Act Investigatory Power Act (IPA): Ultimate Introduction and Guide

Formidling: Din støtte hjelper med å holde nettstedet i gang! Vi tjener et henvisningsgebyr for noen av tjenestene vi anbefaler på denne siden.


ipa-hoved

The Investigatory Powers Act (PDF) er en ny lov som gir den britiske regjeringen massive overvåkingsmakter. Det legaliserer sporing av internettbruk, hacking av smarttelefoner og bærbare datamaskiner og overvåking av uskyldige mennesker.

Det åpner også for at data til et stort antall ansatte i forskjellige byråer og organisasjoner. Og det gir et mandat for masseovervåking av mennesker utenfor Storbritannia, enten de er uskyldige eller ikke.

Amber Rudd, Storbritannias hjemmesekretær, sier at loven om etterforskningskrefter er ”verdensledende” lovgivning, og vil hjelpe i kampen mot global terrorisme og pedofili. Men motstandere av loven mener at det er den viktigste trusselen mot personvernet i ethvert demokratisk land, og at kriminelle allerede vil vite hvordan de kan omgå systemene den autoriserer.

Les videre for å finne ut hva regjeringen vet om deg nå og hvordan ting kan endre seg i fremtiden.

Hva er loven om etterforskningskrefter?

The Investigatory Powers Act legaliserer en rekke overvåkningsbeføyelser mot alle borgere i Storbritannia, og en bulkovervåkningsbestemmelse for personer utenfor Storbritannia.

I media er det blitt referert til som “Snooper’s Charter.” Noen kampanjer mener at loven om etterforskningskrefter er blitt lovfestet uten riktig kontrollnivå. Du kan lese den britiske regjeringens forklarende merknader (PDF); disse merknadene ble samlet før loven ble lov.

Jill Killock fra Open Rights Group har kalt Investigatory Powers Act “den mest ekstreme overvåkingsloven som noen gang er vedtatt i et demokrati.” Mange journalister mener at det kan hindre riktig etterforskning, og Tim Berners-Lee sa at det “undergraver våre grunnleggende rettigheter på nettet.”

Joseph Cannataci, spesiell ordfører for personvern i FN, har kalt det “verre enn skummelt”, og mer ekstrem enn noe George Orwell forestilte seg i Nineteen Eighty Four.

Ikke all teknologien den krever er på plass nå, men det antas å være i aktiv utvikling.

DRIPA vs IPA

Storbritannia har allerede lov om dataoppbevaring i henhold til Data Retention and Investigatory Powers Act (2014). Den nye loven om etterforskningskrefter er utviklet for å utvide og erstatte DRIPA.

I desember 2016 bestemte EU-domstolen at masseinnsamlingen av data under DRIPA var ulovlig. Dette er viktig, fordi den kjennelsen kan sette IPA i fare. Både DRIPA og Investigatory Powers Act gir den britiske regjeringen de samme kraftdatainnsamlingsmaktene, så det er logisk at Investigower Power Act vil møte samme nivå av kontroll. Men EU-domstolen har kanskje ikke den samme kontrollen over loven om etterforskningskrefter når Storbritannia forlater EU, så dette er ikke en forhåndsavslutning.

Her er tre viktige deler av den nye loven, sammen med årsaker til at noen eksperter er nervøse for konsekvensene av den.

Utgave én: Internettbruken din spores

Hver britisk statsborger som kobler seg til internett, blir konstant sporet av regjeringen, og Investigower Power Act gjør dette helt lovlig. Hvis du bor i Storbritannia, vil internettaktiviteten din – eller “Internet Connection Records” – beholdes i et år i en sentral database.

Internett-tilkoblingsoppføringer inneholder data om posisjonen din, samtalene dine, domenene du besøker og enhetene du bruker. Sporing dekker alle tilkoblinger, inkludert bredbånd og mobil. Regjeringen er i stand til å skille tilkoblingsaktivitet fra telefonen din, den bærbare datamaskinen din og dine Internet of Things-enheter, og den kan se tjenestene og appene de bruker.

