It-advokat: Dommerne kan ikke vurdere værdien af sessionslogning

Der er ikke tvivl om, at sessionslogning vil have en efterforskningsmæssig værdi for politiet, mener it-advokat Martin von Haller Grønbæk. Han er dog stadig skeptisk over Justitsministeriets forslag.
47

At sessionslogge eller ikke sessionslogge? Det er spørgsmålet, der for øjeblikket bliver diskuteret heftigt frem og tilbage med Justitsministeriet og ordensmagten i på den ene side og blandt andet privacy-fortalere på den anden.

Justitsministeriet peger på, at sessionslogning vil være et værdifuldt efterforskningsmæssigt værktøj for ordensmagten. Kritikere peger på, at logningen er masseovervågning af borgerne.

Et af omdrejningspunkterne i diskussionen er i hvor høj grad, data fra sessionslogning kan bruges til at fælde dom i en sag. Det har vi talt med it-advokat Martin von Haller Grønbæk om. Han er en af de advokater, som faktisk kan tænkes at befinde sig ved en domstol, hvor data fra sessionslogning kan blive bragt i spil.

I udgangspunktet er von Haller ikke i tvivl om, at data om, hvilke ip-adresser, der har sendt data mellem hinanden, kan have en værdi i den sammenhæng.

»Selvfølgeligt kan det have en værdi, men det skal jo altid ses i forhold til, om den værdi er stor nok i forhold til, at man rent faktisk logger data.«

Og Martin von Haller tror ikke på, at den efterforskningsmæssige værdi vil kunne stå mål med den masseovervågning, som sessionslogningen i dens nuværende, skitserede form, lægger op til.

»Den efterforskningsmæssige værdi, tror jeg ikke, er stor nok til at retfærdiggøre, at man registrerer trafikken for 99,9 pct. af den del af befolkningen, der ikke har gjort noget.«

Hvor meget kan en sessionslogning vægte som bevis?

Udover diskussionen om, hvorvidt logningen overhovedet kan have en værdi, så peger Martin von Haller Grønbæk på en anden diskussion, nemlig spørgsmålet om, hvor stor en vægt, sådan en værdi skal tillægges.

»Det kan ikke diskuteres, at det kan have en værdi, men udfordringen ligger i, hvorvidt dommere og domstole er i stand til at vurdere, hvor stor en vægt, det har.«

Justitsminister Søren Pind (V) har anført, at sessionslogning vil gøre det muligt at følge de kriminelles spor, selvom kommunikationen rykker over på nettet. Tankesættet i den forbindelse er, at på samme måde som politiet i dag kan se i teleselskabernes log, hvem der har ringet og sms'et til hvem, vil de i fremtiden kunne se, hvilken ip der har kommunikeret med en anden ip.

»Det er mere teknisk kompliceret at vurdere.«

Kritikere har i den forbindelse anført, at ip-kommunikationen ikke er nær så entydig som traditionel telekommunikation, da der kan være mange årsager til, at ip-adresser sender datapakker til hinanden.

Martin von Haller er i den forbindelse bekymret over, hvorvidt en dommer med indførelse af sessionslogning kan ende med at tillægge ip-baseret kommunikation for stor værdi.

»Det er mere teknisk kompliceret at vurdere. Der er flere forhold, der spiller ind. Den trafik, der er gået til og fra to ip-adresser, kan jo være sket på alle mulige måder i modsætning til et telefon-opkald.«

Og når tingene bliver yderligere kompliceret, og der ikke er noget entydigt svar på, hvor stor en værdi data fra sessionslogning kan have, så frygter Martin von Haller Grønbæk, at domstolene vil ende med at lytte mere til anklagemyndigheden end til forsvaret.

Ikke mindst fordi der på forsvarets side ikke nødvendigvis er konsensus om, hvad sessionslogning kan og ikke kan.

»Hvis du ikke er i stand til at forstå et kompliceret område, så søger du helt naturligt forenklede budskaber, og dem er anklagemyndigheden nok i stand til at levere bedre end forsvaret. Forsvarerne kan man mange gange ikke engang blive enige om, hvad de mener, fordi der er så mange holdninger i forhold til, hvorfor sessionslogning alligevel ikke skal tillægges den værdi, anklageren mener, det skal.«

Von Haller understreger i den forbindelse, at han ikke antager, at anklagemyndigheden bevidst forsøger at fordreje teknisk komplicerede områder, men at det værdien af sessionslogning nok er mere entydig set med anklagerens briller på.

»Det her er jo ikke bare et spørgsmål om som forsvarer at overbevise domstolen om, hvorvidt nogen er gået under en bro eller ej. Det her er relativt kompliceret, og det gør, at jeg kan blive en lille smule bekymret over, at det skal indgå i bevismaterialet,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (47)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

"udfordringen ligger i, hvorvidt dommere og domstole er i stand til at vurdere, hvor stor en vægt, det har.«"

" Det her er relativt kompliceret, og det gør, at jeg kan blive en lille smule bekymret over, at det skal indgå i bevismaterialet,« siger han."

Ja, det beskrevne synes jeg godt nok også lyder bekymrende for retssikkerheden.

Så ud over risikoen for masseovervågning, misbrug, datasikkerhedsbrister og store udgifter, så er der altså også den bekymring, at disse data kan risikere at stille spørgsmålstegn ved retssikkerheden i selve de retssager, man vil bruge data i.

Man må håbe, at nogen (= Pind) lytter til denne type argumenter også. At man, som jeg forstår det, risikerer at ramme uskyldige, og at risikoen måske er større end ved andre bevistyper. Men jeg frygter, at Pind og fortalerne for forslaget vil sige, at det må man bare tage med, hvis man vil fange terrorister.

  • 9
  • 0
#3 Sune Riedel

Man må håbe, at nogen (= Pind) lytter til denne type argumenter også.

Så vidt jeg husker, så er det højrefløjens opfattelse, at eksperter i virkeligheden bare er smagsdommere (var det forrige gang, de sad i regeringen, at de nedlagde en masse ekspertpaneler med den begrundelse?), så dem skal man naturligvis ikke lytte til - det er meget bedre at bruge sin intuition.

  • 22
  • 0
#4 Thomas Szücs

Er det mig der misforstår noget. Erhverver man sig en VPN forbindelse vil en sessionslogning ikke afsløre andet end at man kommunikere med én bestemt IP adresse hele tiden. Så dem som ønsker at være kriminel kan jo altid finde en udvej.

  • 19
  • 0
#5 Bjarke Haack Jørgensen

http://dataethics.eu/befolkningens-sikkerhed-i-en-digitaliseret-verden/

Jeg ved ikke om der stadig er ledige pladser, men hvis du bekymrer dig om den udvikling der sker politisk ift. befolkningens rettigheder, er dette et oplagt sted at starte. Ligeledes, hvis man er bekymret for folk der bekymrer sig om disse udviklinger er det også et godt sted at starte.

Som andre har pointeret kan vi ikke længere forlade os på at nogle (politikere) taler vores sag (ANPG, sessionslogning, CCTV osv.) for det lader til at der er forholdsvis stor politisk opbakning om øget social kontrol af befolkningen. Der er et stigende behov for at opponenter af denne udvikling får politisk indflydelse.

  • 13
  • 0
#6 Erik Trolle

Det er klart at mit tilfælde er bare en undtagelse der viser hvor lidt de kan få ud af " on the top" services. Jeg benytter VOIP (SIP) og jeg benytter en telefoni udbyder i England. Her går alle mine opkald over og hos ham er han gateway til det såkaldt public telenet om det er mod mobil eller fastnet. Jeg modtager alle ikke SIP opkald over min mobil. Så alle mine opkald skal de have fat i den engelske udbyder for at vide hvem jeg har talt med. Men det som gør det endnu mere sjovt er at jeg jo har min SIP på min Smartphone og den kan bruges på alle de netværk jeg kommer på, som hos venner, hjem, arbejde, hotel og alle andre wifi hotspots samt selvfølgelig 3G og LTE. Jeg får en ny IP hvert sted jeg er på et nyt netværk. Det må gælde enormt mange "on the top" tjenester som vi alle bruger mange steder fra.

