Statsretter og Menneskeretter
FBI & NSAs "reverse-hack" af Exchange Servere vil formodentlig gå over i historien som et juridisk vandskel.
Liberalister mumler bekymret om "expropriation" og "privatliv" og det er bestemt ikke uvæsentlige pointer.
Men lad os lige få noget på plads først.
Hvad enten man henter sine rettigheder i den europæiske konvention om menneskerettigheder (ECHR) eller FN's ditto (UDHR), bliver man nødt til at forholde sig til underskriften:
Trakterne er underskrevet af stater og hvis man læser dem ordentligt, giver de ikke noget bort som de kunne få brug for senere.
Graver man dybere når man til den Westfalske fredskongress i 1648, hvor staterne blev enige om at de hver især havde autonomi og herskeret indenfor deres egne grænser.
Jeg kan ikke finde den dommerkendelse der gav NSA og FBI grønt lys til operationen, men jeg er ret sikker på hvad den siger: "statens og borgerenes sikkerhed" og der slutter festen.
Juridisk set er sagen ikke forskellig fra hvis myndighederne opdagede, at et stort antal virksomheder havde modtaget uønskede aflåste 20' containere, som ved nærmere eftersyn viser sig at indeholde sprængstof med en radiostyret detonator.
Selv ikke den mest rabiate menneskeretsjurist, vil være i tvivl om at staten uden varsel kunne køre igennem porte og hegn for at fjerne disse containere og skrive et brev til ejeren bagefter.
Med det af vejen kan vi rette synet imod det interessante spørgsmål:
Er det en branche stater bør være I og hvornår skal de være det ?
Indtil videre har svaret været et rungende nej, primært fordi det ville koste staten en masse penge og rejse en masse ubehagelige juridiske spørgsmål[1].
Men selvfølgelig er der en grænse, en stat kan ikke tillade at andre stater, stort set uhindret, opererer indenfor grænserne og med USAs nye regering er den grænse tydeligvis blevet flyttet.
Der er ingen tvivl om at de "flere hundrede" Exchange servere juridisk var den simpleste sag at starte med: Serverne står i virksomheder, så det er slet ikke nødvendigt at tage stilling til "boligens ukrænkelighed", eller for den sags skyld "privatliv", for virksomheder har ingen rettigheder på det punkt.
Det bliver mere speget når vi kommer til Internet-of-Shit i private hjem.
Det er nogenlunde juridisk klart at USA kan overvåge metadata på folks internetforbindelser uden de store juridiske sværdslag og derfor er detektion af f.eks trojan'ed baby-alarmer, køleskabe, dørklokker, termostater, biler eller andet ikke et problem[2].
Men vil det være juridisk OK for USA at bruge et hul i baby-alarmen til at brick'e den ?
"That is a very interesting question, and who knows what the retirees would think of that?" svarede en jurist, med henvisning til USA's Højesterets meget lidt "cyber" sammensætning.
Kigger vi på Danmark har jeg meget svært ved at forestille mig en tilsvarende operation.
FBI's modstykke er Rigspolitiet og NSA's forebyggelsessektion svarer til CfCS.
Forskellen i både budget og kompetence kan dårligt værre mere dramatisk[3].
Ud over det indlysende "Olsenbanden" eller "Keystone Kops" aspekt, betyder det også at staten Danmark ikke aner om der er et problem til at begynde med.
SolarWinds har dog tydeligt slået fast at det er der og samtidig vist at man kan ikke bare overlade problemet til "aktørene selv"[4]
Det er endnu ikke en hastesag for staten Danmark at tage beslutninger om dette betændte emne.
Men når det pludselig bliver det, er det for sent at gøre det.
phk
[1] F.eks hvofor FBI ikke burde sende regningen for operationen og alle eventuelle erstatningskrav direkte til Microsoft ?
[2] NSA er inkompetente, hvis de ikke allerede har katalogiseret og indexeret den viden.
[3] Glem ikke at FBI aflyttede kommunikationen mellem CIA's direktør og hans elskerinde(!)
[4] Har nogen overhovedet overvejet om SKI aftaler medvirker til uhensigtsmæssige IT-monokulturer ?

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.