Da ideen om at overvåge danskernes brug af internettet blev konkret i diskussionerne om nye regler for telelogning tilbage i 2006, vendte telebranchen tommelfingeren nedad og forklarede Justitsministeriet, at det var en dårlig løsning fyldt med huller. Alligevel blev sessionslogning – efter et par kompromiser – indført fra 2007 og i mange år vedholdende forsvaret af Justitsministeriet som et vigtigt værktøj for politiet og PET i forhold til at bekæmpe terror og alvorlig kriminalitet.
Den forklaring krakelerede mandag, da justitsminister Karen Hækkerup på et samråd indrømmede, at sessionslogning aldrig var kommet til at virke efter hensigten, og at ministeriet ikke kunne pege på domme, der var fældet med hjælp fra den særlige danske internetovervågning.
»Vi advarede på alle måder om, at det ikke var en god idé. Og man kan jo ikke sige, at det er gået godt. Men lad os glæde os over nu, at det er slut,« siger Mogens Ritsholm, tidligere telechef for TDC indtil han gik på pension i 2009, hvorefter han fortsatte sin kamp for at få afskaffet sessionslogning.
Han var som talsmand for TDC med i den ekspertgruppe, som Justitsministeriet havde sammensat for at diskutere de kommende regler om telelogning tilbage i 2006, sammen med andre repræsentanter for tele- og it-branchen. Men diskussionerne med juristerne fra Justitsministeriet var ikke ret frugtbare, for de forstod sig i sagens natur ikke meget på tele- og internetteknik.
»Det var fuldstændigt vanvittigt, at Justitsministeriet fik ansvaret for de her meget specifikke, tekniske regler. Det var jurister, som ikke havde den teknologiske fornemmelse og forståelse, der skulle til. Der var også folk fra IT- og Telestyrelsen med til møderne, men de sad på sidelinjen. De ville ikke blandes ind i en så dårlig sag,« siger Mogens Ritsholm.
Der blev ikke lyttet meget til de tekniske folk fra teleselskaberne, for de talte jo generelt for at begrænse logningen mest muligt, hvilket ville betyde færre omkostninger for teleselskaberne.
»Det var svært at overbevise dem fra Justitsministeriet om noget, for de troede hele tiden, vi var ude på at snyde dem. Vi var jo modstanderne, så det kan jeg godt forstå. Men så burde statens egen fagekspertise fra IT- og Telestyrelsen være trådt ind,« siger han til Version2.
IT- og Telestyrelsen blev i øvrigt nedlagt i 2011 og blev fordelt på flere andre ministerier, så afdelingen for teleteknik og –regulering kom under Erhvervsstyrelsen i stedet.
Mogens Ritsholm husker et eksempel på det tekniske niveau fra et møde med Justitsministeriet, hvor telebranchen havde bedt om at lade logningen være stikprøver fra én ud af tusind pakker i datatrafikken, i stedet for en fuldstændig registrering af metadata om hver pakke. Juristerne ville have én ud af 500 pakker registreret, og telebranchen forklarede, at det var en dobbelt så stor belastning af deres udstyr og ville kræve investeringer i nyt grej.
»De kom hen i en pause og sagde, at de havde løsningen – vi kunne bare sætte to routere efter hinanden, ligesom man satte to lokomotiver foran et langt godstog. Hvis man har bare en smule forståelse for teknikken, vil man vide, at det får man intet ud af. Det var rent nonsens,« siger Mogens Ritsholm.
Gjorde intet for at gøre sessionslogning brugbar
At de mange billioner dataposter, som teleselskaberne siden 2007 har skullet gemme i et år, aldrig blev brugt af politiet, overrasker slet ikke den tidligere telechef.
»Justitsministeriet gjorde intet for at gøre redskabet sessionslogning til et nyttigt redskab. De havde slet ikke overvejet, hvordan det skulle bruges,« siger han.
Han peger for eksempel på, at man ikke kan bruge en IP-adresse til noget i sig selv, uden også at have dokumenteret, hvad den IP-adresse blev brugt til på netop det tidspunkt. Teleselskaberne gemmer historiske data om, hvem der havde hvilke telefonnumre hvornår, netop for at politiet kan bruge den ’almindelige’ del af telelogningen til noget, men man end ikke overvejede, hvordan man ville løse samme problem med hele internettet, da sessionslogning blev opfundet og brugt i de danske logningsregler.
»Man ville kunne se, at en mistænkt havde været i tæt kontakt med en IP-adresse, men man kunne ikke vise, hvad der var på den IP-adresse. Måske er det en Al-Qaida-hjemmeside nu, men var det også det for et halvt år siden? Den viden var nødvendig for at bruge sessionslogning som redskab, og det forklarede vi også dengang,« siger Mogens Ritsholm.
Det var altså efter hans vurdering slet ikke gennemtænkt, hvordan sessionslogning skulle kunne hjælpe politiet. Fokus var kun på at få teleselskaberne til at gemme de her oplysninger, som skulle kunne vise, hvilke websider og webtjenester, en person havde gjort brug af.
»Min oplevelse var, at det kun handlede om at kræve mere. Når man har en situation, hvor man kan kræve noget, uden selv at skulle betale for det, er det altid farligt. Så får man ikke den naturlige dæmper på tingene, som hvis man selv skal betale,« siger Mogens Ritsholm.
Undervejs i forhandlingerne lykkedes det dog teleselskaberne og de andre tekniske folk i ekspertgruppen at få skruet sessionslogning ned fra en registrering af metadata om hver eneste session til i sidste ende en stikprøve fra hver 500. datapakke på ’kanten’ af hvert net, altså når trafikken bevægede sig ud af for eksempel TDC’s netværk og over i en anden udbyders kabler.
Men teleselskaberne vidste også, at trafikken på nettet voksede hastigt, år for år. Sidste år blev der gemt 3,5 billioner registreringer om danskernes brug af internet og telefon, hvoraf sessionslogning stod for mindst 90 procent af dem.
Det var dog nådigt sluppet i forhold til, hvis Justitsministeriet havde fået det oprindelige forslag igennem, vurderer Mogens Ritsholm.
»Det havde været utrolige mængder data. Vi skønnede dengang, at det ville give 15 billioner registreringer om året, hvilket i dag ville være steget til 150 billioner (150.000 milliarder, red.).«
Det var ikke kun på mundtligt, at juristerne fra Justitsministeriet blev advaret om problemerne med sessionslogning. I et skriftligt svar til Justitsministeriet skrev brancheforeningen Telekommunikationsindustrien i marts 2006, med Mogens Ritsholm som pennefører, at sessionslogning ikke ‘i praksis vil have nævneværdig nytteværdi’.
Leave a Reply