Hva blir sporet?

Én Internett-tilkoblingspost inneholder følgende data:

  • Dato
  • Tid
  • Enhet
  • Mobilnummer
  • Kilde IP og port
  • Destinasjons-IP og port
  • plassering
  • Tjeneste eller domene.

Mens noen nettsteder rapporterer at nettleserens historie er lagret, er det ikke riktig. Loven krever bare at domenenavn logges; det kan hende at den delen av URL-en etter den første skråstrekningen ikke blir kastet – avhengig av Internett-leverandøren.

I tillegg til å få tilgang til hver for seg, kan bulk-partier av Internett-tilkoblingsrekorder fås av sikkerhetstjenester med en garanti. Disse kan holdes i opptil 6 måneder for analyse før de kastes, og vil i sin natur nesten alltid inneholde data om uskyldige mennesker. I virkeligheten kan noen bulkdatasett holdes lenger.

Den britiske regjeringen sier at Internet Connection Records vil bli brukt til å bestemme (PDF):

  • Du som avsender eller bruker
  • Tjenester du bruker
  • Metoder du bruker for å kommunisere
  • Ulovlig innhold du får tilgang til.

Er dette virkelig nytt? Ja og nei. Noen av dataene som vil bli samlet inn, er sannsynligvis allerede samlet inn.

  • Den britiske regjeringen samler allerede metadata om mobiltelefonsamtaler.
  • GCHQ har snappet opp webcam-samtaler for å prøve ansiktsgjenkjenning.
  • Edward Snowden avslørte at GCHQ allerede overvåker internettmeldinger under Tempora-programmet.
  • Telekommunikasjonsloven § 94 ble allerede brukt til å overvåke kommunikasjon.

Så loven tar eksisterende overvåkningsaktiviteter og plasserer dem i en ny juridisk ramme. Hvis teknikker var ulovlige eller potensielt ulovlige før, er de nå absolutt lovlige.

Men det er et skille i måten dataene blir samlet på. Onus har flyttet seg fra etterretningsbyråer til Internett-leverandører og mobilnett. Hugh Woolford, direktør for operasjoner hos Virgin Media, sier at Internet Connection Records er en helt ny type Big Data. 

Hvorfor ser regjeringen på meg??

Disse dataene høstes av to grunner:

  • Å gi informasjon om tingene enkeltpersoner gjør på nettet
  • Å analysere trender blant grupper av mennesker.

Noen kan for eksempel se på nyhetsnettstedene du liker å lese, og deretter trekke noen konklusjoner om dine politiske synspunkter. De kan se på tidspunktet på dagen du bruker bestemte apper, se på de mentale helsetjenestene du får tilgang til, eller samsvare med de politiske tilbøyelighetene dine med telefonsamtalene du ringer. Men de kan også se på stedsdata for store grupper mennesker på ett sted, og krysse henvisning til informasjonen med nettsteder og apper gruppen bruker. Dette kan brukes til å oppdage personer som deltok på en protest, for eksempel.

Datainnsamlingen er en form for masseovervåking, fordi den ikke vil være målrettet mot personer som er mistenkt for en forbrytelse. Alle data vil bli logget og lagret.

Hvordan blir sporingen gjort?

Registrering av Internett-tilkoblinger blir høstet av Internett-leverandøren eller mobilnettverket som hver person bruker. Hvis en britisk Internett-leverandør ikke allerede har et system, vil det være nødvendig å sette opp et raskt, etter å ha mottatt økonomisk støtte fra regjeringen.

Regjeringen vil også ha et nytt IT-system kalt Request Filter. Dette er en slags søkemotor for alle Internett-tilkoblingspostene som Internett-leverandørene og mobilnettverket lagrer på alle britiske statsborgere.

