommunikationsindustrien, Jakob Willer, konstaterer, at andre lande i langt højere grad end Danmark går direkte til udbyderne af de nye tjenester.

»Det viser, at der er potentiale i at kigge andre veje end kun på teleselskaberne, som dansk politi nok skal lære at anvende,« siger han.

Aflytning og overvågningen af teletjenester bliver koordineret af Rigspolitiets Nationale Cyber Crime Center (NC3). Rigspolitiet har ikke ønsket at medvirke i denne artikel.

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andy Fischer

I hvilket omfang anvendes forespørgsler til teleselskaberne i de øvrige lande? Hvordan fordeler forespørgsler, både til teleselskaber og IT-giganter, sig på sagstyper? Hvordan ser det ud med antallet af sigtelser, tiltaler og domme, for de enkelte lande, fordelt på sagstyper?

Jeg synes det er en meget begrænset statistik Peter Kruse og Jesper Lund kritiserer Politiet på baggrund af.

  • 5
  • 6
Dave Pencroof

Gad vide om de frygter at blive tvunget til at skulle kommunikerer på engelsk, for at få de oplysninger de har brug for ! Jeg har ikke hørt nogen fra det lovgivende udøvende dømmende som har et engelsk de er trygge ved og hæderlige til at benytte, og det man er utryg ved og ikke god til, gør man meget for at undlade at benytte ! Der er måske også det at hos de tre store så BEDER man om data, muligt afslag. mens her hjemme kan man med ulovlig lovgivning i ryggen iflg EU forlange data og have garanti for at få dem !

  • 4
  • 3
Andy Fischer

Interpol fører glimrende statistikker over kriminalitet i medlemslandene. Det giver ingen mening at sammenligne tal på tværs af landegrænser, uden at undersøge forskelle i kriminalitetstyper, lovgivning, retspraksis m.m. Kriminalitetsbilledet er meget forskelligt i fx Danmark og Sverige, hvilket naturligvis må medføre at de efterforskningsmæssige tiltag må være forskellige. Billedet er endnu mere markant, når vi taler Norge og Danmark.

  • 3
  • 5
Bo Albrechtsen

@ Andy Hvorved adskiller kriminaliteten sig så "markant" mellem Danmark / Sverige samt "endnu mere" mellem Danmark / Norge ?? Det kan godt være at du har ret i disse påstande, men postuleret helt uden nogen underbygning eller forklaring bliver det til nytteløse påstande. Du har iflg. min opfattelse helt ret i at det ikke giver mening at sammmenligne tal uden samtidigt at fastlægge præmisserne for sammenligningen , så derfor generer det mig at du kommer med postulaterne om de "markante forskelle" uden dokumentation.

  • 5
  • 0
Ib Erik Söderblom

Så vil en totalitærstat sikkert score absolut højest.

At Dansk politi ikke ukritisk selv udleverer til alle og enhver, synes jeg faktisk er positivt for befolkningens retssikkerhed.

At politiet så er så formørkede, at de kun kan tænke i logning og udvidet overvågning af alt og alle, er til gengæld skræmmende i forhold til befolkningens retssikkerhed.

  • 4
  • 0
Thomas Hansen

men indtil videre tænker jeg, at den flig, vi løfter, er bedre end ingenting.

Hvordan det? Vi snakker om en mangelfuld undersøgelse som nu forsøges brugt til at bedømme hvorvidt der skal ændres praksis for politiet i Danmark, uden at have bevis for at det ville have en positiv effekt på noget som helst.

En lign. statistik kunne være hvordan Tyskland har en langt højere procentdel der anvender homøopatiske midler (justeret for indbyggertal). Skal vi så også rende ud med det samme og efterligne dem bare fordi tysken gør det?

Så snart der ligger data på bordet som viser at Tyskland henter informationer oftere OG at dette har en positiv effekt på parametre XYZ, så kan vi snakke om hvorvidt det danske politi skal få skiftet til et højere gear.

  • 2
  • 1
Christian Svanberg

Almindelig kildekritik ville indebære, at man læser det med småt i rapporterne. F.eks. dækker de "government request". Altså også andre myndigheder end politiet. Så hvis et andet land har en lovgivning, der hjemler afgang til data til brug for andre myndighedsopgaver, vil det jo gøre de landes antal af anmodninger større allerede dér. Det samme gælder, hvis et land som f.eks. Tyskland forbyder holocaust benægtelse og forfølger disse sager aggresivt på nettet, ja så skaber det jo en forskel. Ligeledes hvis f.eks. injurier - der i DK forfølges som private straffesager og ikke af politiet - hvis de i andre lande køres af politiet. Igen en kilde til skæve tal.

Så overskriften er måske lige vel hård, medmindre Version2 og deres eksperter har styr på alle disse og andre relevante forhold. Måske et lille forbehold ville være på sin plads næste gang?

Fortsat god dag!

  • 1
  • 1
Mogens Ritsholm

De internationale IT-tjenester er ikke forpligtet til at udlevere oplysninger - selv med en national dommerkendelse. Så det er nok ikke forskelle i national lovgivning, der gør sig gældende.

Og dansk politi har tidligere klaget over, at deres anmodninger om udlevering ofte bliver afvist.

Det drejer sig nok om, at dansk politi ikke rigtig har lært hvordan det skal gribes an. Og så har decentraliseringen efter politireformen sikkert også betydning.

Endelig har dansk politi været al for fokuseret på teleoplysninger, som dermed har skygget for værdien af oplysninger fra IT-tjenester.

Vi kan nok forvente, at forskellen øges i takt med at Europol indgår rammeaftaler og fastsætter procedurer med de største IT-tjenester.

  • 1
  • 0
Thomas Hansen

De internationale IT-tjenester er ikke forpligtet til at udlevere oplysninger

Hvor har du det fra? Jeg ville tro at det afhang drastisk af hvilket land og domstol der var inde over. Google, Facebook o.lign. har, så vidt jeg ved, netop indført end-to-end kryptering for at undgå dette problem. For hvis de ikke selv har direkte adgang til data, kan domstolen i diktatorland X råbe nok så højt og slå nok så meget på brystkasser uden at IT virksomheden behøver tage sig af det da de netop ikke KAN udlevere data ukrypteret.

  • 0
  • 0
Christian Svanberg

"De internationale IT-tjenester er ikke forpligtet til at udlevere oplysninger - selv med en national dommerkendelse. Så det er nok ikke forskelle i national lovgivning, der gør sig gældende."

Der er vist noget, du har misforstået. Selskabernes opgørelser omfatter også udleveringer efter retskendelser, der formidles via retsanmodninger. Så hvis et USA-baseret selskab bliver bedt om at udlevere på baggrund af en dansk retskendelse gør de det, og det vil - hvis de er bekendt med at den kommer fra Danmark - angiveligt fremgå som en dansk udlevering af deres opgørelser. Men som jeg skrev, er det efter selskabernes egne oplysninger ikke altid tilfældet, at de får oplyst at det er en retsanmodning, der ligger bag og/eller hvem der er afsender. Derfor er dette endnu en fejlkilde, som artiklen ikke har med.

"Det drejer sig nok om, at dansk politi ikke rigtig har lært hvordan det skal gribes an. Og så har decentraliseringen efter politireformen sikkert også betydning.

Endelig har dansk politi været al for fokuseret på teleoplysninger, som dermed har skygget for værdien af oplysninger fra IT-tjenester."

Disse påstande kan jeg så heldigvis hjælpe dig med at få afkræftet, hvilket hermed er gjort. :-)

  • 0
  • 0
Mogens Ritsholm

"De internationale IT-tjenester er ikke forpligtet til at udlevere oplysninger - selv med en national dommerkendelse. Så det er nok ikke forskelle i national lovgivning, der gør sig gældende."

Læg mærke til hvad jeg skriver: En internantonal IT-udbyder er ikke forpligtet til at udlevere oplysninger til dansk politi.

Selvfølgelig kan man gå den lange vej og få det udleveret via en anmodning til politiet i IT-udbyderens hjemland. Procedurerne herfor er forskellige, og det vil ofte indebære, at der opnås en ny retskendelse i udbyderens hjemland.

Min opfattelse er, at flertallet af udleveringerne fra IT-tjenester sker efter direkte henvendelse til IT-udbyderen. Og kun hvis dette ikke lykkes, og oplysningerne er vigtige for politiet, forsøger man at gå den lange vej via retssystemet i udbyderens hjemland.

En dansk retskendelse har selvfølgelig i sig selv nul formel retslig status i et andet land. Ligesom en dansk IT-udbyder ikke er forpligtet af en retskendelse i et andet land om udlevering af oplysninger.