Der må blive samlet så meget ubrugeligt data ved sessionslogning. Og jeg gør ikke på nogen måde noget for at gemme mig for nogen. Jeg kunne hive masser af eksempler ud hvor man opsamler data på sessions som bare ingen værdi har for nogen som helst efterforskning.

Det er jo sikkert at samtaler kommer til at gå over på IP og stadigvæk fra mobilen som vandre rundt mellem forskellige netværk. Kære politi god fornøjelse med en masse ubrugelig data.

  • 8
  • 0
#7 Christian Nobel

..til ovenstående: "Rigspolitichef ønsker adgang til internetbrugernes data" http://www.information.dk/telegram/562618telegram/562618

Hvilket jo i al sin sørgelighed viser at han slet ikke fatter tingenes sammenhæng.

Det virker som om Pind og Højbjerg stadig lever i drejeskivetelefonens tid, hvor der var en 1-1 kobling mellem parterne, og den tid de har talt sammen - og det prøver de så at overføre til datakommunikation.

Det er tragisk at lovgivning er baseret på direkte uvidenhed.

  • 16
  • 0
#8 Christian Nobel

Kære politi god fornøjelse med en masse ubrugelig data.

Som sagt, de forstår ikke teknikken, og prøver så at relatere den til noget de kender.

Og som vi har hørt visse tågehorn herinde føre sig frem med, så kan politiet jo bare kræve data fra vpn udbyderen i den anden ende - god fornøjelse med det, og hvis det så endelig lykkes, så kan de risikere at skulle lede manuelt gennem flere hundrede tusinde pakker, bare uret et skredet nogle få sekunder.

Det er rendyrket galimatias!

  • 12
  • 0
#9 Marc Munk

Som man kunne se i går på dr i dokumentaren fra Mariager så er maste data ikke nok til at fjerne mistaken fra ham der er sigtet for chikane. Grundet at det kun beviser at telefonen har været i nærheden af masten. Hvordan i alverden vil de så kunne bruge meta data fra telefonen til en evt domfældelse...

  • 10
  • 0
#12 Mogens Ritsholm

Sessionslogning giver ekstreme mængder af data om de maskiner, der har benyttet TCP over IP i direkte kommunikation.

Som belyst mange gange vil det sjældent efterlade spor af den egentlige kommunikation. Det gælder konsekvent for al mail og andre typer beskeder.

Det gælder overvejende for tale via tjenester på internet Af mindst to årsager går udviklingen væk fra direkte forbindelse mellem de talende. For det første giver direkte forbindelse en mulighed for at fange modpartens IP-adresse. Og det kan bruges til fraud. For det andet kan QoS bedre sikres med en indirekte forbindelse, fordi et hub kan placeres transmissionsmæssigt bedre i forhold til den fjerne modtager.

Teoretisk kan man godt forestille sig, at logning af maskine-maskine kommunikation kan være et delspor, hvor man via oplysninger fra tjenesteudbydere og andre internetudbydere, der er involveret i andre delstrækninger af den samlede kommunikation, kan finde belæg for en samlet end-to-end kommunikation. Men her skal man huske, at andre lande ikke sessionslogger. Så det er meget teoretisk og næppe realistisk, at den samlede "rejse" kan findes, fordi man kender den første strækning ud af døren.

Men hertil kommer en række spørgsmål, som JMIN slet ikke har med i det notat, som jeg har set.

Sessionslogning forudsætter, at nettet overvåger TCP og for mobils vedkommende klistrer celleinfo på registreringerne. Det er opgaver uden for nettets sfære. Det er ikke bare et krav om at gemme sine data, men et krav om at indrette sig operationelt på en bestemt måde.

Hvad betyder det for kendte internationale teleløsninger - f.eks. adgang til mobil via MVNO?

Hvad betyder det for de store internationale internetudbydere, som driver net til fortrinsvis store virksomheder via et internationalt net?

o.s.v.

Spørgsmålet er, om det særlige danske krav er en teknisk handelshindring, der både strider med EU-regler og WTO-aftalen for tele.

