Pages

Oct 13, 2016

Keiserens nye fjær - Det Digitale Grenseforsvaret og Samrøret sikkerhet

Oppdatert 27.des.2016

Maktkampen om Internet - Militarisering og nedbygging av liberale rettigheter


(Tegning Rea)


Begrepet "Digitalt grenseforsvar" gir like mye mening som å si at en skal rense luften som passerer landegrensen.
Så og si enhver aksess til informasjon via internet eller bruk av tjenester på nettet vil medføre (lande)grenseoverskridende transaksjoner.

Internet er globalt i ordets reelle betydning. Tross dette har vi mange politiske globaliser som ønsker å nasjonalisere nettet. Lokale, nasjonale eller regionale regler, påbud og forbud både i form av lovgivning og av inngrep i internest infrastruktur.

I Europa har visse politikere beundret The Great Firewall, som vi kaller Kina's "digitale grenseforsvar".
I forbindelse med et (hemmelig) møte i Council of the European Union’s Law Enforcement Work Party (LEWP) ble det foreslått en skisse for “the Great Firewall of Europe” (2011). Angivelig for å "sikre europeisk cyberspace" mot "illicit innhold, terror" etc. ...
Forslaget ble slaktet så snart det nådde dagslys.

For å gjøre historien kort; da det viste seg å gå dårlig med datalagringsdirektivet (DLD), forsøker en å flytte overvåking over til den militære sone - dit hvor borgerne ikke får innsyn grunnet "Rikets Sikkerhet...". En flytter altså enhver mulighet for tilsyn og ettersyn bort fra offentligheten og offentlig kritikk.
Med Snowden så ble det - i praksis - ansett stuerent at Staten skal ha innsyn i borgernes liv - om en bare legaliserer dette via å fremme lovgivning som pakker inn grov, intrusiv overvåking som "nødvendig for Rikets Sikkerhet".
Dette er hva som er i ferd med å skje nå.

En kan bare håpe at Stortinget leser den siste dommen, (des. 2016) fra Court of Justice of the European Union (5). Denne dommen gjentar hva dommen mot DLD sa;
"EU law precludes national legislation that prescribes general and indiscriminate retention of data ", etc.
Det er vanskelig å se at datamining av hele nasjonens befolkning's elektroniske kommunikasjon er strikt nødvendig for å ivareta rikets sikkerhet...

"Digital grenseforsvar"
Lysne II-utvalgets anbefalte "Digital grenseforsvar"... inneholder  scenarioer som skal illustrere "behovet" for at Staten har "sensorer" i nettet. ("Sensor" kan her betraktes som "Deep Packet Inspection/DPI", spionvare eller SIGINT -  som, sentralt, skal lagre IP-adresser, uspesifiserte metadata og innholdsdata).
Tanken er at data utveksles mellom land ("når nødvendig"), og at "Grenseforsvaret" skal kunne gå tilbake i lagrede IP-adresser/metadata/innhold for å identifisere hvor en transaksjon (angrep) kom fra.

De konstruerte scenarioer baseres seg på å søke etter IPadresse(r) for å identifisere hvor angriper (computer/person) befinner seg, osv. - samt identifisere fra lagrede metadata  (over måneder/år) hvilke (andre) systemer som kan være angrepet. For å kunne gjøre dette må en også utveksle data med andre lands e-tjenester.
Scenarioet i sin helhet kan leses fra Lyse II-rapporten (side 72) - og konkluderer med at "Dette scenarioet synliggjør merverdien av Digitalt Grenseforsvar (DGF), og samspillet mellom DGF og sensorer utplassert i virksomhetene. "

Men dette holder ikke, teknisk datafaglig sett.
For det første så er IP-adresse ferskvare. Dvs. en IP-adresse mister sin relevans under lagring (som gjør lagringen overflødig).
For det andre så er det ikke gitt at en IP-adresse vil gi noe som helst av verdi.
Fordi:
I forbindelse med at IPv4-adresseområdet er nærmest "brukt opp" (kun Afrika har noe igjen) så har en utviklet nye metoder for å (ut)nytte IP-adresser.
I praksis betyr dette at en IP-adresse ikke lengre identifiserer et endepunkt. (Et endepunkt er det en leter etter, for å finne eksempelvis hvor data-transaksjoner har sin opprinnelse.)
Metadata (IP-adresse, dato/tidsstempel, etc.) er kun en temporær identifikasjon, og da for det korte tidsrommet transaksjonen varer.
Og om ikke dette er nok så kan en transaksjon skifte IP-adresse mens transaksjonen pågår, noe som ikke vil være synlig for Grenseforsvaret's spionbokser.

