Pages

Nov 1, 2015

Maktkampen om Internet - Militarisering og nedbygging av liberale rettigheter



Regjeringen la frem "Forslag til endringer i lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven)"(1)
 
Forslaget er omfattende men kort oppsummert går det ut på
  • Hasteinnføre endringer i norsk lov, som vil tilrettelegge for digital totalovervåking av alt og alle som benytter internet.
  • Hva og hvordan slik overvåking skal skje foreslås løst med forskrift, fortrinnsvis etter selvbetjeningmetoden (blankofullmakt for datainnsamling).
  • Utredning av lovens konsekvenser er ikke foretatt.
  • Datalagringen omfatter alle offentlige datasystemer og all kritisk infrastruktur (også innen privat næring).
  • Myndighetene ønsker å kunne pålegge privat næring å underlegges overvåking ved å implementere sensorer (datainnsamling) fra sikkerhetsmyndighetene.
  • Data som ekstraheres lagres hos myndighetene i 5 år.
  • Sikkerhetsmyndighetene foreslår fagområdet cybersikkerhet overført (fra privat næring) til staten, som da skal ta ledelsen over dette.
  • Staten skal også utvikle programvare og yte sikkerhetstjenester.
Dette er lovgivning en forventer i noe mindre demokratiske stater, for å si det litt forsiktig....


Parallelt med dette (dvs. kontinuerlig) behandles nye EU direktiver og forordninger i EØS-komiteen, hvorav noen foreslås innlemmet i EØS-avtalen.
Som med forskrifter så unngår en offentlig debatt når lovendringer løses ved slike metoder.

Men hvorfor haster det så mye å gjøre dette nå umiddelbart, uten å forstå hva som skal løses?
Hvordan kan en foreslå løsninger uten å ha analysert problemene? Eller uten å vente på utredning (NOU) som kommer 2016?
 “...regjeringen besluttet å dele opp arbeidet med revisjon av loven i to faser. Dette for å kunne gjennomføre enkelte av endringene raskt, uten å måtte vente på de grundige analysene som er nødvendig for å løse de ovennevnte temaene

Ved å innføre endringene i sikkerhetsloven nå, så klargjøres norsk lovverk for at borgerne kan - uspesifisert i loven - overvåkes, dvs. ubegrensede og inngripende kontrolltiltak i borgernes private sfære lovfestes.

Strategisk nytter en andre betegnelser, som å beskytte nasjonale interesser, etc. ved å overvåke "kritisk infrastruktur".
"Sikkerhetsmessig overvåking av IKT-systemer har klare grenseflater mot enkeltindividers personvern. Denne type tiltak bør derfor ha en klar hjemmel i lov....
Samtidig blir bestemmelsene om overvåking lettere tilgjengelige og synlige både for de virksomhetene som pålegges plikter i henhold til bestemmelsene og for de som ellers berøres av dem.
Ethvert kontrolltiltak som virker inngripende overfor den enkelte må ha rettslig grunnlag."

Når (om) EUs NIS direktiv (omtales under her) vedtas - og EØS-komiteen innlemmer dette i EØS (det er ikke EØS-relevant om ikke eksplisitt regjeringen innlemmer dette), så - vips - så har en full uttelling via policylaundring (hvitvasking av politikk en ellers ikke vil få innført i eget land via demokratiske prosesser). (I tillegg vil en gjøre bruk av "Varslingssystem for digital infrastruktur (VDI)" lovlig, noe det ikke er i dag, om det nyttes på offentlig nett.)



EUs NIS direktiv er eksplisitt omtalt i fersk rapport fra European Parliament’s Policy Department for Citizens’ Rights and Constitutional Affairs, initiert fra LIBE (7).

