For noen uker siden fant Datatilsynet ut at det var OK for offentlige etater å bruke Google Analytics for å få statistikk over bruken av sine nettsider, så sant Google på mottakersiden anonymiserte IP-adressene og ikke bruke informasjonen til annet en analyseformål. Det syntes jeg var en merkelig konklusjon, når en vet hvordan bruk av Google Analytics vil føre til at innbyggernes bruksmønster lekker også til andre enn Google. Spesifikt vil USAs og Sveriges etterretningsvesen også få tilgang til bruksmønsteret.
Her er en rask oppsummering, for å forstå hva jeg mener. Bruk av Google Analytiks på et nettsted innebærer at alle nettsider får en referanse til en fil hos Google (http://www.google-analytics.com/ga.js), som og denne filen hentes ned fra Google av nettlesere med JavaScript-støtte når en side på nettstedet vises frem. De aller fleste bruker nettlesere med JavaScript-støtte, så dette gjelder de aller fleste brukere. Filen som hentes ned er et program som kjøres i nettleseren hos brukeren, og informasjon om brukerens nettleser sendes inn til Google for analyse via Google Analytics. Det går altså trafikk fra innbyggeren til Google to ganger for første side som besøkes, en gang for å hente JavaScript-programmet og en gang for å sende inn informasjon om brukeren til Google Analytics. For påfølgende sider går det kun trafikk en gang, da filen kun hentes ned første gang den tregs. Begge gangene det går trafikk til Google vil trafikken inneholde IP-adressen til innbyggeren. I tillegg sendes det med informasjon om hvilken nettside brukeren besøkte, først ved hjelp av Referer-informasjon når JavaScript-programmet hentes, og direkte i henvendelsen når Google Analytics oppdateres.Jeg har ikke oversikt over hvor alle Googles tjenermaskiner befinner seg, men Google kan hvis de ønsker det plassere alle de tjenermaskinene som brukes av Google Analytics i USA. For norske brukere, kan det dermed gå trafikk fra Norge til utlandet minst en og gjerne flere ganger når en besøker en side hos et nettsted som bruker Google Analytics. En stikkprøve mens jeg skrev denne teksten viste at tjeneren min nettleser skulle snakke med for å sende informasjon til Google analytics var i USA. Det meste (all?) av trafikk fra Norge til utlandet går via Sverige, og all trafikk fra Norge til USA passerer USAs grense.
I følge den svenske FRA-loven, har svensk signaletterretningstjeneste lov til å snappe opp og analysere all trafikk som passerer de svenske grensene. De trenger ikke rettskjennelse eller annen godkjenning, og det er allment akseptert i IT-kretser at slik analyse skjer i dag. En kan dermed gå ut ifra at alle norske innbyggere som besøker et nettsted som bruker Google Analytics også holder svensk signaletterretningstjeneste orientert om hvilke nettsider de ser på.
I følge PATRIOT-loven og FISAAA-loven i USA har etterretningsorganisasjonen også der lov til å snappe opp all trafikk som passerer USAs grenser (der har de vel sagt at all kommunikasjon som involverer folk uten statsborgerskap i USA). De trenger heller ikke der rettskjennelse eller annen godkjenning, og det er allment akseptert i IT-kretser at slik analyse skjer i dag. En kan dermed også gå ut fra at USAs etterretning er orientert om norske innbyggeres bruk av nettsteder som bruker Google Analytics.
I tillegg til disse landene passerer trafikk på vei mot Google
Analytics i dag Danmark og Nederland. Hvorvidt disse snapper opp og
analyserer trafikken som passerer grensene er ikke alment kjent.
og fra norske innbyggere som
- avtale med google
- ignorerer FRA-loven
- ignorerer PATRIOT act og XX-loven
- trafikk sendes fra brukertil google,og alle på veien kan snappe opp
brukerens besøk.
- hvem bruker Google Analytics i dag