Hvordan har du i øvrigt med din kommentar påvist, at decentraliseringen af efterforskningen efter politireformen ikke har haft negativ betydning for udvikling og brug af nye efterforskningsredskaber, herunder brug af oplysninger fra IT-udbydere ?

  • 1
  • 0
Christian Svanberg

"Læg mærke til hvad jeg skriver: En internantonal IT-udbyder er ikke forpligtet til at udlevere oplysninger til dansk politi"

Korrekt. Men hvorfor skulle det være relevant i lyset af artiklen som jo netop omhandler der hvor der er en kendelse eller retsanmodning? Anyway...

"Hvordan har du i øvrigt med din kommentar påvist, at decentraliseringen af efterforskningen efter politireformen ikke har haft negativ betydning for udvikling og brug af nye efterforskningsredskaber, herunder brug af oplysninger fra IT-udbydere ?"

Du har så heller ikke påvist det modsatte. Lad os sige, jeg ved mere om dansk politi end du gør...nærmere kommer vi det ikke i et kommentarfelt på Version2 :-)

  • 0
  • 1
Mogens Ritsholm

Jeg synes nu stadig, at der er behov for lidt analyse.

Hvis du går ind på Googles transparency rapport, har de opgjort 50 henvendelser fra legal agencies i Danmark i 2016.

https://docs.google.com/spreadsheets/d/1bopWw0_qznR9a8P388CcS7-nGl6kbXDr...

Jeg læser det sammen med deres forklaringer således, at det er henvendelser direkte fra banske LEAs, dvs. Politi eller PET. Og altså ikke henvendelser der er gået via det amerikanske retssystem. Sådanne er formentlig talt med under USA.

Det opsigtsvækkende er ikke bare det lave tal. Men Google anfører også, at det kun førte til udlevering af data i 20% af tilfældene. Gennemsnittet for alle landes henveendelser, der fører til udlevering, er ca. 72 %.

Hvordan forklares dette?Jeg har selvfølgelig ikke et 100% rigtigt svar. Men det er vel nærliggende at antage, at de danske henvendelser ikke i tilstrækkelig grad er tilpasset Googles muligheder og /eller deres politik for udlevering.

Så fører det ikke til noget. Og så er dansk politi mindre tilbøjelig til at bruge muligheden for at bede Google om data.

Er det en for vidtgående første vurdering spørger jeg en mand i rigspolitiet?

Og det er rigtigt, at jeg ikke kender forholdene i dag. Men efter politireformen så vi i teleselskaberne et klart kvalitetsfald i politiets henvendelser. Det måtte man vel også forvente med decentraliseringen af efterforskningen.

  • 0
  • 0
Mogens Ritsholm

De 50 anmodninger, der kun førte til udlevering af data i 20 % af tilfældene for Danmark gælder 2. halvår 2016. Altså 10 udleveringer fra Google til dansk politi.

De tilsvarende tal for de andre nordiske lande for 2. halvår er:

Sverige 111, 68% dvs. 75 udleveringer Norge 84, 82% dvs 69 udleveringer Finland 40 , 75% dvs 30 udleveringer

For 1. halvår 2016 er tallene:

Danmark 57, 11% dvs 6 udleveringer og for hele 2016: 16 Sverige 81, 57% dvs 46 udleveringer og for hele 2016: 121 Norge 116, 68% dvs 79 udleveringer og for hele 2016: 148 Finland 38, 74% dvs 28 udleveringer og for hele 2016: 58

Går vi uden for norden var tallene for 2. halvår alene f.eks:

UK 2897, 70% dvs 2000 udleveringer hvor Danmark havde 10 Frankrig 4757, 63% dvs 2997 udleveringer hvor Danmark havde 10

Er det ikke tal, der kalder på en forklaring, når Danmark afviger så markant fra de andre nordiske lande og afviger endnu mere i forhold til de store europæiske lande?

Bruger dansk politi ikke samme efterforskningsmetoder som gældende norm i andre lande?

Eller er det Googles statistik, der er helt hen i vejret?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Øget effektivitet, fleksibilitet og muligheder for hjemmearbejde med Cisco Webex
Whitepaper
Whitepaper
Break the Replatform Cycle with MACH Enterprise Architecture
Webinar
Webinar
Webinar: Sådan forbereder du din virksomhed til remote working
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder