Erhvervsstyrelsen giver grønt lys til TDC's konstante logning af lokationsdata

Bemærker at Femern forbindelsen vil købe lokationsdata vedrørende trafikanter fra Storebælt, så nu kører toget.....

Er det for sent at stå af?

Kan jeg forlange at få information om hvem de har solgt mine data til?

Kan jeg med GDPR i ryggen forlange at mine lokationsdata slettes?

Og hvis det er 'mine' lokationsdata, er jeg så berettiget til en del af kagen?

For det første tror jeg ikke på at NSA kan bryde sikkerheden i f.eks. Signal

Der er mange måder at "bryde sikkerheden" på. De nemmeste og billigste går altid i en stor bue uden om krypteringen.

Hvordan ved du f.eks, som bruger af Signal, at den version af softwaren der ligger på din device gør det som Signal lover - og kun det ?

For det første tror jeg ikke på at NSA kan bryde sikkerheden i f.eks. Signal og fra Snowdens afsløringer ved vi at NSA på det tidspunkt ikke kunne bryde Signal. Signals servere sikre at en sessionslogning ikke vil vise hvem du taler med, selvom f.eks. Tor eller VPN er kompromitteret.

Du har ganske meget tillid til Signal. Kender du personligt nogen af dem der driver deres servere? Har du tjekket at NSA ikke har hacket dem? Eller at Signal ikke blot er en front for NSA? Som altid når det gælder sikkerhed på de høje nagler, så kan man kun stole på folk man kender personligt, på protokoller man selv forstår samt software man selv har reviewet og kompileret. Og kun måske.

Jeg er sikker på at Signal kan udveksle data krypteret uden at nogen kan læse data. Hvis brugerne vil det, så kan de også undgå man-in-the-middle-attacks. Men Signals servere er nødt til at kende både afsender og modtagers IP. Det kan lækkes.

Men selvom NSA kunne bryde Signal, så tror jeg ikke på at NSA betjener andre landes alm. politi med alm. politiarbejde, fordi det med tiden vil afslører hvad NSA er i stand til, samt at ressourceforbruget simpelthen vil være for højt, hvis enhver (udenlandsk) politimand kunne bede NSA om den slags.

Jeg er også sikker på at NSA ikke blot hjælper til med almindeligt politiarbejde. Det er jeg også sikker på dygtige folk i justitsministeriet, inklusive justitsministeren ved. Men politikerne er villige til at gå ganske langt mod terrorisme, og her betaler vi sandsynligvis NSA ved at lade dem lytte med på alt mod at de ”lover” at fortælle os hvis der er noget vi bør vide.

Scenarie: NSA overvåger en service i Bulgurien der bruges af ekstremister til at planlægge terror. De ser en forbindelse der kommer fra en tor exit-node og bruger rutinemæssigt deres infiltration af tor til at kortlægge hvor forbindelsen kommer fra. De ser så at forbindelsen kommer fra en VPN provider i Island. NSA læner sig kraftigt op ad VPN provideren og får ham til at udlevere metadata (måske har man allerede hacket VPN provideren) og sporer forbindelsen til en IP adresse hos en dansk udbyder.

Nej, det kan af flere grunde ikke lade sig gøre.

For det første tror jeg ikke på at NSA kan bryde sikkerheden i f.eks. Signal og fra Snowdens afsløringer ved vi at NSA på det tidspunkt ikke kunne bryde Signal. Signals servere sikre at en sessionslogning ikke vil vise hvem du taler med, selvom f.eks. Tor eller VPN er kompromitteret. Du kan læse mere om det her https://support.whispersystems.org/hc/en-us/articles/212477768-Is-it-private-Can-I-trust-it-

Men selvom NSA kunne bryde Signal, så tror jeg ikke på at NSA betjener andre landes alm. politi med alm. politiarbejde, fordi det med tiden vil afslører hvad NSA er i stand til, samt at ressourceforbruget simpelthen vil være for højt, hvis enhver (udenlandsk) politimand kunne bede NSA om den slags.

Der skal nok være enkeltstående højtprofilerede sager hvor NSA lader oplysninger flyde videre til politiet, men det er ikke noget man kan bygge på en dansk politimæssig indsats på.

Sessionslogning vil ikke kunne give den opkaldsliste som justitsministeriet tror. Længere er den historie ikke.

Det vil ikke være lovligt for danske teleselskaber at sælge teleoplysninger til FE.

Og præcis hvor er lige det er blevet forbudt ?

Når FE stiller med et stykke papir hvor der både står "Af hensyn til statens sikkerhed" og "Vi betaler" er banen ryddet.

"Det vil ikke være lovligt for danske teleselskaber at sælge teleoplysninger til FE."

Det syntes jeg du skal fortælle teleselskaberne og FE, for det gør de allerede ivrigt.

Nej, men den giver dem mulighed for at købe dem.

Det vil ikke være lovligt for danske teleselskaber at sælge teleoplysninger til FE.

At det er noget sludder på linje med at vedtage en lov om at ”grise kan flyve som sommerfugle” – kræver at politikkerne forstår teknikken bag, da det kræver indsigt i teknikker som Tor, VPN og apps som BBM og Signal mv.

Scenarie: NSA overvåger en service i Bulgurien der bruges af ekstremister til at planlægge terror. De ser en forbindelse der kommer fra en tor exit-node og bruger rutinemæssigt deres infiltration af tor til at kortlægge hvor forbindelsen kommer fra. De ser så at forbindelsen kommer fra en VPN provider i Island. NSA læner sig kraftigt op ad VPN provideren og får ham til at udlevere metadata (måske har man allerede hacket VPN provideren) og sporer forbindelsen til en IP adresse hos en dansk udbyder.

Man overleverer adressen til politiet som tager den derfra. Politiet kan ikke sætte personer i fængsel på dette grundlag – der kan være mange bag IP adressen. Men politiet kan starte en efterforskning med traditionelle midler. Man kan godt bruge sessions logning til noget.

Nej tak.
Love kan ændres, opsamlet data kan være ret svært at få udslettet.

Loven kunne indeholde krav om at loggede data slettes efter 3 måneder.

Men husk lige på at nu har du ingen retssikkerhed. Lige nu er det Wild West, hvor det synes klart at fx USA får lov til at lytte med. Når data først er endt i Utah, så er der ingen krav til retention. Så ligger data der til evig tid. Hvis danske myndigheder fik de midler de havde brug for, så er der større sandsynlighed for at julenumrene slutter. Specielt hvis det bliver ulovligt for enkeltpersoner at deltage. Og så kunne man for min skyld lave CGN på alle forbindelser sådan at det blev sværere for resten af verden at følge med.

Det er allerede i dag sådan, at teleoplysninger kun kan udleveres til abonnenten selv med samtykke eller til 3. part med retskendelse.
FE-loven giver ikke FE hjemmel til at forlange oplysninger udleveret fra private teleselskaber.

Jeg vil have at det bliver personligt ansvarspådragende at bryde loven på dette område. Straffen skal ikke bare ramme virksomheden. Det skal være sådan at TDC teknikeren kan sige til politiet at det de må finde en anden person der vil udlevere data eller sætte lyttedimsen på kablet fordi han ikke vil i fængsel. Og sådan at politifolkene kan sige til deres chefer at de ikke vil deltage fordi de heller ikke vil i fængsel.

FE-loven giver ikke FE hjemmel til at forlange oplysninger udleveret fra private teleselskaber.

Nej, men den giver dem mulighed for at købe dem.

Justitsministeriet kommer så med denne fortolkning, som meget bekvemt udvider omfanget af hvad der skal logges
"Bestemmelsen i logningsbekendtgørelsens § 4, nr. 6, om at logge lokationsoplysninger ved MMS-trafik, gælder således uanset indretningen af udbydernes tekniske systemer og således også, hvis de konkrete systemer, udbyderne anvender, er indrettet således, at der i tilknytning til logning af MMS-trafik også logges visse yderligere lokationsdata ved mobildatatrafik."</p>
<hr /><p>Men det er jo direkte i strid med logningsbekendtgørelsens § 1, der som sagt indsnævrer logningspligten til de oplysninger, som man faktisk har ved tjenesteproduktionen - uanset kravene i § 4.</p>
<p>Det er dybt sørgeligt, at Justitsministeriet ikke forstår deres egen bekendtgørelse.</p>
<p>Konsekvensen af deres fortolkning er, at man faktisk skulle være forpligtet til at indrette sin tjenesteproduktion på en sådan måde, at de ønskede oplysninger blev genereret og behandlet og dermed kunne gemmes.</p>
<p>Det er som sagt netop ikke meningen med logning, der jo også på engelsk mere rettelig hedder "data retention". Ingen tjenesteproduktion er forbudt, selv om de ønskede oplysninger ikke opstår. Det er et helt bevidst valg i de fundamentale forudsætninger for logning.</p>
<p>Sagen viser netop de uoverskuelige konsekvenser og modsætninger, der opstår, hvis denne grundlæggende forudsætning ikke respekteres.</p>
<p>

én gang årligt, så kunne det være TDC kom på andre tanker om, hvorvidt det hænger økonomisk at foretage al denne logning.

Som jeg omtalte tidligere kræver logningsbekendtgørelsen netop ikke, at oplysninger, der ikke genereres eller behandles ved tjenesteproduktionen, skal gemmes.

Meget enig, men i den aktuelle sag skriver TDC til ERST, at lokation for MMS reelt heller ikke er tilgængelig. Der er nogle lokationsoplysninger for datablokkene, som tidsmæssigt omtrent kan matche afsendte/modtagne MMS beskeder.

Justitsministeriet kommer så med denne fortolkning, som meget bekvemt udvider omfanget af hvad der skal logges

Bestemmelsen i logningsbekendtgørelsens § 4, nr. 6, om at logge lokationsoplysninger ved MMS-trafik, gælder således uanset indretningen af udbydernes tekniske systemer og således også, hvis de konkrete systemer, udbyderne anvender, er indrettet således, at der i tilknytning til logning af MMS-trafik også logges visse yderligere lokationsdata ved mobildatatrafik.

Hvad Justitsministeriet vil mene om VoLTE tør jeg slet ikke tænke på..

Men logningsbekendtgørelsen kræver formelt lokation på både start og afslutning af samtalen, selv om disse oplysninger reelt ikke er tilgængelige for selskabet.

Der er jo heller ikke krav om identificere kunder på hot-spot eller kunder med telekort - netop fordi oplysningerne ikke foreligger konkret ved tjenesteproduktionen.

...én gang årligt, så kunne det være TDC kom på andre tanker om, hvorvidt det hænger økonomisk at foretage al denne logning.

Logningsbekendtgørelsen tager faktisk allerede stilling til problemstillingen med nye produktionsformer, hvor man ikke længere har alle de oplysninger, som bekendtgørelsen kræver gemt.

En anden interessant case er kunder i XYZ-mobil der ringer til andre kunder i samme selskab via VoLTE (data). Kunderne har sikkert fri tale til andre kunder i samme selskab, og der er ikke noget interconnect afregning fordi det er samme selskab.

XYZ-mobil har ikke noget forretningsmæssigt behov for at holde styr på hvor længe samtalen varer, og det hele kører over datakanalen. Men logningsbekendtgørelsen kræver formelt lokation på både start og afslutning af samtalen, selv om disse oplysninger reelt ikke er tilgængelige for selskabet.

De kunne f.eks bruge graylog, og så sætte data retention til 1 år på det index sæt som de dirigere den lovpligtige logning ind på via en stream der kan filtrere på lige hvad de har lyst til i deres data.

Det er ikke nok. TDCs registrering af lokation for datatrafik er en sammenblanding af oplysninger, som TDC muligvis er forpligtet til at gemme (lokationsoplysninger som har forbindelse med afsendte og modtagne MMS-beskeder), og lokationsoplysninger som TDC er forpligtet til at slette.

For at gøre det endnu mere kompliceret indeholder den fulde datastrøm ikke de præcise lokationsoplysninger vedr. de master, hvor MMS beskeder er afsendt fra. Her ville det ellers være nærliggende at konkludere, at lokation vedr. MMS-tjenesten simpelthen ikke genereres eller behandles i TDCs net, og at lokation vedr. MMS hos TDC dermed falder helt uden for logningsbekendtgørelsens anvendelsesområde (check bekendtgørelsens § 1), og således ikke skal registreres af TDC.

Men det mener Justitsministeriet sjovt nok ikke. Tværtimod. Når de præcise krævede lokationsoplysninger (lokation vedr. MMS) ikke er tilgængelige, skal TDC gemme hele høstakken. Collect-it-all, som NSA ville sige.

Denne vanvittige diskussion kunne vi helt undgå, hvis de danske teleselskaber havde samme mod og mandshjerte (m/k) som de svenske teleselskaber. De svenske teleselskaber har simpelthen trukket stikket til den ULOVLIGE logning, således at de nu kun gemmer de teleoplysninger, som de selv har behov for at behandle af forretningsmæssige årsager inden for rammerne af e-privacy direktivet (dvs. fakturering og eventuelle tillægstjenester, som abonnenten har bedt om).

Men det er en anden diskussion til en anden dag...

Alternativt kunne TDC lade sig inspirere at det seneste stunt med "kun i DK" abonnementer (uden den dyre EU-roaming), og tilbyde mobilabonnementer uden MMS, således at denne meget omfattende lokationslogning kan undgås for de kunder, som gerne vil give afkald på muligheden for at modtage/afsende MMS beskeder. Samtidig kan vi via prisforskellen mellem de to abonnementer med/uden MMS og lokationsovervågning få sat en pris på hvad det koster TDC at lave denne detaljerede overvågning af kundernes bevægelsesmønstre på Justitsministeriets vegne.

En meget stor del af MMS-markedet er formentlig alligevel overtaget af diverse OTT billedtjenester.

Jesper Lund Formand, IT-Politisk Forening

Hvad sker der, hvis en mobiludbyder i fremtiden godt kan indskrænke positionsoplysninger til afsendte SMS og MMS via IP?

Så skal de med gældende regler pludselig indskrænke overvågningen til disse tjenester, der formentlig allerede er i kraftigt fald pga. stigende brug af andre beskedtjenester via IP.

Så bliver overvågningen pludselig reduceret en 100 faktor igen.

Logningsbekendtgørelsen tager faktisk allerede stilling til problemstillingen med nye produktionsformer, hvor man ikke længere har alle de oplysninger, som bekendtgørelsen kræver gemt.

For man skal kun gemme disse konkrete oplysninger, hvis de genereres eller behandles, hvormed man blot skal gemme dem i stedet for at smide dem væk. Man skal ikke udtænke nye funktioner for at skaffe oplysningerne på anden vis. Det kræver logningsreglerne ikke.

Hvis man ikke har dem i konkret og afgrænset form, er det bare ærgerligt.

Denne helt fundamentale forudsætning i logningsreglerne forekommer overset af erhvervsstyrelsen, som nærmest har behandlet sagen med bind for øjnene, mens justitsministeriet har siddet og gemt sig i kulissen.

Det står ellers klart og tydeligt i logningsbekendtgørelsens § 1, som er en gentagelse af den fundamentale forudsætning i det tidligere logningsdirektivs artikel 1. Og det var det mest debatterede emne ved forhandlingerne om direktivet.

Af samme grund ville det hæve retssikkerheden kraftigt hvis det blev ulovligt for teleselskaber og andre at udlevere logs o.lign. til myndigheder, FE og andre uden kundens tilladelse, begrundet mistanke om kriminalitet eller dommerkendelse.

Det er allerede i dag sådan, at teleoplysninger kun kan udleveres til abonnenten selv med samtykke eller til 3. part med retskendelse.

FE-loven giver ikke FE hjemmel til at forlange oplysninger udleveret fra private teleselskaber.

Der har tidligere været noget diskussion af, om skattekontrollovens § 8 D (der virkelig er formuleret som collect-it-all, så selv NSA må være misundelig) gav Skat en hjemmel til at forlange teleoplysninger udleveret. Men den diskussion har p.t. mest teoretisk interesse, eftersom Skat ikke længere gør krav på adgang til teleoplysninger til skattekontrolformål.

Hvis man gjorde udleveringen ulovligt, så kunne teleselskaberne efter min mening logge alt hvad der var teknisk muligt.

Love kan ændres, opsamlet data kan være ret svært at få udslettet.

Hovedproblemet med sessionslogning – er at politikkere tror at sessionslogning fungerer på samme vis som en opkaldsliste til en gammeldags fastnettelefon. Det har de fået af vide af Justitsministeren i et paragraf et-eller-andet samråd og så må ministeren ikke lyve.

Så det er sandheden og vi (Folketinget) skal blot vedtage en lov, så fungerer ovenstående liste og som sikkerhed kan vi bygge krav om dommerkendelse ind i loven.

At det er noget sludder på linje med at vedtage en lov om at ”grise kan flyve som sommerfugle” – kræver at politikkerne forstår teknikken bag, da det kræver indsigt i teknikker som Tor, VPN og apps som BBM og Signal mv.

Jeg ved godt at det molboagtigt, men 99% af Folketingets politikere interesser sig ikke for IT og stoler 100 % på justitsministeriet forklaring om at grise kan flyve – hvis de blot vedtager lovforslaget.

Så længe den misforståelse ikke bliver rettet, vil sessionslogningen ikke dø.

De kunne f.eks bruge graylog, og så sætte data retention til 1 år på det index sæt som de dirigere den lovpligtige logning ind på via en stream der kan filtrere på lige hvad de har lyst til i deres data.</p>
<p>Og jeg er sikker på at der er andre logging frameworks som er lige så gode.

Til at bestyrke denne fornemmelse kan man med fordel læse i denne artikel, hvordan TDC's koncerndirektør Jens Aaløse i sagen om sessionslogning tidligere har været ude og agere meget bevidst politisk på en scene med mange involverede interesser:

Det er vigtigt at sige og anerkende, at justitsministeren rent faktisk lyttede til telebranchen og de input, som den havde, da han i marts udskød sessionslogningen. Det skete i en god og konstruktiv dialog, og lad os nu fortsætte ud ad dette gode spor. Den ideologiske debat om overvågning af borgere og andet er ikke en debat, som TDC ønsker at være en del af. Vi har principielt ingen holdninger til det. Når økonomien skal afvejes mod frihedsrettigheder og sikkerhed, synes jeg trygt, at man kan og skal overlade det til politikerne og de politifaglige myndigheder, der understøtter ministeriet,

Quid pro quo, hedder det vel.

Det virker meget utroværdigt at det skulle tage TDC så lang tid at lave ændringen i deres system, eller koste så mange penge.

De kunne f.eks bruge graylog, og så sætte data retention til 1 år på det index sæt som de dirigere den lovpligtige logning ind på via en stream der kan filtrere på lige hvad de har lyst til i deres data.

Og jeg er sikker på at der er andre logging frameworks som er lige så gode.

Er naturligvis at TDC ikke har et system til logning til sig selv og et andet til den logning de sælger til FE, det er ét og samme system.

Af samme grund ville det hæve retssikkerheden kraftigt hvis det blev ulovligt for teleselskaber og andre at udlevere logs o.lign. til myndigheder, FE og andre uden kundens tilladelse, begrundet mistanke om kriminalitet eller dommerkendelse.

Lige nu lever vi i det vilde vesten hvor der i praksis ikke er nogen regler og hvor det ser ud til at FE og amerikanerne får lov til at lytte som de har lyst til.

Hvis man gjorde udleveringen ulovligt, så kunne teleselskaberne efter min mening logge alt hvad der var teknisk muligt.

Er dette ikke præcis hvad EU domstolen kendte ulovligt i en sag mellem Telenor og Sverige ? Er EU domstolens afgørelser kun gældende for de implicerede parter eller generelt hele EU ? DK's politikere går igen og igen imod EU's regler og EU domstolens afgørelser, samtidigt med at de over for borgerene fastholder at DK skal være med i EU, og med plattenslageri har forsøgt at fjerne alle DK's rets forbehold med afstemningen om Europol, så EU er der hvor borgerene høre til mens politikerene IKKE mener at det samme gælder for dem ! Inge S er den der bøjer/knækker EU's regler mest af alle, og er samtidigt en af de allermest populære ministre, Hvad h.. har danskere gang i i øverste etage ????

Er naturligvis at TDC ikke har et system til logning til sig selv og et andet til den logning de sælger til FE, det er ét og samme system.

Derfor er det inderligt ligegyldigt hvad diverse styrelser gummistempler, nedenunder står der en fodnote med en blanco-check til at ignorere indholdet, begrundet i "statens sikkerhed og hensynet til fremmede magter".

Konsekvensen af den nye produktionsmetode for SMS og MMS er med de nuværende regler selvfølgelig, at man slet ikke skal logge stedoplysninger for disse

Og hvis regeringer kommer og vil have adgang, henvise til byret, landsret, højesteret og til sidst EU domstolen. Som i Sverig, hvor de fleste ISP og teleselskaber ikke logger noget, som de ikke skal bruge til regningsudskrivning. Så må de tage afgørelsen, om denne logning er lige så ulovligt i Sverige som i Danmark, ifølge EU retten og menneskerettigheder, med rette til et privatliv.

Logning er igen bevislig, vist ikke at være noget værd, når man ser på hvor meget UK logger og gemmer, og hemmelig fængsler folk og blæser på menneskerettigheder og retssamfundet. Mens den i virkeligheden øger risikoen for Terror, når penge og ressourcer bruges på mere hø. I stedet for normalt politiarbejde, ved opsøgning af personer som kan være farlige og mulig terrorister. Når mindst 4-5 personer, herunder eget familie informere myndigheder om dette. Og der stadig ikke sker noget.

Man kan let stille mange spørgsmål, der udstiller mangel på stringens i den danske afgørelse, F.eks.

Hvilke oplysninger modtager TDC om en mobilkunde, der er roamet til udlandet?

og

Hvilke oplysninger videregiver TDC til en udenlandsk operatør, hvis kunde er roamet til TDCs net?

Man kan selvfølgelig ikke udvide logningen blot fordi produktionen af en tjeneste sker på en ny måde, der ikke var forudset i logningsreglerne.

Så må man revidere logningsreglerne.

Logningsreglerne er en undtagelse til hovedprincippet om, at al personhenførbare oplysninger skal slettes, og en sådan undtagelse kan ikke udvides blot fordi MMS og SMS fremføres i IP-trafikken i stedet for de specifikke bærertjenester for disse tjenester på mobil.

I øvrigt er det lidt underligt, at erhvervsstyrelsen står for afgørelsen. Det er jo justitsministeriets ansvar at definere undtagelserne fra hoveprincippet om sletning eller anonymisering.

Og hvis man fra justitsministeriets side ønsker folks færden med mobil kortlagt i detaljer, må man søge opbakning politisk til en sådan udvidelse af logningsreglerne i stedet for denne højst tvivlsomme fremgangsmåde.

Plattenslagerne har vundet i denne sag. Og det er ikke godt for retssikkerheden og demokratiet.

Tænk når man en gang skal forklare, hvorfor vi i Danmark logger alles færden meget specifikt. Så skal man forklare, at det skyldes de døende tjenester SMS og MMS, der blev produceret på en ny måde, og man derfor var nødsaget til at logge 100 eller 1000 gange så meget om folks færden.

Den holder selvfølgelig ikke i "byretten".

Konsekvensen af den nye produktionsmetode for SMS og MMS er med de nuværende regler selvfølgelig, at man slet ikke skal logge stedoplysninger for disse - ligesom man heller ikke gjorde det for andre beskedtjenester, der brugte IP direkte.