Disse spørgsmål har JMIN slet ikke på nethinden. I hvert fald ikke i notatet.

  • 12
  • 0
#13 Erik Trolle

Har du informationer omkring hvilke trusted VPN udbydere, der ikke logger kunders trafik og lagre denne information?

Alle forudsætter at man kører VPN mod en udbyder, jeg har haft en del kunder som har router/firewall med VPN i maven, med både klienter til PC'er og mobile enheder. Og os der leger med netværk sætter vores egen VPN server op fx. hjemme eller på en VPS(Virtuel Private Server) i skyen. Lav en server i Skyen for lidt over $2 hos Virpus.com om måneden og lav dit helt private netværk i Skyen med din egen VPN server, ingen snagen af nogen som helst og total ubrugelig fra et lognings synspunkt.

Når jeg kan finde ud af at lave sådan noget, så kan de grimme drenge det også.

PS: jeg kender ikke noget til Virpus.com, men fandt dem bare ved at browse på nettet.

  • 6
  • 0
#14 Ulf Herold-Jensen

Jeg havde fornøjelsen af at høre Højbjerg i radioen her til morgen. Det var beskæmmende. Han sagde faktisk at det ikke var politiets måde at behandle data på den var gal med, men den måde teleselskaberne havde logget dem på gjorde dem uanvendelige. Flot; det var altså selskabernes skyld at data var ubrugelige? Hvem havde specificeret hvad og hvordan der skulle logges?

  • 12
  • 0
#15 Anne-Marie Krogsbøll

Disse spørgsmål har JMIN slet ikke på nethinden. I hvert fald ikke i notatet.

Mon ikke det gemmer sig i nogle mørklagte ministerbetjenende forarbejder til lovforslaget? Det er svært at forestille sig, at "landets fremmeste hjerner" (eller hvad de omtales som) skulle have overset dette problem. Så at det ikke fremgår af notatet, bekræfter jo blot fornemmelsen af, at der nok er meget, vi ikke får at vide om dette tiltag.

Endnu engang spænder Mørklægningsloven sandsynligvis ben for demokratiet - den smule, der er tilbage af det.

  • 4
  • 0
#18 Mogens Ritsholm

Mon ikke det gemmer sig i nogle mørklagte ministerbetjenende forarbejder til lovforslaget? Det er svært at forestille sig, at "landets fremmeste hjerner" (eller hvad de omtales som) skulle have overset dette problem. Så at det ikke fremgår af notatet, bekræfter jo blot fornemmelsen af, at der nok er meget, vi ikke får at vide om dette tiltag.

Det kan jeg sagtens forestille mig.

Det er jo sådan, at det departementale ansvar for teleområdet i disse spørgsmål ligger hos energiministeren og erhvervsministeren. Så JMIN vil slet ikke begive sig ind i disse spørgsmål, men involvere omtalte ministerier. Og har de husket det?

Man kan sige, at JMIN alene har ansvar for at kræve til politiet, mens alle andre telefaglige spørgsmål henhører under andre ministerier.

Derfor kan JMIN heller ikke lave en vurdering af de samlede omkostninger. For så træder de ind på et andet ressortområde. De kan alene lave en vurdering af selve lagringsomkostningerne.

Det siger jeg allerede nu, så man måske har det for øje, når Pind kommer med sit bud på omkostningerne.

  • 5
  • 0
#19 Anne-Marie Krogsbøll

Tak for oplysende svar, Mogens Ritsholm. Jeg bliver hele tiden forundret og foruroliget over disse kig ind i magtens korridorer (så vidt jeg husker, har du insiderviden?). Det, der virker som almindelig sund fornuft, som at sikre, at alle aspekter af et givent lovforslag bliver vurderet, ser altså ikke ud til at være et bærende princip i det lovforberedende arbejde. Beskæmmende.

Men som der vel også ligger i dit svar: Det er vel JM's ansvar at anmode de relevante ministerier om at gøre deres del af arbejdet. Kan de virkeligt have glemt det?

Eller glemmer man det, hvis det er ubekvemt at kende svarene på de relevante spørgsmål?

