SIGINT

Om du puster har du antagelig fått med deg farsotten Pokémon Go, som herjer ikke bare Norge men hele kloden for tiden. Om du mot formodning ikke har hørt om det kan jeg avsløre at det er et augmented reality-spill hvor brukerne løper, går og kjører rundt i den virkelige verden for å fange virtuelle smådyr med søte fasonger og rare navn, som Bulbazaur, Charmander og Pikachu.

Det virker veldig morsomt, og Niantic har skapt et spill som har oppnådd det mødrene våre på åttitallet ikke klarte: å få dataspillnerdene ut av kjellerne og ut i det fine været. Det er en bragd!

Men jeg spiller ikke. Ikke bare fordi Pokémon generelt er en greie jeg ikke interesserer meg for, men fordi Pokémon Go er et gratisspill du installerer på telefonen din. Og som vi alle burde vite: if you’re not paying for product, you are the product. Det var sånn lenge før Internett og mobilapper, men det er en stadig mer lønnsom bransje.

Datatilsynet uttrykker bekymring: Niantic må finansiere utviklingen av spillet, og nødvendigvis lager de ikke et spill uten å ha profitt i tankene og telefonen din inneholder mange spennende muligheter for akkurat det. For eksempel sanker apps informasjon om hvem du mailer med (og kanskje leser de også mailene), hvilke nettsider du surfer på med telefonen, hvilke butikker du bruker i den fysiske virkeligheten (takket være «check in»-muligheter) og hvor i verden du beveger deg (via telefonens GPS). Disse dataene selges videre til tredjeparter som generer databaser for tilpasset markedsføring. Spesielt er det Facebook og Google som driver med denne virksomheten, via deres egne dedikerte apps, eller andre apps de eier – som Facebook-eide Instagram. Noen av appene går veldig langt i å gi seg selv rettigheter til å samle informasjon om deg, slik som Facebook Messenger som du har godkjent at kan aktivere mikrofonen når som helst og lytte til dine samtaler med mer. Jeg bruker ikke Facebook via telefonen.

Akkurat hvilke data som samles inn, når, hvor og hvem som har tilgang til dem eller kan kjøpe dem er naturligvis forretningshemmeligheter, så det vet vi lite om. Det vi derimot vet mye om er at datasikkerheten til selskaper som samler data ikke alltid er bra nok, og at data kan lekkes, stjeles og misbrukes. Spesielt er det lett om dataene lagres i land med generelt dårlig sikkerhet eller svak lovgivning knyttet til personvern.

Dette vet folk. Men visste du at det er Pokéstop inne på området til minst én norsk militærleir? Maukstadmoen. Sikkert flere også.

Et Pokéstop er et sted hvor det finnes Pokémon som kan fanges. For å finne den må du gå til stedet og aktivere kameraet, og sender dermed data fra GPS, kamera og telefonen generelt til Niantic – som lagrer dette i en database sammen med brukerkontoen din. Med andre ord har Niantic potensielt tilgang til foto, koordinater og delvis lister over personell som er stasjonert i leiren og folk som beveger seg i nærheten. Dette har de lovlig mulighet til å selge videre, og det er også noe de gjør. Det handler altså ikke bare om personvern som prinsippsak.

Norge er et relativt sett fredelig land med lavt trusselnivå knyttet til invasjon og sånne ting. Men forestill deg at Pokémon Go var populært i forkant av Russlands snikinvasjon av Ukraina, og at Russland via private selskaper kunne kjøpe informasjonen nevnt ovenfor om ukrainske militærinstallasjoner og personell. Slik at de kunne drive rettet spionasje mot individuelle offiserer basert på hvor de var stasjonert. I gode gamle dager, under den kalde krigen var telefonavlytting av motparten en teknisk krevende gullgruve. Nå kan du muligens kjøpe deg rett inn i SMSene, mailene, telefonloggene og Pokémonstallene deres. (Og tenk, Snapchat. Her snakker vi utpressingsmuligheter.)

