Selv for de av oss som er ihugga teknologioptimister, er det ikke til å unngå at det finnes mange grusomheter som skjer over Internett. Jeg vet det. Men hva er det som er fordommer, og hvilke utfordringer er det egentlig Internett er skyld i?
Folk må skjerpe seg.
Hos oss har vi iPaden tilgjengelig til ungene på 2 og 4 nesten hele tiden. Samtidig har Helsedirektoratet kommet frem til at skjermbruk må begrenses: Maks en time for de under fem, sier de i høringsutkastet til fysisk aktivitet. Her skal jeg komme med en tirade over at de tar feil.
Siden 1960-tallet har det blitt forsket på sammenhengen mellom TV og aggresjon hos barn, i blant annet kjente studier av Alberto Bandura. Senere (hvertfall i år 2000) har det blitt forsket på sammenhengen mellom dataspill og aggresjon. Studier blir kritisert, men kritikken blir ikke fremmet videre av tabloide medier. Videre er det flere funn som viser at forskjellige dataspill kan utvikle positive egenskaper (for eksempel i 2014), men stillheten er øredøvende frem til en ørliten studie som fant at barn som har tilgang på skjerm har annerledes hjerneutvikling – uten at særlig mange reflekterer over at den hvite materien kan virke positiv for å få hjerneceller til å bevege seg raskere. Det er ingen ting som tilsier at det er noen grunn til å få panikk når det kommer til skjermtid i seg selv.
“Konsekvensene av skjermtid” er like lite konkret som “konsekvensene av utetid”: Hvordan man bruker skjerm er svært variert. Mens TV er anerkjent som passiv bruk av skjerm, argumenterer flere at det er mer hensiktsmessig å sammenligne videospill med tradisjonell lek enn med TV-titting.
Kvaliteten på skjermbruk er det viktige, ikke at skjerm er tilstede.
Mens Helsedirektoratet sauser sammen “for eksempel TV, nettbrett, dataspill og mobil”, har WHO i det minste prøvd å gjøre en liten tydeliggjøring i sine råd:
(…) sedentary screen time (such as watching TV or videos, playing computer games) is not recommended.
WHO (2019): Guidelines on physical activity, sedentary behaviour and sleep for children under 5 years of age
Det virker som om viljen er der, men ikke innsikten: Å spille videospill er sjeldent stillesittende (sedentary). American Academy of Child and Adolescents Psychology (AACAP) har forstått mer i sine råd angående skjermtid:
Until 18 months of age limit screen use to video chatting along with an adult (for example, with a parent who is out of town).
Between 18 and 24 months screen time should be limited to watching educational programming with a caregiver.
For children 2-5, limit non-educational screen time to about 1 hour per weekday and 3 hours on the weekend days.
For ages 6 and older, encourage healthy habits and limit activities that include screens.
Turn off all screens during family meals and outings.
Learn about and use parental controls.
Avoid using screens as pacifiers, babysitters, or to stop tantrums.
Turn off screens and remove them from bedrooms 30-60 minutes before bedtime.
AACAP (2020): Screen Time and Children
Merk at her differensieres det til at bruk av programmer som ikke er lærerike skal begrenses, og at skjermtid varieres med både interaksjon og med anledning. Måltider og leggetid skal være skjermfrie, for eksempel. Gode råd som gir mer mening i en verden hvor “skjerm” ikke bare er “skjerm”, men variasjon i aktiviteter knyttet til skjerm er tilnærmet uendelig.
Om 1-åringer bare skal få lov til å se på, og ikke spille? Nja. Jeg kan være uenig i dét, og samtidig se at det er mange andre gode innspill i lista her.
Skjerm og teknologi er tydeligvis spesielt. Jeg ser ingen fraråding av å lese bok med barna våre i disse anbefalingene, til tross for at det er en mer stillesittende aktivitet enn å spille dataspill.
Tid med skjerm betyr ikke at barnet passivt konsumerer i ensomhet. Å tegne på nettbrett kan være noe foreldre deltar i like mye, om ikke mer, som å sitte ved et bord å tegne (vi trenger for eksempel ikke lete etter den hersens blyantspisseren i 20 minutter). Å tegne på ark eller å tegne på nettbrett virker som like aktiviteter, men den ene blir frarådet spesielt.
Det finnes en antakelse om at «skjermpositive foreldre» tilsynelatende ønsker at barna skal sitte passivt med skjerm. At vi «bruker iPaden som barnevakt». I min erfaring er å bruke iPad som «barnevakt» omtrent like effektivt som å bruke en ball som barnevakt. Joda, barna kan leke med den alene litt, men raskt ønskes (eller kreves) interaksjon. For oss er det viktigere å lære ungene våre å legge fra seg skjerm, enn at skjerm er noe hellig de er heldige å få bruke spesiell tid med. Et nettbrett, eller et konsollspill er bare en del av den naturlige variasjonen i løpet av en dag.
Barna velger forøvrig også andre aktiviteter – selv om de har skjerm tilgjengelig. Barna ønsker selv varierte aktiviteter, og av og til er ikke skjerm det beste.
Barn er ulike voksne – både når de er på teaterforestillinger, og også når de bruker forskjellige varianter av skjerm. Et «føre var»-prinsipp, som Helsedirektoratets anbefalinger legger til grunn, virker mer tilrettelagt frykten for andre potensielle farer ved skjermbruk, enn nettopp fysisk aktivitet som forslagene skal dreie seg om. Mye av denne frykten som kommer frem er også propellert frem av dårlig mediedekning og feilantagelser som får leve i beste velgående – som at småbarna sitter ensomme og umonitorerte med skjermbruk, i timesvis uten voksenkontakt.
De barna som gjør det, har andre – store og reelle – utfordringer i livet, men det er ikke skjermen i seg selv som er utfordringen her.
Rådet om fysisk aktivitet og tid i ro blir dekt i anbefalingene: «Ikke være fastspent (…) eller sitte i lengre perioder av gangen.»
“Skjermbruk” trenger ikke være en motsetning til fysisk aktivitet, men barna må – som på alle områder i livet – veiledes.
Når de nasjonale helserådene blir offisielle (og ikke bare et forslag), kommer de til å etablere sannheten om at «Skjerm er farlig for den fysiske utfoldelsen». Reaksjonene har allerede begynt å komme. Det er trist.
Det verste er at det overskygger den mye viktigere samtalen:
(Bilde øverst på siden av Jelleke Vanooteghem på Unsplash)
Politiet skal nå i gang med å oppsøke de som hetser i sosiale medier (NRK, 5. mai 2021 og digi.no, 5 mai 2021).
På høy tid.
(…selv om det også er gjort før, NRK, 1 februar 2016.)
Det er mange som tror jeg er sånn ihuga digitalist, som elsker alt det digitale uten forbehold. Og joda, jeg elsker Internett. Men: Jeg synes sosiale medier er noe dritt.