Hvorfor du bør bekymre deg

  • Det er ulovlig å oppbevare poster om bruk av Internett i 12 måneder i EU (PDF), med mindre personen er under etterforskning, ifølge en domstol i Den europeiske union (CJEU) om DRIPA. Den avgjorde også at datainnsamling av bulk er ulovlig i en egen kjennelse.
  • Oppbevaring av Internet Connection Records kan være i strid med menneskerettighetsloven artikkel 8 eller artikkel 10.
  • Ingen land i EU, eller Commonwealth, beholder Internett-tilkoblingsrekorder i dette formatet; Australia har faktisk gjort denne typen dataoppbevaring ulovlig.
  • Nye lover som Digital Economy Bill kan snart gjøre noen typer online innhold ulovlig, noe som kan føre til en situasjon der noen kan spores nesten i sanntid og få tilgang til et forbudt nettsted..
  • Du kan bli fanget i et datasett av personer som deltar i kriminell aktivitet på grunn av din online oppførsel, helt ved en tilfeldighet.

Fortsatt ikke overbevist?

Google opprettholder et arkiv med hele brukshistorikken din, for hele levetiden til kontoen din. Du kan se en fersk oppsummering av typen data den samler inn på nettstedet Google Min aktivitet.

Og på Google Takeout kan du laste ned hele Google-historikken din som en serie zip-arkiver, inkludert alle søkene dine noensinne. Forfatterne våre var overrasket over å finne at Google hadde rundt 10 GB data for hvert år som kontoene deres hadde vært aktive.

Vil du være komfortabel hvis noen sendte Google-arkivene dine til familien, skattekontoret eller arbeidsgiveren din? Hva om noen andre brukte smarttelefonen til å gjøre noe ulovlig? Kan du bevise at det absolutt ikke var deg?

Utgave to: Internetthistorikken din blir delt

Internett-tilkoblingspostene som er lagret av din Internett-leverandør, kan nås av et stort utvalg av organisasjoner. Det sentrale poenget med dette er at deling kan skje med politi eller annen administrativ autorisasjon alene – uten behov for en rettskjennelse.

Organisasjonene på listen nedenfor kan se fullstendige Internett-tilkoblingsrekorder. Det vi ikke vet er nøyaktig hvor mange som vil få tilgang. Vi vet at det er 820 politisuperintendenter i England og Wales. Det er bare den første linjen på listen nedenfor. Det er 151 Superintendents og Chief Superintendents i Police Service of Scotland. Det er bare den andre linjen. Hva med resten?

Vi har nå gjort et første forsøk på å svare på dette spørsmålet. Og svaret er forbløffende. Vi har dokumentert 20 395 personer som har tilgang til ICR-ene dine. Og dette er et absolutt minimum – antallet som vi kunne bekrefte. Vi vil uten tvil legge til dette tallet når vi lærer mer. Men vi vil sannsynligvis aldri vite totalt antall fordi informasjon fra institusjoner som IM5 og IM6 ikke er offentlig tilgjengelig.

  • Politistyrken i England og Wales
  • Politiets tjeneste i Skottland
  • Politiets tjeneste i Nord-Irland
  • Forsvarsdepartementet
  • Royal Navy Police
  • Royal Military Police
  • Royal Air Force Police
  • Personell i sikkerhetstjenesten
  • Personell for hemmelig etterretningstjeneste
  • Forsvarsdepartementet
  • Enhet for svindel ved Forsvarsdepartementet
  • Enhet mot bedrageri ved avdeling for helse
  • Regulatory Agency for medisiner og helseprodukter
  • Hjemmekontorinnvandring
  • National Offender Management Service
  • Nasjonalt kriminalomsorg
  • Hennes Majestets inntekter og tollvesen
  • Marine og Coastguard Agency
  • Marine og Coastguard Agency
  • Avdeling for luftulykkeundersøkelse ved avdeling for transport
  • Marine ulykkesetterforskning avdeling for avdeling for transport
  • Jernbaneundersøkelsesgren ved Avdeling for transport
  • Avdeling for arbeid og pensjoner
  • Avdeling for arbeid og pensjoner
  • Scottish Health Service
  • Konkurranse- og markedsmyndighet
  • Criminal Cases Review Commission
  • Institutt for økonomi i Nord-Irland
  • Nord-Irlands fengselsvesen
  • Financial Conduct Authority
  • Brann- og redningsetat fra 2004-lov
  • Food Standards Agency
  • Scottish Food Standards Agency
  • Gambling Commission
  • Gangmasters and Labour Abuse Authority
  • Helse- og sikkerhetsdirektør
  • Uavhengig klageutvalg for politiet
  • Informasjonskommissærens kontor
  • Bekjempelse av svindel og sikkerhetsstyring av NHS Business Services Authority
  • NHS Trust (alle som leverer ambulansetjenester)
  • NHS Trust Ambulance Control Rooms
  • Nord-Irlands ambulansetjeneste
  • Northern Ireland Fire and Rescue Board
  • HSCNI Regional Business Services Organization
  • Office of Communications
  • Nord-Irlands politiombudsmann
  • Politiets etterforskning og granskingssjef
  • Scottish Ambulance Service Board
  • Scottish Criminal Cases Review Commission
  • Serious Fraud Office
  • Welsh Ambulance Service.

I tillegg til disse organisasjonene som har tilgang til fullstendige Internett-tilkoblingsrekorder, er det en rekke andre organisasjoner med mer begrenset tilgang. De kan få tilgang til enheter (som mennesker og enheter) og koblingene mellom enheter. Noen er inkludert i listen over; disse organisasjonene gir denne informasjonen til personell på lavere nivå.

  • Politistyrken i England og Wales
  • Politiets tjeneste i Skottland
  • Politiets tjeneste i Nord-Irland
  • Forsvarsdepartementet
  • Royal Navy Police
  • Royal Military Police
  • Royal Air Force Police
  • National Offender Management Service
  • Nasjonalt kriminalomsorg
  • Hennes Majestets inntekter og tollvesen
  • Marine og Coastguard Agency
  • Information Commissioner’s Office (ICO)
  • Personell i sikkerhetstjenesten

Det private selskapet som bygger Request Filter vil antagelig også trenge en slags tilgang. Så vi vet ikke eksakte tall, men vi vet nå at det er minst titusenvis av mennesker som kan logge seg på og søke i forespørselsfilteret.

Hvorfor du bør bekymre deg

La oss innse det. Internett-leverandørene som samler inn disse dataene, vil sannsynligvis bli hacket på et tidspunkt de kommende årene. Vi har tidligere eksempler for å bevise det.

TalkTalk, en stor britisk ISP, har blitt hacket to ganger på 14 måneder. I et hack 2015 i 2015 ble en ukryptert database stjålet som inneholder kundenavn, adresser og betalingsdetaljer. I hacket i 2016 ble TalkTalk-kundenes rutere infisert med Mirai-ormen. Personopplysninger innhentet i det første hacket antas mye å ha blitt brukt til å bedragere TalkTalk-kunder.

Tenk på alle hackerne som skal finne Internet Connection Records som et nytt, uimotståelig mål, full av data som kan selges, deles og utnyttes.

Det er eksempler fra den virkelige verden på at denne typen overvåkningssystemer også brukes til tvilsomme formål. En britisk familie ble overvåket for å ha sendt barnet sitt til den “gale” skolen. Det skal bemerkes at lokale råd ikke er på tilgangslisten for Internett-tilkoblingsrekorder, men når tusenvis av mennesker har tilgang til sensitive data, er misbruk en realistisk mulighet. I desember 2016 avslørte The Guardian at lokale råd brukte overvåkningsteknikker designet for terrorbekjempelse for å spionere mennesker som er mistenkt for småforbrytelser, som å mate duer, eller finne eieren av en bjeffende hund.

Fortsatt ikke overbevist?

Ulike politifolk vil få tilgang til Internett-tilkoblingsrekorder ved å bruke forespørselsfilteret uten rettslig tilsyn. La oss se på hvor ofte britiske politistyrker lekker data.

