Sessionslogningen – Mine holdninger

Jeg har tidligere skrevet en faktuel gennemgang af teknikken bag sessionslogning. Denne post handler om min personlige holdning til sessionslogning, og derfor skal du, kære læser, have i mente at der her er tale om et partsindlæg. Jeg har selvfølgelig ret i alt hvad jeg skriver, men det er stadig et partsindlæg 🙂

Det første jeg vil snakke om er omkostningen ved sessionslogning. Branchen har indikeret en omkostning på 1 milliard kroner ved at etablere sessionslogning. Er det den reelle omkostning, eller er det faktiske beløb mere eller mindre? Det er helt uvæsentligt for diskussionen om det er 500 mio, 1 mia eller 1,5 mia.

Til gengæld finder jeg det stærkt kritisabelt at omkostningen hældes direkte over på telebranchen, og det gør jeg fordi Danmark dermed frarøves en meget vigtig politisk diskussion i folketinget: prioritering og cost-benefit.

Først lad mig lige slå fast: Det gør absolut ingen forskel for borgeren om det er staten gennem skattemidler eller telebranchen der skal financiere sessionslogningen. Alle skatteydere har internetforbindelse, og hvis man pålægger telebranchen en økonomisk byrde, hvem tror I så kommer til at betale i sidste ende? Rigtigt: den regning ender selvfølgelig hos forbrugeren, som i dette tilfælde er skatteyderen!

Jamen hvorfor har det så betydning? Det har det, fordi hvis Søren Pind gik i folketinget med et forslag om logning som krævede en anvisning af financering, så ville den sædvanlige diskussion opstå: “Hvilke skolelærere og sygeplejesker skal fyres for at finde pengene?”. Derved ville der skulle redegøres for det forventede udbytte af logningen, og med henvisning til sidste gang hvor udbyttet var stort set ikke-eksisterende ville forslaget møde væsentlig større modstand. Alt dette undgår regeringen behændigt ved at lade forslaget fremstå som ‘gratis’.

Kan sessionslogning bruges til noget?

Jamen nu øger staten mængden af data som skal logges, så udbyttet vil blive bedre! Det er korrekt. Før var det kun en ud af 500 pakker der skulles gemmes information om. Nu er det samtlige sessioner som skal registreres. Det vil helt sikkert gøre logningen mere anvendelig. Som jeg viste i sidste artikel så vil staten med en total sessionslogning få indsigt i hvilke hjemmesider samtlige danskere benytter, hvem de ringer til, hvilke chatservices de benytter, og i det hele taget hvilke steder og services danskerne tilgår. Man kan sagtens forestille sig en sag, hvor sessionslog kan indgå som en del af sagskomplekset – hvis den anklagede vel at mærke ikke har valgt at bruge 5 minutter på at omgå logningen! Og er prisen værd at betale?

Ville du bryde dig om altid at bære en statslig GPS tracker?

gpstracker_dog

Hvis jeg skal sammenligne sessionslogning med noget, så svarer det præcis til at staten monterer en GPS transmitter på samtlige danskere og logger SAMTLIGE steder som alle danskere bevæger sig – Hele tiden. Det er sådan set det, som staten ønsker at gøre, bare i cyberspace. Staten vil ikke vide hvad de snakker om, men staten vil vide at Knud, Lene og Hans har mødtes. Hvornår mødet begyndte, og hvornår mødet sluttede, og den samlede mængde af information der blev udvekslet på mødet. Staten vil vide om Hans kørte direkte hjem efter mødet eller om han foretog et stop på vejen. Ville du synes det var ubehageligt at have en GPS transmitter konstant hængende rundt om halsen? At vide at staten på ethvert tidspunkt ved præcis hvor du befinder dig, og hvor du har været? Det er præcis det, som Søren Pind vil implementere i cyberspace med sessionslogningen.

Hvis en person er under begrundet mistanke, så kan man skygge vedkommende, og man kan etablere aflytning. Dette værktøj har myndighederne haft til rådighed hele tiden, men det kræver en dommerkendelse! Det nye er, at ALLE skal overvåges hele tiden – UDEN DOMMERKENDELSE. Vi overgår altså til en generel mistænkeliggørelse af samtligere borgere i Danmark.

“Jamen når bare terroristerne og forbryderne bliver stoppet, og vi dermed kan få noget tryghed, så kan vi leve med en smule mindre frihed”. Varianter af dette argument har jeg hørt en del, og til det vil jeg for det første citere fra et brev, skrevet af Benjamin Franklin i 1755:

Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.

For det andet vil jeg påpege, at sessionslogningen vil ikke have den ønskede effekt. Lad mig gentage dette: Sessionslogning vil ikke have den ønskede effekt. Hvorfor ikke? Fordi det er simpelthen for nemt at omgå, og fordi informationerne i langt de fleste tilfælde alligevel er utilstrækkelige.

Terrorsagen med Omar El-Hussein er et glimrende eksempel. Politiet har efterfølgende været ude og sige, at logning kunne have hjulpet i jagten på Omar. Jeg citerer:

– Men i jagten på gerningsmanden var vi forhindret i at klarlægge, om han søgte på en given adresse, om han var i gang med at bestille en taxa, eller om han kommunikerede med andre, siger Jørgen Bergen Skov.

Ingen af de dele ville man være i stand til at klarlægge på baggrund af sessionslog. Husk det er ikke indholdet, kun metadata som bliver logget. Ville sessionslogning have forhindret den sag? Nej, men men hvis nu politiet havde lyttet til advarslerne så kunne man måske have grebet ind i tide. Altså ved at udføre godt gammeldags analogt politiarbejde!

Som jeg har demonstreret, er det særdeles let at undgå registreringen. Man skal blot skifte til en anden browser (eller installere en app på mobilen). Dernæst, hvis vi nu antager at jeg har tænkt mig at planlægge en forbrydelse, og i den forbindelse har brug for at lave lidt research på eksplosiver, så har staten sørget for fine steder med masser af informationer og med gratis afgang til internettet, som er undtaget logningsbestemmelserne. Det hedder et bibliotek. Hvis nu jeg er sulten, kunne jeg også bare smutte en tur på MacDonalds, eller en anden restaurant med gratis wifi. Er jeg en rigtig led type, så kører jeg en tur igennem et villakvarter og leder efter et åbent trådløst net, og foretager min research gennem det. Der er masser af muligheder for at undgå sessionslogningen!

Privatlivet er helligt!

Dem som mener at hvis man ikke har noget at skjule, så er der ikke noget at bekymre sig om, vil jeg bede  bruge 15 minutter på at se denne TED talk af Glenn Greenwald. Vi har alle vores hemmeligheder og privatsfære, uskyldige, såvel som skyldige, og privacy er en nødvendighed for os alle.

Det er ikke noget vi skal tage let på!

Er det juridiske system kompetente til at fortolke data fra sessionslogningen?

Sessionsdata kan allerhøjest være et indicium, men kan vi forvente at politi, anklagere og dommere er i stand til at tolke disse data korrekt? Det er ikke svært at finde eksempler på… skal vi kalde det alternativ forståelse af teknologi… når man kigger på nogle af de IT relaterede sager som har været oppe i medierne. Er du tryg ved dette? Jeg er ikke, og jeg frygter at en følge af sessionslogningen kan blive justitsmord.

Data vil blive misbrugt!

Den nemmeste måde at sikre mod misbrug af data er, slet ikke at indsamle de data i første omgang. Det er ikke kun myndighederne som har interesse i data om Danskernes færden på internettet, det er udenlandske myndigheder, og det er kriminelle organisationer. Data fra sessionslogningen vil blive opbevaret decentralt hos de forskellige ISP’er, vil dermed udgøre en risiko for datalæk.

En dystopisk fremtidsvision

Sessionslogning er en glidebane, som vi slet ikke skal træde ind på, og hvis vi prøver at kigge lidt ind i fremtiden, så ser det dystert ud. I det nuværende lovforslag gælder det, at samtlige skal overvåges, men at myndighederne kun har adgang til data via en dommerkendelse. Det er dog en trøst, men vil det fortsætte? Friheden og borgernes uafhængighed bliver i disse år bid for bid skrællet væk. Sessionslogningen er et væsentlig skridt ned af den rampe, og med de data begynder der så småt at aftegne sig konturerne af nye og endnu mere bekymrende overgreb på borgernes privatliv og retssikkerhed.

Myndighederne vil hurtigt komme til den erkendelse, at data i så store mængder, som vi taler om her (jeg anslår 19.000.000.000.000 årlige dataposter) ikke kan overskues af mennesker alene. Der skal software til, og et af tidens store buzzwords: Big-data, er oplagt at kaste efter denne slags data. Hermed vil myndighederne i stedet for at kigge på data for en specifik borger, ved hjælp af avancerede algoritmer kigge i den samlede datamængde efter sammenhænge mellem grupper af mennesker. Man kan lave automatisk detektering af “mistænkelig adfærd”, så en borger automatisk flages, som “interessant” i systemerne. Med denne information vil myndighederne kunne reagere, når en borger f.eks. skal ud og flyve – Det var godt nok ulovligt, men her er et godt eksempel på at myndighederne ikke har problemer med at tilgå og bruge indsamlede data selv om det stred mod loven. Da det blev opdaget, så lovliggjorde man da bare med tilbagevirkende kraft.

Den danske efterretningstjeneste deler information med udenlandske efterretningstjenester, og derfor kan du pludselig risikere, at du ikke kan ansættes i bestemte virksomheder, eller at du f.eks. nægtes indrejse i USA. Pengeoverførsler til andre lande blokeres eller indefryses og alskens andre trælse ting. Det værste er at du ikke kan forsvare dig selv, da du ikke kan få indsigt i årsagerne til indskrænkningerne i dine bevægelsesmuligheder, da de værktøjer og samarbejdsaftaler er fortrolige.

Du overdriver, Steen, den slags værktøjer bliver aldrig udviklet!

Nå ikke? Læs her og scroll ned til afsnittet om “Co-Traveler”. De værktøjer findes idag, og hvis de ikke allerede bruges på data om dig og mig, så er det er kun et spørgsmål om tid før det sker. Det er vores alles pligt, at råbe op og stritte imod. Ellers ender det galt.

Tag fat i din foretrukne politiker, og sig fra!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

This site uses Akismet to reduce spam. Learn how your comment data is processed.