  • 2
  • 0
#22 Mogens Ritsholm

I det nye lovforslag kommer sikkert et punkt om at alle data skal gemmes direkte i Excel-format - så bliver det nemt at lave filtrer og sorter... :)

Det var JMIN, der definerede sessionslogning. Fuld sessionslogning, som nu foreslås, var på bordet. Men teleindustrien påpegede de uhyrlige omkostninger, og at det var i strid med lovgrundlaget.

Lene Espersen fik pålæg om at finde en løsning.

Og så foreslog JMIN på kanten til andre net i de tilfælde, hvor nettet som udgangspunkt ikke kunne lave fuld sessionslogning.

Vi fandt 1:1000 tilstrækkeligt, men JMIN forlangte 1:500.

Det var ikke en forhandling. Det var JMINs suveræne ansvar at udforme reglerne. Vi var bare en kontaktgruppe til JMIN kaldet ekspertgruppen.

Vi påpegede at det var langt ud over direktivet og stadig tvivlsomt i forhold til lovgrundlaget.

Vi påpegede også, at værdien efterforskningsmæssigt var tvivlsom - også ved fuld sessionslogning. Og vi understregede, at vi ikke havde kendskab til lignende planer i andre lande.

Det er noget af det, der gør mig rigtig sur.

For PET sagde, at de var i nærkontakt med andre landes tilsvarende tjenester, og de havde viden om, at man f.eks. i Sverige ville kræve en tilsvarende sessionslogning.

Som bekendt udskød Sverige formelle krav om logning i en sådan grad, at de endte med at få dagbøder af EU. Og sessionslogning var aldrig på tale i Sverige eller i andre lande.

Så jeg har meget lidt tillid til, hvad der kommer fra den kant, selv om PET nu tilsyneladende har trukket sig helt ud af sagen.

  • 9
  • 0
#23 René Nielsen

Det er chokerende at man kan sådan en post som Rigspolitichef – med så lidt faktuel viden om det emne som han frit vælger at udtale sig om!

Hans prioritering bør være at få udskiftet det udslidte og og totalt umoderne Polsag system – i hvilket man skal manuelt indtaste rapporter flere gange, hvor sager ”forsvinder” uden nogen ved hvorfor, hvor man ikke kan lave ”fritekst søgning” men er afhængig af at et bestemt felt altid er udfyldt på en bestemt måde og et system hvor hver politimand i følge hans dyrt købte konsulentrapporter dagligt mister 45 minutter.

Jeg tager mig til hovedet når jeg hører at Rigspolitichefen i ramme alvor siger teleselskaberne havde gjort logningsdataene uanvendelige! Er manden så imbecil at han ikke ved at den slags data skal importeres og evt. konverterers ind i et analyseværktøj for at kunne anvendes til politimæssig efterforskning?

Hans udtalelser svarer til at jeg går ind på restaurant Norma og belærer chefkokken om at der skal mindst 2 kilo salt i Bernaisesovs til 4 personer.

Måske er manden er dygtig til noget andet - for indenfor dette emne burde han afgjort holde sin mund – fremfor at udstille sin massive uvidenhed om både sessionslogning og sine manglende management skills. For hvis ikke han presser på overfor justitsministeriet om at få et tidssvarende system, hvem gør så?

  • 10
  • 0
#24 Christian Nobel

Så jeg har meget lidt tillid til, hvad der kommer fra den kant, selv om PET nu tilsyneladende har trukket sig helt ud af sagen.

Det virker også lidt påfaldende at det primært er Rigspolitiet der på banen, og nu er argumentet:

"Sessionslogning er et vigtigt instrument, hvis vi skal blive ved med at bekæmpe alvorlig kriminalitet."

Dvs. væk er alt snak om terror, og væk er også PET, som jo burde være dem med hovedansvaret for efterforskning i forbindelse med terror.

Så det store spørgsmål er: hvad er det egentligt Regimet vil?

