Den såkaldte logningsbekendtgørelse forlanger bl.a. af hoteller, campingpladser m.v., at de registrerer gæsternes brug af internet. Den forlanger også af internetudbydere, at de skal registrere deres kunders aktiviteter på nettet, herunder deres brug af e-mail. Debatten om bekendtgørelsen er for nylig blusset op igen, efter at de praktiske konsekvenser af den er begyndt at melde sig, f.eks. i forbindelse med den økonomiske investering, der er nødvendig for at følge reglerne. Målet med bekendtgørelsen er, at man i forbindelse med efterforskning, f.eks. af terror, skal kunne finde detaljer om, hvem en person har udvekslet e-mails med og hvilke sider på nettet han besøgte. Det er da også en nærliggende antagelse, at man ved at opstille udstyr på hoteller m.v. og hos internetudbydere ville kunne indsamle disse data automatisk for alle brugere.
Men denne antagelse er forkert. Enhver vil med et minimum af indsats kunne skjule detaljer om, hvem man mailer med, og ofte også alle detaljer om de sider, man har set på nettet. Oplysningerne vil ikke kunne findes i en lokal registrering, de vil muligvis kunne findes andre steder, men ofte på steder, der er udenfor rækkevidde af dansk lovgivning.
Denne artikel er ikke et indlæg i en politisk debat om, hvorvidt samfundet bør indsamle den slags oplysninger - selvom den debat i høj grad har været forsømt indtil videre. Meningen er kun at påpege, at af forskellige tekniske årsager vil investeringen i lokal registrering på hoteller og andre lignende steder være spildt. Og endvidere at investeringen i central registrering hos internetudbyderne vil være af tvivlsom værdi, fordi den kun vil give en del af de data, man muligvis havde håbet at få adgang til.
Webmail lader sig ikke overvåge
Lad os et øjeblik besøge en ganske almindelig dansker, lad os kalde ham Hansen.
Hansen kobler op til internettet fra sin pc, og begynder at bruge sin e-mail-konto hos Gmail, som er Google's e-mail service, hvor alle kan få en gratis konto, og som bruges af tusindvis af mennesker verden over. Den instans, der leverer netforbindelsen, har udstyr opstillet, som kan se alle data, der bliver sendt til og fra Hansens pc. Der kan her være tale om et hotel, hvor Hansen er gæst, eller den internetudbyder hvor Hansen er kunde. Det viser sig midlertid, at det eneste man vil kunne registrere er, at Hansen koblede sig på Gmail, man vil intet kunne se om, hvem han udvekslede e-mails med eller hvad indholdet var.
Årsagen er enkel: Når man kobler sig på Gmail, bliver der oprettet en såkaldt sikker forbindelse mellem gæstens pc og Google's maskine, som kan stå hvor som helst i verden. Alt hvad der bliver sendt mellem de to maskiner vil herefter være krypteret. Og eftersom hotellets eller internetudbyderens lytteudstyr kun har adgang til det, der fysisk bliver sendt, så vil man kunne se, at der bliver etableret en forbindelse til Gmail, men derefter kun krypterede data, der ikke kan bruges til noget som helst.
Det er klart, at Gmail's udstyr i princippet ved, hvem man mailede til, og kunne registrere det. Men dette udstyr kan stå hvor som helst i verden, og chancen for at det vil være underlagt dansk lovgivning er forsvindende lille. Der er i øvrigt ikke noget specielt ved Gmail i denne forbindelse. Der findes mange andre tilsvarende e-mail services, Microsofts Hotmail f.eks., og de fungerer typisk på præcis samme måde.
Bemærk også, at eftersom masser af mennesker har en webmail konto og bruger den tit, så vil det ikke være muligt at skelne mistænkelig fra normal adfærd, når selve indholdet af mailtrafikken er krypteret: Det at koble sig på sin e-mail-konto via en sikker forbindelse er noget helt normalt, som tusindvis af danskere gør hver dag.
Kryptering af data er ofte standard
Hvis vi ikke kan registrere hvem Hansen udveksler e-mails med, så kan vi måske i det mindste registrere hvilke sider han besøger på nettet? Det viser sig, at også det ofte er umuligt. Især når vi taler om lokal registrering, når Hansen f.eks. besøger et hotel. Det hænger sammen med brugen af VPN (Virtual Private Network). VPN er en teknologi, som sætter Hansen i stand til at koble sig på det lokale netværk i det firma, hvor han arbejder, og derefter agere præcis, som om han sad på kontoret. VPN bruges af næsten enhver større virksomhed, der tager sikkerhed alvorligt.
Imidlertid anvendes der som regel kryptering i VPN, hvilket er helt nødvendigt, for at beskytte firmaets IT ressourcer mod at blive udnyttet af uvedkommende. Men det har i denne forbindelse den effekt, at selvom man holder øje med alt hvad der bliver sendt til og fra en bærbar pc, der er koblet på et VPN, så vil man intet kunne se om indholdet af de data, der udveksles. Endvidere er det jo sådan, at mange firmaer giver mulighed for, at de ansatte kan gå på nettet inde fra virksomheden. Det betyder alt i alt, at Hansen via VPN vil kunne surfe på nettet fra f.eks. et hotel, uden at hotellet har nogen som helst chance for at se, hvilke sider der besøges. Den eneste instans, der kan registrere dette, er den internetudbyder, der leverer til Hansens firma.
Man kunne naturligvis håbe på, at almindelige forretningsfolk ikke vil være i målgruppen når man skal efterforske terror, og at VPN derfor ikke har nogen særlig betydning. Men det synspunkt er alt for naivt: en ressourcestærk person, der ikke har rent mel i posen, kunne f.eks. gå efter at stjæle adgang til et uskyldigt firmas VPN. Tyveri af passwords og lignende er jo desværre en helt almindelig ting. Han er herefter i stand til at gå på nettet fra ethvert sted, hvor logningsbekendtgørelsen gælder, uden at man lokalt vil kunne se, hvad han laver.
Konklusion: Ideen om at man lokalt skulle kunne registrere folks adfærd på nettet er en umulighed, og det giver derfor ingen mening at tvinge hoteller, campingpladser o.l. til at registrere brug af deres netforbindelser. Det giver en smule mere mening, at danske internetudbydere registrerer deres kunders aktiviteter, men man skal ikke forvente at kunne registrere alt. Især ikke brug af e-mail, for disse oplysningerne er kun tilgængelige der, hvor man har sin e-mail-konto. Og her vil der i adskillige tilfælde vil være tale om steder, som ikke er underlagt dansk lovgivning. Uanset den positive hensigt med registreringen bør man se i øjnene, at internettet er et internationalt fænomen, der vanskeligt lader sig håndtere på nationalt plan.
Premium
Ordknap bestyrelsesformand: "Jeg er sikker på, at det vil gå Merete Søby godt fremover"