Artikel top billede

Direktør Ulrich Østergaard fra sikkerhedsfirmaet Unispeed er ikke i tvivl om, at politiet har brug for sessionslogning. Foto: Unispeed

Overvågningsekspert skærer igennem: Selvfølgelig skal Danmark have sessionslogning

Danmark skal have sessionslogning, men ikke i det omfang, som Justitsministeren arbejder for, mener overvågningsekspert. Han er træt af hyleri i debatten. Se hans forslag her.

Ulrich Østergaard er lidt af et særsyn i debatten om sessionslogning.

For det første er han positivt stemt overfor idéen om sessionslogning.

For det andet har han mere end 10 års professionel erfaring med overvågning af elektronisk trafik.

Ulrich Østergaard er til dagligt direktør i Unispeed, som blandt andet sælger udstyr til online-efterforskning, og han er ikke imponeret af niveauet i debatten indtil videre.

"Man kan begynde med at sige, at de fleste kritikeres udgangspunkt desværre er uden konkret faglig viden om opgaven. Der er ikke ret mange, der har arbejdet med efterretningstjeneste og politi på data, så der er meget gætværk og signal politik."

Ulrich Østergaard påpeger blandt andet, at man ikke skal tro, at sessionslogning er nytteløs, bare fordi politiet ikke går ud med en udførlig forklaring på, hvordan sessionslogning skal hjælpe politiets efterforskningsarbejde.

"Vi som virksomhed kommer rundt i verden og oplever, hvordan andre tjenester arbejder med det her, og man kan nok ikke afvise, at politiet kan jo have fået nogle input og ideer fra samme kilder. Selvom politiet ikke vil ud med et datagrundlag til at understøtte dets case, kunne det jo være, at politiet alligevel havde tænkt sig grundigt om, inden de foreslog en så vidtgående lovgivning," forklarer han.

Efterforskning kræver spor

Modstandere af sessionslogningen har påpeget, at politiet i forvejen kan få en dommerkendelse til at overvåge en mistænkt persons internettrafik.

Men Ulrich Østergaard mener, at den teknologiske udvikling simpelthen har svækket den mulighed i så høj en grad, at der er brug for bagudrettede informationer.

"Et eller andet sted er det bydende nødvendigt, at politiet følger med den teknologiske udvikling. Fremadrettet aflytning bliver mere og mere vanskelig, fordi alt er krypteret. De her data er så det, man har tilbage, for de kan i mange tilfælde pege politiet derhen, hvor man kan finde de relevante data."

De loggede data vil ikke på nogen måde udgøre en rygende pistol, men kan i høj grad hjælpe politiet med at fastslå, om der er grund til at bruge ressourcer på den mistænkte, forklarer Ulrich Østergaard.

"Der er ikke noget af det her, der kan domsfælde nogen, men det kan hjælpe politiet til at tegne et billede af den person, de har i kikkerten. Er de personer, han kontakter, allerede i registeret og så videre. Det kan vise, om det er et spild af tid, eller om en person skal undersøges nærmere."

Og det er ikke bare almindelige kriminelle og selvmordsterrorister, som får det sværere i en verden med sessionslogning, mener Ulrich Østergaard.

"En af de ting, jeg har argumenteret for i mange år, er en sammenhængende vision for cyber defence. Der er vi relativt blinde i dag. Med de her logs i hånden vil man i mange tilfælde retroaktivt kunne identificere, hvor et angreb kom fra. Så kan man i det mindste advare andre firmaer, som ser ud til at være blevet ramt af samme sårbarhed og mitigere angrebet," forklarer Ulrich Østergård og påpeger, at IP-logning også vil hjælpe til at identificere bot-net trafik.

Læs også: Fem vigtige svar om Søren Pinds planer om masseovervågning

Sådan skal det gøres

Ulrich Østergaard mener ikke, at politiet som udgangspunkt skal komme helt tæt på den enkelte borger med sessionslogningen.