  • 5
  • 0
#31 Bent Jensen

Men har samme betydning som det livsfarlige våben af en køkkenkniven (i køkkenet), som politiet finder under en ulovligt rensning. Med basis i sessionslogning kan man altid finde et eller andet snavs, som et besøg på en udenlandsk hjemmeside, som kan bruges som basis for tiltale, dommerkendelser og undersøgelse, og dermed være døråbner til at undersøge dem man har lyst til. Så med basis i at vi sikkert alles sammen har lavet noget, som måske kunne være ulovligt, umoralsk eller bare dumt, kan alle med rimelig grund altid lægges til ansvar for et eller andet. Hvis myndighederne har brug for det.

  • 0
  • 0
#34 Henrik Nøjgaard

Ved at benytte VPN har du unddraget dig kontrol, hvilket indikerer at du har noget at skjule. Man kunne vel også forestille sig at netop VPN-brugere skulle gøres til genstand for "nærmere undersøgelser".

  • 0
  • 3
#35 Knud Jensen

Hvad kan denne liste bruges til i praksis?

Afsendende IP-adresse  
Modtagende IP-adresse  
Transportprotokol  
Afsendende portnummer  
Modtagende portnummer  
Volumental (antal bytes overført)  
Tidspunkt for påbegyndelse og afslutning af datasession

Eneste eksempel jeg selv kan komme på er hvis der er en server som udelukkende har ulovligt indhold, med en fast IP adresse, og denne befinder sig i et land hvor myndighederne kan bekræfte at ip'en er korrekt for den server. Så burde man, afhængigt af data mængden og varigheden for sessionen kunne sige noget om hvorvidt der var en som klikkede ind på en side ved uheld, eller bevidst besøgte den.

Men hvis det ligger på et webhotel, så kan der jo sagtens være et hav af forskellige sider på samme IP.

  • 1
  • 0
#36 Andreas Jensen

Du mener altså dirkte at alle der gør brug af en VPN har noget at skjule for myndighederne??

VPN bruges til mange andre ting end lyssky forretninger og pirateri på nettet...

Rent sikkerhedsmæssigt kunne jeg ikke komme til at arbejde hjmmefra uden VPN, men ud over det er der stadig et hav af muligheder, som ikke er baseret på ulovligheder..

  • 4
  • 0
#40 René Nielsen

Man kunne vel også forestille sig at netop VPN-brugere skulle gøres til genstand for "nærmere undersøgelser".

Med det IT niveau politiledelsen har kunne man godt frygte det var tilfældet, men jeg vil nu alligevel forsætte med at bruge VPN på alle mobile forbindelser, fordi de fleste IT angreb sker "tæt på offeret" som .f.eks. http://www.version2.dk/artikel/2000-loggede-paa-usikkert-wifi-i-barcelon...

  • 1
  • 0
#41 Flemming Larsen

Kogt lidt ned kan man sige at den form for logning er ubruglig når:

  • Brugeren kontakter en server hvor IP adressen deles mellem forskellige services (flertydighed 1:M).
  • Brugeren er koblet på et netværk med NAT med mange enheder/brugere (virksomhed/hotspot eller VPN mod samme. M:1).
  • Du deler SIM kort med andre (vi bytter hver 14 dag). Eller du skifter mellem flere kort.

Yderligere bliver det et maridt at få matchet pakker mellem forskellige udbydere pga af tidsforskelle på logningsdata.

Anklagemyndigheden skal stadig sandsynliggøre at det er er sigtede der personlig der har udført handlingen og hertil er IP logning ikke tilstrækkelig entydigt. Den kan derfor ikke stå alene i en efterforskning.

Data kan derimod bruges til profilering af den danske befolkning i et hiltid uset omfang hvilket burde være nok til at være imod dette lovforslag.

  • 2
  • 0
#42 Michael Cederberg

Er det mig der misforstår noget. Erhverver man sig en VPN forbindelse vil en sessionslogning ikke afsløre andet end at man kommunikere med én bestemt IP adresse hele tiden. Så dem som ønsker at være kriminel kan jo altid finde en udvej.

Som jeg forstår forslaget vil VPN udbydere også skulle logge sessions. Hvis du vælger en udenlandsk udbyder så skal du vælge en som ikke vil samarbejde med det danske politi.

Det er nok ikke svært at finde nogen som siger de ikke vil samarbejde. I praksis finder du først ud af om det er rigtigt når politiet efterforsker dig for en meget grov forbrydelse.

