Tre grunner til å være skeptisk til den nye korona-appen, og noen forslag til hvordan problemene kanskje kan løses.
De norske helsemyndighetene har satt utviklerne i Simula på saken. Appen samler informasjon om hvor folk befinner seg, og dermed kan man enkelt spore opp alle de andre som har vært i nærheten av en koronapositiv. Disse kan varsles, eventuelt settes i karantene. Koronaviruset er smittsomt før man utvikler symptomer, og dermed vil tidlige varsler om at man har vært i kontakt med en smittet person hindre smitte i neste ledd.
Hvorfor er de skeptiske til noe så lurt som en app mot korona?
Hvis alle hadde en slik app, ville vi kunne åpne samfunnet raskere, frister myndighetene med. Likevel møtes appen med skepsis blant mange av ekspertene på personvern og teknologi. Hvorfor er de skeptiske til noe så lurt som en app mot korona?
Det er tre grunner til det.
Lokasjonsdata koblet sammen med helsedata er hypersensitivt.
1. Hackersikkert?
Denne appen skal være sikker, lover Simula og myndighetene. «Dataene blir kryptert og lagres i en egen, sikker skyløsning.» Teknologene tviler. Den må selvsagt være sikker, for lokasjonsdata koblet sammen med helsedata er hypersensitivt. Bare spør Bergen kommune, som takket være en skolemeldingsapp kan ha avslørt hvilken skole et barn som lever i skjul for en av sine foreldre går på. Spør 16-åringen som har et forhold til en person med en religiøs bakgrunn mor og far misliker.
Faren for overvåking og tyveri av registrene større enn noen gang.
Man trenger ikke være redd for Bent Høie for å være bekymret for innsamlingen. En av grunnene til det er erfaringene fra krigen: Det var viktig at Statistisk sentralbyrå ikke satt på et nøyaktig register over jøder i Norge da de tyske okkupantene tok over.
Faren for okkupasjon nå er kanskje ikke enormt stor, men til gjengjeld er faren for overvåking og tyveri av registrene større enn noen gang. Svært aktive grupper knyttet til Nord-Korea, Kina og Russland tråler nettet etter svakheter, på jakt etter å tjene løsepenger eller lage kaos i vestlige demokratier.
Ingen, og i hvert fall ikke norske myndigheter, har kontroll med infrastrukturen i alle ledd av internett.
Men det er ikke sikkert hackingen må skje mens dataene er i ro. Datastrømmen fra denne appen vil nødvendigvis bevege seg via internett, og tjenerne som skal ta imot må være tilgjengelig over nettet. Ingen, og i hvert fall ikke norske myndigheter, har kontroll med infrastrukturen i alle ledd av internett, og det er vanskelig å lage en garanti for at ikke data vil avlyttes i transitt. For selv om det er mulig å kryptere innholdet i kommunikasjonen, er det metadataene – det som står utenpå konvolutten – som er interessant: Her kommer en pakke til helseregisteret, ja, fra hvilken ip-adresse, på hvilken mobilmast og på hvilket tidspunkt ble den sendt? Idet du vet det, trenger du i grunn ikke å vite innholdet.
Idet du vet det, trenger du i grunn ikke å vite innholdet.
Men avanserte hackekampanjer rettet mot et sånt register til side: Skandalene som har preget norske offentlige it-systemer, gjør at ingen er overbevist om at akkurat dette systemet vil ha null sikkerhetshull og at akkurat dette prosjektet blir fylt opp av ingeniører som er umulig å korrumpere. Listen over topprosjekter, med svært kritiske data, som til slutt ender med å lekke data, er lang som et vondt år.
2. Pseudo-anonymt?
Helsemyndighetene lover full anonymisering av dataene, men dette er naturligvis feil bruk av ordet. Anonymiserte data er data som ikke kan spores tilbake til den som lagde dem. I denne appen er selve poenget at man skal klare å finne igjen personene som var i kontakt med en smittet. Disse dataene er i høyden psevdonymiserte, altså slik at den som bruker systemet ser en tilfeldig kode i stedet for navn og telefonnummer for hver enkelt.
Helsemyndighetene lover full anonymisering av dataene, men dette er naturligvis feil bruk av ordet.
Men psevdonymisering av lokasjonsdata er i praksis totalt meningsløst. Det er for eksempel bare fire personer som tilbringer nesten hele dagen i mitt hus. Av disse fire prikkene er det bare en som hver mandag plutselig beveger seg i bilens hastighet bort til den store butikken, og bare en annen prikk som beveger seg jevnlig til kontoret der den jobber. Det vil være uhyre enkelt å skille de fire psevdonymene fra hverandre.
Dette er en gullgruve som mange vil forsøke å skaffe seg tilgang til.
I praksis vet vi allerede at annonseselskap på internett gjør dette for å koble sammen de «anonyme» brukerdataene de samler inn fra alle nettsidene vi besøker. Disse kobles ved hjelp av prediksjonsalgoritmer med hverandre, slik at profilen din hist og her kan kobles sammen til en stor profil. Dette er ikke en gang veldig vanskelig – våre vaner avslører oss.
En database full av lokasjonsdata koblet til id-nummer er ekstremt verdifull, fordi den er ekstremt lett å avkode og koble til personer. Dette gjør også at risikoen ved å samle inn sånne data er stor – dette er en gullgruve som mange vil forsøke å skaffe seg tilgang til.
De aller skumleste dataene – din seksuelle legning, dine politiske tilbøyeligheter, dine hemmelige elskere – kan stort sett utledes fra hvem du har kontakt med.
Og de aller skumleste dataene – din seksuelle legning, dine politiske tilbøyeligheter, dine hemmelige elskere – kan stort sett utledes fra hvem du har kontakt med. I praksis er det relativt enkelt, med de metodene vi vet finnes, å konvertere data om lokasjon til for eksempel et register over aktive i en politisk eller religiøs gruppe.
3. Glifare?
Et offentlig register over hvor alle landets innbyggere befinner seg er utvilsomt nyttig, ikke bare i epidemiologi, men også på andre felt. Hyttefelt, for eksempel, der hyttekommunene til nå har brukt en grovere form for mobilsporing for å avsløre at mennesker befinner seg i feil kommune. Mer alvorlig er det i kriminalitetsfeltet, der en full oversikt over alle bevegelser til enhver tid ville gjøre de fleste forbrytelser lettere å oppklare. Dette er rett og slett så nyttig at det er vanskelig å se for seg at myndighetene vil klare å la være. Dette kaller juristene for «formålsutglidning».
Dette er rett og slett så nyttig at det er vanskelig å se for seg at myndighetene vil klare å la være.
Det finnes allerede eksempler på at personvernbestemmelser må vike dersom politikerne anser det som viktig nok. I 2014 ble en mann fra Tsjetsjenia dømt, og dermed ble det lagret DNA av ham i politiets DNA-register. Dette registeret skal bare brukes til straffesaker, ifølge lovverket som regulerer registeret. Senere fikk kvinnen han var gift med lov til å bruke DNA fra dette registeret til å avgjøre en farskapssak, som altså ikke er en straffesak. Høyesterett mente da at barneloven skulle få forrang foran politiregisterloven.
Det skal altså ikke så mye til før en bestemmelse i en lov om at disse dataene bare skal brukes til en ting, før de plutselig kan brukes til noe annet. I en situasjon der regjeringen har fått ekstremt utvidede fullmakter er det ikke vanskelig å se for seg at sånne situasjoner ville kunne oppstå stadig vekk.
Det skal ikke så mye til før en bestemmelse i en lov om at disse dataene bare skal brukes til en ting, før de plutselig kan brukes til noe annet.
Det er viktig å se for seg mediepresset dersom for eksempel en drapssak kunne avgjøres ved å lempe på kravene. Og så en voldtektssak, og så et ran, og så å sette det inn mot gjenger på Oslo øst. Det vil være formidabelt fristende – og sannsynligvis svært populært – å gjøre noen unntak.
Kan prosjektet reddes?
Det er ikke sikkert det er en god idé at staten lager et sentralt register, men hvis det skal skje, er det en ting som paradoksalt nok er avgjørende: åpenhet.
Det eneste som kan sikre tilliten til en app som dette, er at all informasjon om infrastruktur og all kildekode kan bli gjennomgått av borgerne. Alt annet vil gi inntrykk av at det er noe å skjule.
Én ting er paradoksalt nok avgjørende: åpenhet.
Et eksempel på hvordan denne åpenheten fungerer, er det sveitsiske postvesenet, som har ansvaret for en løsning for digitale valg. Da de i fjor valgte å publisere kildekoden til systemene sine, var det i tro om at det ville vise folk hvor trygge systemene var. I stedet gikk det knapt et døgn før noen av verdens fremste kryptologer og sikkerhetseksperter hadde funnet viktige feil, ikke egentlig i koden, men i ideene – protokollene som skulle sørge for at stemmer ikke kunne tukles med eller erstattes av genererte stemmer. Uten åpen kildekode kunne en aktør utnyttet dette til å endre valgresultatet uten at noen kunne ha sett forskjell.
Gjennomgangen gjorde nok at folk flest i Sveits mistet litt av tilliten til systemet på kort sikt, men på lang sikt er det åpenbart at denne åpenheten må til dersom folk skal stole på systemet.
Det samme gjelder et system som dette. Hvis vi bare får studere utsiden av den flotte trehesten vi blir tilbudt, på avstand, kan vi nok ikke anbefale noen å slippe den innenfor bymuren.
Desentralisert versjon.
Men selv radikal åpenhet svarer ikke på alle utfordringene med å samle et slikt register. En annen, tenkelig utforming av hele appen er at ingen data samles i «en sikker skyløsning» (les: noen andres datamaskin). Her er et eksempel på en slik protokoll, som helt sikkert trenger forbedringer, men som i hvert fall i utgangspunktet ville oppleves tryggere, fordi den eliminerer det sentrale registeret:
Når du har installerte appen sender den en ny offentlig nøkkel hver gang den er i nærheten av en annen telefon med appen, og vice versa. Denne nøkkelen er laget slik at den andre telefonen kan kryptere en melding som bare kan leses av deg, fordi du har den private delen av nøkkelen. Når du får påvist koronasmitte, lager appen en kryptert melding til hver eneste av telefonene du har passert, og publiserer disse på en felles server. Alle appene leser data fra denne serveren og sjekker om noe der er kryptert til dem.
Ingen data samles i «en sikker skyløsning» (les: noen andres datamaskin).
På den måten vil ingen deler av nettverket ha tilgang til informasjon om hvem de andre er eller hvor de har befunnet seg. Den som varsler vet ikke hvem den varsler. Den som blir varslet vet ikke hvem som sendte varselet. Og den som hacker serveren har bare tilgang til metadata om de som varsler – men dette bør det jobbes for å unngå på et vis, for det vil i praksis være et register over koronasmittede. En løsning kan være at data til det sentrale registeret sendes over et nettverk som skjuler metadata.
Erfaringene fra de siste tiårene er at stadig nye områder man trodde var «sikkert nok», viser seg å være hullete
Sikkerhet er noe herk.
Fordi datamaskiner er så vanvittig gode til å spore opp og finne mønstre i data, krever anonymisering og sikring at vi bruker enormt kompliserte protokoller. Erfaringene fra de siste tiårene på internett er at stadig nye områder man trodde var «sikkert nok», viser seg å være hullete. I et sånt klima er det ikke rart at teknologer er skeptiske til at Folkehelsa har truffet blink med sin app, med hemmelig kode, på første forsøk.
Kommentarer