Datatilsynet advarer mot cybersenter

Forsvarsdepartementet vurderer å opprette et nytt cybersenter for å forsvare Norge mot dataangrep. Frp og SV kaller den nye sikkerhetsstrategien en snikinnføring av Datalagringsdirektivet, og Datatilsynet oppfordrer folk til å protestere.

Ny Tid

Ny Tids arkiv av artikler, skrevet av diverse skribenter.
(Se nederst i artikkelen, evt kontakt oss for skribent).

Datasikkerhet. – Vi har trolig gitt fra oss en god porsjon privatliv i bytte mot tiltak som har tvilsom effektivitet. Derfor kunne jeg tenke meg at flere ble mer bevisst. Vi må ikke glemme at vi har brukt mange generasjoner på å kjempe fram den friheten vi har i dag. Da er det trist om vi gir slipp på den uten nevneverdige protester, sier Leif T. Aanensen, avdelingsdirektør i Datatilsynet, til Ny Tid.

Advarselen retter seg mot utkastet til nasjonal strategi for cybersikkerhet som Nasjonal sikkerhetsmyndighet (NSM) la fram i januar, hvor det foreslås at det skal opprettes et nasjonalt cybersenter underlagt NSM.

Cybersenteret skal ha som sin overordnete oppgave å forebygge og håndtere dataangrep på infrastruktur og informasjon som er viktig for samfunnet. Senteret skal blant annet bidra i det internasjonale samarbeidet for å bekjempe kriminalitet på nettet, opprette felles standarder og krav til IT-systemer i både offentlig og privat sektor, og bekjempe og etterforske IT-hendelser.

– Trusselbildet på nett er de siste årene endret og forverret. Angrep på IKT blir stadig oftere brukt i konflikter og moderne krigføring, understreket forsvarsminister Grete Faremo da hun mottok strategiutkastet tidligere i år.

Kritisk til overvåkning

Datatilsynet advarer nå mot at nettbrukeres rettsikkerhet og personvern kan bli satt på spill fordi forslaget fra NSM gir både militær og sivil etterretning for vide fullmakter. I sin høringsuttalelse til NSMs forslag er Datatilsynet kritisk til at det nye cybersenteret skal få tillatelse til å lagre informasjon om personer som ikke har begått ulovlige handlinger.

Tilsynet trekker paralleller både til innføringen av datalagringsdirektivet i EU og FRA-loven i Sverige, hvor det svenske militæret ønsket å overvåke all elektroniske trafikk til og fra landet, og mener dette er feiltrinn som ikke bør gjentas:

«Tiltaket er så upresist formulert at tiltaket faktisk kan forstås dit hen at det etableres en omfattende lagring av trafikkdata og overvåking av lovlig aktivitet for å forhindre mulige fremtidige lovbrudd. Unøyaktigheten i teksten åpner faktisk også for lagring av innholdsdata. Et mer presist beskrevet tiltak vil være nødvendig. Datatilsynet gjør oppmerksom på at slik lagring av data fra hendelser, der hendelsene ikke nødvendigvis viser ulovlig aktivitet, ikke uten videre vil ha et behandlingsgrunnlag i norsk lovverk. Datatilsynet ber om at de siste års debatt om innføring av datalagringsdirektivet i norsk rett tas i mente ved vurdering av dette tiltak. Datatilsynet minner også om den problematikk som oppsto for norsk personvern i forbindelse med den svenske signalspaningsloven (FRA-loven)» skriver tilsynet.

NSMs utkast er nå til behandling hos Forsvarsdepartementet.

– En snikinnføring

Også SV advarer mot NSMs strategi for cybersikkerhet.

– Dette kan jo se ut som en snikinnføring av datalagringsdirektivet, og Datatilsynets påpekninger og kritiske merknader er i samsvar med SVs syn på saken. Det gjør jo alle norske borgere til mistenkte. Det er SV i mot. Vi har dessuten en etablert struktur for overvåkning i Norge, og trenger ikke ytterligere «kokker» i den strukturen, skriver Hallgeir H. Langeland (SV), medlem av Stortingets kontroll- og konstitusjonskomité, i en e-post til Ny Tid.

Langeland mener diskusjonen om nasjonalt cybersenter bærer likhetstrekk med omorganiseringen som forsvarsministeren gjorde av Forsvarets sikkerhetstjeneste (FOST) i 2009.

– Dette skjedde blant annet som en reaksjon på manglende åpenhet, og antakelser om oppbygging av en ny tjeneste. Fra SVs side regner vi med at den kritikken som Datatilsynet fremmer, tas hensyn til i det videre arbeid med utarbeidelse av strategien, understreker SV-veteranen.

