Frygt for grundlovsbrud sætter GovCERT på halv kraft

Ind til en ny lov om den statslige it-varslingstjeneste GovCERT er vedtaget, kigger tjenesten kun på overordnede trafikdata. At sniffe i de langt mere indholdsrige pakkedata kunne ellers være grundlovsstridigt.

Den statslige it-varslingstjeneste GovCERT arbejder lige nu mere eller mindre i blinde. Mange af de data, som GovCERT kunne anvende til at advare mod potentielle it-trusler, indsamles og analyseres ikke, fordi tjenesten dermed risikerer at komme på kant med Grundlovens § 72, der sikrer brevhemmeligheden.

Derfor er Folketinget i øjeblikket i gang med at behandle et lovforslag, der skal give GovCERT mulighed for ikke blot at se på overordnede trafikdata med oplysninger om for eksempel ip-adresser, men også at se på såkaldte pakkedata ? altså selve indholdet af datakommunikationen.

Læs også: GovCERT vil bore ned i statens datapakker med ny lov

»Ind til lovhjemlen er på plads, arbejder vi med nogle begrænsninger. I dag kigger vi på kun på trafikdata, hvor vi så blandt andet matcher ip-adresser op mod lister af mistænkelige adresser, og det er ikke særligt præcist,« siger lederen af GovCERT, Thomas Kristmar til Version2.

»Det svarer til, at vi går på gaden og opdager, at en rude er slået ind. Men vi ved ikke, om det skyldes en bold fra legende børn, eller om der har været tyve, som er løbet med stereoanlægget,« uddyber han.

Problemet er, at medarbejderne hos GovCERT ved at inspicere mistænkelige pakkedata kan risikere at se personlige og private oplysninger. Og hvis ikke den berørte borger eller myndighed har givet samtykke til, at andre ser kommunikationen, kræver grundlovens § 72 enten en retskendelse eller hjemmel i særskilt lovgivning.
Og da det i praksis vil det være umuligt at indhente den slags kendelser, er GovCERT nødt til at vente på, at loven bliver vedtaget.

I Dansk Industris brancheforening ITEK bakker man i et høringssvar op om lovforslaget. Men ITEK's privacy-ekspert Henning Mortensen er dog ikke uforbeholdent begejstret:

»Det er et meget vidtgående forslag. Vi mener i udgangspunktet, at det er uhensigtsmæssigt at lave undtagelser fra anden fornuftig lovgivning. Omvendt har vi vurderet, at det, at vi får en GovCERT vil være med til at beskytte borgerne og samtidig give dem bedre pricavy. Det er en afvejning af fordele og ulemper, som vi mener falder ud til Govcert'ens fordel,« siger Henning Mortensen til Version2.

Læs også: 19 nye spion-bokse overvåger dine mails til det offentlige

Ved førstebehandlingen af lovforslag nummer 197, som den hedder, var ingen partier imod.

»I Venstre lægger vi stor vægt på at sikre borgernes privatliv, og vi er desuden meget bevidste om, at borgernes lyst til at anvende digitale løsninger i høj grad afhænger af, om deres private oplysninger forbliver private. Formålet med nærværende lovforslag er netop at sikre et solidt varslingssystem, der forhindrer skadelige cyberangreb mod vores samfund, men som samtidig udfører sit nødvendige arbejde med respekt for borgernes privatliv og frihed,« sagde vikarierende it-ordfører for Venstre, Torsten Schack Pedersen.

Lidt mere kant var der i den afsluttende bemærkning fra socialdemokraternes it-ordfører Yildiz Akdogan:

»Hensynet til at sikre vores digitale infrastrukturer vejer tungt ? så tungt, at vi kan give lovforslaget vores tilslutning. Men jeg vil samtidig meddele, at vi vil gå ind i udvalgsarbejdet med den hensigt at undersøge, om der inden for rammerne af, hvad der er nødvendigt for at have en effektiv varslingstjeneste, kan gøres mere for at beskytte borgernes personoplysninger. Privatlivets fred er vigtig for os, og ligeledes er det vigtigt at beskytte os mod angreb fra bl.a. cyberspace.«

SF's it-ordfører Hanne Agersnap støtter ligeledes forslaget, men havde dog også kritiske bemærkninger:

»Det hedder i lovforslaget, at det er trafikdata, man overvåger, men er det både indgående og udgående trafik? For jeg kan ikke forestille mig andet, end at det er den indkommende trafik, der kan være farlig, så skulle man ikke begrænse lovforslaget til at kigge på indgående trafik? Det er i hvert fald et spørgsmål, jeg har, og som jeg vil søge afklaret,« sagde Hanne Agersnap.

Går alt efter planen, træder den nye lov i kraft 1. juli 2011.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Lars Sommer

For jeg kan ikke forestille mig andet, end at det er den indkommende trafik, der kan være farlig, så skulle man ikke begrænse lovforslaget til at kigge på indgående trafik?

Jeg vil som borger gerne have overvåget, om sagsbehandlerne ved uheld sender forkerte oplysninger ud af myndighederne, om en virus i systemerne eksporterer en masse data, osv osv...

Jeg mener bestemt ikke det er nok at kigge på indgående trafik.

  • 0
  • 0
#2 Jesper Lund

Hvis det virkelig er nødvendigt at snage i indholdet i TCP/IP pakkerne, kunne Folketinget i det mindste sætte nogle klare restriktioner for hvad de indsamlede data kan bruges til.

Et eksempel kunne være en restriktion om at data under ingen omstændigheder må udleveres til andre myndigheder, heller ikke med syv-dobbelte dommerkendelser og heller ikke hvis PET-chefen eller hans CIA buddies synes at disse data kunne være nice-to-have.

Retsplejeloven kunne f.eks. have en paragraf om at bevismateriale som stammer fra GovCERT's aktiviteter kun må bruges til ganske bestemte lovovertrædelser inden for GovCERT's område, selvfølgelig uden mulighed for dispensation af nogen som helst art.

Så ville GovCERT kunne lave deres snævert afgrænsede arbejde, og ingen andre myndigheder ville i øvrigt være ringere stillet, da der er tale om en dataindsamling som de ikke har adgang til i dag (overvågning af borgerne efter forudgående dommerkendelse skal stadig være mulig, men det skal blot ikke være oplysninger indsamlet via GovCERT som bruges som begrundelse for overvågningen over for dommeren).

Da jeg læste lovforslaget i februar var der ikke skyggen af sådanne garantier til borgerne. De indsamlede data kan videregives med eller uden dommerkendelse, herunder videregives til usikre tredjelande som Afghanistan og USA.

Og vi ved godt at når staten har fået et nyt magtmiddel, så vil det bliver brugt. Logningsbekendtgørelsen blev motiveret med grov terrorisme ala 9/11, men de indsamlede data bliver brugt til alle mulige andre formål i dag.

En dag får staten den "geniale" ide at ISP'erne er en del af den kritiske infrastruktur, og så er der mulighed for at overvåge indholdet af den trafik som passerer gennem ISP'erne. Officielt via GovCERT, men de indsamlede data kan bruges til andre formål efter statens eget skøn.

I USA har vi set noget lignende med skandalen om NSA's overvågning af internettrafikken uden dommerkendelse http://en.wikipedia.org/wiki/NSA_warrantless_surveillance_controversy

Der er også den svenske FRA lov.

  • 0
  • 0
#3 Kristian Jensen

Jeg vil som borger gerne have overvåget, om sagsbehandlerne ved uheld sender forkerte oplysninger ud af myndighederne, om en virus i systemerne eksporterer en masse data, osv osv...

Jeg mener bestemt ikke det er nok at kigge på indgående trafik.

Det store problem er ikke overvågning af trafik ud og ind af ministerierne, men at GovCERT i deres lovforslag ligger op til at ISP'erne på sigt skal med i ordningen, og transit data dermed kan blive overvåget at statet, uden at nogen af slut brugerne har givet samtykke. eksempel på transit data kan være at du sender en email til din mor. Ingen af jer vil være tilmeldt overvågningen, men fordi jeres ISP'er er det vil jeres data ligeledes kunne overvåges. Det er her problemet opstår. For hvis nogen i dag ønsker at overvåge din kommunikationen med din mor skal de have en dommerkendelse. Det vil GovCERT ikke behøve. Alt data ind og ud af ministerierne bliver i forvejen lageret i ministeriernes databaser.

  • 0
  • 0
#4 Brian Simonsen

Det burde være den danske netborgers pligt til enhvertid at insistere på krypteret kommunikation, som en selvfølge til og fra det offentlige men også i det hele taget.

Lovforslag som disse med det sædvanlige tynde grundlag af cyberangreb, terrorisme, osv. der på det kraftigste indskrænker borgenes ret til privatliv, kan bedst imødegås med uafhængig kryptering, dvs gpg el. lign. Hvis der benyttes officielle løsninger er man vel nærmest ligevidt da myndighederne alligevel sidder på de private nøgler (NemID).

Krypter: http://enigmail.mozdev.org/home/index.php.html

http://www.gnupg.org/

  • 0
  • 0
#5 Ulrich Østergaard

Der er ingen grund til at være paranoide her. Ingen er vel i tvivl om, at med en dommerkendelse kan alle blive genstand for overvågning. At der etableres deep packet inspection i netværket offentligt som privat har uendeligt lidt at gøre med at indsamle borgerens mail korrespondance. Alerede når kapaciteten er etableret i netværket er det vel et spørgsmål om tillid til at data benyttes til det formål de indsamles til. GOV-Cert har bevidst at de tager dette hensyn alvorligt, men hvis en GOC-Cert overhovedet skal have sin berettigelse, skal de naturligvis kunne insamle og analysere traces og malware. Hvis politiet vil indsamle mail korrespondance skal de som altid have en dommerkendelse. Der ligger grænsen og længere er den vel ikke.

  • 0
  • 0
#6 Jesper Lund

Alerede når kapaciteten er etableret i netværket er det vel et spørgsmål om tillid til at data benyttes til det formål de indsamles til. GOV-Cert har bevidst at de tager dette hensyn alvorligt, men hvis en GOC-Cert overhovedet skal have sin berettigelse, skal de naturligvis kunne insamle og analysere traces og malware. Hvis politiet vil indsamle mail korrespondance skal de som altid have en dommerkendelse. Der ligger grænsen og længere er den vel ikke.

GovCERT er en del af staten og underlagt statens kontrol. Det fremgår ingen steder i yet-another-undtagelse-fra-§72 loven at de indsamlede data kun kan bruges til GovCERT formål.

Erfaringerne fra de sidste 10 år viser (desværre) at staten maksimalt udnytter mulighederne for at overvåge borgerne, og denne nye lov giver staten flere muligheder. Flere muligheder, mere overvågning. Jeg synes ikke at det har noget med paranoia at gøre.

  • 0
  • 0
Log ind eller Opret konto for at kommentere