Al Jazeera America kunne denne uken avsløre en håndfull e-postmeldinger som i 2011 og 2012 ble sendt mellom daværende NSA-direktør Keith Alexander og Google-toppene Eric Schmidt og Sergey Brin. E-postene har blitt frigitt av NSA i forbindelse med en såkalt FOIA-forespørsel (Freedom of Information Act).
I den eldste e-posten, som er fra desember 2011, blir Brin takket av Alexander for at Brin og andre Google-ansatte har deltatt i det som kalles for Enduring Security Framework (ESF). Blant annet Googles Vint Cerf, Eric Grosse og Adrian Ludwig skal ha bidratt i løpet av 2011. Grosse og Ludwig jobber med sikkerhet hos Google, mens Cerf har tittelen Chief Internet Evangelist. Cerf anses forøvrig for å være én av fedrene til internett, sammen med Bob Kahn.
Brin inviteres deretter til et møte i ESF-styringsgruppen for å diskutere målene for 2012, noen trusler gruppen ser og hva som kan gjøres for å redusere disse. Det går flere uker før Brin svarer og takker ja til invitasjonen. Årsaken til det sene svaret ser ut til å være at Alexander har brukt en e-postadresse som Brin oppgir at han sjelden følger med på.
Alexander beskriver forøvrig Google som et nøkkelmedlem av Defense Industrial Base. Ifølge Department of Homeland Secyrity (DHS) er dette det globale industrikomplekset som direkte eller indirekte bistår til forskning og utvikling, eller design, produksjon, leveranser og vedlikehold av våpensystemer eller deler til disse, i henhold til amerikanske, militære behov. Kyberkrigvåpen er sannsynligvis inkludert i dette, men også forsvar mot slike angrep.
Det er først i en e-post Alexander sendte Eric Schmidt i juni 2012 at det forklares hva Enduring Security Framework egentlig er, selv om det også i e-posten til Brin antydes at det dreier seg om trusler i kyberrommet.
I e-posten forklares det at ESF ble etablert i 2009 av tjenestemenn ved DHS og DoD (Department of Defense), samt topplederne i 18 amerikanske selskaper. Hensikten med ESF er å koordinere innsatsen til myndigheter og bedrifter i forbindelse med viktige, og i utgangspunktet graderte, sikkerhetsproblemer som aktørene ikke kan løse alene.
Alexander nevner som eksempel at man de siste 18 månedene (før juni 2012, journ. anm). har fullført et arbeid for å sikre BIOS-en til enterprise-plattformer for å møte trusler på dette området.
Det var først og fremst Intel, AMD, HP, Dell og Microsoft som deltok i dette arbeidet fra IT-bransjens side.
Omtrent seks måneder før Alexander skrev e-posten, skal ESF ha begynt å se nærmere på sikkerheten til mobile enheter. En gruppe som i hovedsak har bestått av Google, Apple og Microsoft skal ha kommet til en avtale om et sett med sentrale sikkerhetsprinsipper på dette området.
Hensikten med e-posten, i tillegg til å informere Schmidt om arbeidet, var å invitere ham til et lukket møte sammen med andre toppledere for å bli oppdatert om spesifikke trusler. Det går fram av e-posten at Schmidt ble invitert fordi Brin ikke hadde mulighet til å komme, men også Schmidt svarer at han ikke kan delta.
Mye av det som er beskrevet over, er nytt i den forstand at det ikke har blitt bekreftet tidligere. Men det er ikke særlig overraskende eller ukjent at amerikanske IT-selskaper har samarbeidet med NSA om felles sikkerhetsutfordringer. For eksempel er det jo nærmest en offentlig hemmelighet at NSA bisto Google da selskapet ble angrepet av kinesiske hacker i 2010. En del ganske mye brukt sikkerhetprogramvare er utviklet ved NSA.
Nært forhold?
Mange nyhetstjenester, inkludert Al Jazeera, har valgt å legge mest vekt det som kan se ut til å være et relativt vennskapelig forhold mellom NSA-direktør Alexander og de to Google-lederne. De er på fornavn med hverandre (Schmidt kaller Alexander for «General Keith») og har tydelig møtt hverandre tidligere. Men hvor vennskapelig disse forholdene kan tolkes å være ut fra dette, avhenger av hvor formelle man vanligvis er i disse kretsene. En del nyhetstjenester ser ut til å mene at også forholdet mellom organisasjonene NSA og Google er nært på bakgrunn av innholdet i disse e-postene.
Men e-postene fra Alexander forteller at i alle fall Google i liten grad har vært involvert i ESF før i 2011, i motsetning til en del av de andre selskapene som nevnes.
Motstridende oppgaver
Al Jazeera har i sin artikkel om e-postene også hentet inn en del mer bakgrunnsinformasjon om blant annet det BIOS-relaterte arbeidet som ble gjort av ESF. I en kommentar sier en representant for Electronic Frontier Foundation at det er meningsløst at NSA både skal hjelpe amerikanske IT-selskaper med sikkerheten og samtidig trenge seg inn gjennom bakdører som etterretningstjenesten kanskje oppdager eller planter under nettopp dette arbeidet.
Leave a Reply