Langeland får støtte fra Bård Hoksrud, som sitter i Transport- og kommunikasjonskomiteen på Stortinget for Fremskrittspartiet.

– Det er mye bra i notatet, men når det kommer til for eksempel datalagring, har man ikke engang vurdert personvernhensyn. Dersom vi ofrer personvernet og friheten for å styrke cybersikkerheten, er det lite igjen å kjempe for. Her må man ha en balanse der man veier ulike hensyn opp imot hverandre, sier Hoksrud.

Også han ser på forslaget fra NSM som en snikinnføring av datalagringsdirektivet.

– Knut Storberget er regjeringens største overvåkningstilhenger, og det er meget alvorlig dersom regjeringen snikinnfører Datalagringsdirektivet og lagring av innholdsdata gjennom å gi et nytt cybersenter fullmakter til å overvåke alt og alle.

Militæret kan etterforske sivile

Datatilsynet er også kritiske til et forslag om at militæret kan etterforske sivile lovbrytere:

«Datatilsynet er videre meget skeptisk om et slikt senter er tenkt en selvstendig rolle i forhold til å drive (…) etterforskning. Tilsynets skepsis styrkes ytterligere dersom plassering av en slik enhet legges innenfor en militær struktur. Etterforskning av straffbare handlinger er en politioppgave. Eventuell faglig assistanse eller bistand i etterforskning bør først skje etter konkrete henstilling fra politiet», skriver tilsynet i høringsuttalelsen.

Når Ny Tid kontakter Nasjonal sikkerhetsmyndighet, avviser de imidlertid at deres utkast om nasjonal strategi foreslår at cybersenteret skal ha etterforskningsmyndighet.

«I den utstrekning personopplysninger behandles, må det foreligge et hjemmelsgrunnlag for

behandlingen. Det er også fremholdt i utkastet til strategi at sikkerhetstiltak skal beskytte, og

ikke utfordre grunnleggende rettigheter, og at rettsikkerhet og personvern må veie tungt ved

regelverksutvikling på området», skriver Magne Wilhelm Hartvedt, fungerende informasjonsrådgiver for Nasjonal sikkerhetsmyndighet, på e-post til Ny Tid.

For Datatilsynet er imidlertid ikke NSMs grensedragning mellom sivil og militær ansvarsinndeling vanntett nok.

– Det er viktig å opprettholde det tradisjonelle skillet mellom hva som er en oppgave for det militære apparat, og hva er det som er sivile oppgaver, for politiet eller politiets sikkerhetstjeneste. Min oppfordring er krystallklar: Her må man trå utrolig varsomt og ikke begynne å iverksette etterforskningsliknende tiltak mot mennesker som ikke er satt under mistanke for noe som helst, sier Aanensen til Ny Tid.

Håper på protester

Sjef for Forsvarets informasjonsinfrastruktur, generalmajor Roar Sundseth, er imidlertid ikke bekymret for at rolleblandingen skal blir for flytende.

– Sikkerhetsloven er klar på hvem som har ansvar for hva, inkludert skillet mellom militær og sivil aktivitet. Nasjonal sikkerhetsmyndighet (NSM) har ansvaret for å beskytte sivile nettverk og Forsvaret har ansvaret for å beskytte eget nettverk, mellom her er det selvfølgelig noen grenseganger som må gås opp. Dette arbeider vi sammen med NSM om å løse, slik at vi kan få klare grenseganger og avklaringer rundt hvem som har ansvaret for hva, hevder Sundseth.

Aanensen i Datatilsynet håper den norske offentligheten vil si ifra i tide og protestere mot NSMs planer, slik folkeopinionen tvang fram endringer i FRA-loven i Sverige i 2006.

– Da signalspaningsloven var til behandling i Riksdagen i Sverige, kom det så massive protester at allerede tre måneder etter at loven var vedtatt, måtte regjeringen gå inn og justere den nylige vedtatte loven. Men det er vel ofte slik at man kan skru ganske godt til før folk roper at nok er nok. ■

NSM

■ Nasjonal Sikkerhetsmyndighet (NSM) har ansvaret for å kontrollere sikkerhetstilstanden i alle norske virksomheter som er omfattet av sikkerhetsloven.

■ Dessuten skal NSM beskytte informasjon og objekter som har betydning for rikets sikkerhet, mot for eksempel spionasje, sabotasje og terrorhandlinger.

■ NSM er underlagt Forsvarsdepartementet, men rapporterer også til Justisdepartementet.

---
DEL