Ikke noe i denne rapporten tilsier at direktivet kan sikre borgerne, deres data, eller deres tillit til internet. Tvert imot så har rapporten mange advarsler:
...calling for a strict separation of powers between law enforcement and security agencies responsible for preventing and investigating cybercrime and national security and intelligence agencies with offensive cyber-capabilities. Digital rights advocates argue that the new arrangements for breach reporting will strengthen the hand of national agencies tasked with cyber-espionage, and in so doing exacerbate the ‘militarisation of cyberspace’
Da direktivet ble foreslått i januar 2013 (pre-Snowden) ble det regelrett slaktet av fagekspertisen innen informatikk såvel som fra juridisk ekspertise. Modellen er sentrert rundt US/NSA og UK/GCHQ og er forsøk på å militarisere datasikkerhet - og til en svært høy kost, både økonomisk, demokratisk, personvernmessing og angående rettssikkerhet.

Det er også dokumentert at brysomme journalister overvåkes der mulighetene er tilrettelagt for sådanne statlige overgrep.

Sikkerhetsguru og professor Ross Anderson skrev (om NIS direktivet), 16.jan. 2013(2)
......Finally, it is extremely difficult to see how such a provision could be squared with
Article 8 of the European Convention of Human Rights.


Med erfaringer fra Datalagringsdirektivet så forsøker en nå å forflytte overvåking til militær sone, utenfor rekkevidden og innsyn fra det sivile samfunnet.
Uten debatt og uten tanke på hvilken problematikk dette reiser.
Ønsker en et samfunn hvor borgerne er under militær overvåking via BigData hos nasjonale sikkerhetsmyndigheter?


bildet er fra political-humor.org

Statsråd Vidar Helgesen  sier (3)
(Og dette bør en lese to ganger, la det synke inn at overvåking av borgerne er en norsk (samt europeisk) verdi, som er hva denne mannen faktisk sier)
... en enhetlig internasjonal cyberpolitikk i EU og å fremme EUs kjerneverdier. Dette er i tråd også med norske prioriteringer ... (hhv. melding om menneskerettigheter og om globale sikkerhetsutfordringer). ... både for å fremme cybersikkerhet men også for å fremme kjerneverdier som ytringsfrihet, tilgang til informasjon og andre universelle menneskerettigheter, samt en riktig balanse i spørsmålet om hvor grensen skal gå mellom sikkerhet og frihet, jamfør diskusjonen om digital overvåkning.
Dette er som å lese tekst fra EU's Future Group (2008), en uformell gruppe som levde i skyggen av EU, og som kom med samme nytale om "EUs verdier". Mye av teksten i statsrådens tale er å finne innen EUs militariserte lobby.

Dette har ikke noe å gjøre med datasikkerhet eller sikkerhet for datanettverk -  og slettes ikke fremmer det fundamentale rettigheter.
Dette er keiserens nye klær - den psykopatiske keiseren ønsker mere makt i form av totalitær overvåking (ikke tilsiktet statsråden personlig).

The national and European states require unfettered powers to access and gather masses of personal data on the everyday life of everyone so that we can all be safe and secure from perceived “threats”.

But how are we to be safe from the state itself, from its uses and abuses of the data they hold on us? The outrageous proposal that the EU should tie itself in with the USA across the whole justice and home affairs field will place our privacy and civil liberties in great danger. If we do not have an open and meaningful debate now we never will, because by then it will be too late.

I Norge må denne debatten starte/fortsette nå - og langt inn i Stortinget!




Litt historikk fra EU relatert militarisering av det sivile samfunnet

Den uformelle gruppen, The Future Group, skjult for omverdenen (Informal High Level Advisory Group on the  Future of European Home Affairs Policy) skrev i 2008
In order to achieve a sufficient level of protection, “privacy-enhancing technologies” are absolutely essential to guarantee civil and political rights in the age of cyberspace
men anbefaler i neste punkt
Public security organisations will have access to almost limitless amounts of potentially useful information This is a challenge as well as an opportunity – public security organisations will need to transform the way they work if they are to master this data tsunami and turn it into intelligence that produces safe, open and resilient communities.
The key to effectiveness will be using technology to connect the capabilities of a multitude of stakeholders and ensure the right information gets to the right person in the form they are best able to use

