nrk.no

Nato-rapport: Disse selskapene truer rikets sikkerhet

Kategori: Samfunn

CYBERFORSVAR: Soldat ved Cybersikkerhetssenteret på Jørstadmoen i Lillehammer. Foto: Anette Ask/Forsvaret


Seniorforsker frykter at informasjonen vi gir fra oss kan misbrukes til utpressing og kartlegging av forsvarsansatte.

– Dataforhandlere er et svakt ledd innen nasjonal sikkerhet, sier seniorforsker Henrik Twetman ved Natos forskningssenter for strategisk kommunikasjon.

Selskapene han snakker om, dataforhandlerne, samler inn store mengder informasjon som de selger videre. Informasjonen kan komme fra flere hold: Fra offentlige etater, kommersielle tjenester som lojalitetsprogrammer, og overvåkning fra digitale tjenester som mobilapper.

– Måten de opererer på skaper sårbarheter som ondsinnede aktører kan utnytte, sier Twetman, en av forfatterne bak den nylig publiserte rapporten Data Brokers and Security.

I en rekke saker har NRK dokumentert hvordan slike dataforhandlere videreselger nordmenns mobilbevegelser. Ved å kjøpe en datapakke fra en britisk dataforhandler kunne NRK identifisere og kartlegge deler av livene til en rekke soldater og offiserer i Forsvaret.

DIGITAL KAMUFLASJE: Henrik Twetman mener Nato-styrker må begrense hvor mye informasjon de lekker og skaffe seg digital kamuflasje. Foto: Nato Strategic Communication

– Problemet for militære organisasjoner er at det er en mulighet for at dataforhandlere kan endevende etterretningslandskapet. De gjør det enkelt og billig å skaffe detaljert og kompromitterende informasjon på nett, noe man ellers måtte hatt et nettverk med etterretningsoffiserer og spioner i fremmede land for å få til, sier Twetman.

Twetman frykter at informasjon kjøpt av dataforhandlere også kan brukes til utpressing og som et verktøy i cyberoperasjoner.

– Dette er problemstillinger som Forsvaret har på radaren, men det finnes ikke tryllestøv som på magisk vis løser problemene, sier kommunikasjonssjef Knut Helge Grandhagen i Cyberforsvaret.

Brukes til etterretning

Edward Snowden sendte sjokkbølger gjennom etterretningsverden da han lekket strengt hemmelige dokumenter om amerikansk masseovervåkning til journalister i The Guardian og Washington Post.

Dokumentene førte til en rekke avsløringer om hvordan informasjon kommersielle selskaper samlet inn kom i hendene på den amerikanske etterretningstjenesten NSA og deres samarbeidspartnere. Gjennom overvåkingsprogrammet Prism hadde NSA tilgang til data fra ni selskaper: Microsoft, Apple, Google, Yahoo, Facebook, YouTube, Skype, PalTalk, og AOL.

VARSLER: Bildet av den tidligere NSA-analytikeren Edward Snowden ble tatt 6. juni 2013 på et hotellrom i Hongkong. Snowden oppholder seg nå i Moskva. Foto: NTB/AFP/The Guardian

USA er ikke alene om å utnytte informasjon samlet inn av kommersielle aktører. Ifølge magasinet Foreign Policy har for eksempel kinesiske sikkerhetstjenester siden rundt 2010 hatt et system for å overvåke flypassasjerlister til etterretningsformål.

Nato-rapporten peker likevel på nye muligheter: Hva med å bare kjøpe tilgang til informasjon fra villige dataforhandlere?

NRK og en rekke andre medier har de siste året omtalt hvordan mobilapper sender enorme mengder informasjon om mobilers bevegelser til dataforhandlere. Disse selskapene selger så informasjonen videre. I noen tilfeller er sluttkunden statlige aktører eller selskaper innen forsvarsindustrien.

Det ferskeste eksempelet kom da det ble kjent at det militære etterretningsbyrået Defense Intelligence Agency har kjøpt tilgang til mobiltelefoners bevegelser fra dataforhandlere. Informasjonen skal ha blitt brukt til å spore mobiler i og utenfor USA.

Dataforhandlerne trenger heller ikke å være helt stuereine. På grunn av svake personvernlover i Russland trenger man kun litt kreativ googling og noen hundre euro i kryptovaluta for å kjøpe telefonlogger med informasjon om mobilens lokasjon, eierens flyreiser, og eiendommer tilknyttet personen, oppgir Bellingcat.

Ved å kjøpe informasjonen som var tilgjengelig på det russiske gråmarkedet, avslørte journalister i Bellingcat identiteten til medlemmer av russisk militær etterretning og kartla reiser til medlemmer av sikkerhetstjenesten FSB.

Personvernlover spiller viktig rolle

– Det er ingen innsyn eller kontroll i hvordan data blir delt og hvor det ender opp, sier Twetman om hvordan dataforhandlerne opererer i dag.

Han ønsker ikke å legge skylden på det enkelte selskap. Dette er et bransjeproblem, mener Twetman.

Det er tegn på at man er langt bedre skodd mot de negative sidene av kommersiell overvåkning i Europa enn i USA. Det kan skyldes at Europa i 2018 innførte et felles og mye strengere regelverk for personopplysninger, noe USA mangler.

Undersøkelser gjort av Nato Strategic Communication viste man kunne kjøpe mer data om amerikanske borgere enn europeere.

Endret retningslinjer

NRK kjøpte selv en datapakke med informasjon om 140.000 mobilers bevegelser i 2019. Selgeren var en London-basert dataforhandler som nå etterforskes av britisk datatilsyn.

Datapakken kostet bare 35.000 kroner. Selv om den ikke inneholdt noen navn eller telefonnummer kunne NRK identifisere en rekke offiserer og soldater i Forsvaret. Det var mulig å gjøre fordi dataene avslørte hvor mobileiere oppholdt seg – i og utenfor jobb.

To dager etter NRKs sak om hvordan forsvarsansatte ble avslørt av mobilen endret Forsvaret sine retningslinjer for bruk av sosiale medier. De oppdaterte retningslinjene introduserte et nytt delkapittel som omtaler hvordan apper kan spore brukeres bevegelser, og at informasjonen kan bli delt videre med tredjeparter.

«Jo flere apper du laster ned på din telefon eller nettbrett, dess større er sannsynligheten for at din geografiske plassering er tilgjengelig for andre aktører», står det i de nye retningslinjene.

VURDER Å SLÅ AV: I retningslinjene står det at stedstjenester eller posisjonsdata stort sett kan slås av. Ansatte bør vurdere å slå av deling av sin posisjon for å redusere skadepotensialet mot dem selv og Forsvaret. Kilde: Forsvaret. Illustrasjon: Martin Gundersen

Ansatte i Forsvaret anbefales nå å vurdere «å slå av disse stedstjenestene for å redusere skadepotensiale mot deg og Forsvaret».

Vil du lære mer om internett og teknologi?

Få en epost når vi publiserer det fyldige nyhetsbrevet vårt. Vi kommer aldri til å misbruke adressen din.

Kjent med problemet

– Informasjonstilfanget har økt for private og statlige aktører. Det har blitt en ny lekegrind, sier kommunikasjonssjef Knut Helge Grandhagen i Cyberforsvaret, som mener dette vil bli en større utfordring med årene.

Forsvaret håndterer i dag utfordringen med å gi temaet økt bevissthet for alle ansatte, forteller Grandhagen. Der inngår blant annet Forsvarets retningslinjer for sosiale medier. I tillegg har Forsvaret mer målrettede tiltak som forbud mot å gå med smartklokke på høygraderte anlegg og for skjermet personell.

– Vi må erkjenne at såpass komplekse organisasjoner som Forsvaret har informasjonstap i en moderne verden, sier Grandhagen, som samtidig er tydelig på at dataforhandlere og kommersiell overvåkning bare en liten del av utfordringene Forsvaret hele tiden må håndtere.

LES OGSÅ: Norsk bedriftsleder tar oppgjør med egen bransje: – Blitt litt for ivrige etter å tjene de raske pengene

LES OGSÅ: Samleside med alle våre saker om mobilsporing

2 kommentarer

  1. Jeg kan ikke fatte at det er lov å ha med seg personlig datautstyr på jobb. Man føler ikke at man lever, hvis man er uten. Men det innebærer også at man føler seg avhengig av å være i multitasking modus. Man forestiller seg sikkert at man blir mer fokusert og kreativ av dette og mildere traumatisert av uroen over ikke å være påkoblet. Påkoblingen gir tydeligvis en enorm følelse av lykke og mening – mens jeg ser på den som hysteri. For en idiotisk, uproduktiv sikkerhetsrisiko de personlige duppedittene på jobb innebærer! Ta seg heller en caffe-latte, da i hvert fall, med kollegaene.

    Svar på denne kommentaren

Legg igjen en kommentar til Jamil Dybwad Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.