Petter Reinholdtsen

Tenk om et norsk sykehus delte informasjon om hva som blir lest og hvem som leser på sykehusets nettsted, med noen som samarbeider med et fremmed lands etterretningsvesen, og at flere andre fremmede lands etterretningstjenester kan snappe opp informasjonen.

Tenk om flere sykehus, kommuner, helsestasjoner, universitet, høyskoler, grunnskoler, Stortinget, det meste av offentlig forvaltning, medier, adopsjonstjenester og krisesenter gjør det samme?

Tenk om de som lytter kan holde oversikt over norske borgeres interesser, sykdommer, rusmisbruk, adopsjon, abort, barnehager, politiske interesser og sympatier samt hvilke argumenter som har best effekt på beslutningstagere og måter de kan påvirkes. Ville det gitt grunn til bekymring?

Høres det ut som noe tatt ut fra fantasien til George Orwell, forfatteren av dystopien 1984? Det er virkeligheten i Norge i dag, takket være bruken av statistikktjenester som Google Analytics.

Du kan beskytte deg

Men borgerne har et forsvar mot dette angrepet på privatsfæren. Dagens nettlesere har utvidelser som støtter å blokkere slik utlevering av informasjon. Personlig bruker jeg Privacy Badger, Ghostery, NoScript og AdBlock, og anbefaler alle å gjøre noe tilsvarende. Merk at noen av verktøyene lekker informasjon, i tillegg til å gjøre en nyttig jobb, så det er lurt å bruke flere sammen. I tillegg bør hver og en av oss sende inn protest til organisasjonene bak nettsteder som bidrar til dette inngrepet i privatsfæren.

Hvem bidrar til overvåkningen?

Takket være Ghostery la jeg merke til at flere og flere norske nettsteder begynte å la Google Analytics overvåke brukerne. Jeg ble nysgjerrig på hvor mange det gjaldt, og gikk igjennom ca. 2700 norske nettsteder, hovedsakelig offentlig forvaltning. Jeg laget et system for å koble seg opp automatisk og sjekke hvor nettstedene spredte informasjon om besøket. Jeg ble overrasket både over omfanget og hva slags nettsteder som rapporterer besøksinformasjon ut av landet. Omtrent 70 prosent av de 2700 sender informasjon til Google Analytics. Noen tilfeldige eksempler er Akershus Universitetssykehus, Sykehuset Østfold, Lommelegen, Oslo krisesenter, Stortinget, den norske regjering, de fleste politiske partier på Stortinget, NAV, Altinn, NRK, TV2, Helse Førde, Helse Stavanger, Oslo kommune, Nasjonalbiblioteket, Pasientombudet, Kongehuset, Politiet, Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og Sivilforsvaret. Og det er mange flere.

Hvordan kan det offentlige Norge omfavne en slik praksis? Det er gode hensikter bak. Google har laget en god tjeneste for nettstedseiere, der de uten å betale med noe annet enn en bit av de besøkenes privatsfære får tilgang til nyttig og presis statistikk over nettstedets bruk ved å besøke netttjenesten hos Google. De færreste merker ulempene angrepet på privatsfæren som nettstedene og Google utgjør.

Hvordan foregår det?

I nettsider kan nettsteder legge inn lenker til programkode som skal kjøres av brukerens nettleser. De som tar i bruk Google Analytics legger typisk inn lenke til et javascript-program hos Google som ber nettleseren ta kontakt med Google og dele IP-adresse, side besøkt, aktuelle cookies og endel informasjon om nettleseren med Google Analytics. Programmet trenger ikke være det samme for alle som henter det fra Google. Det finnes et Google Analytics-tilvalg kalt «anonymisering» som nettstedeier kan ta i bruk. Dette instruerer det omtalte programmet om å be Google slette deler av den oversendte IP-adressen. Full IP-adresse sendes likevel over og er tilgjengelig for alle som snapper opp informasjonen underveis.

Takket være varsleren Edward Snowden, som bidro til uvurderlig dokumentasjon på snurpenot-overvåkningen som nordmenn blir utsatt for, vet vi at Google samarbeider med USAs etteretning som avlytter trafikk sendt til Google Analytics.

Men allerede før Snowden var det bekreftet at både britiske GCHQ og USAs NSA avlytter og lagrer blant annet Internett-trafikk som er innom et av landene, i tillegg til at FRA i Sverige avlytter og lagrer trafikk som passerte grensa til Sverige.

Og som Datatilsynet sa til Dagens Næringsliv i 2013 kunne de vanskelig nekte bruk av skytjenester som Google Analytics når Norge var bundet av EUs «Safe Harbour»-avtale med USA. De måtte derfor se bort fra f.eks. FISAAA-loven (som lar NSA avlytte Internett-trafikk) i sine vurderinger. Når nå EUs «Safe Harbour»-avtale er underkjent, og det foreslås å bruke individuell avtalerett mellom selskaper som juridisk grunnlag for å sende personopplysninger til USA, er det greit å huske på at FISAA-loven og andre som brukes av USA som grunnlag for masseovervåkning overstyrer slike avtaler.

For øvrig burde varsleren Edward Snowden få politisk asyl i Norge.

Norge er aktiv i Trade in Services Agreement-forhandlingene, og regjeringen forteller at «TISA vil sikre norske tjenesteeksportører forutsigbar og ikke-diskriminerende adgang til utenlandske tjenestemarkeder». Det er mulig at det stemmer. Men den gjør mye mer enn det. Avtalen forhandles i hemmelighet, og kun takket være Wikileaks er utkast og biter kjent i offentligheten. Det som er blitt kjent er for eksempel at TISA kan blokkere myndigheter fra å kreve bruk av fri programvare i mange situasjoner, hvilket vil fjerne muligheten vår til å ha kontroll over egne datasystemer i slike tilfeller. Den kan også blokkere Norges mulighet til å holde kontroll med overføring av personinformasjon ut av landet, hvilket Snowden-bekreftelsene har dokumentert er svært problematisk.

Jeg ble derfor veldig glad da jeg i dag ble tipset i dag om at det allerede finnes en aktiv organisasjon, Folkeaksjonen mot TISA, som jobber for å hindre at Norge signerer på TISA-avtalen. Her må alle gode krefter jobbe sammen. Jeg skal sende dem litt penger, og se om jeg har kapasitet til å bidra med mer.

In Norway, all government offices are required by law to keep a list of every document or letter arriving and leaving their offices. Internal notes should also be documented. The document list (called a mail journal - "postjournal" in Norwegian) is public information and thanks to the Norwegian Freedom of Information Act (Offentleglova) the mail journal is available for everyone. Most offices even publish the mail journal on their web pages, as PDFs or tables in web pages. The state-level offices even have a shared web based search service (called Offentlig Elektronisk Postjournal - OEP) to make it possible to search the entries in the list. Not all journal entries show up on OEP, and the search service is hard to use, but OEP does make it easier to find at least some interesting journal entries .

In 2012 I came across a document in the mail journal for the Norwegian Ministry of Transport and Communications on OEP that piqued my interest. The title of the document was "Internet Governance and how it affects national security" (Norwegian: "Internet Governance og påvirkning på nasjonal sikkerhet"). The document date was 2012-05-22, and it was said to be sent from the "Permanent Mission of Norway to the United Nations". I asked for a copy, but my request was rejected with a reference to a legal clause said to authorize them to reject it (offentleglova § 20, letter c) and an explanation that the document was exempt because of foreign policy interests as it contained information related to the Norwegian negotiating position, negotiating strategies or similar. I was told the information in the document related to the ongoing negotiation in the International Telecommunications Union (ITU). The explanation made sense to me in early January 2013, as a ITU conference in Dubay discussing Internet Governance (World Conference on International Telecommunications - WCIT-12) had just ended, reportedly in chaos when USA walked out of the negotiations and 25 countries including Norway refused to sign the new treaty. It seemed reasonable to believe talks were still going on a few weeks later. Norway was represented at the ITU meeting by two authorities, the Norwegian Communications Authority and the Ministry of Transport and Communications. This might be the reason the letter was sent to the ministry. As I was unable to find the document in the mail journal of any Norwegian UN mission, I asked the ministry who had sent the document to the ministry, and was told that it was the Deputy Permanent Representative with the Permanent Mission of Norway in Geneva.

Three years later, I was still curious about the content of that document, and again asked for a copy, believing the negotiation was over now. This time I asked both the Ministry of Transport and Communications as the receiver and asked the Permanent Mission of Norway in Geneva as the sender for a copy, to see if they both agreed that it should be withheld from the public. The ministry upheld its rejection quoting the same law reference as before, while the permanent mission rejected it quoting a different clause (offentleglova § 20 letter b), claiming that they were required to keep the content of the document from the public because it contained information given to Norway with the expressed or implied expectation that the information should not be made public. I asked the permanent mission for an explanation, and was told that the document contained an account from a meeting held in the Pentagon for a limited group of NATO nations where the organiser of the meeting did not intend the content of the meeting to be publicly known. They explained that giving me a copy might cause Norway to not get access to similar information in the future and thus hurt the future foreign interests of Norway. They also explained that the Permanent Mission of Norway in Geneva was not the author of the document, they only got a copy of it, and because of this had not listed it in their mail journal.

Armed with this knowledge I asked the Ministry to reconsider and asked who was the author of the document, now realising that it was not same as the "sender" according to Ministry of Transport and Communications. The ministry upheld its rejection but told me the name of the author of the document. According to a government report the author was with the Permanent Mission of Norway in New York a bit more than a year later (2014-09-22), so I guessed that might be the office responsible for writing and sending the report initially and asked them for a copy but I was obviously wrong as I was told that the document was unknown to them and that the author did not work there when the document was written. Next, I asked the Permanent Mission of Norway in Geneva and the Foreign Ministry to reconsider and at least tell me who sent the document to Deputy Permanent Representative with the Permanent Mission of Norway in Geneva. The Foreign Ministry also upheld its rejection, but told me that the person sending the document to Permanent Mission of Norway in Geneva was the defence attaché with the Norwegian Embassy in Washington. I do not know if this is the same person as the author of the document.

If I understand the situation correctly, someone capable of inviting selected NATO nations to a meeting in Pentagon organised a meeting where someone representing the Norwegian defence attaché in Washington attended, and the account from this meeting is interpreted by the Ministry of Transport and Communications to expose Norways negotiating position, negotiating strategies and similar regarding the ITU negotiations on Internet Governance. It is truly amazing what can be derived from mere meta-data.

I wonder which NATO countries besides Norway attended this meeting? And what exactly was said and done at the meeting? Anyone know?