De hevdet videre at grensene mellom militære, politi og sivile organisasjoner har noen sammenfallende eller overlappende oppgaver,  med begrunnelse av at "både militære, sivile og politi har (hatt) utenlandsoppdrag utenfor EU (Midtøsten, bl.a.)".
Oppsummert tolket jeg dem til at, i realiteten er det grensekryssende utveksling av sensitive data og utvidet samarbeide mellom landene, politi og paramilitære organisasjoner som er juridisk problematisk og følgelig bør en få mere "synergi" mellom militært, etterretning og politi - og - private aktører.

Videre mener denne gruppen at teknologiutvikling kan ikke styres fra medlemslandene eller fra industrien selv, men må kontrolleres av EU.
Det anbefales intensivert bruk av EUs forskningsmidler til dette bruket (militært og overvåknings formål, politisamarbeide over grensene, o.l.)


Tankesettet "Homeland Security State par excellenc" som ble utformes i disse årene er fra Israel - mens strategien en ser nå fra/for "Cyberforsvaret" har adoptert terminologien fra amerikansk militære doktrinen "Full Spectrum Dominance",en eufemisme for kontroll over samtlige av "krigssonens" eiendeler på land, luft, sjø og rombaserte - og nå også det sivile internet (sic).
(Rapporten NeoConOpticon - The EU Security-Industrial Complex(5) dokumenterer også dette.)

EUs Security Research and Innovation Forum (fra 2003 og til gjennomførelsen av FP7 forskningsprogrammet) har hatt 9 av 660 medlemmer (eller 1.4%) fra det sivile samfunnet, men ingen representanter eller organisasjoner relatert sivile rettigheter
Forskningsområdet (med €1.4 billion fra EUs totale forskningsmidler) har blitt formet deretter, basert på militære spesialinteresser og deres lobby - ikke for objektiv forskning for borgernes liberale rettigheter (som tenkt).
This is not just a question of failing to ‘balance’ rights and liberties with security. For Corporate Europe Observatory and others in civil society, the appointment of industry-dominated stakeholder groups to develop EU policy represents an unlawful act of maladministration
Senere, i 2010, kom rapporten med evaluering av denne delen av forskningen i EUs PF7 program.
Igjen konkluderes det med at det hele er drevet av og for "homeland security" og det militære, som har forbigått sivilsamfunnet og kun dyrket egne særinteresser (skriver evalueringsrapporten).

Neste (nåværende) forskningsprogram "HORIZON 2020", hvorav 1.6 billioner Euro er for "Secure societies - Protecting freedom and security of its citizens" lider i stor grad samme skjebne da gigantiske summer går til militarisering og relaterte industrier.
Krefter i EU (eller med aksess til EU) ønsker
"Promotion of civil-military cooperation and synergies with wider EU cyber policies, relevant EU institutions and agencies as well as with the private sector" (6)
At all kriminalitet som krysser grenser blir definert som militært anliggende, er noe bizarr....



Nå (oktober 2015) kom følgende rapport;
 The law enforcement challenges of cybercrime: are we really playing catch-up? (7)

Raporten er høyst aktuell (bl.a.) med tanke på regjeringens foreslåtte endring av sikkerhetsloven og NIS direktivet.
Noen korte utdrag følger:
Much of the EU’s policy to fight cybercrime is based on non-legislative measures, including operational cooperation and ad hoc public-private partnerships.

Furthermore, important distinctions and restrictions designed to ensure a ‘separation of powers’ between state agencies concerned with law enforcement (cyber-policing), civil protection (cybersecurity), national security (cyber- espionage) and military force (offensive cyber capabilities) ...

... the distinction between the investigation of cybercriminal activities, on the one hand, and online intelligence gathering and surveillance, on the other, has not yet been sufficiently established

... challenges in cybercrime law enforcement do not change the obligation to ensure the safeguarding of EU fundamental rights in any operating framework of internal or transnational cooperation in law enforcement and criminal justice

Any legislation and operational measures in the field of cybercrime must respect the EU Charter of Fundamental Rights and other international human rights instruments.