Teknologien er komplisert, men kjent for de som har dette som fagområde. Internets Security and Stability Advisory Committee har også publisert en egen rapport om endringene relatert semantikken for IP-adresser (4).  

Skal en ha sikkerhet, så må en faktisk implementere sikkerhet. Sensorene som foreslås er ikke sikkerhet, men er særdeles grov, statlig overvåking.
Sikkerhet krever (eller nytter) heller ikke denne type overvåking.

Jeg undres hvorfor de som har skrevet/informert ikke har opplyst om at de "usecases" (scenarioer) som nyttes i dokumentet ikke holder vannet - de er teknisk faglig tøvete.

Bedre var det ikke å lese "NOU 2016:19 Samhandling for sikkerhet"(2)
Riktignok forekom ordet personvernet flere ganger. Personvern veies et utall ganger mot "nasjonal sikkerhet"... (og personvernet taper tilsvarende antall ganger).
Forfatterne har også "gjennomført en halvdags-konferanse for å få belyst problemstillinger knyttet til sikkerhet og personvern i en digital tidsalder."

Tilslutt foreslås at EOS-utvalget (eller tilsvarende) skal overse det hele.
Å tro at alt er løst ved at EOS-utvalget kan overse dette,  er som å tro at Den Hellige Ånd skal overse at menneskene overholder lovene de pålegges. (Mye av dette vil ikke være ettergåbart, mye krevet teknisk dybdekompetanse - bare for å nevne noe...)

Jeg leser at norske sikkerhetsmyndigheter (Norsis) selv skriver at dette "Grenseforsvaret" som foreslås ikke vil gi "mere robusthet" og omtaler det som overvåking.
Jeg kan slutte meg til det - dette er overhode ikke datasikkerhet men massiv overvåkning.

At dette ruinerer personvernet, kildevernet og ethvert annet vern som den private sfære skal ha, håper jeg Stortingen ser...


Kostnadene nevnes ikke, men det bør også nevnes at det mye å spare på statsbudsjettet ved å ikke overføre arbeidsområder fra næringslivet over til Staten...



Jeg har mange flere ankepunkter relatert dette forslaget - dette var kortversjonen....



Relevante Linker:

1  Forslag til endringer i lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven)" - mai 2015

2  NOU 2016:19 Samhandling for sikkerhet

3  Lysne II-utvalgets rapport om digitalt grenseforsvar (DGF) 26.august 2016

4  Internets Security and Stability Advisory Committee, SSAC  Advisory on the Changing Nature of IPv4 Address Semantics

5  Court of Justice of the European Union PRESS RELEASE No 145/16 21.desember 2016

6) Forslag om “digitalt grenseforsvar” får tommel ned, både juridisk og teknologisk


Apr 21, 2016

Pasientdata - Staten vil ha aksjemajoritet av kroppen din

Norge har den tvilsomme posisjonen som verdensmester på helseregistre - både flere registre og mere komplett data om individet enn noe annet land.
Og har en data så må en jo benytte dem. For noe skal landet leve av etter oljen.

Det er ikke lov å kommersialisere seksuelle tjenester, men derimot er det ønskelig å kommersialisere kroppen, bit for bit, genom for genom, bokstavelig talt.


En liten hake med dette er at du er dine biologiske data - dine biologiske data er deg.
Ta deg tid til å lytte til  overlege Ellen Økland Blinkenberg, medisinsk genetiker ved Haukland sykehus Bergen.
Hun har skrevet boken Min DNAgbok,
og på Overvåkingsseminaret 2015: kropp og helse, leste hun fra denne boken.

Det er svært interessant å høre denne innledningen, som bør skape ettertanker hos enhver lytter (eller leser, for de som leser boken).

Streaming fra hele seminaret ligger på nett  og overlegens innlegg er også innfelt under her.

Det tar få minutter, så lytt til hva hun forteller. Det er svært viktig informasjon. Også om hvordan Camilla Stoltenberg (bevisst) misleder journalist.











Rapporten  Potensial for kommersiell utnyttelse av humane biobanker er utarbeidet på oppdrag for Kunnskapsdepartementet og Helse- og omsorgsdepartementet. Dette var en oppfølgning til rapporten Gode biobanker - bedre helse fra 2008.
Denne rapporten ser på forretningsmodeller for pasientdata, og hvordan produkter (dvs. du og meg) kan markedsføres og selges samt avkastning produktet kan gi.
(Rapportens tittel kan 'googles' - den har en tendens til å "forsvinne" om en linker til den).







(Klikk på bilder for større foto)







































Nå har Regjeringen lagt frem  Endringer i helseregisterloven m.m. (kommunalt pasient- og brukerregister m.m.  Prop. 106 L (2015–2016) hvor enda et register fremmes, på kommunalt nivå, og opplysninger med direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra de registrerte. Kongen i statsråd vil kunne gi forskrifter om behandling av helseopplysninger. (Som betyr at behandlingen og regelendringer fastsettes av departementet uten innblanding fra Stortinget - inkludert individets reservasjonsrett mot behandling av enkelte opplysninger og bruken av disse).

Individets mest intime helsedata anses som nytteverdi for fellesskapet slik at personvernulemper avfeies.

Iflg. Folkehelseinstituttet vil "pseudonymisering gi økt risiko for feil fordi det er utfordringer tilknyttet kvalitetssikring av data i pseudonyme registre".
Dette er direkte og grovt feil. En detaljert begrunnelse for hvorfor dette er fagteknisk våsete, utdypes i tidligere omtalte seminar, presentert av Professor emeritus Erik Magnus Boe, Institutt for offentlig rett, UiO. (Hans foredrag starter ca. 50min. ut i videoen, del 3).



Det er flere år siden "The Health Impact Fund" annonserte nye "kosteffektive" metoder for petrokjemisk medisinsk industri (BigPharma). I hovedsak går dette ut på at land betaler en andel av statsbudsjettet til dette pharma-fondet, samt stiller sine helseregistre tilgjengelig globalt. Da det er kostnadskrevende å teste ut medikamenter, kan en gjøre dette mere effektivt ved globalt å monitorere brukere av de respektive medikamentene en tester (direkte fra pasientdataene). Dette vil spare farmasøytisk industri for store kostnader om de slipper å gjøre kliniske tester innen medikamenter tas i bruk...

Folkehelseinstituttet ved Camilla Stoltenberg var intervjuet i Verdibørsen 22.12.2012, og brukte samme argumentasjonen som BigPharma bl.a. relatert behovet for et reseptregister. Hun ønsket bedre muligheter for sammenkobling av registrene og ytterlig nye registre fra kommunehelsetjenesten og fra fastlegers pasientjournaler. (Registre over utøvet vold og rusmisbruk er også foreslått).

Dette begynner nå å ta form ved  Prop. 106 L (2015–2016)  - et sentralisert og kommunalt tilgjengelig KPR-register med tilhørende fjerning av personvern på kryss og tvers slik at brikkene, dvs. dataene, passer sammen.
Hva skjedde med Stortingets vedtak om "obligatorisk innebygget personvern"?
Eller Grunnloven § 102?


Landet har en regjering, en helseminister og et Storting hvis medlemmer er oppvokst i dataalderen. Tross dette publiseres en stortingsproposisjon som gir inntrykk av at digitalt personvern beskyttes via taushetsplikt og politiske beslutninger. Til og med partiet Venstre som en gang i en fjern fortid (DLD 2011 er dgitale lysår tilbake) har hevdet de forsto digitalt personvern, presterer å fremme slik nytale. Post-Snowden har også dette partiet gått i personverndvale.

Bør en nevne at Norge er av av 5 verstinger ang. persondatalekasjer (grunnet manglende personvern og manglende datasikkerhet) i Europa. En vesentlig stor andel kommer fra helsesektoren (og offentlig).