Jeg ser det så tydeligt for mig. En eller anden har hvisket til vores justitsminister ”hvis vi ved alt om folks færden på nettet, SÅ kan vi opklare forbrydelser og forhindre terror som aldrig før…”, og det lyder da også forjættende.
Men der er bare SÅ mange problemer med sessionslogning, at det ikke er til at forstå, at der er nogen der stadig synes det er en god idé. Men det er selvfølgelig en let, og populistisk, måde at virke handlekraftig på. En måde at sige til befolkningen, politiet og andre politikere, at ”jeg er handlingens mand – se hvor jeg handler.” Og politik handler jo en gang om at beholde bagdelen på taburetten – det har jeg fattet.
Det ændrer dog ikke en tøddel ved, at der er store problemer med sessionslogning, både praktiske og etiske.
Lad os antage at det rent faktisk kan lade sig gøre at logge og (sikkert) opbevare folks sessionsdata. Det bringer os nemlig lige til det første problem som jeg tvivler på, at vores kære justitsminister har taget med i betragtningerne: ”Er det etisk i orden at overvåge os alle 100% af tiden?”
For det er præcist det der bliver lagt op til med sessionslogning. Hver eneste gang du logger på nettet, så skal der logges, hvor du befinder dig, hvad du foretager dig, hvor store datamængder du sender og modtager, og ikke mindst hvilken transportprotokol du benytter dig af – altså er du på Skype, e-mail eller lignende. Indtil videre vil de, trods alt, ikke have logget alt indholdet også, men vi er altså tæt på.
Så altså – ”Er det etisk i orden at overvåge os alle 100% af tiden?” Den form for overvågning får mig til at tænke på George Orwells roman 1984, hvor der var en samfund hvor alle blev overvåget altid.
Den totale overvågning skræmmer mig
Det er et scenarie der skræmmer mig voldsomt. Ikke fordi jeg har noget at skjule, men fordi jeg ikke vil være del af et samfund, hvor vi alle som udgangspunkt bliver betragtet som skyldige i alle arbitrære forbrydelser. Hvis jeg godt ville være del af sådan et styre, så ville jeg flytte til Nordkorea.
Overvågning er nemlig første skridt på vej hen mod en politistat – en stat hvor myndighederne altid skal vide alt, og hvor der bare skal et enkelt råddent æble til, før informationerne bliver misbrugt.
Og det er netop misbrugte af informationers er skræmmer mig – ikke overvågningen i sig selv. Men det at der er nogen der har alle informationer om, hvad jeg laver og dermed også en potentiel mulighed for at ændre på de data, og dermed hænge mig, eller andre, ud for gerninger som vi ikke i praksis har gjort.
Nu hører jeg hylekoret fra politikere, embedsmænd og ikke mindst vores politi: ”Den slags ville vi aldrig gøre. Der er kontrolinstanser der forhindrer misbrug. Det er kun de skyldige der har noget at skjule” og så videre. Men nej det er ikke rigtigt.
Det kan meget vel være, at de nuværende politikere, embedsmænd og politifolk ikke vil misbruge de data – men hvem kan sige, hvad der sker om et halvt år? Der skal kun et enkelt svagt led i kæden til før den brister, og det er det enkelte svage led der er problemet. Og når det kommer til kontrolforanstaltninger mod misbrug? Tja – jeg har endnu ikke set et system der er 100% vandtæt. Alle systemer har svagheder, og de skal nok blive misbrugt.
Intentionerne kan være nok så noble, men jo flere informationer der samles om folk, jo lettere er det at misbruge dem.
Historien viser så med alt ønskelig tydelighed, at når noget kan misbruges, så bliver det også misbrugt. Se bare på, hvordan vores danske politikere altid fortæller deres egen version af sandheden, specielt i en valgkamp, også selvom de har masser af informationer der viser noget andet. Informationer kan og vil blive misbrugt, og der er ingen grund til at åbne op for den Pandora æske.
Teknisk, økonomi og sikkerhed
Men lad os bare kigge væk fra mine egne personlige antipartier mod overvågning. Lad os bare lege med tanken om, at alle er gode og rene, ingen politikere, embedsmænd eller politifolk vil nogensinden kunne få den tanke at misbruge de data der opsamles (undskyld mig lige mens jeg griner højlydt her…)
Det bringer os hen til de tekniske udfordringer. For pludselig bliver teleudbyderen pålagt (igen) at skulle logge og gemme alle de data der dagligt genereres på deres netværk.
Den datamængde er enorm. Politikerne lægger en teknologisk byrde over på dem, en byrde der hedder noget i stil med: ”I skal gemme alle data, og I skal gemme dem sikkert – gør det.” De tænker ikke på de enorme tekniske udfordringer som teleudbyderne pludselig står overfor.
De forlanger at de skal investere enorme summer i den teknologi der kan opsamle data, at de skal købe servere der kan opbevare data, og at de skal investere i de sikkerhedsforanstaltninger der kræves for at etablere bare et minimum af datasikkerhed.
Se – det synes jeg simpelhen er uanstændigt. Vores kære justitsminister og de politikere der stemmer for en lov, kan umuligt have tænkt over, hvilken økonomisk byrde de pludselig lægger på teleudbyderne – en udgift som forresten nok skal blive tørret af på forbrugerne, bare vent og se.
Hvis de virkelig mener denne lov, var det så ikke på sin plads at de sender penge efter loven, så teleudbyderne kan blive holdt skadesløse?
Det sidste jeg så lige er nødt til at vende, er sikkerheden. For tænk nu hvis (læs: når) de data bliver lækket? Pludselig sidder der cyberkriminelle med adgang til en guldgruppe af informationer om os. Informationer der kan bruges til identitetstyveri, til at udforme tæt på perfekte phishing emails og til sociale engineering på et niveau vi aldrig før har forestillet os.
Lur mig om ikke teleselskaberne vil blive meget attraktive mål for de cyberkriminelle. Der vil komme cyberangreb mod den i en størrelse vi ikke før har set, og ja – hvis data ikke bliver lækket ad andre veje, så skal de nok blive hevet ud af dem, af de stadig dygtigere cyberkriminelle.
Kun de uskyldige vil blive overvåget
Men problemet stopper faktisk slet ikke her. For skulle loven nu blive vedtaget og skulle det vise sig, at data hverken bliver misbrugt, lækket eller hacket, så er der et helt andet problem som vores kære politikere næppe har tænkt over:
De cyberkriminelle, dem der har noget at skjule, vil da ikke bare sidde og lade sig overvåge. Det vil være naivt udover alle grænser at tro, at de bare vil lade sig overvåge, uden at gøre noget som helst.
Så snart den lov træder i kraft, så vil de dygtige cyberkriminelle begynde at kryptere alt datatrafik og flygte over på Tor-netværket. Og så kan vi altså logge og overvåge alt det vi gerne vil – vi vil ikke bliver klogere – overhovedet.
Ja – der vil være nogle cyberkriminelle der ikke tænker over det, men det er de samme der er så dumme at de hacker fra egen computer, som ikke spoofer deres mail, ip- eller Mac-adresse og som alligevel bliver opdaget.
De eneste der reelt vil blive ovevåget vil være alle dem der alligevel ikke har noget (seriøst) at skjule. Alt vi kommer til at stå tilbage med er petabyte af ubrugelige data – noget som sidste periode med sessionslogning også viste.
Så kære justitsminister: Vågn nu lige op og tænk jer om Sessionslogning kommer ikke til at hjælpe vores politi på nogen måde. Det er en utopi, og alt I opnår med det, er en rasende befolkning, og cyberkriminelle der trækker i skjul og alligevel ikke vil bliver overvåget.