Snurpenot-overvåkning av sensitiv personinformasjon =================================================== Av Petter Reinholdtsen Tenk om et norsk sykehus delte informasjon om hva som blir lest og hvem som leser på sykehusets nettsted, med noen som samarbeider med et fremmed lands etterretningsvesen, og at flere andre fremmede lands etterretningstjenester kan snappe opp informasjonen. Tenk om sykehus, kommuner, helsestasjoner, universitet, høyskoler, grunnskoler, Stortinget, det meste av offentlig forvaltning, medier, adopsjonstjenester og krisesenter gjør det samme? Tenk om de som lytter holder oversikt over norske borgeres interesser, sykdommer, rusmisbruk, adopsjon, abort, barnehager, politiske interesser og sympatier samt hvilke argumenter som har best effekt på beslutningstagere og måter de kan påvirkes. Ville det gitt grunn til bekymring? Høres det ut som noe tatt ut fra fantasien til George Orwell, forfatteren av dystopien 1984? Det er virkeligheten i Norge i dag, takket være bruken av statistikktjenester som Google Analytics (GA). Du kan beskytte deg ------------------- Men borgerne har et forsvar mot dette angrepet på privatsfæren. Dagens nettlesere har utvidelser som støtter å blokkere slik utlevering av informasjon. Personlig bruker jeg Privacy Badger, Ghostery, NoScript og AdBlock, og anbefaler alle å gjøre noe tilsvarende. Merk at noen av verktøyene lekker informasjon, i tillegg til å gjøre en nyttig jobb, så det er lurt å bruke flere sammen. I tillegg bør hver og en av oss sende inn protest til organisasjonene bak nettsteder som bidrar til dette inngrepet i privatsfæren. Hvem bidrar til overvåkningen? ------------------------------ Takket være Ghostery la jeg merke til at flere og flere norske nettsteder begynte å la GA overvåke brukerne. Jeg ble nysgjerrig på hvor mange det gjaldt, og gikk igjennom ca. 2700 norske nettsteder, hovedsakelig offentlig forvaltning. Jeg laget et system for å koble seg opp automatisk og sjekke hvor nettstedene spredte informasjon om besøket. Jeg ble overrasket både over omfanget og hva slags nettsteder som rapporterer besøksinformasjon ut av landet. Omtrent 70 prosent av de 2700 sender informasjon til GA. Noen tilfeldige eksempler er Akershus Universitetssykehus, Sykehuset Østfold, Lommelegen, Oslo krisesenter, Stortinget, den norske regjering, de fleste politiske partier på Stortinget, NAV, Altinn, NRK, TV2, Helse Førde, Helse Stavanger, Oslo kommune, Nasjonalbiblioteket, Pasientombudet, Kongehuset, Politiet, Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og Sivilforsvaret. Og det er mange flere. Hvordan kan det offentlige Norge omfavne en slik praksis? Det er gode hensikter bak. Google har laget en god tjeneste for nettstedseiere, der de uten å betale med noe annet enn en bit av de besøkenes privatsfære får tilgang til nyttig og presis statistikk over nettstedets bruk ved å besøke netttjenesten hos Google. De færreste merker ulempene angrepet på privatsfæren som nettstedene og Google gjennomfører. Hvordan foregår det? -------------------- FIXME enklere tekst For å få dette til å fungere legges det instrukser i nettsidene på de norske nettstedene om å ta kontakt med Google og hente ned et program som kjøres i nettleseren (programmet kan se forskjellig ut etter hvem som laster det ned) og rapportere hvilke sider som besøkes til GA. Brukerens nettleser deler dermed IP-adresse, hvilken side som ble besøkt og aktuelle cookies med GA. GA har et valg med det litt misvisende navnet «anonymisering» som nettsteder kan ta i bruk. Når det er aktivt ber nettstedeier Google slette deler av den oversendte IP-adressen før informasjonen lagres i GA, og er irrelevant for de som snapper opp informasjonen underveis. Takket være varsleren Edward Snowden, som bidro til uvurderlig dokumentasjon på snurpenot-overvåkningen som nordmenn blir utsatt for, vet vi at Google samarbeider med USA etteretning som avlytter trafikk sendt til GA. Men allerede før Snowden var det bekreftet at både britiske GCHQ og USAs NSA avlytter og lagrer blant annet Internett-trafikk som er innom et av landene, i tillegg til at FRA i Sverige avlytter og lagrer trafikk som passerte grensa til Sverige. Og som Datatilsynet sier til Dagens Næringsliv i 2013 kan de vanskelig nekte bruk av skytjenester som GA når Norge er bundet av EUs «Safe Harbour»-avtale med USA. De må derfor se bort fra f.eks. FISAAA-loven (som lar NSA avlytte Internett-trafikk) i sine vurderinger. For øvrig burde varsleren Edward Snowden få politisk asyl i Norge.