For noen år tilbake var jeg så heldig at jeg fikk jobbe perifert med industrispionasje. Jeg skal ikke si for hvem eller hvordan, men jeg var en av flere som sanket informasjon om norske bedrifter på vegne av andre bedrifter under dekke av å være interesserte kunder. All informasjonen var åpent tilgjengelig for hvem som helst som spurte, men jobben min var å sammenfatte den til statistikk og oversikter, og da snakker vi plutselig om etterretning. Det var svært interessant fordi jeg mistet naiviteten min med tanke på hva bedrifter driver med, og hvor mye penger de er villige til å bruke for å skaffe seg informasjon om konkurrenter. Og om eksempelet mitt med en liten norsk militæreinstallasjon ovenfor er litt fjernt fra de flestes virkelighet er industrispionasje langt mer utbredt i Norge i dag. I tillegg er grensene mellom industrispionasje, forskningsspionasje og den mer tradisjonelle militære og politiske spionasjen i stadig større grad i ferd med å viskes ut. Eksempelvis har Norge på bakgrunn av råd fra PST utvist flere studenter og forskere fra Iran. Ikke alltid like gode råd, men dog.

Og her er det vekstmuligheter for utviklere av apps og andre tjenester. For eksempel bør vi bibliotekarer stille oss selv (og våre leverandører) spørsmål knyttet til hvem som har tilgang til søkene vi gjør via tredjeparter som Elsevier, Springer o.l. Det kan i aller høyeste grad være interessant for mer autoritære stater å vite hva norske forskere innen roboter og raketter søker etter, hvilke artikler de leser, og kanskje også hvor de fanger sine Pokémon. Kunne man for eksempel forestille seg at Nord-Korea kunne sammenstille noen av disse dataene og finne ut hvilke personer som er interessante for målrettet spionasje med mer tradisjonelle metoder? En singel og ikke veldig attraktiv rakettforsker møter en søt koreansk studine på bar, det utvikler seg til et forhold og vips så har Nord-Korea nye og mer nøyaktige styringssystemer for mellomdistanseraketter. Det er satt på spisse, men faktisk slike ting som skjer og slik spionasje har vært drevet siden lenge før Mata Hari.

Man kan ikke klandre noen for å bruke mobilapps, eller spille Pokémon Go. Og jeg tror da våre mødre forsøkte å jage oss ut i solen, der vi satt i kjelleren med Giana Sisters i 1987, aldri kunne se for seg at de nesten 30 år senere skulle kunne si «ikke spill mobilspill, da leser folk GPS-koordinatene deres og kobler dem til bilder dere tar». Jeg tror knapt de fleste mødre har en bevisst tanke rundt dette i 2016 heller. Spionasje og datamining er så abstrakt. Augmented reality er kult. Helt usarkastisk kjempekult.

Men, jeg håper på mer bevissthet, og jeg håper på et mer opplyst forhold til mobilapper fra våre myndigheter. Jeg håper på et strengere regelverk for hva mobilapper får lov til, og jeg håper på strengere krav til utviklere, slik at man har bedre muligheter til å styre hvilke data som samles inn. Er det for mye å be om? I gamle dager var såkalt sigint, signals intelligence, hvor man samler inn informasjon fra kopimaskiner, telefoner, kameraer osv ganske krevende, og ikke minst potensielt dyrt. USA brukte eksempelvis store summer på hydrofoner i Atlanterhavet som skulle lytte etter sovietiske ubåter. I våre dager er det ikke bare enkelt og billig, det er direkte lønnsomt og selve vekstmarkedet er ikke lenger knyttet til militære formål, men markedsrettet reklame. Likefullt lar det seg altså utnytte til en lang rekke skumlere formål. Som om markedsrettet reklame ikke var skummelt nok.

Det er ganske fascinerende egentlig, men det er en krevende samtid å forholde seg til for brukere av informasjonstjenester.

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s