As the Commission wrote in its 2013 Communication on a Cybersecurity Strategy of the European Union: ‘ Increased global connectivity should not be accompanied by censorship or mass surveillance’.

These tensions are exacerbated by the fact that many cyber-infrastructures are privately owned and that the policing of cyberspace is, to a significant extent, both operationally unprecedented and legally unsettled, for example with respect to automated cyber-surveillance systems.
The concern is that the ‘cyber’ prefix may be providing cover for new surveillance and investigative techniques that are only linked to cybercrime in the sense that the investigations concern the use of computers or internet traffic related to suspects in ‘ordinary’ investigations

En bør også merke seg dette fra rapporten 
Data security is also at stake with regard to the issue of national governments or public authorities having a key or master key to encryption
(Dette har jeg skrevet om tidligere ang. bl.a. BankID og tilsvarende (e)ID-løsninger)



Regjeringens forslag om endring i Sikkerhetsloven
hører hjemme her:

Fotoet er fra en restaurant i Shanghai 2015



Referanser
1) "Forslag til endringer i lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) 19.mai 2015

Nasjonal strategi for cybersikkerhet Forebygging og håndtering av IKT-hendelser med store samfunnsmessige skadefølger 21.desember 2009

Nei til snik-datalagring Leder Bergens Tidende 27.aug.2015

3) Innlegg på Sikkertnok-konferansen, Høgskolen på Gjøvik, Statsråd Vidar Helgesen 29. oktober 2015

Network and Information Security (NIS) Directive (EUs versjon 16/03/2015 )
og realiteten pr. nå EU: Parliament's version of NIS Directive 'makes no sense' (krever medlemskap)

2) Question on the (draft) Directiv on Cyber Security (NIS direktivet) 16.januar 2013,

4) The Shape of Things to Come (2008)

5) NeoConOpticon - The EU Security-Industrial Complex (2009)

6) EU Cyber Defence Policy Framework 18.nov.2014

7) The law enforcement challenges of cybercrime: are we really playing catch-up? (Oktober 2015)

Riksrevisjonen refser norsk IKT-sikkerhet 21.oktober 2015
Riksrevisjonen påpeker alvorlige svakheter ved sikkerheten i informasjonssystemene i en rekke etater og trekker spesielt fram politi-og lensmannsetaten.

Datatilsynet advarer mot cybersenter

Datatilsynet mener regjeringen vil gi sikkerhetsmyndighetene en blankofullmakt for overvåking 26.aug. 2015

Jul 30, 2015

Electronic gates and/or doors with wireless services

Someone tried to sell me a wireless service for my home.
Here was my answer and the video I made:



The security threat is high. 
It reveals when your home is likely to be empty  
and 
is the most possible intrusive solution 
for you private life and your habits.




The same threats applies when you use services from your electricity-net provider, BTW.

Take responsibility for your security and your privacy: Don't use it!

Apr 27, 2015

Ytringsfriheten og meningsbrytning


Når en publiserer sine ytringer offentlig er det implisitt at en også vil møte motytringer. 
Det er heller ingen begrensninger hvor motytringer kan komme fra. Det en skriver i sosiale media, på en blogg, i et kommentarfelt eller i en publisert artikkel, er også åpent for offentlig debatt, og fra hvem som helst som plukker opp tråden, og i et hvilket som helst annet media. 
Dette er ytringsfriheten. 

Og det er også pressens ytringsfrihet, pressefriheten - som når VG lager TVintervju med personer fra kommentarfeltet - sitt eget kommentarfelt som VG også er redaksjonelt ansvarlig for.
Det er et redaksjonelt ansvar å sette spillereglene innen sine respektive kommentarfelt, og å påse at de følges.
Den eneste kritikk jeg ville gitt mot "stuntet"  er at personene de intervjuer er tilregnelige og er over en viss alder (altså ikke mindre barn) - noe jeg forøvrig antar VG har sjekket.

Så langt hva jeg tenker om "intervju med personer fra kommentarfeltet".


Jeg fant Kjersti Løken Stavrums kommentarer (mot slutten av sendingen) tankevekkende. Kanskje fordi hun berørte et område jeg selv har en del meninger om - og/eller kanskje fordi hun er en god lytter som fikk med seg dette. Løken Stavrum nevnte den intervjuende damen som sier hun har justert (noe av) sine meninger med ny informasjon fra media - og at (noen av) disse menneskene faktisk mener hva de sier. 
(Intervjuet er her http://www.vgtv.no/#!/video/111331/mads-4 og @LokenStavrum kommer etter 23:09 minutter)




Over lang tid har det vært lite fokus i media på EUs skamfulle håndtering av flyktninger over Middelhavet - og langt mindre (om overhode) omtales "Fortress Europe", med sin militære ideologi for å bekjempe potensielle opprør (og meningsmotstandere) fra EUs egen sivilbefolkning - og - for å bekjempe potensielle klimaflyktninger som i fremtiden kan bevege seg mot Europa.

Riktignok finner jeg bare-la-de-drukne-kommentarer uspiselige, men er langt mere bekymret over de samme holdningene hos nasjonale og/eller globale ledere. Hovedforskjellen på sistnevnte gruppe og omtalte kommentarer, er evnen og muligheten til å pakke inhuman politikk i glanset papir, eller til å gjennomføre disse via "policy laundring".



(Vidokuttet med Hans Rosling er severdig)



Ansvarliggjøring eller sosial kontroll?
Når en snakker om "å konfrontere meningsytrere" og "å ansvarliggjøre meningsytrere" - så er dette, for meg, to forskjellige ting, om enn nært beslektet.
"Å konfrontere" = meningsbrytning; meninger møter motargumenter, blir tilført ny informasjon og nye vinklinger.
Når en deltar i offentlig debatt har en ansvar, implisitt juridisk ansvar, for de ytringer en publiserer, skriver eller sier - dette er (og burde være) en selvfølgelighet.

"Å ansvarliggjøre" har en litt annen betydning (for meg). Oftest vil begrepets betydning være gitt av konteksten, og ofte brukt tilnærmet lik å bli konfrontert med sine ytringer (rettslig inkludert).

Men like ofte nyttes begrepet for å utdele skyld eller skyldfordeling.
Som når en programleder foreslås "ansvarliggjort" for en satire med påståtte krenkelser av en hel befolknings hunkjønn, dvs. ansvarliggjort for påførte krenkelser og annen styggedom mot kvinner.

Sosial kontroll, trangen til å styre folks meninger mot konsensus, nytter også skyldfølelse som metode. Politikernes yndling, "Value-Belief-norm" teorien om altruistisk handlingsmønster, nyttes for å forsvare politiske (ofte kontroversielle) handlinger, men også som metode for å oppnå politisk ønsket lydighet.


Som skrevet ovenfor så er kommentarfeltene redaktørenes ansvarsområde.
Men er det deres oppgave å "oppdra" folk til å ha politisk korrekte meninger (utover å gi faktisk informasjonen som er med for å danne slike meninger)?


Jeg har ofte reflektert over hvorfor Norge har "verdens mest konforme folkeferd" og at norsk "konformitet er alvorlig". Sosial kontroll er en vesentlig del av dette.


Disclaimer:
Om du som leser skulle tro at jeg mener det er galt (av VG eller andre) å konfrontere folk fra kommentarfelt, så nei, dette mener jeg ikke.
Jeg mener heller ikke at det er "greit" å mene at flyktninger skal drukne i Middelhavet.

Mar 16, 2015

AdBlock og media

Postkassen min ved inngangsporten:

På postkassen står "ingen reklame i min postkasse" (pas de pub dans ma boîte aux lettres).
Dette respekteres, både av miljøhensyn og av respekt for postkassens eier.
Postbudet bryter heller ikke opp den låste porten eller klatrer over gjerder for å snoke i våre private liv.


I mine nettlesere har jeg et varierende utvalg av programmer for å sperre uønsket reklame, og bl.a. en skreddersydd (tilpasset meg) AdBlock installert.
Når en leser, så er animerte bilder og spektakulær tekst svært forstyrrende.
Når reklamen (programkoden) gjør sitt ytterste for å snoke etter data om deg, er det direkte ufint (og heller ikke lovlig om ikke tillatelse er innhentet på forhånd).
Når reklamen (programkoden) tar seg til rette på ditt system representerer det også et sikkerhetsproblem.
En del virus spres på denne måten - jeg ser spor etter slikt nesten ukentlig.


Innholdsleverandører og media har en del å lære fra postbudet:
Det er eieren/brukeren/leseren som bestemmer over egen eiendom og dette må respekteres.


Skal media lykkes i å få leseren til å akseptere reklame, må en droppe den intrusive snokingen. At leseren blir fulgt på tvers av nettet ved å kjøpe et abonnement - er et usedvanlig dårlig salgsargument - og en temmelig slett etikk.


Feb 9, 2015

Posten og statistikk



Når jeg sender pakker fra Frankrike kan jeg sjekke sporingsdata innen landet jeg sender fra, og sammenligne med mottakerlandets sporingsdata.
Jeg mottar og sender pakker til flere land, både innenfor og utenfor Europa (Spania, Finland, USA, UK, Tyskland, Sveits m.fl.) og har et bredt erfaringsgrunnlag over flere år.

Det er kun pakker til Norge jeg har hatt - og ofte har - problemer med.
(Pakker fra Norge har ikke samme problemet.)

Når pakken er klar for å sendes fra Frankrike, sendes data elektronisk til Norge.
Dette registreres hos posten i Frankrike som oppdaterer status med at pakken er i ferd med å bli sent. På dette tidspunktet vil sporingsdata kunne følges fra Posten Norge, som oppgir status "er sendt fra avsenderlandet".
Når pakken så fysisk sendes fra Frankrike, oppdaterer posten Frankrike status med "pakken har forlatt fransk territorium", mens Posten Norge registrerer en ny statusmelding med "er sendt fra avsenderlandet".

Da denne posten sendes med fly, kan postgangen umulig ta flere døgn frem til mottagerlandet.
På eksempelet under går det 3 døgn fra posten har forlatt Frankrike til den blir registrert som "ankommet mottakerlandet" i Norge.
I neste øyeblikk registreres pakken som "under importbehandling".

Det er ingen stor sak at det går 3 døgn innen pakken tas inn for importbehandling, men sporingsdata burde inneholde riktig tidspunkt for når pakken faktisk ankommer Norge.
Det sier seg selv at pakken ikke ankommer et minutt innen den tas til tollbehandling.

På det mest ekstreme har det gått over 2 måneder fra pakke har forlatt Frankrike, til den registreres hos Posten Norge som "ankommet mottakerlandet".  Etter mange telefoner over flere dager og god hjelp fra den franske posten fikk vite nøyaktig når pakken forlot landet, og at den lå på pakkelager i Norge. Der pakker ligger innen de innhentes for tollbehandling.

Når Posten lager statistikk over leveringstider, bruker de differansen mellom "ankommet mottakerlandet" og levert mottakers posthus/-butikk, som datagrunnlag. På denne måten kan de vise til at "all" post leveres innen 5 virkedager.
Også pakken, som lå over 2 måneder på pakkelager i Norge, ble registrert i Posten Norges statistikk over "levert innen 5 dager".

Slik jukser en seg til gode leveringstider på statistikken.




Jeg har også erfaring med "budlevering garantert innen 48 timer" - det tok 2 uker etter ankomst til Norge - og var en svært kostbar erfaring.


Det blir litt ironisk at en er engstelig for Postdirektivet!