Planene om nye regler for E-tjenesten har fått mye kritikk. NRK har vært i kontakt med flere IT-eksperter og Datatilsynet, som uttrykker bekymring for at forslaget kan innebære at sikre, krypterte meldinger må åpnes i det skjulte for de hemmelige tjenestene.

I forslaget til ny lov for Etterretningstjenesten foreslås det et nytt system som skal kunne overvåke all datatrafikk over norske grenser.

Informasjon om hvem som kommuniserer med hvem, fra hvor og når kommunikasjonen foregår (metadata) skal lagres i en stor database.

Hele systemet har vært omtalt som et digitalt grenseforsvar, som tapper fiberkablene inn og ut av Norge, i utredningene av løsningen.

I det faktiske forslaget til ny lov er dette utvidet til å også kunne gjelde tapping direkte fra tilbydere av tjenester for meldinger og annen kommunikasjon på internett:

(..) tilbydere av internettbaserte kommunikasjons- eller meldingstjenester som er tilgjengelige for allmennheten skal legge til rette for at Etterretningstjenesten kan innhente elektronisk kommunikasjon som transporteres over den norske landegrensen forslag til ny e-lov § 7-2

Det legges også inn et krav om at kryptering skal fjernes slik at E-tjenesten skal kunne lese informasjonen «uten hinder av linkkryptering eller lignende kryptering som tilbyder kontrollerer».

Disse endringene får flere til å reagere og frykte at formuleringene kan brukes til å bryte krypteringen i slike tjenester.

Krypteringsgründer: – Krav som bare finnes i land som Russland og Egypt

Geir Bækholt har startet opp selskapet Crypho, som lager sikre og krypterte kommunikasjonsløsninger fra Norge.

Dersom man krever at tilbydere av meldingstjenester gir E-tjenesten tilgang til ukryptert informasjon, vil det kunne føre til at selskapet hans må bygge inn såkalte bakdører i løsningen sin.

– Slik jeg forstår dette lovforslaget kan dette i verste fall føre til at vi må ødelegge sikkerheten i systemet for å kunne gi informasjon videre til E-tjenesten, sier Bækholt til NRK.

Appen Crypho er norskutviklet og brukes av både sykehus og politiet. Navnet kommer av gresk og spiller på hemmelig/skjult. Foto: Ola Hana / NRK

Den krypterte kommunikasjonsplattformen deres brukes i dag både av offentlige etater som sykehus og politi, selskaper, privatpersoner og av dissidenter i andre land. Alle sammen er avhengige av å være trygge på sikkerhet og personvern.

De sikreste løsningene har såkalt ende-til-ende-kryptering. Det betyr at ingen kan lese informasjonen i meldingene på veien gjennom nettet, heller ikke de som tilbyr tjenestene. Skal E-tjenesten kunne kreve dette, må det derfor legges inn «bakdører» i dataprogrammene, som man kan hente informasjonen gjennom.

Geir Bækholt i Crypho sier de aldri ville gitt E-tjenesten tilgang via bakdører, og at de da heller ville stengt hele tjenesten eller flyttet til et annet land. Foto: Øyvind Bye Skille / NRK

Dette vil ikke bare endre sikkerheten for terrorister eller andre E-tjenesten skal følge med på. Det vil ifølge Bækholt gjøre internett mindre sikkert for alle i hele Norge.

– Sånne krav som dette har vi bare sett gjennomført i land som Russland og Egypt. Det burde ikke være et poeng at Norge er de første i Europa med å rive ned personvernet på denne måten, sier Bækholt.

– Hva gjør dere hvis dere blir pålagt å legge inn ei bakdør?

– Da har vi ikke annet valg enn å stenge. Sånn som våre systemer er bygget opp kan vi ikke gi ut den informasjonen. Om det skal være et lovkrav at vi skal bygge inn sikkerhetshull vil det bryte med vår grunnleggende samvittighet, våre avtaler med kundene og de løftene vi gir sluttbrukerne våre om at de er trygge. Vi må da legge ned driften eller flytte til et annet land, svarer Crypho-gründeren.

Datatilsynet: Kan gi info om alt fra Facebook via finn.no til Grindr

Datatilsynet skriver i sin høringsuttalelse at endringen av hvem som skal gi informasjon til E-tjenesten er en «kraftig utvidelse» av omfanget sammenlignet med Lysne II-utvalgets utredning.

Lysne II-utvalget om digitalt grenseforsvar Ekspandér faktaboks Etter ønske fra E-tjenesten satte Forsvarsdepartementet ned et utvalg som skulle vurdere såkalt digitalt grenseforsvar.

Det innebærer at E-tjenesten vil få tappe all nett- og tele trafikk som krysser Norges grenser. Det gjelder både metadata (hvem, hvor og når du har kontakt med noen) og innhold.

I september 2016 kom Lysne II-utvalget med rapporten hvor de enstemmig gikk inn for dette.

Men med noen begrensninger som for eksempel at infoen aldri skal bli brukt som bevis i straffesaker, infoen skal ikke lagres lenger enn 18 måneder, at bruken er underlagt kontroll av norske domstoler og at e-tjenesten ikke får lov til å søke i informasjon om nordmenn som befinner seg i Norge.

Les rapporten fra utvalget på regjeringens nettsider.

Datatilsynet lister opp eksempler på en rekke tjenester, som inneholder alt fra offentlige etater til kjente meldings- og sjekkeapper:

Oslo kommune

Facebook

Kvam Kraftverk

Skype

finn.no

Rana kommune drifts- og anleggskontoret

WhatsApp

Grindr

Direktør Bjørn Erik Thon i Datatilsynet mener lovteksten og utredningen er så uklar at man i verste fall kan inkludere en rekke tjenester, og kunne kreve bakdører i krypteringen. Foto: Øyvind Bye Skille / NRK

Hva som vil bli inkludert under bestemmelsene i lovforslaget er vanskelig å si fordi forslaget til lovparagraf er så diffust, mener Datatilsynet.

– Slik det er formulert er det mye som tyder på at alt fra finn.no til elektrisitetsverket kan måtte gi informasjon til E-tjenesten, sier direktør Bjørn Erik Thon til NRK.

Og spørsmålet om de skal måtte bryte krypteringen med bakdører er også veldig uklar.

Det er svært uklart hva som menes med «liknende kryptering som tilbyder kontrollerer». Uklarheten forsterkes ytterligere av at tilretteleggingsplikten nå vil omfatte OTT-tjenesteleverandører, som i mange tilfeller vil ha implementert egen kryptering i sine applikasjoner og tjenester. Datatilsynet / Høringsuttalelse - Forslag til ny lov om etterretningstjenesten

– Vi vet ikke sikkert at de vil ha inn bakdører, men fordi det er så uklart kan vi ikke utelukke det. Det er en helt uholdbar situasjon rundt noe som er så inngripende som dette, sier Thon.

Datatilsynets direktør understreker at bakdører som skrur av sikringen kryptering gir på nettet kan være veldig problematisk fordi slike tekniske beskyttelser sikrer mange sentrale deler av samfunnet i dag.

– Kryptering er en av grunnsteinene for å kunne ha fortrolig kommunikasjon. De fleste tjenester har i dag kryptering, og det er helt avgjørende for at vi skal ville bruke tjenester fra for eksempel bank og helse digitalt, sier Thon.

Han mener derfor det er svært viktig at en ny lov om Etterretningstjenesten ikke vedtas med slike uklare formuleringer.

– Når vi ser at til og med Riksadvokaten påpeker uklarhet sender det et ganske sterkt signal om at dette forslaget må man begynne på nytt med, sier Thon om hvordan andre tunge høringsinstanser har påpekt at lovforslaget er for dårlig utformet.

Bransjen kritisk til mulige bakdører

Datatilsynet er ikke den eneste aktøren som har reagert på formuleringene i lovforslaget om å gi E-tjenesten tilgang og skru av kryptering.

Forslag til § 7-2 i ny lov om Etterretningstjenesten Ekspandér faktaboks § 7-2 Tilretteleggingsplikt Tilbydere som omfattes av ekomloven § 1-5 nr. 16 og tilbydere av internettbaserte kommunikasjons- eller meldingstjenester som er tilgjengelige for allmennheten skal legge til rette for at Etterretningstjenesten kan innhente elektronisk kommunikasjon som transporteres over den norske landegrensen. Tilretteleggingsplikten innebærer plikt til på egnet måte å speile og gjøre kommunikasjonsstrømmene tilgjengelige for Etterretningstjenesten, og på annen måte tilrettelegge for at Etterretningstjenesten kan gjennomføre utvalg, filtrering, testing, lagring og søk som beskrevet i kapittelet her, herunder a. gi informasjon om signalmiljø, dataformater, tekniske innretninger og fremgangsmåter, i den utstrekning det er nødvendig for å oppfylle tilretteleggingspliktens formål, b. tillate at Etterretningstjenesten installerer utstyr og etablerer midlertidig eller permanent tilstedeværelse for å drifte utstyr på steder som kontrolleres av tilbyder, og etter anmodning fra Etterretningstjenesten medvirke til teknisk drift og vedlikehold av etablerte løsninger, c. bidra til at Etterretningstjenesten kan gjennomføre testinnhenting og testanalyser av trafikk i nett og tjenester, d. sørge for tilgang til kommunikasjon uten hinder av linkkryptering eller lignende kryptering som tilbyder kontrollerer, og e. medvirke til sikkerhetsmessig forsvarlige løsninger, herunder at Etterretningstjenestens utstyr og tilstedeværelse gjøres kjent for færrest mulig personer hos tilbyder og bare for de som har tjenstlig behov for det. Departementet kan gi forskrift om tilretteleggingsplikten. Les hele forslaget til ny lov i høringsnotatet fra Forsvarsdepartementet

I høringsrunden har flere andre tunge aktører påpekt at teksten i lovforslaget kan åpne for krav om bakdører.

Blant annet skriver Abelia, NHO-foreningen for teknologibedrifter, dette:

Hvorvidt lovforslaget slik det er formulert og med denne forklaring åpner for en tilretteleggingsplikt hvor tilbydere for eksempel pliktes å stille med bakdørsløsninger som gir Etterretningstjenesten full tilgang er uklart. Abelia / Høringsuttalelse til lov om Etterretningstjenesten

Abelia påpeker at det for tiden er press om å få til slike bakdører i krypterte løsninger i USA og andre land.

De senere år har blant annet Australia vedtatt en lov med lignende bestemmelser. Storbritannias etterretningsorganisasjon GCHQ har foreslått tekniske løsninger for å få bli med i samtaler som et slags skjult «spøkelse» (ghost) som kan lytte og overvåke uten at de som blir fulgt med på oppdager det.

Men slike forslag har fått mye kritikk.

Slike problemer med bakdører påpekes også av Abelia i deres høringssvar:

– Utfordringen med denne typen løsninger er at det ikke er fysisk mulig å gi Etterretningstjenesten muligheter til å omgå kryptering, uten å samtidig åpne denne bakdøren for andre, skriver Abelia.

Dette bekrefter også Crypho-gründer Geir Bækholt.

– Det er en konsensus blant eksperter innen kryptering at man ikke kan lage bakdører uten å ødelegge sikkerheten for alle andre, sier Bækholt.

Telia kritisk til bakdører

Også en av Norges største teletilbydere, Telia, reagerer. De vil helt sikkert bli omfattet av kravet om å hjelpe E-tjenesten med en slik ny lov, og er kritiske til bakdører som kan gå utover sikkerheten og personvernet til kundene.

– Lysne II-utvalget var tydelige i sin anbefaling på at dette kun skulle gjelde linkkryptering, og Telia er svært kritiske til en tilretteleggingsplikt som går lengre enn dette. Utfordringen med en tilretteleggingsplikt som innebærer bakdørsløsninger vil være at det ikke er mulig å gi Etteretningstjenesten tilgang uten å åpne denne bakdøren for andre. Det er svært viktig for Telia å ivareta våre kunders datasikkerhet og personvern, skriver de i sitt høringssvar.