Jeg er tilstede på ganske mange plattformer. Jeg har fått kommentarer på at jeg er så aktiv “og sikkert har peiling”, men jeg synes sosiale medier er noe skikkelig dritt. La meg gå gjennom den mest drittete dritten.
Jeg leser mye kommentarfelt for å følge med på “hva folk mener”. Jeg mener at diskusjon handler om å høre motstemmer til sin egen overbevisning, lære litt – og kanskje til og med endre mening. Et museskritt. Og om det er åpenbart at ingen meningsendring vil skje, kan det likevel være spennende å lære mer om motivasjonen bak meningene til motparten. Kommentarfelt på sosiale medier kunne vært et sted for spennende meningsutveksling og et sted hvor nye ideer springer frem. Men det er det ikke. Slikt krever mer lytting enn skriking.
I kommentarfelt på sosiale medier lytter ingen. De stiller ikke spørsmål, med mindre det er retoriske spørsmål av typen “åja, så covid19 er bare en mild influensa, så hva skjer i India nå da?”. Når jeg kommenterer på noe i sosiale medier – for det skjer innimellom, så er det ikke fordi jeg forventer at personen jeg “kommenterer til” skal bry seg. Jeg kommenterer for den tause majoriteten – de som er som meg, de som leser kommentarfelt men sjeldent kommenterer. Sånne som oss leser tross alt kommentarfelt for å lære litt og gjøre oss opp en mening. Og når alle som er nysgjerrige og søkende bare lar være å kommentere, så blir kommentarfeltene overtatt av skråsikre brøleaper. Ingen fornuftige kommenterer, bare masse skriking. Og drittslenging frem og tilbake. Det er med andre ord knapt noen vits å lese kommentarfelt på sosiale medier lengre, det er bare søppel der.
Når jeg kaller det søppel, tenker jeg ikke på meninger jeg er uenig i. Men reaksjoner på innlegg. Noen som sier noe med faktisk innhold i et kommentarfelt blir ikke møtt med saklighet. De blir møtt med for eksempel “haha”-knappen til Facebook. Den “haha”-reaksjonen forvirrer meg intenst, men jeg skal ikke dvele ved den. Jeg vil bare ha det notert at den er fullstendig ubrukelig og gir ingen mening.
Latterliggjøring er en ting, men kommentarer på sosiale medier dreier seg om person mer enn ytring. I en periode, etter rettssaken til 22. juli-morderen i 2012, var det veldig populært å diagnostisere folk. Dette holdt på lenge, og helt opp mot Trump-kampanjen i 2017, men så sluttet denne tendensen litt. “Er du psykopat, eller?” eller “typisk narcissist å si noe sånn” og så videre. Etter Trump ble president i 2017 (det er tydeligvis nå blitt en tidsregning) ble det, i sosiale medier, mer og mer kategorisering: du tilhører enten “venstresiden” eller “høyresiden”. Og når du er plassert i en “side”, er det umulig å si noe om saken, du blir bare konfrontert med mange andre saker eller uttalelser den “siden” har hatt – noen sinne. Det blir for dumt.
Det er aldri bare to sider, og en person er aldri helt og fullt bare “den ene siden”. Men nyanser fungerer ikke på sosiale medier. Budskapet må frem, så da må det spisses! Så spisst blir det, at det ikke er noen budskap igjen, bare en ekkel nål som poker rundt. *poke*…. *poke*…. *poke*…
Jeg husker jeg en fuktig kveld rundt det herrens år 2010. Sosiale medier var fremdeles ganske nytt og “venner” var faktisk venner. Jeg oppdaterte Facebook med ting som “Maja is gleder meg til tomatsuppe! Nam”. Den aktuelle kvelden utbasunerte jeg pompøst: “Skal du poste noe på Internett, må det være noe du er villig til å gå i døden for. Du vet nemlig aldri hva fremtiden bringer og hva som blir brukt mot deg!”
Jeg lever tydeligvis for drama. Men nå er vi i fremtiden, og jeg vil bare få sagt: Hva var det jeg sa?
Folk blir hele tiden konfrontert med ting de sa for lenge siden. Et kjent eksempel er typ Sumaya Jirde Ali som hadde skrevet “fuck politiet” på Twitter og slettet like etterpå (Avisa Nordland, 01.03.2018). Jeg kan bare si…. Jeg er så sykt glad for at det ikke var sosiale medier da jeg vokste opp, om det skal bli så mye oppstuss over et lite “fuck politiet”. Jeg mener, vi har alle vært der.
Og det er jo det som er greia. Vi sier og gjør ting, og så lærer vi, og så utvikler vi oss. Å komme trekkende med ting vi har sagt for noen år siden, aller helst tatt ut av kontekst (jeg er sikker på at Sumaya Jirde Ali for eksempel ikke håper på et lovløst og sosialdarwinistisk samfunn, ettersom kommentaren hennes var en reaksjon på en helt konkret handling) har blitt normalen.
Det er en styrke å kunne si “jeg har utviklet meg og lært siden da”. Jeg mente kjernekraftverk var verdens verste greie, og sidestilte kjernekraftverk med atomvåpen. Det gjør jeg ikke lengre. Kjernekraftverk er fornuftig, jeg har lært (blant annet ved hjelp av Sunniva Rose, her fra NRK Ytring 27 september 2020). Jeg trenger ikke bruke så mye tid på å forholde meg til at jeg en gang synes kjernekraftverk var en uting. Om jeg derimot hadde skrevet om kjernekraft på sosiale medier, ville saken stilt seg annerledes:
I kommentarfeltdiskusjoner er det ofte korte kommentarer. Du får en del av en diskusjon, men ikke hele diskusjonen. Og skjermbilder blir brukt hyppig som trusler og på den måten forsøke å hindre videre diskusjon. Jeg kunne blitt avfeid som vitenskapsresistent om det kom frem at jeg var i mot kjernekraft. Jeg kunne mistet troverdighet. Men det slipper jeg. Jeg tar eierskap over min egen historie og formidler i kontekst.
Du mister makten over egen historie og egne ytringer, og det du har gått bort fra står ved deg for alltid likevel.
Men det er ikke bare hissige kommentarfelt og medmenneskelig inkompetanse som er problemet med sosiale medier. Hele vitenskapen bak er et eksempel på feiltrinn.
Sosiale medier er der for å nå langt – nå til mange, og nå langt – med sitt budskap. Det positive med dette er at jeg kan bli eksponert for deler av verdenssyn jeg ikke har reflektert over eller vært preget av tidligere. Jeg får innblikk.
Det negative med det er at de som stikker hodet frem kan få en flodbølge av respons. Og da tenker jeg ikke på respons av den gode arten. Alle tåler å få en og annen drittkommentar slengt etter seg. Men greia med sosiale medier er at det ikke er snakk om “en og annen”. Mengden hets, og grovheten i hetsen, er tragisk. Sannsynligvis handler det litt om at når en selv er langt unna “målet”, er det ikke like personlig krevende å slå til. Det er lettere å drepe dersom du sitter på et kontor, omgitt av likesinnede, og sikter inn en drone – enn det er å stå foran noen med en kniv i hånda. Det er psykologi.
Sånn er det nok med sosiale medier også. Når det er noen du ikke kjenner, og ikke har noen forhold til, er det lett å slenge ut en liten drapstrussel bare fordi du legger ut bilder av deg selv uten barberte legger (Dagsavisen, 11. desember 2020). Det trenger ikke være så heftige kommentarer heller. Det holder at du synes det er riktig å slenge om deg med “dum, svak, egoistisk” eller noe i den duren, enten det er fordi noen er drept av et skredras (NRK, 2 mai 2021), fordi noen ønsker at fedre skal bli med på fødestua (TV2, 14. februar 2021), at du kommenterer det tåpelige med å dele en meny opp i jente- og gutte-meny (NRK, 9 august 2019) eller at du har ei hytte (NRK, 19. mars 2020). Mange gjør tydeligvis dette – slenger dritt fordi de kan. Og det er da den store mengden kommer inn. Mengden er nok til å ta knekken på enhver.
Noen synes det er verdt det (som i artikkelen “Hatkommentarer er hverdagskost for norske Tik-Tokere” fra p3 20 mars 2021). Jeg synes det virker mer stress enn moro. Jeg har hvert fall ikke lyst til å utsette meg for dette. Og den beste måten å slippe? Bare droppe sosiale medier.
Sosiale medier er skapt for at du skal bruke mest mulig tid der. Den gir deg innhold basert på hva du bruker tid på å se på. Den finner ut hva som får deg til å tikke (eller klikke), og presenterer det på løpende bånd. Jeg er nok ikke den eneste som har tenkt tanken at i kveld skal jeg kanskje kose meg med en film alene, men endt opp med å scrolle opp og ned på sosiale medier istedenfor. Scrolling som gir meg ingen ting. Sosiale medier tar opp alt for mye tid.
Hilde Østby skriver i boken Kreativitet (2019) at det er viktig å kjede seg. Når du kjeder deg setter hjernen i gang prosesser med å løse ting, og man ender med å finne svar (42). Sosiale medier bruker all kunnskap om psykologi og sosiologi og medievitenskap og gudene vet hva, for å holde oss på plattformen (BBC, 4 juli 2018). Selv om det ikke er noe der av interesse.
Sosiale medier er, når alt kommer til alt, bare meningsløs bruk av tid. Hvorfor gidder jeg? jo, jeg føler jeg må, for jeg må jo markedsføre meg selv og være på plass og prøve å vise meg frem osv. Og det er jeg ikke den eneste som prøver å bruke sosiale medier til.
Pre sosiale medier måtte jeg se på plakater, “hva skjer”-kalendere og lignende for å få med meg hva som skjedde i nærmiljøet. Så kom sosiale medier, og jeg ble invitert av venner, eller kunne følge konsepter som dermed inviterte meg. Det var gode tider for en selvoppnevnt FOMO-kulturentusiast.
Men nå har markedskreftene tatt over. Først de store selskapene, som pøser på med reklame for ting som skal skje. Det er (faktisk) greit nok, det er slikt man må forvente. Men nå, etter å ha levd litt i koronatiltaksland i litt over et år – nå har det gått over stokk og stein.
ALLE tilbyr webinar. Og ALLE kjører en markedsføringskampanje på det. Om jeg fikk penger for alle “Gratis webinar”-reklamene jeg scroller forbi av både den ene og den andre, så hadde jeg kunnet ha et tjukt lag med smør på brødskiva, for å si det sånn. Og det er sikkert ikke teite webinarer – det er spennende tema. ,Normalt sett ville det nok vært interessant for meg – om det var sånn at jeg ble forespeilet ett annenhver måned eller noe. Men neida. Jeg kunne gått på flere gratis webinar om dagen om jeg hadde hatt lyst. Debatter, opplæring, diskusjon og belysning – alt innenfor tema jeg liker eller til og med brenner for. Enkeltpersonsforetak, organisasjoner, statlige aktører, internasjonale bedrifter, banker, universiteter og høyskoler… alle tilbyr – tilbyr – tilbyr. Gratis! Få plasser! Meld deg på!
Det er ikke mangel på innhold, for å si det sånn.
Men det er for mye, jeg ender med å ikke gidde delta på noe. Det er et mas. Jeg blir mettet av innhold bare av å se på reklame for innhold som sannsynligvis er mer interessant enn all reklamen om innhold.
Jeg er bare dritt lei og ville få det ut. Jeg har ikke engang begynt å ta for meg influensere eller propagandamaskiner. Det tror jeg andre kan ta.
“Amerikanerene vedtok nettopp en lov som sa at myndighetene skal ha tilgang til all data fra alle amerikanske selskap, mens Schrems II-dommen gjør at det er ulovlig for selskap å gi info om europeere over landegrensene. Disse lovene er helt i kollisjon, men ingen vet hva de skal gjøre med det enda. Alle som bruker en skytjeneste eller en plattformtjeneste blir jo berørt av dette. Men ingen vet hva de skal gjøre!”
Omtrent dette ble sagt i lunsjen på onsdag. Og siden jeg er inne på dette med sky for tiden, så ble jeg litt ekstra nysgjerrig på hva som lå bak dette utsagnet.
Først litt kjapt om GDPR, Schrems II, og CLOUD act.
GDPR (General Data Protection Regulation) er den europeiske lovreguleringen rundt det å behandle og lagre informasjon om borgere av EU (og i forlengelsen EØS). Fra 20 juli 2018 er loven en del av norsk lovgiving. GDPR er omfattende og komplisert.
Schrems II er betegnelsen på en dom avsagt i EU-domstolen 16. juli 2020 som i korte ord etablerte at europeiske borgeres personvern ikke blir ivaretatt i USA på grunn av “de vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking.” (som Datatilsynet formulerer det 16.07.2020).
CLOUD Act (“The Clarifying Lawful Overseas Use of Data Act“) er en amerikansk lovgiving som gjør justeringer til Stored Communications Act (SCA) fra 1986. Denne loven gir amerikanske politimyndigheter anledning til å kreve lagret informasjon fra amerikanske teknologiselskap. Oppdateringen i Cloud Act er at dette gjelder uavhengig om serverene informasjonen er lagret på befinner seg i USA eller andre land.
Forrige innlegg interoduserte jeg begrepet “Plattform som en Tjeneste”, eller PaaS som det oftere heter. En utfordring med slike plattformer er at veldig mange bruker Microsoft, Amazon eller Google. Amerikanske plattformer. Det betyr altså at selv om programvaren og alle applikasjoner er egne og selvutviklede for bedriften ikke har noe å si (angående dette). Under laget – i infrastrukturen, ligger alt lagret hos amerikanske selskap. Selskap som må utlevere data ved krav fra amerikanske myndigheter – uavhengig hvor serverene er.
Når det gjelder personvern er det fort de offentlige tjenestene mine tanker går til.
