Digitalt grenseforsvar – Samfunnet behøver personvern
De få innleggene som er positive til digitalt grenseforsvar preges av skremsel og uoppfyllelige løfter.
Birgitte Førsund og Richard Utne skriver i en kommentar 22. mars at individets rett til digitalt privatliv kan være prisen vi må vurdere for å ivareta kollektiv sikkerhet. Utsagnet vitner om en skremmende dårlig forståelse av hvor viktig retten til personvern er. Når de heller ikke sier noe om hvordan «kollektiv sikkerhet» vil ivaretas er det grunn til å stille spørsmål.
Som så mange andre overvåkningsvennlige innlegg i denne debatten lider innlegget deres av å ikke faktisk fremlegge argumenter for Digitalt Grenseforsvar («Tilrettelagt Innhenting» i forslag til ny lov om Etteretningstjenesten) slik det er formulert. De sier ingenting om hvorfor akkurat denne løsningen, inngripende som den er, er det best egnede alternativet; ei heller noe konkret hvordan den angivelig skal gjøre oss sikrere.
Og det er kanskje ikke så rart – for det som foreslås kan nemlig ikke leve opp til løftene om den sikkerheten vi skal få, om vi bare bryter med en av forutsetningene for selve demokratiet.
Feil premiss
Allerede i overskriften fremsetter forfatterne en falsk dikotomi: Sikkerhet og personvern utelukker nemlig ikke hverandre.
Frykten for tap av personvern, som de mener styrer debatten, er en legitim bekymring. Denne deles av både EU og FN. I tillegg er det enda ikke sannsynliggjort at det som foreslås faktisk vil gjøre oss sikrere – tvert i mot har forslaget høstet massiv kritikk, som ikke besvares.
Førsund og Utne skriver at Norge i dag ikke har et forsvar mot hybrid krigføring og digitale kriger – men det de ønsker å innføre er ikke et reelt forsvar, selv om det ofte fremstilles som det. Slik det skisseres i høringsnotatet vil E-tjenesten få en mulighet til å ettergå hendelser (og all annen trafikk) på nett, men det gir neppe noen bedre mulighet enn i dag til å avverge angrep.
De skriver om gråsoner, men juridisk sett er angrep via internett ulovlig, selv om det eventuelt skulle utføres av en statlig aktør. Teknisk sett vil det ikke nødvendigvis være enklere å reagere via et digitalt grenseforsvar slik det skisseres i forslaget, enn det vil være med eksisterende løsninger som Varslingssystem for Digital Infrastruktur (VDI), eller med andre målrettede tiltak.
Videre skriver de om det omfattende cyberangrepet på Hydro. Dette kunne antagelig ha vært avverget eller i det minste oppfattet ved hjelp av VDI – som Hydro selv hadde valgt å skru av (!) – eller tilsvarende tiltak.
De nevner også hackingen av Helse Sør-Øst i 2018. Gitt begrenset offentlig informasjon om hendelsen, samt deres og Sykehuspartners historie, er det ikke lett å si hva som var utslagsgivende, men det er anerkjent at det står dårlig til med it-sikkerheten i de offentlige etatene.
Jeg er enig i at vi bør lytte til Etteretningstjenestens tolkning av eget behov for bedre rusting, men det er ikke dermed sagt at deres ønske eller definisjon av hva som skal til er riktig, eller at det er den beste avveiningen sett fra samfunnets eller borgernes perspektiv.
Kanskje bør Norge ha «et verktøy i det digitale rom som gir oss mulighet til å forebygge, håndtere og sikre verdier som nasjonen er avhengig av for å fungere», men det er ikke gitt at det såkalte digitale grenseforsvaret vil gi oss dette. Det vi derimot vet er at det innebærer et enormt misbrukspotensiale, antagelig bryter med diverse menneskerettsforpliktelser, og er mer inngripende enn alternativene.
Et billigere, mindre inngripende og mer effektivt tiltak for å sikre norsk næring vil for eksempel være målrettede, lokale sikkerhetstiltak – gjerne i samarbeid med det offentlige.
Det er ikke opp til hverken eksperter, de hemmelige tjenestene eller de folkevalgte å selge unna individets rett til digitalt privatliv (og alt annet personvern innebærer) for et tvilsomt løfte om sikkerhet; disse rettighetene er nedfelt i Grunnloven, den Europeiske Menneskerettskonvensjonen og FNs Menneskerettighetserklæring – nettopp fordi de er så enormt viktige.
Det må derfor utarbeides en alternativ løsning som ikke går på bekostning av personvernet.
Eivind Arvesen, it-konsulent