Forslaget om å la E-tjenesten overvåke all datatrafikk som krysser landegrensen har som ventet fremkalt sterke reaksjoner. Forslaget slaktes av Datatilsynet. Etter at høringsrunden er lukket, er debatten om det såkalte «digitalt grenseforsvar» (DGF) omsider i full gang.
Men skal vi ha en opplyst debatt, er det klokt om flere er klar over at det allerede eksisterer et digitalt grenseforsvar i Norge.
Det ble etablert helt uten offentlig debatt tilbake i 2000 og heter Varslingssystem for digital infrastruktur (VDI).
Fra den gangen: Hemmelig norsk overvåkning innført - uten behandling i stortinget
Tidspress
Dette digitale grenseforsvaret består av «noder» utplassert på brannmurnivå hos en mengde private og statlige virksomheter av såkalt nasjonal viktighet.
Og dette alternativet er viet lite plass i rapporten til Lysne II-utvalget. Det er en åpenbar svakhet med arbeidet.
– Årsaken er delvis knyttet til tidspress, og delvis at VDI drives av Nasjonal sikkerhetsmyndighet (NSM) og ikke av etterretningstjenesten, vedgår informatikkprofessor Olav Lysne, utvalgets leder til digi.no.
Kikker vi på utvalgets mandat (rapporten finner du her), står det at de særlig skulle vurdere verdien av DGF målt opp mot de overvåkningstiltak som allerede er iverksatt i regi blant annet av NSM, det vil si VDI – uten at verken rapporten eller debatten bærer noe preg av det.
Få også med deg vår podcast: – Fremmede makter angriper oss daglig
Passe på gjerdet
La oss minne om at NSM er del av de hemmelige tjenestene. De har selv brukt følgende forklaring for å beskrive rollefordelingen:
«Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem utenfor gjerdet, og PST holder orden inne på eiendommen».
Lysne II hevder at mangel på en DGF-mekanisme vil ha negative konsekvenser for myndighetenes evne til å håndtere digital spionasje og infiltrasjon, digitale anslag mot samfunnskritiske infrastruktur og terrorisme.
Les også: Kripos krever adgang til overskuddsinfo
Jakte dumme terrorister
Men som vi snart skal se, er dette, etter min oppfatning, helt feil. Kanskje med unntak for det siste – og da bare for terrorister som ikke vet å kryptere kommunikasjonen sin. Så dumme er de ikke.
Merk at NSM nettopp har fått hjemmel i sikkerhetsloven til en sitat «uhindret adgang til ethvert område hvor skjermingsverdig informasjon eller objekt befinner seg». Les paragraf 10 som trådte i kraft fra nyttår.
Det burde holde for å verne kritisk infrastruktur. Det er selvsagt langt å foretrekke at våre folkevalgte, departementer, strømselskap, vann- og avløp etc. overvåkes – enn at hele befolkningen blir masseovervåket.
Jeg får lyst til å si det slik: VDI er et ekte digitalt forsvarsverk, mens DGF er et instrument som – hvis det glir ut eller misbrukes eller databasene lekker eller hackes – kan ødelegge og uthule personvernet til alle borgerne.
Vi kan ikke diskutere slike omstridte virkemidler som ligger på forslagsbenken uten å vurdere verktøy myndighetene allerede har innført.
Kritisk infrastruktur - ikke hele befolkningen
NSM ba i fjor om en utvidelse og opprusting av VDI, samt at ordningen gjøres obligatorisk hos virksomheter med kritisk infrastruktur, ikke frivillig som i dag.
En plikt til å slutte seg til VDI for slike aktører, har vært ute til høring, men Forsvarsdepartementet har sett seg nødt til å utrede spørsmålet videre. Dette med bakgrunn i fremtidig finansieringsmodell for VDI og overvåkningssentralen NorCERT.
I dag betaler mange av de tilsluttede virksomhetene hundretusener av kroner for å være med i sensornettverket. NSM har bedt staten ta regningen. Hva regjeringen lander på, blir først klart når de legger fram lovforslag til behandling i stortinget, etter planen i løpet av våren.
Lysne II-utvalget skal ha skryt for å ha bakt inn en domstolskontroll, tilsynsfunksjon og andre begrensninger i sitt DFG-forslag. Dette har alltid manglet med VDI, men behovet er ikke det samme når det er en ganske begrenset mengde virksomheter og kritisk infrastruktur, ikke den samlede befolkningen, som får datatrafikken sin avlest.
Det er selvsagt langt å foretrekke at VDI utvides litt, noe som høyst sannsynlig kommer til å skje uansett, enn at Norge innfører masseovervåking.
Lysne II-rapporten fortjener kritikk for ikke å ha drøftet dette nærmere, spesielt når det så tydelig lå i mandatet deres å gjøre det.
I stedet avfeier de VDI-alternativet som for dyrt og ressurskrevende, men det er fordi de av en eller annen grunn regner med alle norske virksomheter, når de skriver:
«Utplassering og drift av sensorer i hver enkelt virksomhet er svært ressurskrevende. Dette medfører at slike sensorer kun kan plasseres ut i et fåtall utvalgte virksomheter som er en del av, eller understøtter, nasjonal kritisk infrastruktur.»
Billig
Hvis mesteparten av poenget er å verne kritisk infrastruktur, så er det nettopp et fåtall av virksomheter som trenger å være med. Og da koster VDI nærmest ingenting.
Programvaren har NSM bygget selv på open source, den er standardisert og kjører på ordinære VMware-servere. Har man ikke en slik boks, vil en fysisk installasjon koste anslagsvis 20 000 kroner, ellers er det bare internettoppkobling som trengs.
Les også kommentaren: Kan Norge forhindre et kyberangrep?
Hør vår podcast hvor Olav Lysne og Bjørn Erik Thon debatterer: