Du vil diskutere en artikkel i en norsk nettavis og logger inn med Facebook, Google eller Twitter. Tenker du over risikoen ved å identifisere deg via sosiale medier?
Du vil kjøpe en kaffemaskin i en nettbutikk. For å gjennomføre bestillingen må du opprette en bruker med telefonnummer, fødselsdato og e-postadresse. Vi møter et stadig økende press om å oppgi persondata på nett.
Markedet for slike data vokser, og omfatter mye mer enn det du aktivt har sendt fra deg. Det finnes ingen global kontrollmyndighet eller sertifisering.
Personvernforbedrende
Seniorforsker Lothar Fritsch ved Norsk Regnesentral liker ikke å bruke Android-telefoner. Han misliker at de tvinger ham til å logge på en Google-konto.
Fritsch bruker en gammel HTC-telefon med Windows, fordi de nye telefonene ikke lar ham overføre kontaktdata med kabel. Han må først legge dem over i Apples, Microsofts eller Googles datasky.
– Dermed utleverer jeg dataene til en tjener som bringer meg rett inn i det amerikanske rettssystem, sier han. Fritsch tror vi er omtrent en skikkelig krise unna å skjønne at dette feltet må reguleres bedre.
Konseptet personvernforbedrende identitetsstyring innebærer identifisering hvor vi ikke må gi fra oss mer informasjon enn nødvendig. I bransjen kalles dette også informasjonsminimalisering.
Vi har mange lover, som Personvernloven, som krever at innsamling av personopplysninger minimaliseres. Det finnes også regler som sier at innsamlede data kun skal brukes til det personen de gjelder har godkjent.
Likevel er trenden at tjenesteleverandører på nettet sikrer seg mye mer informasjon enn de trenger.
Problematikken gjelder ikke bare sosiale medier. Systemer for forvaltning av elektroniske identiteter finnes overalt i dag, og håndteres av både offentlige og private aktører.
Hvilken type identitetsstyring velges når et nytt system utvikles? Hvor ligger insentivene for å gå for den personvernforbedrende versjonen?
Overskuddsinformasjon
Forskerne har studert både teknologien og den menneskelige faktor knyttet til personvernrisiko.
Blant annet har de utviklet et helt ny metode for risikoanalyse kalt Conflicting Incentives Risk Analysis (CIRA), som tar for seg de menneskelige sidene av risiko. Einar Snekkenes, professor ved Norwegian Information Security Lab ved Høgskolen i Gjøvik, har vært prosjektleder.
– På den ene siden av bordet sitter det potensielle offeret, hvis persondata vi er bekymret for. På den andre siden sitter de som har tilgang til denne informasjonen og skal ta vare på eller kan tenkes å misbruke den. En risiko for meg kan være en mulighet for andre, forklarer han.
Forskerne mener en av de største truslene mot personvernet på nettet er den store mengden overskuddsinformasjon som samles inn.
– I stadig større grad blir vi bedt om personopplysninger og registrering som ikke er nødvendig for å levere tjenesten. Dette er i beste fall en tvilsom praksis, sier Snekkenes.
– Faren er at den enkelte har liten oversikt over de skadelige måtene personinformasjon kan bli brukt på i fremtiden.
Vi kan for eksempel tenke oss at høyoppløselige bilder blir problematiske dersom det noen gang blir mulig å se sykdomstilstander med avansert bildebehandling. Ditt kjøp av forsikring kan fort bli påvirket.
Vi vet ikke hvilke muligheter eller hvilken teknologi som kan dukke opp for å utnytte informasjonen som samles inn i dag.
Sammenkobling ved login
En av de andre, store truslene som forskerne identifiserer, er sammenkoblingen av informasjon når folk bruker felles løsninger for identifikasjon. Dette gjelder ikke bare tjenester vi kan logge på via brukere til sosiale medier.
Felles innlogging og sammenkobling av identitetsverdener er også en risiko ved tjenester som Altinn. Er du logget inn der, og surfer videre til NAVs nettsider, vil du automatisk bli logget inn der også.
En trojansk hest kan i teorien legge inn et skript i nettleseren og endre kontonummeret for utbetaling av foreldrepenger.
Smartkort utlevert fra ID-leverandøren buypass kan du få fra Norsk Tipping, og blant annet bruke til å logge inn på Altinn eller NAV. Nettsidene til slike offentlige tjenester vil hver gang sjekke med Norsk Tipping om kortet ditt er gyldig. Dermed får Norsk Tipping en oversikt over hvor ofte du logger inn der.
Hva skal informasjonen brukes til?
Foreløpig er det ikke gjort så mye forskning på hva som skjer når ulike identitetsverdener kobles sammen.
– Når man slår sammen systemer uten å lage sikkerhetsanalyse, kan det skje en del ting som ikke er så bra, sier Fritsch.
En tredje risiko er det økende kravet til registrering for å få tilgang, selv om det strengt tatt ikke er nødvendig for å levere tjenesten.
– At man ikke tenker minimalisering kan indikere at selskaper ønsker å bruke dataene til å forbedre sin forretningsvirksomhet. Dette kan naturligvis også være til glede og nytte for kunden, sier Snekkenes.
I motsetning til tradisjonelle metoder for risikovurdering, som ser på sannsynligheten for at noe kan gå galt, tar analysemodellen CIRA fatt i insentivene eller godene som motiverer de involverte menneskene. Den ser på det som kalles moralsk risiko.
– Du er eksponert for risiko dersom en annen part kan gjøre noe som han tjener på, men som du ikke er tjent med. Da snakker vi om gevinster og tap i et større perspektiv, for eksempel penger, frihet, rykte, makt, fred og ro, trygghet, anonymitet, personvern eller tillit, sier Snekkenes.
Forskerne har hentet inspirasjon fra psykologi og økonomi hvor man snakker om positiv og negativ risiko – ikke bare sjansen for at noe kan gå galt.
– Vi kan også snakke om mulighetsrisiko i situasjoner der en annen part har svake insentiver for å gjøre noe, i kombinasjon med at du vil få en stor gevinst, sier professoren.
Vil tjene penger
Når vi gir fra oss personinformasjon, for eksempel på Facebook, er det ikke helt sikkert at vi skjønner helt hva selskapet kan tenke seg å tjene på det. Og hvor mye vi potensielt sett kan tape, mener Snekkenes.
Spørsmålet er hva Facebook kan komme til å gjøre som er bra for dem, men som ikke er godt for vårt personvern – uavhengig av hva selskapet har gjort tidligere.
– Det er rimelig å anta at selskapet ønsker å skape verdi for sine eiere. Det er naivt å tro at de vil gjøre valg de ikke vil tjene på i det lange løp, sier forskeren.
– Om vi spør hvor sannsynlig det er at Facebook vil gjøre ditt eller datt, blir vi ikke så mye klokere. Men om vi prøver å forstå hva en aktør i ID-styringsbransjen kunne tenkes å få ut av sine handlinger, kan vi få økt innsikt, sier Snekkenes.
Det kan være en omfattende øvelse, men prosjekter innen sikkerhet og risikoanalyse er gjerne store.
– Metoden vi har utviklet er generell, og kan også brukes for risikoanalyse på mange andre områder, sier Snekkenes.
Den eksisterer foreløpig bare på papiret og i en programvare-prototype som ble utviklet i sommer.
– Vi jobber for å videreføre dette arbeidet gjennom å lage en programvare som gjør metoden mer tilgjengelig, sier Snekkenes.
Tekniske risikokilder
I den andre delen av prosjektet har Fritsch og forskere ved Norsk regnesentral undersøkt tekniske risikokilder ved å plukke fra hverandre teknologien for identitetsstyring.
17 bestemte risikofaktorer ble identifisert, og 9 av dem er puttet inn i et program som kan modellere og analysere dataflyten i et system.
En viktig risiko er hvorvidt en elektronisk identitet kan kopieres. Tyveri på nettet blir for eksempel enkelt om man kan kopiere en elektronisk identitet.
En trojansk hest kan brukes til å spionere på tastatur og få tilgang på passord.
En annen risikofaktor er mobilitet. En person som får tak i et passord, kan bruke dette fra et helt annet sted i verden.
Sammen utgjør disse to faktorene en veldig stor risiko. Andre faktorer er hvor lenge en elektronisk ID skal brukes, og hvor ofte den blir tatt i bruk.
– Dersom det er mitt personnummer og MinID som skal brukes hele livet og eksistere lenge etter at jeg dør, er det noe annet enn et dataspill jeg bruker noen uker, sier Fritsch.
– Samtidig kan det hende jeg bruker MinID bare to ganger i året, så det kan ikke avsløre så mye om bruksmønster.
Ved å simulere hvordan informasjon dyttes rundt i et system for identitetsstyring, kan forskerens program identifisere de ulike risikofaktorene.
Målet er å lage et verktøy som kan analysere systemene for identitetsstyring og kjøre på flere ulike alternativer. Da blir det mulig å finne den løsningen som passer best.
Forurense dataene
Så hva med vanlige folk som ønsker å beskytte sin identitet på nettet? Er det noe vi kan gjøre for å øke sikkerheten?
– For det første burde vi surfe litt mer anonymt ved å installere en anonymiseringstjeneste som gir en fremmed IP-adresse, sier Fritsch.
I tillegg er det en idé å installere en ekstra nettleser og skru av informasjonskapsler, flash og javaskript, og alt annet som får nettleseren til å gjøre ting automatisk.
– Jeg bruker en slik nettleser mot alle nye, ukjente nettsider. Den fullt ut multimediale nettleseren bruker jeg bare på nettsider jeg har tillit til, sier seniorforskeren.
Hans tredje tips handler om nettsider som spør deg om å fylle ut en profil for å for eksempel bestille den kaffemaskina.
– Det gjør jeg rett og slett ikke. Eller jeg bruker bevisst falske data, for eksempel om fødselsdato, om jeg ikke kommer videre, sier han.
Fritsch nevner også et lite program kalt Cookie Cooker, laget av en student i Berlin.
Det lager en liten javadatabase på din maskin, henter alle infokapslene fra nettleseren, og du kan bruke det som en brannmur for hvilke infokapsler som kommer ut eller ikke.
Du kan også bytte infokapsler med en annen bruker.
– Å gjøre informasjonen verdiløs er det eneste man kan gjøre som borgerinitiativ mot de store aktørene som lever av å akkumulere data i databaser, sier Fritsch.
– Det verste for dem vil være at det samler seg opp dårlige data, og at de en dag i fremtiden får problemer med å regne ut hvilke data som er aktuelle og stemmer godt nok til å lage forretning på.
Snekkenes legger til at det finnes nettverk av mennesker som bevisst går inn for å forvirre de store hamstrerne av persondata på nettet.
Suverenitet
Når det gjelder alle appene i mobiltelefonen, syns Fritsch det er grunn til å spørre seg om de skal stå på hele dagen og følge med hvor du går – og kanskje hvilke butikkvindu du titter inn i, eller når du jogger langs Akerselva i Oslo om kvelden.
Forskeren ønsker mer offentlig debatt og strengere myndigheter.
– Kan for eksempel Forbrukerrådet komme på banen? Er det nødvendig at all informasjonen slynges ut til et annet land så snart man slår på den nye mobilen? spør han.
– Når alt kommer til alt handler dette også om suverenitet. Vi utleverer oss selv til en amerikansk samfunnsordning og neoliberal økonomi der alle må passe på seg selv og leverandøren står mye mer fritt til å tjene sine penger. Det er noe annet enn vi skandinaver er vant til. Vi må gjøre noe for å sørge for at statens regler kan følges opp. Hvem som har makt over databasene er et spørsmål om nasjonal suverenitet, sier Fritsch.
Personvernloven kan for eksempel benyttes til å lage insentiver for å ta i bruk personvernforbedrende identitetsstyring. Kanskje bør aktører som blåser i personvernet svartelistes?
– Og det er lurt med en innstramming av tilsyn og jobbing med regulering av elektroniske identiteter, sier Fritsch.
Han foreslår også å styrke Personverndirektivet og direktivet om elektroniske signaturer i EU, fordi prosessen som førte til dette e-signaturdirektivet handlet mye om digital signatur, og mindre om personvern og e-ID.
I tillegg burde Norge styrke fagmiljøet og Direktoratet for forvaltning og IKT (Difi), som driver ID-porten for innlogging til offentlige tjenester, mener seniorforskeren.
Her kommer også flere systemer fra andre land til å bli koblet opp for å levere e-tjenester til beboere i andre europeiske land.
– Det er nødvendig å skape en sertifisert og sikker identitetsteknologi med standardisert sikkerhetsnivå i flere land, sier Fritsch.
– Litt på samme måte som samarbeid i bilindustrien er sterkt standardisert – både i fremstilling og kontroll av kjøretøy.