"En af de store variabler er, hvor tæt man skal gå på slutbrugeren. Jeg mener ikke, at man skal tættere på end, at man med rimelig sandsynlighed kan udpege slutbrugeren. Det må være godt nok," fortæller han.

"Det er specielt omkring NAT udstyr at logs bliver vigtige, da sporet ellers vil ende blindt her. Politiet har begrænset mulighed for at aflytte et helt netværk, hvilket heller ikke vil hjælpe bagudrettet, så her kan det spare politiet for en masse manuelt arbejde, når de skal identificere en mistænkt."

Ulrich Østergaard påpeger i samme åndedrag, at en løsning, som kommer nærmere på slutbrugeren, også vil være dyrere.

"Der går parterne galt af hinanden, når de ikke aftaler, hvor finmasket nettet skal være for at gøre det proportionalt. Nogle ISP'er har mange virksomhedskunder, og for eksempel er meget af den trafik, som aldrig forlader udbyderens net, for eksempel trafik mellem filialer i en bank, jo ikke interessant. Det må man skrive ind i lovgivningen."

Samtale fremmer forståelsen

Generelt mener Ulrich Østergaard, at der er brug for mere dialog for at nå til en fornuftig løsning.

"Det værste ville være, hvis man i denne krig på ord ender med en lovgivning og implementering, som bliver en fiasko igen. Så har vi bare spildt hinandens penge igen. Lige nu er det bare en skyttegravskrig, og til sidst ender det med, hvem der har størst balls. Søren Pind eller de andre."

Ulrich Østergaard peger gerne på fejl hos begge sider i debatten. For både telebranchen og justitsministeren er gået forkert til sagen, mener Unispeeds direktør.

Blandt andet peger han på, at der er urealistiske forventninger til udgifterne til sessionslogning.

"Der er meget hyleri, men det er ikke det, der gør, at Danmark ikke har bredbånd næste år. Når jeg taler med kunder, der kan blive ramt af det her, bliver de overraskede over, hvor smertefrit det kan gøres."

For teknologien har nemlig ændret sig drastisk, siden sessionslogning sidste gang blev indført i Danmark. Så udgifterne for det enkelte datacenter behøver slet ikke at blive så voldsomme, som nogle mener, understreger Ulrich Østergaard.

"Hvis du har et datacenter med otte gange 10 gigabit, kan du faktisk etablere sessionslogning for under 100.000 euro. 80+ gigabit håndterer immervæk en slat mennesker."'

Men justitsministeren har bestemt også et ansvar for, at debatten er så ukonstruktiv, mener Ulrich Østergaard.

"Jeg synes, at det er ærgerligt, at man ikke laver et samarbejde, som man gør i England. Her opsætter man et proof of concept sammen med et teleselskab, og så justerer man lovgivningen bagefter. Det er lidt smartere end det her, der potentielt kan ende i en ny fiasko," siger sikkerhedsmanden og griner lidt, inden han understreger, at det selvfølgelig ikke er ISP'erne der betaler den engelske model.

"Det er Home Office, der betaler regningen. Det virker logisk."

En rød klud i ansigtet

Det nye forslag om sessionslogning skal ses som en forbedring af den gamle model, som blev afskaffet i 2014.

Men der er stadig gamle svagheder med i justitsministerens forslag.

Blandt andet tyder meget på, at universiteter og biblioteker stadig vil være undtaget. Det er bestemt ikke godt for stemningen i forhandlinger med de private aktører, mener Ulrich Østergaard.

"Det er fuldstændigt useriøst hvis de offentlige netværk går udenom. Det er en rød klud i hovedet på alle andre."

For hele idéen med at fange terrorister og andre kriminelle elementer går fløjten, hvis nettet har så store huller, understreger Ulrich Østergaard.

"Den gamle lovgivning var relativt effektiv i forhold til folk med en fast IP-adresse. Men hvor mange it-kriminelle eller terrorister bruger det? Det gør de sgu da ikke. De går hen på det nærmeste bibliotek eller et andet åbent netværk."

Læs også: Derfor rammer Søren Pinds sessionslogning kun almindelige borgere og dovne kriminelle