Mellom juni 2011 og desember 2015:

  • Opplevd mer enn 2000 brudd på data
  • Oppdaget 800 ansatte som får tilgang til informasjon (PDF) uten “intet politiformål”
    • Delt informasjon upassende med tredjepart 800 ganger.

Mellom april og juni 2016 utstedte informasjonskommissærens kontor fire massive bøter for brudd på datasikkerhet i politiet og helsevesenet:

  • Blackpool NHS Trust: £ 185 000 for å publisere et ansattes fødselsdato, personnummer, seksualitet og religion på internett
  • Chelsea og Westminster NHS Trust: £ 180 000 for å sende en e-post til pasienter på en HIV-klinikk som bruker CC-boksen, i stedet for BCC-boksen
  • Kent Police: 80 000 pund for å ha sendt den mistenkte i en sak om mishandling i hjemmet en kopi av alle data fra hans offers mobiltelefon
  • Dyfed Powys Police: 150 000 pund for å sende informasjon om åtte sex lovbrytere til et offentlighetsmedlem.

Disse fire tilfellene alene skjedde i løpet av bare tre måneder, og antallet rapporter om overtredelse av data steg med 22% i den perioden. Helsesektoren ble ofte funnet å være feil; Informasjonskommissærens kontor sier at dette skyldtes størrelsen på organisasjonene og følsomheten til dataene.

Hvis det ikke er et rødt flagg for Internett-tilkoblingsrekorder, hva er det?

Den vanligste årsaken til et datainnbrudd var en feilkonfigurasjon av IT, men antallet personer som får tilgang til poster uten politiformål, burde være grunn til alvorlig bekymring. Vil du ha det bra med Internett-tilkoblingsoppføringene dine av en nysgjerrig nabo i løpet av lunsjpausen? Hvis du ble angrepet på gaten, ville du være komfortabel med at posisjonshistorien din ble overført til synderen?

Vi vet at det med stor sannsynlighet vil skje, fordi antallet brudd på data allerede er på vei opp.

Utgave tre: Du kan bli hacket (selv om kryptert)

I henhold til loven om etterforskningskrefter kan britiske sikkerhetstjenester søke for domstolene om tillatelse til å hacke seg inn på andres enhet. Denne tillatelsen kan gis selv om den enkelte ikke er gjenstand for en etterforskning.

Så det kunne:

  • Grip, hack og potensielt ødelegg enhetene dine
  • Installer hemmelig programvare på enheten din for å infisere andre menneskers enheter
  • Installer sikkerhetsprogramvare (som en keylogger) i hemmelighet på enheten din
  • Omkjøring av tjenesteleverandørkryptering ved hjelp av en bakdør
  • Krev tjenesteleverandører, for eksempel skyleverandører, for å få myndigheters godkjenning før du utrullerer en ny tjeneste.

Bulkhacking av stort antall mennesker fra britiske myndigheter er nå også lovlig, så lenge det bare gjøres utenfor Storbritannia.

Selv om du bare bruker krypterte tjenester, kan du få tilgang til dataene dine. Regjeringen kan kreve en bakdør til enhver kryptert tjeneste, og kreve tilgang til dataene som strømmer gjennom den.

UK-basert teknologi er nå utrygg. Alle utkast til #IPBill “Code of Practice” krever store selskaper som gir Gov en sjanse til å gjøre det bak, før lansering. pic.twitter.com/4zNsNRBeS7

– Edward Snowden (@Snowden) 9. desember 2016

Hvorfor du bør bekymre deg

Hvis du er i Storbritannia, kan enhetene dine nå bli hacket eller infisert lovlig. Du har kanskje ikke gjort noe galt, og du er kanskje ikke under etterforskning. Du ville sannsynligvis aldri visst om det. Men det kan skje. Bare la telefonen være uten tilsyn et øyeblikk, så blir skadene gjort.

Hvis du bruker en kryptert tjeneste, kan den være underlagt en regjerings bakdør, lovlig og uten din viten. Så myndighetene får omgå sikkerheten når som helst, selv om du bruker kryptering fra ende til annen, og gjør den helt ubrukelig.

Fortsatt ikke overbevist?

Burr-Feinstein-lovforslaget foreslo at den amerikanske regjeringen effektivt kunne omgå kryptering ved hjelp av en bakdør. Dette ville unngå pinlige FBI-avvikelser med enhetsprodusenter som nekter å låse opp enheter, slik Apple gjorde i fjor. Burr-Feinstein-lovforslaget er erklært effektivt død.

Men dette er i hovedsak den samme makten som Investigatory Powers Act gir i Storbritannia; den tvinger virksomheter til å omgå kryptering hvis utenriksministeren godkjenner forespørselen. Dette har blitt sammenlignet med det nylige WhatsApp-forbudet i Brasil, der regjeringen søkte å begrense kryptert kommunikasjon.

Act of Investigatory Power vs Patriot Act

Patriot Act har vært ekstremt kontroversiell i USA siden den ble passert like etter 9/11 angrepene. USAs frihetslov, som erstattet deler av patriotloven i 2015, begrenser eller forbyr bulkinnsamlingen av telekommunikasjonsdata av NSA. Storbritannias lov om etterforskningskrefter gjør akkurat det motsatte.

I Laura Poitras ‘dokumentar fra 2014 Citizenfour avslører Edward Snowden at patriotloven ble brukt som begrunnelse for masseinnsamling av data i den private kommunikasjonen mellom amerikanske borgere. Informasjonen han lekket ble mye rapportert i pressen og utløste en enorm debatt om Nasjonalt sikkerhetsbyrå og dens rett til å samle metadata for telekommunikasjon.

Siden den gang har stemningen i USA snudd mot masseovervåkning. Patriot Act tillater den amerikanske regjeringen å samle “alle håndfaste ting” (PDF) i interesse av nasjonal sikkerhet. Men kongressmedlem Jim Sensenbrenner, som skrev flertallet av patriotloven, mener at den amerikanske regjeringen tok fatt på masseovervåking som en “åpenlyst feilopplæring av loven.”

I en gjennomgang av overvåkningsteknologier, som ble nedsatt etter Snowden-lekkasjene, bestemte en presidentkomité at NSA overskred grensene (PDF), og bør bruke andre metoder, for eksempel rettskjennelser, for å innhente disse dataene.

Sammendrag

Erosjonen av personvern er noe mange internettbrukere med rette er opptatt av, og loven om etterforskningskrefter er uten tvil det mest ekstreme eksemplet på online overvåkning i den vestlige verden..

Selv om du føler at du ikke har noe å skjule, bør utsiktene til hacking eller tilfeldig uautorisert tilgang veke deg. Edward Snowden har snakket om nøkkelferdig tyranni, der systemer som er satt på plass av en pålitelig myndighet, kunne overføres til en organisasjon med mindre godartede mål. Med masseovervåkningssystemer på plass blir dette et mer sannsynlig scenario.

Den britiske regjeringen vil sannsynligvis møte juridiske utfordringer mot loven om etterforskningskrefter, men det er et skritt mot en verden der internettfrihet blir kompromittert for både uskyldige og skyldige. Selv om landet ditt ennå ikke sporer deg på denne skalaen, kan det bare være et spørsmål om tid.

Oppdatering: Lær mer om IPA

Vi har skrevet en oppdatering til denne artikkelen, nå 20.395 britiske politiet, passer & Spooks kan nå se hvert nettsted du besøker. Basert på nesten hundre FOI etterspurt hundrevis av timers arbeid, har vi laget det første anslaget på hvor mange som kan se ICR-ene og hvem de er. Dette tallet (20 395 personer) er en nedre grense: bare menneskene vi absolutt kjenner til. Etter hvert som vi lærer mer, vil antallet sannsynligvis øke betydelig.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map