Politiets sikkerhetstjeneste (PST) har bedt om en ny lovhjemmel for å kunne plante skadevare på datautstyret til personer mistenkt for alvorlig kriminalitet.
Den kontroversielle metoden er for lengst tatt i bruk av flere av våre nærmeste allierte, deriblant i Danmark, Tyskland og USA.
Teknologien har åpnet opp for nye tvangsmidler som hittil har vært lite debattert, til tross for at regjeringen akkurat nå vurderer å oppfylle PSTs ønsker.
– Så norsk politi vil infisere norske borgere? Dette har vi også i Finland, etter en lovendring som trådte i kraft 1. januar i år, sier sjefsforsker Mikko Hyppönen i F-Secure til digi.no.
Den finske sikkerhetsguruen har viet snart 21 år til bekjempelse av ondsinnet programvare, og er en av de mest kjente stemmene i bransjen. Han advarer mot overvåkingsstaten, men er ikke fullt så bekymret for politiets nye hackerverktøy.
Hyppönen skiller nemlig klart mellom målrettede aksjoner og masseovervåking.
– En pc-trojaner høres veldig skummelt ut, men i praksis snakker vi her om utvidelse av muligheter politiet har hatt i mange tiår, sier han og nevner flere eksempler:
– Var du mistenkt for mord for 30 år siden, kunne de avlytte fasttelefonen din. For ti år siden kunne de avlyttet mobilen, to år senere også tekstmeldinger og deretter hvor du befinner deg gjennom GPS-sporing av smartmobilen.
– For fem år siden ville de fått internettleverandøren din til å lagre datatrafikken din, men nå er en stor del av dette kryptert. Googlesøk er for eksempel kryptert i dag, så Telia og Telenor kan ikke se hva du surfer på. Det vet de ikke lenger og det irriterer politiet, sier han.
Politiets ønske om å ta i bruk skadevare for å overvåke kommunikasjonen til potensielle terrorister kan forsvares, mener Mikko Hyppönen, under visse forutsetninger.
– Hvis de bruker dette for å stanse terrorister, skolemassakre eller narkobaroner, så er det flott. Men hvis de infiserer systemet ditt og det viser seg at du er uskyldig, så er det vanskelig å tenke seg et større personvernbrudd, utført av dine egne myndigheter.
Hvis norsk politi får lovhjemmel til å bryte seg inn folks datamaskin, slik de allerede gjør i en rekke land, så må vi innbyggere kreve åpenhet rundt det, ifølge Mikko Hyppönen.
– Hvis politiet skal infisere systemene våre må vi innbyggere få vite om omfanget. For eksempel i årlige rapporter. «I fjor infiserte vi 194 datamaskiner tilhørende norske borgere. Av disse viste det seg at 161 var uskyldige, resten var skyldige». Vi må få vite hvor effektive disse tvangsmidlene er, sier han.
Uskyldige ofre for politiets skadevare bør også få vite om det i etterkant, gjerne med en unnskyldning fra politiet til de det måtte gjelde, foreslår Hyppönen, før han raskt legger til at dette med unnskyldning nok er mer ønsketenkning fra hans side.
– Det er nemlig umulig for oss innbyggere å avgjøre om denne teknologi blir brukt til noe godt, hvis vi ikke får vite hvor vellykket bruken er. Viser det seg at trojanerbruken i hovedsak rammer uskyldige, så nei, da bør de ikke ha denne retten. Hvis det derimot mest blir brukt til å fakke barnemishandlere og terrorister, så burde de kanskje ha denne muligheten.
– Men ser du ikke en reell fare for at myndighetsutviklet skadevare kan spre seg, slik at kode som i utgangspunktet var ment for målrettede operasjoner lekker ut og kan misbrukes av kriminelle?
– Det er en risiko for det, men den kan i mange tilfeller begrenses. Politets skadevare trenger ikke å spre seg. Det kan være en målrettet trojaner som aldri hopper videre til andre enheter. Dette er politiet så de kan skaffe seg fysisk adgang til utstyret, for eksempel ved husransakelse mens du er borte. De trenger ikke fjernhacke deg. Så er det alltids en fare for at teknikkene de benytter kan bli gjenbrukt av kriminelle, men om det faktisk skjer eller ikke vet vi ikke.
Mikko Hyppönen var det store trekkplasteret på Paranoia-konferansen i regi av Watchcom forrige uke. Les også vår reportasje og de øvrige sakene fra intervjuet vårt med den finske sikkerhetsguruen.
Les også:
- [31.03.2014] Er Snowden en helt eller forræder?
- [27.03.2014] Velkommen til 1984, bare verre