Smári McCarthy

Building social, political and technical infrastucture

Minnispunktar Frá Fundi Með Umhverfisnefnd

Ég sat fyrir umhverfisnefnd Alþingis í morgun símleiðis héðan frá Valencíu varðandi 362. mál, frumvarp til laga um breytingu á lögum um fjarskipti og lögum um Póst- og fjarskiptastofnun (CERT, tíðniréttindi, rekstrargjald o.fl.). Þar talaði ég fyrir hönd IMMI. Ég gerði stuttlega grein fyrir afstöðu minni og IMMI sem stofnunar, og fékk svo nokkrar spurningar frá nefndarmönnum.

Hér eru minnispunktarnir sem ég hnipraði niður fyrir fundinn – aðeins útvíkkað:

“”“
IMMI fagnar því að verið sé að setja á stofn CERT teymi á Íslandi með lögum, enda er það löngu tímabært og mikilvægt fyrir öryggi ómissandi upplýsingainnviða á Íslandi. Við lítum á stofnsetningu CERT teymis sem gríðarlegt framfaraskref í varnarmálum Íslands, og lið í því að skapa Íslandi afgerandi lagalega sérstöðu varðandi upplýsinga og tjáningarfrelsi, í samræmi við þingsályktun þar að lútandi frá 138. þingi.

Þó gerir IMMI nokkrar athugasemdir við útfærsluna á CERT teyminu í 8. gr. frumvarpsins, og viljum hvetja til þess að úrbætur verði gerðar áður en frumvarpið verði samþykkt.

  1. mgr. segir að það eigi að uppgötva öryggisatvik á frumstigi og fyrirbyggja að þau breiðist út. Þetta kallar á eftirlit, en slíkt eftirlit verður að vera í samræmi við meðalhófsreglu og friðhelgi einkalífsins. Það er ekki ljóst að persónuverndarsjónarmið séu nægilega gætt í lögunum, enda er í 5. mgr. gert ráð fyrir því að CERT-ÍS megi tilkynna ríkislögreglustjóra um netárásir, á grundvelli þess að þau geti varðað við lög. Þetta skapar CERT-ÍS í rauninni löggæsluhlutverk, sem hefur ekki verið hefð fyrir annarsstaðar. Þó svo að CERT teymi tilkynni lögreglu vissulega annarsstaðar um mál sem gætu varðað við lög, þá er þeim ekki skapaður sérstakur lagarammi til þess að jafnaði.

Þessar áhyggjur fara saman við atriði í 4. mgr, þar sem talað er um að “Sé rökstuddur grunur um að einstakar sendingar innihaldi spillikóta er CERT-ÍS heimilt að greina efni einstakra fjarskiptasendinga”. Hér er væntanlega átt við svokallað “deep packet inspection”, þar sem innihald fjarskiptanna er skoðað en ekki bara lýsigögn fyrir samskiptin sjálf, svokallaðir “hausar”. Mannréttindasamtök hafa í hvívetna þvertekið fyrir að “deep packet inspection” sé leyft, enda er greining á innihaldi einstakra fjarskiptapakka bæði brot gegn hlutleysi Internetsins og hreinlega árás gegn friðhelgi einkalífsins. Eðlilegari nálgun væri að CERT teymi hefði ekki heimild til að skoða innihald fjarskiptasendingana, en hefði ríkara forvarnarhlutverk, m.a. í formi fræðslu til almennings um viðeigandi ráðstafanir gegn spillikóta. Það að spillikóti sé greindur meðan sending á sér stað, eða “in transit” eins og það er kallað, mun ekki með nokkru móti auka öryggi netkerfisins nema einnig sé boðið upp á ritskoðun á netkerfinu, en að opna fyrir það er mjög hál braut sem er eðlilegt að leggjast alfarið gegn. Þá ætti að líta á starfsemi CERT teyma nokkuð líkt og starfsemi Almannavarna, að CERT-ÍS teymið væri samstillingar- og samráðsteymi á landsvísu, en að hvert fjarskiptanet sæi svo um rekstur síns eigins CERT öryggisteymis rétt eins og almannavarnanefndir starfa í héröðum landsins.

Það vantar einnig ákvæði um að CERT-ÍS teymið þurfi að starfa gagnsætt, þ.e. birta skýrslur og tilkynningar um starfsemi sína til almennings, svo hægt sé að fylgjast með störfum CERT teymisins.

Eins og áður segir þá er markmið frumvarpsins mjög gott og æskilegt, en útfærslan er nokkuð vafasöm á nokkrum stöðum og mætti bæta úr.

“””

Ein spurningin sem ég fékk var varðandi það hvort að djúpskoðun á pökkum sé nokkuð hættuleg friðhelgi einkalífsins, þar sem að þeir sem myndu skoða þessi gögn væru bundnir trúnaði. Dregin var upp sú líking að þetta er bara persónugreinanlegt á sama hátt og hraðamyndavélar við gatnamót.

Ég fattaði ekki að nýta þá samlíkingu fyrr en eftirá – ég benti á að fjarskiptasendingar innihalda oft mjög viðkvæm gögn um persónur, svo sem hvað fólk er að kynna sér á netinu, og það geti verið á vissan hátt jafn viðkvæmt og sjúkragögn. Það sem ég hefði átt að benda á er að fólk sem er að keyra of hratt yfir gatnamót er yfirleitt ekki með skilti í framrúðunni hjá sér sem tilkynnir að þau séu með kynsjúkdóm. Þegar fólk er að skoða vefsíður um tiltekna sjúkdómskvilla, eða senda lögfræðingnum sínum tölvupóst, eða hvað það nú er, ef að engin dulkóðun er notuð þá er í raun eins og þau séu keyrandi um Internetið með slík skilti í framrúðunni hjá sér. Hinsvegar hefur hingað til verið almennt viðmið að fólk á ekki í heimildarleysi að skoða inn í fjarskiptasendingar, og sér í lagi á ekki að vera eftirlit með innihaldi fjarskiptasendinga að hálfu ríkisvaldsins.