Norske og nordiske teleselskaper må fremover lagre såkalte signaleringsdata i langt større omfang enn før.

Dette inkluderer identifiserende data om person, telefonbruk, inkludert posisjon – altså hvor alle mobilbrukere befinner seg til enhver tid.

Fra sletteplikt til datalagring

Mobiltelefonen «snakker» med nettverket hele tiden. Også når du ikke bruker telefonen aktivt. Data som tidligere måtte slettes etter få sekunder, er det nå aktuelt å lagre i flere måneder. Vel så omfattet er signaleringstrafikken som går mellom teleoperatørene, både innenlands og internasjonalt.

digi.no klaget på hemmelighold – og fikk til slutt innvilget delvis innsyn i en konfidensiell høringsuttalelse Telenor ga til Nasjonal kommunikasjonsmyndighet (Nkom) i fjor høst.

ENORM DATAMENGDE: Én privatperson ba om innsyn i egne signaleringsdata for mobilselskapet vedkommende er kunde i. Det resulterte i denne blekka med 1.103 registreringer fra kun ett døgn. Det handler om nye fellesnordiske anbefalinger eller krav, ment å redusere risiko for misbruk av eller angrep mot det sårbare SS7-signaleringssystemet i mobilnettene.

Stikkordet er behov for sikkerhetsanalyse. Skal analysen ha noen verdi, slik at man kan oppdage forsøk på angrep, spionasje eller andre former for misbruk, da må lagringen utvides «betydelig» - som er begrepet Telenor bruker i sitt svar.

Hemmelige tiltak

Dokumentet med de sårbarhetsreduserende tiltakene er hemmelig. For ikke å lette gjennomføring av kriminelle handlinger, altså utnyttelse av sårbarhetene.

I sin høringsuttalelse nevner Telenor både kommunikasjonsinnhold, metadata og posisjonsdata som eksempler til det foreslåtte lagringsregimet.

– Nøyaktig hvilke data som vil omfattes er ikke nærmere fastsatt, utdyper Telenor Norges sikkerhetsdirektør Hanne Tangen Nilsen, overfor digi.no. Hun sier også:

Hanne Tangen Nilsen er sikkerhetsdirektør i Telenor Norge. Det er også hun som har signert høringsuttalelsen de sendte til Nkom. – Vi har gitt en generell kommentar til at disse informasjonstypene er omfattet av ekomlovens krav til beskyttelse, uten å derved ha sagt at alle informasjonstypene med nødvendighet må være del av lagring for sikkerhetsanalyse av signalering. Anbefalingene oppstiller visse minimumskrav til informasjonselementer fra signaleringstrafikken, som må inkluderes som grunnlag for sikkerhetsanalyse.

– Det er selvsagt ikke under noen omstendigheter snakk om lagring av innholdsdata, presiserer avdelingsdirektør Einar Lunde i Nkom når vi tar kontakt.

Uklar lagringstid

En prinsippavgjørelse i Personvernnemda om lagring av IP-adresser i brannmur fra juni 2015 fastslo at Telenor kan lagre loggdata av sikkerhetshensyn i minst 3 måneder.

Nemda mente samtidig at det kan foreligge grunnlag for at lovgiver vurderer endringer i regelverket om lagringstid for loggdata.

Telenor trekker fram dette i sitt høringssvar, og gjør et poeng av at det anbefalte analysearbeidet havner i et uklart juridisk område. Det oppstår ifølge dem et «lovmessig» spenn mellom krav til beskyttelse av personopplysninger, kommunikasjonsinnhold og -infrastruktur, og behovet for å lagre personopplysninger over lengre tidsrom med formål proaktiv og reaktiv sikkerhetsanalyse.

Lunde i Nkom henviste også til Nemdas avgjørelse da vi tok kontakt, men påpeker at denne referansen er ett av flere innspill til lagringstid. Det vil definitivt også være maksgrenser, ifølge ham. Ingen av delene har de landet på ennå.

– Flere faktorer vil spille inn for selve lagringstiden. Konkretisering av disse forholdene vil i første omgang bli diskutert med tilbyderne, sier han.

Utfordrer personvernet

– Storstilt lagring av signaleringsdata er utfordrende for personvernet, sier Bjørn Erik Thon i Datatilsynet. Bilde: H.Brombach En kraftig utvidelse av lagringstiden for signaliseringsdata vekker bekymring hos Datatilsynet.

– Ja, det gjør det. Hvis man legger opp til storstilt lagring av signaleringsdata er det klart det er utfordrende for personvernet, sier tilsynets direktør, Bjørn Erik Thon.

– Regulering på dette området er ikke helt enkelt. Vi har en gammel telekonsesjon som innebærer lagring av data til faktureringsformål. Her har vi et delt ansvar med Nkom. Vårt hovedansvar er sletteplikt, altså at data skal slettes når de ikke lenger er behov for det, fortsetter Thon.

Verken signaleringsdata eller det sårbare SS7-systemet teleoperatørene er helt avhengig av, blant annet for å pense samtaler og tekstmeldinger over i hverandres nett innenlands og internasjonalt, var tema da telekonsesjonen ble laget.

Det var heller ikke tema da datalagringsdirektivet i sin tid ble vedtatt av Stortinget.

Oppmerksomhet rundt signaliseringsdata har Datatilsynet merket først det siste året, da politiet har begynt å få ut slike data blant annet i tilknytning til forsvinningssaker, forteller Thon.

Vet ennå ikke hva som kommer

Nkom og Datatilsynet passer hver sin lov, og selv om tilsynsmyndighetene har et godt samarbeid, kan lovene de styrer etter komme i konflikt med hverandre: Ekomloven og Personopplysningsloven.

– Ja, det kan oppstå konflikt i spennet mellom disse lovene, sier Thon. – Men vi vet ennå ikke hva Nkom kommer til å foreslå. Signaliseringsdata har helt klart betydning for personvernet ditt. Noe som er spesielt med signaleringsdata er at du trenger ikke bruke telefonen for å bli registrert. Og det er ganske stor hyppighet.

Nå er ikke det uttalte formålet lagring for politiets del, som virkemiddel i etterforskning av straffesaker, slik tilfellet var med datalagringsdirektivet.

– Jeg vil tro formålet her er hensynet til sikkerhet i mobilnettet, men det er klart at signaleringsdata også er noe politiet vil være interessert i. Det som er viktig for oss er at formålet er klart definert, hva dataene skal brukes til, samt at lagringstiden er balansert og ikke lenger enn nødvendig, sier Bjørn Erik Thon.

Han mener det vil være å trekke det for langt å sammenligne den forestående lagringen av signaleringsdata med en variant av datalagringsdirektivet.

En slik sammenligning har vi utfordret også Nkom og Telenor på.

– Telenor har ikke analysert dette fra en slik vinkling eller sett disse to områdene opp mot hverandre. Det vil være hjemlene som legges til grunn for lagringen som vil styre mulighetene for hvordan dataene benyttes, svarer sikkerhetsdirektør Hanne Tangen Nilsen.

Avdelingsdirektør i Nkom, Einar Lunde. Einar Lunde i Nkom avfeier blankt at tiltakene kan tolkes som en variant eller slags snikinnføring av datalagringsdirektivet.

– Dette har intet med datalagringsdirektivet å gjøre. DLD handlet om lagring av data knyttet til enkeltindividers bruk av elektronisk kommunikasjon for kriminalitetsbekjempelse og straffeforfølgning. Vi snakker her om operatørenes behov for lagring av informasjon for ivaretakelse av nettenes integritet og det enkelte individs kommunikasjonsvern. – Det er det ekomloven gir behandlingsgrunnlag for. Eventuelle lagringskrav fra myndighetens side vil bli diskutert med blant annet Datatilsynet, sier avdelingsdirektør Lunde.

Økte kostnader

En betydelig økning i lagring av signaliseringsdata kommer til å utløse økte kostnader for teleselskapene.

Hvor stor regningen blir er foreløpig uklart.

– Dette vil helt klart utløse både investeringer og driftskostnader for teleoperatørene, men disse er ikke nærmere kvantifisert, sier Hanne Tangen Nilsen i Telenor.

Anbefalingene for sikring av SS7-signaleringen foreligger for tiden i en versjon 1.0. Det konfidensielle dokumentet har vi ikke fått se. Det bærer tittelen «Common Nordic Recommendations on SS7 Security Issues».

Skal vi dømme utifra det delvis sladdede høringssvaret fra Telenor, er det minst 18 ulike konkrete anbefalte tiltak, men dette er også et levende dokument som skal bli oppdatert over tid.

Kritisk til detaljstyring

Telenor er i høringssvaret kritisk til det de beskriver som etablering av en ny presedens for detaljstyring fra tilsynsmyndighetens side:

«…nasjonale retningslinjer av så spesifikk karakter som det her er tale om, etablerer ny presedens for detaljnivå i regulatørens styring av operatørene, og deres konfigurasjon av egne nett.»

«Regulatøren tar med dette et stort ansvar på flere måter: Innretningen på konkret tilnærming mot de aktuelle problemstillingene styret i relativt detaljert grad, noe som gir begrenset handlefrihet for egenvurdering, tilpasning mot teknologisk utgangspunkt og tilpasning over tid mot endret angripermodus».

– Telenor ser ikke grunn til å utdype denne kommentaren nærmere med henblikk på potensielle konsekvenser. Vi minner om at kommentarene ble gitt til et høringsutkast – ikke til de ferdige anbefalingene, sier sikkerhetsdirektør Nilsen.

Nkom: – Vi har vært strengere før

Einar Lunde i Nkom avviser at anbefalingene til SS7-sikringstiltak representerer en ny presedens.

– Vi har gjort mye skarpere ting enn dette tidligere. For noen år siden var det svakheter i GSM, hvor vi forsøkte å få til et frivillig samarbeid mellom tilbyderne. Det er de som er ansvarlige for en tilstrekkelig grad av sikkerhet. Når vi opplever at det ikke er tilfelle, jeg sier ikke at det gjelder denne gangen, så fatter vi vedtak om anvendelse av kommunikasjonsvern. Med GSM-svakhetene anviste vi hvordan de kunne lukke sine gap helt ned til å si "hvis du bruker denne krypteringsalgoritmen fremfor den andre, så anser vi hullet som lukket". Ellers er det sikkerhetsnivået vi er opptatt av, ikke hvordan operatørene løser det, sier Lunde.

Tidligere har Nkom antydet at de såkalte SS7-anbefalingene kunne bli krav til operatørene. Men de har ikke konkludert ennå.

– Vi er i den avsluttende fasen. Før vi er ferdige kan jeg ikke si hvor vi lander. Men det vil være en løsning som uansett innebærer at tilbyderne får anledning til å bidra og påvirke, og jeg varsler ikke noe vedtak nå, sier avdelingsdirektør Einar Lunde i Nasjonal kommunikasjonsmyndighet.

SS7-sikring er av avgjørende betydning for teleoperatørene, men også en utfordring. Telenors norske mobilnett krasjet i februar 2016 etter et forsøk på kartlegging via SS7-signalering. Hendelsen som førte til at 1 million nordmenn mistet dekningen, ble utløst av en sikkerhetstest som Telenor ikke kjente til i forkant.

Det sårbare systemet med bakgrunn fra 1970-tallet har i utgangspunktet hatt liten eller ingen sikring, men har snarere vært basert på tillit operatørene imellom. Sikkerhetsforskere har de siste årene påvist hvor enkelt det gamle systemet kan misbrukes blant annet til overvåkning: