Hvorfor skal disk efter disk fyldes op med data om danskernes brug af internettet, når disse tilsammen flere billioner nedslag alligevel stort set aldrig bliver brugt?
Siden 2007 har reglerne om sessionslogning betydet, at header-oplysninger om hver 500. pakke, som danske internetkunder sender og modtager, skal gemmes i et år. Tanken var at give politiet et indblik i, hvilke webservere en mistænkt havde været i forbindelse med. Men den efterforskningsmæssige effekt af disse data har været yderst begrænset.
»Det er så nemt at se, at der er noget helt galt med sessionslogning. Over 90 procent at de data, der bliver logget med telelogning, er sessionslogning, og det bliver jo ikke brugt til noget,« siger Christian Panton, datalog og medstifter af Bitbureauet, som arbejder for et frit internet.
En række tekniske forhold og problemer, uenighed om formater, manglende it-modenhed hos Politiet og lovens manglende forståelse af internettets natur har gjort, at sessionslogningsdata i langt de fleste tilfælde er helt værdiløse. Det fremgik - med lidt andre ord - af en redegørelse om telelogningen fra Justitsministeriet, som blev offentligt kendt i februar.
Alligevel blev lovforslag 142 i denne uge vedtaget i Folketinget, og dermed bliver den flere gange udskudte revision af logningsreglerne endnu engang udskudt, nu til 2014-2015. Undervejs i forhandlingerne forsøgte Enhedslisten at samle flertal for at stoppe sessionslogning, men fik kun Venstre og Liberal Alliance med, hvilket ikke gav nok mandater.
Læs også: Grønt lys for fortsat netovervågning
Gør det ordentligt
Hos Bitbureauet er håbet, at sessionslogning bliver droppet helt - men hvis det skal køre videre, er det til grin ikke at få rettet op på de indlysende fejl, mener Christian Panton.
»Det må være alt eller intet. Enten skal man gøre det ordentligt, ellers skal man lade være. Justitsministeriets ultimative drøm er jo nok en fuld logning af alle de sider, du besøger, men det vil blive meget dyrt - og så tror jeg ikke længere vi kan tillade os at kritisere Kina og Syrien for deres kontrol med internettet,« siger han til Version2.
Udover de tekniske problemer, der blandt andet gør, at kun små teleselskaber kan logge deres kunder præcist, er der tilsyneladende meget forskellige fortolkninger af reglerne hos teleselskaberne.
For omkring et år siden bad Christian Panton om registerindsigt hos 3, hvor han er kunde, og her fik han sessionslogs med kun én registrering pr. dag.
»De opfattede åbenbart én session som perioden fra jeg fik forbindelse til internettet fra min telefon om morgenen, og så frem til, at jeg gik i seng om aftenen,« siger han.
Andre selskaber, som logger header-oplysninger fra hver 500. pakke, der er en anden mulighed, står med en enorm mængde data, som siger meget lidt om, hvad en computer faktisk har været brugt til. En webside er i dag nemlig typisk bygget op med indlejret indhold fra mange forskellige kilder. For eksempel vil ét besøg på Politiken.dk sende 4.000 pakker over 140 forskellige forbindelser fra 25 forskellige IP-adresser.
»Det er en meget voldsom mængde data, du får ud af det, og langt det meste er fra reklamer, trackingsystemer og content delivery networks, hvis for eksempel billeder bliver offloadet til andre servere,« forklarer han.
Længe ventet revision af reglerne udskudt igen
Med vedtagelsen af lovforslag 142 blev den flere gange udskudte revision af logningsreglerne endnu engang udskudt. Begrundelsen var nu, at regeringen ville afvente nye EU-regler om telelogning. Men den forklaring forstår Christian Panton slet ikke.
»Danmark ville stå rigtig godt, hvis vi faktisk vidste noget om vores erfaringer med sessionslogning, når diskussionerne skal tages i EU om de nye regler, i stedet for at vente til bagefter. Vi har fået en redegørelse med ét eksempel på brug af sessionslogning (ved et netbanktyveri, red.), men vi har ikke fået noget statistisk overblik over, hvor meget det bliver brugt, eller hvor længe det giver mening at gemme disse data. Vi må se detaljeret på, hvor lang tid der går, før politiet rekvirerer disse data, og så tilpasse reglerne,« mener internetaktivisten.
Hans modstand mod sessionslogning bunder - udover det meningsløse i den nuværende, næsten ubrugelige implementering - også i frygten for misbrug.
»Jeg er bekymret for, om den slags data bliver lækket. Hvad sker der for eksempel, hvis et teleselskab går konkurs? Der er en latent mulighed for, at overvågningsdata kan bruges til alt muligt. Det synes jeg er ret problematisk,« siger han.
Han nævner for eksempel de kinesiske hackere, som infiltrerede Google og Yahoo for et par år siden. Her gik de direkte efter de amerikanske webmail-giganters afdeling for ’lawful interception’, altså den funktion, der udleverer data til FBI og CIA.
»Det var smart, for derfra har man fuld kontrol og adgang til alle informationer. Den eneste løsning på det problem er at minimere mængden af data, vi har liggende i den slags systemer,« siger Christian Panton.