  • 0
  • 1
#43 Flemming Larsen

Udenlandske udbydere vil som udgangspunkt ikke være omfattet af de danske logningsregler. Så selvom de samarbejder med det danske politi er det ikke sikkert at de gemmer logfiler på et detaljenivau der kan bruges i en efterforskning.

  • 1
  • 0
#44 Mogens Ritsholm

Som jeg forstår forslaget vil VPN udbydere også skulle logge sessions. Hvis du vælger en udenlandsk udbyder så skal du vælge en som ikke vil samarbejde med det danske politi.

Nu er I vist på gale veje.

Hele forslaget om sessionslogning skyldes, at man ønsker spor af kommunikation via IT-tjenester som Skype, messenger mv., jf rigspolitichefens begrundelse

Men man kan kun stille krav til logning hos teleudbydere.

VPN er hidtil blevet betragtet som en IT-tjeneste. Ganske vist giver VPN-udbyderen dig videre transport via sin egen tilslutning til ISP. Men det gør ham ikke til teleudbyder, da du jo allerede hos ISP har betalt for din egen vej til slutmålet. VPN-udbyderen tilføjer ikke transportmæssig værdi.

Altså kan man ikke kræve, at VPN logger. Husk i øvrigt, at logningskrav ikke kun drejer sig om trafikposter. Men også bevarelse af kundeoplysninger, skift af identitet osv.

Hvis man vurderer, at VPN er en teletjenste på grund af den videre transport, vil mange IT-tjenester også pludselig blive teletjenester.

Og så kan man jo stille logningskrav direkte til disse IT-tjenester, hvorved der ikke er behov for de mere diffuse spor i ISPs sessionslogning.

Altså: VPN er ikke i udgangspunktet en teletjeneste, og man kan ikke kræve logning af en VPN-udbyder. Ændres dette syn er vi i en helt nyt scenarie, hvor sessionslogning er endnu mere ligegyldig.

Så der er kun ISP's sessionslogning når du bruger VPN. Og den viser hele tiden samme modtager. Måske har man også sessionslog af udgående forbindelse fra VPN ( i Danmark). Men det er lidt svært at korrelere, hvis VPN har flere kunder og i øvrigt sikkert også anvender udgående forbindelser til andre formål.

  • 4
  • 0
#45 Christian Nobel

Udenlandske udbydere vil som udgangspunkt ikke være omfattet af de danske logningsregler.

Og som Mogens korrekt fremfører, så er det en urban myte, måske med formål at skabe endnu mere usikkerhed, eller fylde endnu flere løgnagtige argumenter ind i debatten for derved at prøve at legitimere hele denne dårekiste.

Herudover skal man vist være noget af en dåre for at tro data overhovedet ville kunne korreleres - bare et lille skred i timing, og man vil være adskillige tusinde pakker ved siden af.

Herudover så kan der være formatmæssige forskelle der også gør at det i praksis vil være en umulig opgave.

Men typisk argument fra de overvågningsliderlige, som ikke fatter det tekniske aspekt.

  • 1
  • 0
#46 Mogens Ritsholm

Udenlandske udbydere er også omfattet af danske logningskrav, hvis de udbyder teletjenester i Danmark. Sådan er reguleringen på teleområdet. Den er national og omfatter alle, der udbyder en teletjenste på dansk område.

Men det afgørende er, om man udbyder IT-tjenester eller teletjenester, jf. mit tidligere indlæg.

  • 3
  • 0
Log ind eller Opret konto for at kommentere

Professor forventer ikke Schrems II-bøder lige med det samme

10

Dansk tænketank: EU's Digital Services Act kan få konsekvenser for ytringsfriheden

4

Nyt lovforslag om it-kriminalitet: Politiet skal have lov til at gå uden om domstolene

68
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
ctrlX AUTOMATION - Automation like a Smartphone
Whitepaper
Whitepaper
Endpoint Detection and Response - Advanced Threat Detection, Focused Investigation And Effective Response
Webinar
Webinar
IT Company Rank Insights Seminar
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder