En artikkel i New York Times fredag omtaler hittil ukjente dokumenter som formidler ny innsikt i gjøremålene og ambisjonene til den amerikanske etterretningstjenesten NSA.
Det viktigste av disse dokumentene uttrykker NSAs strategi innen signaletterretning for femårsperioden 2012 til 2016, datert 23. februar og stemplet «Top Secret»: SIGINT Strategy 2012--2016 (pdf, 5 sider). SIGINT står for «signal intelligence», altså «signaletterretning», det vil si datafangst fra elektronisk kommunikasjon. Motsatsen til SIGINT er HUMINT, «human intelligence», det vil si spioner.
Kommentarer som New York Times har hentet fra anonyme NSA-kilder etterlater ingen tvil om at strategidokumentet er ekte.
De andre dokumentene viser til et NSA-prosjekt for å samle data fra internettrafikk, med tanke på å kunne fastslå i tilnærmet sanntid hvor enhver pc, smartmobil eller annet utstyr befinner seg til enhver tid, samt hvem eieren er. Dette prosjektet, med kodenavn «Treasure Map», bygger på geografiske data, data om trådløse nett samt kunnskap om nettilbyderes IP-adresser.
Strategidokumentet
NSAs femårsplan for signaletterretning i perioden ut 2016 er svært kort. Etterretningstjenestenes visjon, mål og verdier beskrives i oppstemte vendinger.
Punktet om visjon viser NSAs selvforståelse: Signaletterretning er avgjørende for USAs sikkerhet. NSA er tjenesten som skal sørge for at alle som arbeider med den nasjonale sikkerheten har optimal tilgang.
Tiden vi lever i beskrives som «signaletterretningens gullalder». Alt folk gjør på nett skaper enorme mengder data. Dokumentet slår fast: «… sporene fra enkeltpersoner i samhandling med det globale nettet vil definere evnen til å lokalisere, beskrive og forstå entiteter».
Dette miljøet er krevende, fordi datamengden vokser så kolossalt. «Vi må proaktivt posisjonere oss for å dominere dette miljøet…» slås det fast. «SIGINT-systemet og vår bruk av den må gjøres like smidige og dynamiske som informasjonsrommet vi står overfor.»
Så kommer malurten: «Tolkningen og retningslinjene for å utøve våre fullmakter, og i noen tilfeller selve fullmaktene, har ikke holdt tritt med kompleksiteten til teknologien og miljøet vi opererer i, eller med de operative forventningene til NSAs misjon.» Dette er ille, siden «kyberangrep… kan paralysere det amerikanske samfunnet».
NSA trenger altså mer makt. Teknologien må gi tjenesten større rekkevidde. Parallelt må fullmaktene til å overvåke utvides. Strategidokumentet gir ikke detaljer i hvordan det skal skje. Det peker ut områder med forbedringspotensial.
«For at den skal ha verdi for våre krigere, må vår informasjon være umiddelbart tilgjengelig på laveste graderingsnivå.» I en epoke med krig mot terror, kan ordet «krigere» bety mye rart. Poenget her er at NSA ser ut til å ville kunne presentere etterretningsinformasjon til alle sine «kunder» i sanntid, og at de som har tillatelse til å søke i systemene skal ikke være forhindret av gradering ut over den grunnleggende klareringen. Hvis «alle skal se alt» stiller det alvorlige spørsmål rundt personvernet, noe strategidokumentet ikke problematiserer.
Det presiseres i dokumentet: «NSAs produkter og tjenester vil utvikle seg former og krysse grenser på en måte som gjenspeiler folks smidige samhandling i informasjonsalderens nettverk. Vi vil dele informasjon, sikkert og ansvarlig, med eksterne partnere og kunder.»
Kryptering
Det heter at NSA må fortsatt lede an innen anvendelser av kryptografi, slik at tjenesten kan «opprettholde tilgang til og innsikt i data også når kryptering blir automatisk, brukervennlig og allestedsnærværende».
Målet er altså intet mindre enn å kunne dekryptere alt, samtidig som ens egen kryptering skal være udekrypterbar for andre. NSA skal gjøre «full bruk av interne og eksterne partnerskap for sammen å avdekke mål, finne hvor de er sårbare, og overvinne deres forsvar av nettverk og kommunikasjon».
Målet er ikke bare å «motvirke utfordringen med allestedsnærværende, sterk, kommersiell nettverkskryptering». Det er også å «motvirke målenes kryptografiske programmer ved å rette alt mulig av signaletterretning og klassisk spionasje mot deres industrielle baser». NSA skal «nedkjempe motstandernes kybersikkerhet slik at vi kan sikre oss etterretningsdataene vi trenger, fra hvem som helst, når som helst og hvor som helst».
Det er tidligere reist begrunnet mistanke om at NSA har svekket internasjonale standarder for kryptering (se for eksempel vår artikkel Hva bør vi få vite?, om at NSM ikke vil avkrefte en mulig sårbarhet i regjeringens nye kryptering). Strategidokumentet gjør det til NSAs uttrykte mål å «påvirke det globale, kommersielle krypteringsmarkedet gjennom kommersielle forbindelser, spionasje og partnere i andre og tredje ledd».
Det betyr at NSA tar sikte på å skaffe seg bakdører overalt hvor de har muligheten til å påvirke, fra internasjonale standarder for algoritmer og nøkkelhåndtering til sikkerhetsprodukter på det kommersielle markedet. Det er ingen grunn etter dette til å være mindre skeptisk overfor amerikansk IT-sikkerhet, snarere tvert om. (Amerikanske bedrifter er allerede bekymret for innvirkningen dette kan få på deres eksport av IT-sikkerhet, se artikkelen Frykt for USAs kryptoindustri.)
I tillegg til kryptering, varsler strategidokumentet også betydelige investeringer fra NSA i fagområdet HPC, «high performance computing», altså tungregning. En begrunnelse for dette er bruk av HPC til å knekke kryptert informasjon.
Fullmakter og hjemler
Strategidokumentet fastslår at signaletterretning ikke kan gjøres «med optimal effektivitet», med mindre de juridiske og politiske fullmaktene gjøres like «tilpasningsdyktige og dynamiske» som informasjonsalderens teknologi.
NSA har selvfølgelig ikke til hensikt å bryte det juridiske rammeverket de anser seg bundet av. Det strategien går ut på, er «aggressivt å arbeide for juridiske fullmakter og et politisk rammeverk mer tilpasset informasjonsalderen». Dette krever en «dyptgripende og revolusjonær endring» i hvordan direktoratet for signaletterretning (Signals Intelligence Directorate) definerer sin misjon. Direktoratet må gjøres «smidig og dynamisk» – disse ordene er tydeligvis mantra – og det må ikke stå i mot kreativiteten og kompetansen til alle NSA-ansatte som brenner for å forsvare sitt land.
Hver gang utlendinger klager over amerikansk etterretning, forsikrer amerikanerne at den opererer innenfor amerikansk lov. Snowden-lekkasjene hittil har dokumentert at det ikke er åpenhet rundt hva amerikansk lov består i på dette området.
De siste månedene har vi erfart at kongressmedlemmer har fått munnkurv dersom de er gitt innsikt i etterretningsvesenet. USAs lovgivende forsamlinger har gått med på å frasi seg kontroll. En hemmelig domstol, FISA, avgir graderte kjennelser: Disse kjennelsene utvikler det praktiske regelverket for NSAs agenter. Unntaksvis gis det begrenset innsyn i en og annen kjennelse: Følsomme avsnitt er sladdet.
Det er følgelig ikke lett for agentene selv å vite hva som er tillatt. Strategidokumentet har en enkel løsning: «[Vi skal] bygge overholdelse av regelverket inn i systemer og verktøy for å sikre at alle ansatte holder seg innenfor lovverket og slipper å bekymre seg.»
Samtidig skal det fostres et miljø i NSAs signaletterretning som «oppmuntrer til og belønner mangfold, myndighet, fornyelse, risiko og smidighet».
IT-systemene for signaletterretning skal ikke bare samspille med eksterne partnere og kunder. Strategidokumentet nevner også at det skal integreres i et «nasjonalt nettverk av sensorer som interaktivt sanser, reagerer og varsler hverandre» i sanntid. Informantene til New York Times sier det dreier seg om sensorer beregnet på å verne forsvarsdepartementets datasystemer.
«Treasure Map»
Her viser New York Times bare til «andre dokumenter», lekket av Edward Snowden. Som nevnt, dreier det som om å kunne fastslå i tilnærmet sanntid hvor enhver pc, smartmobil eller annen type internettutstyr befinner seg til enhver tid, samt hvem eieren er.
Prosjektet følger mellom 30 og 50 millioner unike IP-adresser hentet fra tilbydere for å gi NSA en helhetlig oversikt over Internett, som fra «300 000 fots høyde».
NSA-informantene til New York Times sier Treasure Map per i dag ikke evner å følge enhver smartmobil eller pc på nett. Det brukes ikke til overvåkning, men til å skape innsikt i hvordan nettet fungerer.
Treasure Map støtter seg på et annet prosjekt, «Packaged Goods», som følger «sporruter», det vil si hvordan data beveger seg i nettet. Data for dette hentes, ifølge ikke-oppgitte Snowden-dokumenter, fra 13 servere plassert i datasentraler i land som Tyskland, Polen, Danmark, Sør Afrika, Taiwan, Russland, Kina og Singapore.
Her er det brukt fordekte metoder: Datasentralene som tappes for disse opplysningene, vet ikke om det selv. De har ikke inngått avtaler med NSA, og de vet ikke at de bidrar til Packaged Goods eller Treasure Map. NSA har benyttet seg av samarbeidspartnere: Disse har inngått avtaler med datasentralene om serverleie. Antakelig kjøres spesielle NSA-applikasjoner samtidig med legitime tjenester.
Dagbladet gjenga i går en NTB-melding med tittel «NSA overvåker datatrafikk i Danmark», med henvisning til en artikkel i avisen Politiken.
Danmarks justisminister Morten Bødskov, som tidligere har uttalt at regjeringen ikke har grunn til å tro at det foregår ulovlig amerikansk etterretningsvirksomhet i Danmark, ville ikke kommentere overfor Politiken. Det ville heller ikke representanter for landets egne etterretningstjenester.
Pernille Skipper, folketingsmedlem for venstreorienterte Enhedslisten, sier at hun vil kreve svar om hvorvidt NSA har fått tillatelse fra den danske regjeringen til å samle data fra servere i Danmark.