Offentlig-paas.no (som jeg altså er helt overivrig over å ha snublet over) hinter til at de fleste offentlige (selvutviklede) tjenestene bruker kubernetes. Og jeg skal være ærlig og si at jeg er på litt tynn is her (-kan du masse om kubernetes, gjerne ta kontakt og lær meg). Men dette er hva jeg forstår av kubernetes (etter å ha lest på kubernetes.io): Det er et open source verktøy som gjør deg uavhengig av plattform. Det vil si at du får en slags mellomting mellom IaaS og PaaS. Du får valgmulighetene og kontrollen til infrastrukturen som du ville hatt med IaaS, samtidig som du får en plattform du kan bygge programvare på (som ved PaaS). En slik “mellomløsning” blir som regel kalt CaaS (Container as a Service). Det virker (betryggende nok) som om mange av de offentlige tjenestene allerede fikler rundt med dette.
Fordi: dersom du har en tjeneste som er tungt integrert med Microsoft Azure (for eksempel), så er det ikke bare å “bytte”. Og bruker du amerikanske tjenester er det knapt mulig for dem å sikre at GDPR faktisk blir fulgt, uten at de bryter loven i sitt hjemland (ved å ikke samarbeide med politet). Altinn ligger på Microsoft Azure (altinndigital.no, 19.02.2021). I samme slengen nevnes det at “Digitaliseringsdirektoratet har ikke fattet beslutninger som gjør at vi kommer til å «flytte hjem» løsninger som er i sky på nåværende tidspunkt.”
“Å flytte hjem” – selv om det er noe jeg brenner for (hadde jeg jobbet i DigDir hadde jeg argumentert kraftig for at all norsk data skal befinne seg i Norge) – er vel strengt tatt ikke nødvendig, det er mange land i EU som er omfattet av de samme rammene som…. vel, EU. Det er særlig amerikanske tjenester som er i fokus i denne problemstillingen, og det er generelt flest amerikanske tjenester.
Ryktebørsen går, og det er de som tror denne dommen er slutten på skytjenester. “On prem”-tjenester, eller altså da å lagre alt “hos seg selv” er plutselig mer i vinden igjen – som om vi går tilbake noen år.
Men hva blir egentlig konsekvensene for sånne som meg og deg? Sannsynligvis flere arbeidsplasser til konsulenter – både juridiske og innen skyteknologi. Det blir mange endrede systemer og flere tjenester som utvikles. Det blir kanskje ikke de store tydelige konsekvensene for meg og deg – men det er en sånn langsiktig utvikling som blir interessant her. Jeg tror det hele kan dreie seg mot en langt mindre amerikansk dominans i teknologimarkedet på sikt. Mer nasjonalisme i lagringsstrukturen – flere tjenester lagres på norsk jord av mer lokale leverandører. Det vil også bli vanskeligere for tjenester som Dropbox å få tillit. Særlig når de så tydelig understreker at de følger GDPR til punkt og prikke – selv om vi vet at de har serverene sine i USA.
EDPB (The European Data Protection Board) ga ut en rapport 10. november 2020 om hvordan selskap kan møte utfordringer knytte til Schrems II-dommen. Her er en link til rapporten i sin helhet (den er overraskende tydelig til offentlig rapport å være). Den gir flere råd og om å blant annet ettergå tjenester og å innføre ytterligere beskyttelsestiltak for å møte kravene som nå stilles.
I min søking rundt dette tema kommer jeg fort til tilbud om konsulenthjelp for å “innføre ytterlige beskyttelsestiltak” som det er krav om bedrifter for å gjøre – om de skal følge GDPR. Noe en bedrift vil, for det finnes trusler om ganske høye bøter om du ikke tilpasser deg GDPR. (Europeiske tilsynsmyndigheter har skrevet ut bøter for svimlende 272,5 millioner Euro siden 2018 kan Finansavisen fortelle 19.01.2021).
“Beskyttelsestiltak” fra kunden sin side er bra, men er det nok?
Noen skyleverandører går kraftig ut for å berolige sine kunder. Microsoft får jevnlig gjennomgå av Max Shrems på Twitter (den Schrems som har gitt navn til dommen) for sine forsøk på å “renvaske” seg:
Og samtidig kan det godt være Microsoft er først i klassen her – jeg har ikke sett Schrems kritisere Amazon (AMZ) like tydelig – det henger kanskje sammen med at de ikke har tatt seg bryet med å sette seg inn i problemstillingen i det hele tatt?
Dropbox har gått for løsningen å la være å svare på spørsmålet offentlig. Vi kan vel bare spekulere i hva det skal bety.
Som med GDPR er det egentlig ikke teknologi som blir utfordringen – det er det juridiske. Men det juridiske må ha kunnskap om den teknologiske infrastrukturen for å i det hele tatt forstå utfrodringene. Heldigvis har mange også det. Jeg får opp en del treff, og her er to:
Advokatfirmaet PwC uttrykker “Flere av skytjenesteleverandørene viser til at de lagrer personopplysninger i datasentre innad i EU/EØS, og at de derfor ikke er underlagt kravet som følger med overføring av personopplysninger til tredjeland. Her må det bemerkes at ren teknisk tilgang i seg selv anses som en overføring av personopplysninger.” (pwc.no, 18.11.20, min kursiv).
Advokatfirmaet Scjødt (schjodt.no, 06.10.2020) antyder rett ut at skylagring som vi kjenner det kommer til å endres, fordi slik det er nå er det ikke sannsynlig å unngå tilgang til personlig data ved bruk av skytjenester:
For cloud services, high availability requirements are normally required, often “24/7/365”. In order for this to be practically feasible, technical personnel may have to access the database containing personal data – encrypted or not – through remote access from different time zones. In other words, a “transfer” happens if a consultant/operator in the United States can access personal data on a European server, for example when supporting an ERP system. Many cloud service providers have also explicitly reserved the right to grant such remote access in its standard agreements with the customer.
Det er med andre ord egentlig ikke helt innafor å bruke tjenestene slik vi gjør i dag. Men det er jo veldig komplisert – hvordan gjør vi det nå? La meg ta meg selv om et eksempel. Jeg er jo enig i at mitt personvern er viktig. Jeg har fremdeles ikke sluttet å bruke Dropbox. Det går på den gamle “hvis du ikke har noe å skjule, hvorfor beskytte det”. Jeg har ikke noe å skjule – men det er likevel ikke det som er poenget med dette. Poenget med dette er at dette er på SYSTEMNIVÅ.
“Alle” gjør det – altså bruker tjenester som i europeisk domstol rett og slett har blitt dømt til å være uskikket til å ta vare på personvernet til europeiske borgere. Og når dette skjer på system er det et problem.
Men hvordan skal man endre et system – et system basert på teknologi og juss som er så komplisert at de aller fleste ikke aner hvordan noen av delene fungerer?
Så langt virker konklusjonen fra lunsjen ganske riktig: Ingen vet helt hva de skal gjøre.
Jeg liker å fortelle historien om da jeg trodde at når noe var i “skyen” betød det at kode fløyt rundt i lufta, og så på en magisk måte – så magisk som bare kode kan – manifesterte koden seg til dokumenter når jeg bare trykket på ikonet på datamaskinen.
Jeg innbiller meg at om jeg hadde vært ung i dag hadde jeg forstått at “skyen” er like håndfast som ledninger og datamaskiner. Ikke minst har spurten med hjemmekontor gjort de fleste av oss veldig bevisste på hva som er i skyen (og dermed tilgjengelig), og hva som ikke er det. Til tross for at det er mer kjennskap til skyen nå enn før er det likevel mange sprikende ideer om hva skyen er, og hvordan det hele fungerer. Jeg hører oppdraget kalle, så la meg herved komme med en liten introduksjon på hva skyen er.
Kode flyter rundt i lufta, og…
Neida, bare tuller. Nå begynner vi.
For å begynne med det første først: Skyen er Cloud.
Skyen er et begrep på å lagre dataen din et annet sted enn på egen datamaskin. Skyen er det samme som lagringsplass som ikke er hjemme. For bedrifter kan “egen datamaskin” forsåvidt bety å lagre i egne lokaler (“on premises” som det så fint heter).
Det er flere måter å få tilgang til en sky. Quentin Hardy, beskriver forskjellige skytilganger slik (New York Times, 23.01.2017):
When people think of cloud computing, they often think of internet-connected public clouds run by the likes of Amazon, Microsoft and Google. (If you use Gmail, Dropbox or Microsoft’s Office 365, you are using a cloud service.) There are also consumer clouds that, for example, hold your pictures and social media posts (think of Facebook or Twitter), or store your music and email (think of Apple or Google).
Det er mange grunner til å lagre i skyen. Mine mest åpenbare grunner er at jeg får tilgang på bilder og dokumenter uansett hvor mange ganger jeg må bytte datamaskin*. Jeg har også etter hvert behov for mer lagringsplass enn det finnes på egen datamaskin. Et tredje behov er selvfølgelig å ha en sikker plass å lagre gamle bilder og viktige dokumenter. Men skyløsning handler ikke bare om å lagre private dokumenter på en ekstern server. Sky er mer, og i bedriftsmarkedet har sky kommet for bli.
*mmmmmm…. minnet om å styre med eksterne harddisker og knuse gamle laptop-er for å skru ut harddisk strømmer på…
Mange bedrifter utvikles i retningen til å bruke skyløsninger og går bort fra å være “on prem”, on premises – eller altså….”i egne lokaler”. “On prem” betyr at Bedriften har noen datamaskiner eller servere med lagringsplass hos seg selv.
Det kan være fordeler med å ha lagringen hos seg selv – men det krever kunnskap, tid og engasjement. I utviklingen mot å effektivisere, økonomisere og strømlinjeforme blir de spesialiserte tjenestene fort utflagget. Så om Bedriften da ønsker å bruke skytjenester, må de altså kjøpe dette. Neste steg er å finne ut i hvor stor grad de skal gjøre ting selv. Jo mer de gjør ting selv, jo mer kontroll og mer av fordelene til on premises-fordelene har de, samtidig som de kan dra nytte av infrastrukturen og utstyret til skyleverandørene.
Likevel er det mer vanlig å kjøpe forskjellige varianter av ferdigpakker. Det er ikke nødvendig å gjøre alt selv, og du kan kjøpe en ferdig tjeneste som dekker behovet til Bedriften uten noe særlig mer styr. Andre utvikler egen programvare og ønsker litt mer styr. Valg av nivå du vil ha i skyen henger også sammen med alle deler av bedriften. Juridiske elementer, som GDPR eller lagring av personsensitivt materiale spiller inn. Tekniske elementer som API (Application Programming Interface – utgangspunkt for å kunne koble til forskjellige tjenester og programmer til eksisterende tjenester eller programmer), maskinvare eller infrastruktur spiller inn. Alt krever kompetanse. Bedriften må ta et standpunkt om de er interessert i, eller har nytte av, å ha den kompetansen på egen lønningsliste – og om de i det hele tatt vet hva den kompetansen skal bestå i.
Så hva slags nivåer finnes? De tre vanligste inndelingene er Infrastructure as a Service (IaaS), Software as a Service (SaaS) og Platform as a Service (PaaS).
Det finnes også andre versjoner av -aaS, hvor CaaS (Container as a service) er mest anvendt og FaaS (Function as a Service) er kanskje mest obskurt, men de tre listet over er en generell oversikt over forskjellige nivåer av skytjenester.
Med Software as a Service (SaaS) får du den tjenesten du ber om. Dette er enkelt og greit at du betaler for en tjeneste. Det er opptil tjenesteleverandøren å tilpasse avtalen og tjenesten slik at det passer for deg. Noen tjenester er tilpasningsdyktige, det vil si du kan velge litt i innhold og forbehold, mens andre er mer statiske. Software as a Service er altså en tjeneste du kjøper, og denne tjenesten kjører på skyen (Internett. Du må være på Internett for å få full bruk av tjenesten). SaaS er lett å bruke og kan settes i gang på en-to-tre. Men dersom Bedriften skal utvikle egne programmer eller systemer, vil det være mer fornuftig å ha en av de andre, “dypere” tjenestene.
Platform as a Service (PaaS), eller Plattform som en Tjeneste, som jeg så Skatteetaten så nydelig hadde oversatt det til, er et annet nivå av skytjenester. Dette er altså en slags grunnflate, et operativsystem om du vil, som bruker for å utvikle egne programmer og systemer oppå. Forøvrig har store deler av det offentlige Norge, storkunder av PaaS-løsninger, gått sammen i et fagnettverk for å dele erfaringer om PaaS-utvikling. Nettsiden til fagnettverket er offentlig-paas.no.
Infrastructure as a Service (IaaS) er nettopp det: infrastruktur. Istedenfor å måtte kjøpe hardware og lokaler for å drive med hosting, kan Bedriften leie tjenester som passer sitt behov. Det er lett å både opp- og nedskalere ved å endre leieforholdene. Virtuelle maskiner (forkortet med VM av de som ikke tar seg bryet med å skrive ordene helt ut) er tilsynelatende egne servere som bedriften har full digital råderett over. Virtuelle Servere er strengt tatt ikke helt egne fysiske servere, men en digital tilgang som gjør at hostingleverandører kan tilby tjenesten uten at Bedriften trenger å være fysisk tilstede på sin maskinvare. Tilbydere av SaaS (som for eksempeler Dropbox og DocuMaster) er typiske kunder av IaaS.
Det er selvfølgelig også mulig å gå inn i egenprodusert sky også, men jeg stopper her. Har du behov for en egen sky trenger du uansett mer dybdekunnskap enn jeg kan gi deg.
Grunnen til at jeg skriver om sky i det hele tatt, er forrige innlegg om brann i et datasenteret til OVH i Strassburg. Det ble en del reaksjoner med “jeg trodde” eller “vi hadde”, og det virker som om mange snakker forbi hverandre når det snakkes om sky. Det er ikke så rart – “skyen” er som jeg har vist over – ikke bare “skyen”. Det er forskjellige grader av hvor dypt du er inne i skyen. Og disse gradene påvirker også brukervilkårene og sikkerheten på mange måter.
Et av argumentene for mange å lagre i skyen er sikkerhetskopiering. De fleste SaaS har “backup” som en del av tjenesten. Mange av tjeneste er nettopp sikkerhetskopiering. Det er ikke uvanlig å finne elementer av backup i avtaler med PaaS også, selv om det ikke alltid er tilfellet. IaaS har derimot ikke noe innebygd sikkerhetskopiering og det er opp til kunden selv å sørge for dette.
Er det så nøye for deg hva kunder med IaaS gjør, det er vel snakk om større bedrifter, ikke sant? Tja – mange av disse større bedriftene har også sånne som meg og deg som sine kunder. Som jeg nevnte over er SaaS-tilbydere typiske kunder til IaaS. Da er det opp til disse SaaS-tilbyderne å aktivt påse at det finnes en ordning for sikkerhetskopier i sine IaaS-oppsett. Et eventuelt problem vil jo til sist nå sluttkundene – oss (og Bedriften selv da – men jeg prøver liksom å skrive sånn at alle kan relatere seg til denne problemstillingen).
Det er altså forskjellig hva man kan forvente av skytjenester, og det er avhengig av hvilke avtaler den tjenesten du bruker har gjort videre. En ekstra utfordring er når kunder forventer at det skal være backup på tjenesten, uten at de selv har satt det opp. For skyen er jo lagring på eksterne servere, så da er de sikre, ikke sant?
Jeg snublet innom et litt eldre innlegg fra 2017 av Marius Sanbu i TietoEvry “What is your backup strategy for Cloud based IaaS deployments?” som går gjennom nettopp denne misforståelsen. På en langt mer kompetent måte beskriver han hvordan et tidsbilde (en “snapshot”) som kreves for drift av IaaS-kunder ikke er en full backup. (Merk at det er et eldre innlegg, og jeg har ikke gått inn og sjekket vilkårene til AWS, Azure og Google som han skriver om – men problemstillingen står seg like fullt). I et nyere innlegg fra mars 2021 snakker Marius Sandbu videre om nettopp Disaster Recovery Plan, mon tro om han ikke også fikk med seg brannen…)
De fleste har backup, altså. Ramsalt, som var tidlig åpne med at de ble påvirket av brannen og som jeg også nevnte i forrige innlegg – tilbyr full innsikt i det meste hva som skjedde i etterkant av brannen (dog jeg har hørt rykter om at de har utelatt gullkorn fra den interne dialogen mens det hele pågikk). Allerede få timer etter brannen var Ramsalt sine første sider oppe og gå – alle sidene deres er igjen oppe. Ramsalt hadde en Disaster Recovery Plan, og den virket. Alle har ikke en Disaster Recovery Plan (kriseopprettingsplan?), og selv om de har det kan den være basert på feil premisser eller rett og slett ikke fungere.
Denne brannen var på mange måter en god påminnelse. Noen tjenesteleverandører ble rimelig stresset, fordi deres servere var alle plassert på én lokasjon. At en server går ned, eller går i stykker – det skjer. At et helt datasenter brenner er mer usannsynlig. Det ligger på linjen der med at man vet at røyking fører til kreft, men man festrøyker i studietiden likevel. Det er en av de usannsynlige greiene som kan skje, men som man aldri forventer skal skje.
I et tidligere innlegg om smittestopp, forklarer jeg at hvor serverene står har en betydning – og at det var et problem med første smittestopp-app at dataen ble lagret utenfor Norge. Servere er skyen, og det betyr at det du lagrer på skyen er juridisk underlagt det landet hvor serveren står.
Om jeg har en skytjeneste med kinesisk innhold, vil det uansett være norsk lov som definerer hva som er lovlig innhold. På samme tid, om jeg fra Norge bruker en kinesisk skytjeneste (med kun lagringsplass i Kina), vil det jeg lagrer der være underlagt kinesisk lov. Det betyr at alle mine Dropbox-filer er underlagt amerikansk lovgiving. Om serverene mine greier er lagret på står i Utah, kan jeg rett og slett (om jeg har googlet riktig og ved å sette ting på spissen) når som helst bli huket inn og dømt for å forårsake en katastrofe (ved “annen skadelig eller destruktiv makt som ikke er et masseødeleggelsesvåpen”):
Er det sannsynlig? Overhodet ikke. Det er satt på spissen. Og dette med sikkerhet i lagring innen nasjonale landegrenser er ytterst viktig, men jeg skal ikke gå inn på det nå. Det får bli neste gang. Jeg skal heller si opp Dropbox og flytte til en annen tjeneste med lagring i Norge (jeg har sagt det før, men jeg mener det virkelig. Det er flaut at jeg ikke har gjort det enda. Gjør som jeg sier, ikke som jeg gjør).
Like før helgen kommenterte jeg på Facebook. Man skulle kanskje tro at en som er så full av meninger er en hyppig deltaker i kommentarfelt – men jeg skriver veldig sjeldent kommentarer. Jeg leser mye og ofte kommentarfelt (jeg har tross alt en høyere utdanning i psykologi, og synes det er maks fascinerende å følge med på hvordan folk kommuniserer på digitale flater) – men bortsett fra en håndfull likes daglig, holder jeg meg stort sett borte fra selve kommenteringen. Så vondt vil jeg nemlig ikke meg selv, at jeg begynner med det. Og når jeg først har en mening jeg velger å taste ned, så er det stort sett på veggen til venner. Ikke i kommentarfelt under saker. Der holder jeg meg til å enten støtte andres ytring eller påpeke faktafeil i noen andres mening (når noen har feil på Internett… jeg er ikke noe bedre menneske enn at jeg også blir lurt inn i den karusellen).
Det jeg kommenterte på, var altså en som nylig gikk ut offentlig og sa hun stilte til valg på SV sin stortingsliste, og hun postet følgende artikkel:
Fornøyd med meg selv, fortalte jeg om dette til kjæresten min, som for tiden studerer litt. Han parerer med “jamen dine meninger kan man ikke tro på, for du har personlige interesser i å ha nasjonale skytjenester – du er jo sammen med en som jobber med datasenter.” Og la oss bare ha det på det reine – han sier dette ikke fordi han mener det, men fordi han nylig har diskutert med andre studenter om dette med hvilke baktanker folk har for å argumentere for og imot noe.
Og ja: jeg er samboer med en som jobber med datasenter, men jeg kan ikke forstå annet enn at det har fint lite med min mening angående norsk sky, eller norsk kritisk infrastruktur og det å beholde norsk data på norske servere, å gjøre.
Som jeg skreiv litt om da jeg skreiv om Smittestopp-appen (som jeg forøvrig fremdeles ikke har lastet ned), så er serverenes fysiske plassering grunnlag for hvilke lover som gjelder disse serverene, ikke hvem som leier kapasitet på dem, eller hvem som eier dem. All datalagring skjer på forskjellige type servere, om det så er din egen datamaskin sitt minne eller det er på Facebook sine enorme lagre, så er det snakk om en fysisk datamaskin som lagrer informasjon. “Det finnes ingen sky, det er bare noen andres datamaskin” (“There is no cloud, its just someone else´s computer“).
For å gi et eksempel. For at påtalemyndighetene skal få tilgang til en servermaskin i Norge, må det en rettskjennelse til. Det finnes også kontrollorgan (EOS-utvalget og KK-utvalget) som påser at påtalemakten (politi og etterretning) følger de retningslinjer som er lagt (i min ikke så ydmyke mening er disse to organene noe av det viktigste i norsk rettssystem).
Jeg er ingen ekspert på internasjonal lov, men jeg er faktisk helt sikker på (et lite innslag av Donning-Kruger kanskje) at rettssikkerheten i Norge er bedre enn i mange land – og da kanskje særlig i (kanskje korrupte) lavkostland som gjør at skytjenester kan leveres billig. Ikke for å mase, men la meg trekke frem Edward Snowden som viste at joda, land samler inn massiv informasjonsmengder, og deler med hverandre. Det er ingen grunn å tro at denne innsamlingen ikke fremdeles er gjeldende, det er bare nå er det enda mer skjult, eller kanskje til og med ikke gjennomført av “ærlige nasjonalstater”.
Å drifte kritiske systemer, eller å ha lagring der hvor det er billigst, vil sannsynligvis bety at det ikke er i Norge.
Norge har egentlig mye som er tilrettelagt for å skape gode løsninger for massiv lagring, innalands. Vi har billig strøm, vi har økonomisk gunstige ordninger som er satt politisk, for datasenterproduksjon (Lovdata Avgift på elektrisk skatt og Skatteetatens prinsipputtalelse avgift på elektrisk kraft levert til datasenter). Disse ordningen er forøvrig også noe som førte til en eksplosiv interesse for å lage masse kryptovaluta-mininger, noe som på en måte er datasenter i det at det er serverhaller, men det har ikke helt samme nyttige funksjon (og for guds skyld: skal man ha en ordentlig debatt om dette temaet må man skille disse to). Andre gunstige forhold vi har i Norge er masse plass, og vi har, til tross for noen utfordringer, et godt utbygd bredbåndsnett.
Men det er også utfordringer i Norge. Norge er langt, og for å kunne ha en velfungerende infrastruktur, må det masse kabler til. En hel haug. La oss ta Bodø, for eksempel. Bodø kjører en kraftig digital strategi, og i den forbindelse er det naturlig å tenke i retning mot internasjonale datasenterforbindelser. Det ligger både arbeidsplasser og penger i gode datasenter. Men for at et sted skal være gunstig for (internasjonale) datasenter, må infrastrukturen rundt være god. Det må være kobling til andre nett, det holder ikke å bare plassere et datasenter i gokk (for i gokk er det masse plass) – dette datasenteret må være tilkoblet flere nett for at det skal være attraktivt.
Her er et kart. Dette kartet viser linjer (de lilla er prosjekterte). Som man kan se, er det stort sett Oslo, Kristiansand og Stavanger som har koblinger ut, og Bergen og Trondheim som har litt koblinger ut. Bodø er ikke noe særlig vits å nevne, sånn når det kommer til eksisterende tilkoblinger. . Oslo er klart det stedet med mest infrastruktur, og det er også derfor det er mest interessant for utenlandske aktører (som Google) å bygge datasenter på Østlandet. (Jeg har skrevet en del i boka mi om sårbarheten rundt det å ikke være tilkoblet flere enn en vei ut – altså via Sverige. Kjøp den. Det står mye nyttig info der.)
(Digresjon: Det er lurt å ha masse servere over alt, for store giganter som Google, Netflix og Facebook. Det handler om å gi oss forbrukere raske og gode tjenester – jo kortere vei informasjonen trenger å gå, jo raskere går den.)
Tilbake til Norge.
Å bygge en nasjonal infrastruktur krever ikke nødvendigvis mye koblinger ut av landet. Men det krever god tilkobling slik at informasjonen kommer til og fra uten videre problemer. Så selv uten krav til tilkobling til utlandet er det noe begrenset hvor man kan ha datasenter for å drifte en “norsk sky”. Og det er her utfordringen til Norge ligger: Norge er stort. Norge har spredt befolkning.
Det er billigere å bare ordne seg noen skytjenester i utlandet, og så skylde på dårlig kommunikasjon innad i landet, eller manglende infrastrutur.
Denne infrastrukturen kommer ikke av seg selv, og med de lange strekkene her i Norge, kommer denne infrastrukturen til å koste.
Men koster det mer å ha ha sårbarheter knyttet til kritiske tjenester? Jeg minner i farta om Broadnet og nødnettet som ble driftet fra India.
Men. Det finnes også løsninger som ikke baserer seg på sky i det hele tatt, men som baserer seg på å ha egen drift. En sky krever ofte at noen leverer denne skyen. Det er en business-modell. “Vi har plass, lei hos oss”.
Det er ingen som har sagt at man ikke kan bestemme over sin egen data. Og på en eller annen måte ser det ut til at denne modellen, som er den opprinnelige lagringsmåten, går i glemmeboken. Skyen er så forlokkende og enkel – masse plass, og ingen bry med å passe på alt dette tekniske man ikke helt forstår…
Å ha alt hos seg selv, er plasskrevende og kostbart – ikke minst fordi du må ha folk som kan betjene dette.
Dette er likevel den beste løsninger (gitt at du har folk med riktig kompetanse) for store og tunge organisasjoner, uansett hva skyløsningstjenestene prøver å argumentere for. Men det får bli et tema for en annen gang.
For denne gang: Norske data må være i Norge. Skyløsninger er greit, men det må bli bedre og flere norske løsninger på dette, og det må kreves at ikke bare lagring – men også drifting av tjenestene gjøres fra Norge. Og.. ja. Lytt til eksperter.
Nå har jo jeg en stund mast om Internett, og babler i vei om Internet Governance og hvem som styrer Internett (om du ikke aner hva dette er, kan du lese et tidligere blogginnlegg jeg hadde på engelsk). Ikke minst hadde jeg en femtedel av boka mi som handler om dette. Og jeg forkynner at “hvem som helst kan egentlig delta i Internet Governance” og så videre. Som om alt er så inkluderende og flott.
Men er det egentlig det? I de aller fleste fora jeg har vært i, så har deltakerne stort sett vært 30-40-årene, og økonomisk sett trygt plassert i middelklassen. De er ofte høyt utdanna, eller eventuelt innehar en ferdighet eller kompetanse som gir dem gode muligheter, og de er på en eller annen måter generelt nerder.
Hva med alle andre? Nå er det ikke helt ukjent at damer er med i Internet Governance, selv om stereotypen stort sett er at det er menn som driver med teknologi og sånn, og det er åpne både homofile og transpersoner i miljøet (“miljøet” Internet Governance er kanskje det mest udefinerbare miljøet jeg noen sinne har funnet på). Men aldersgrupper, interesseområder, utfordringer og erfaringer – det er mange likehetstrekk i miljøet.
Samtidig sitter stort sett alle og bruker, og er avhengig av Internett. Jeg har flere ganger observert frustrasjon rundt hvordan Internett er, eller hva som skjer med Internett – om det så er bruk av digitale hjelpemidler i skolen, sosiale medier, borgervernsgrupper eller polarisering… Det er mye som kan sies er feil med hva man kan finne på Internett, og det er mange som engasjerer seg i dette. Mange, som kanskje til slutt blir avspist med “men Internett er globalt, det er ikke noe vi kan gjøre med det”, og der avsluttes det.
Å ta steget inn i en av organisasjonene rundt Internet Governance kommer ikke naturlig for folk. Du skal være spesielt interessert om du kaster deg ut i dette. Jeg er spesielt interessert, og jeg er bare sporadisk med.
Men. Fordi jeg er sporadisk med, og har både noen punkter på CV´n og noen bekjente som er dypt involvert, tikket det inn en melding på LinkedIn her i begynnelsen av uka.
“Hei”, begynte meldingen, på engelsk. “Vi trenger en partner i Norge for å gjennomføre et arrangementet 10 oktober. Les mer om det her: www.wetheinternet.org.” (nå skal det sies at meldingen var litt mer elegant utført og lengre, men essensen var dette).
Målet til denne kampanjen er å få vanlige folk – folk som har tilgang til Internett, eller folk som ikke har tilgang til Internett – til å bidra i diskusjonen rundt Internett sin fremtid. Helt spesifikt fire temaer:
Disse fire temaene (pluss ett til) skal diskuteres av ordinære folk uten noen spesifikk tilknytning til Internett, Internet Governance eller overordnet politikk, over hele verden, på samme dato. Hvert land (som har en partner, en sånn som jeg ble spurt om å bli) vil ha et arrangement med 100 sivile deltakere for å diskutere disse temaene i en workshop. Disse workshopene skal refereres, og samles, og rapporteres videre inn sentralt til Missions Publiques som står bak dette prosjektet. Og dermed skal denne informasjonen brukes til å kunne påvirke statsledere, teknologigiganter, og den generelle konsensus i Internet Governance. Dette er en unik mulighet til å få folk som kanskje ikke så ofte blir hørt i saker om Internett og Internet Governance, til å få en stemme.
Om det hjelper? Det er mange stemmer i Internet Governance, men dette prosjektet, We, the Internet, har allerede fått med seg store navn som Google, Facebook, World Economic Forum, Wikimedia Foundation, UNESCO og masse flere. Disse folka i Missions Publiques (en fransk ideell organisasjon som jobber for å få stemmene til hvermansen hørt, på ekte fransk vis) har tidligere hatt stor suksess med en klimakampanje, og Internett er altså det de bestemte seg for å bryne seg på nå.
Jo mer jeg leste om prosjektet We, the Internet og om Mission Publiques, jo mer kjente jeg på hjertet banke. Først og fremst for “i alle dager, dette er jo akkurat det jeg… jeg er PERFEKT til dette!”. Og jeg kjente i tillegg hjertet banke litt i angst og. Klarer jeg dette – innen 10 oktober? Å få tak i 100 rimelig ukjente men engasjerte deltakere, få tak i plass, få tak i sponsorer… Og samtidig passe på at jeg har tid til å jobbe og tjene penger, OG være en slags mor for disse ungene? Nå har jeg jo tross alt vært husmor en stund… Får jeg det til?
Jeg ba om å få tenke på det en natt. Jeg sendte noen e-poster til folk jeg respekterer meningene til. Spurte om råd. Fikk ikke svar (hvem sjekker jobb e-posten sin på kveldstid og velger å svare en skremt idealist om de faktisk sjekker jobb e-posten sin?). Sendte ut litt hint i noen chattegrupper. Fikk litt svar. Snakket med noen. Begynte å sende e-poster om ledig lokale 10. oktober. Begynte mentalt å formulere søknad om pengestøtte til NUUG Foundation. Begynte å tenke på kontaktpersoner til potensielle sponsorer…
…og innså at jeg allerede hadde begynt å jobbe med å skrape sammen dette arrangementet. Jeg pleide å mene man skal gjøre minst én ting man frykter hver dag, og nå er det veldig lenge siden jeg har gjort noe som har presset på angstfølelsene. Jeg har blitt ganske feig. Jeg trenger dette prosjektet. Og dette prosjektet trenger meg! Jeg tror ikke de helt innser hvor heldige de er som fant meg. Sånn… Ikke for å legge for store forventninger til hva jeg klarer å fullføre på 1,5 mnd (når andre partnere har fått bruke inntil 2 år på dette)… Men jeg klarer ikke engang å formulere hvor engasjert jeg er i dette. Få folket frem til Internet Governance. (Pluss, må det sies, jeg er maks smigret over å bli spurt!)
Jeg sendte dem en e-post og sa “Ok, count me in (depending on the corona situation)”.
Nå trenger jeg 100 deltakere, 10-15 assistenter, lokaler og penger. Hjertet banker på, og den berusende blandingen av angst og engasjement er… skummeldeilig.
Send GJERNE en melding! Har du lyst til å delta på dette (maks 100 pers, rimelig eksklusivt, datoen lørdag 10 oktober er klar, stedet er litt mer uklart, Oslo i alle fall). Eller har du lyst til å være assistent? Jobben din blir å skrive referat fra gruppesamtaler. (Jeg lover å prøve å finne en fet liten gave fra noen sponsorer). Eller tør jeg håpe på en potensiell sponsor eller to der ute? (Isåfall blir jeg superglad og litt overrasket, for det skal vel litt mer til enn et generelt blogginnlegg til noen få, dedikerte følgere, for å få tak i sponsorer). Eller om du har noen andre gode tanker. Jeg er glad i meldinger.
Skal man installere FHI-appen Smittestopp?
Full åpenhet: Jeg har ikke installert appen, men jeg ser ikke bort fra at jeg kommer til å gjøre det senere. Jeg skal ta dere gjennom noen av mine vurderinger.
Koronaviruset smitter lett, og noen blir svært alvorlige syke. Vi har ingen kjent vaksine eller kur.
13. mars ble smitten erklært ute av kontroll (Dagbladet.no 13.03.2020). Samme dag kontaktet den statlig eide forskningsorganisasjonen Simula Folkehelseinstituttet (FHI) for å tilby sine tjenester (ifølge Simula selv).
27. mars trådte “Forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19” i kraft.
16. april ble Smittestopp lansert. Appen er gratis og frivillig å installere. Appen har møtt en del kritikk, særlig i forbindelse med personvern.
Smittestopp har to funksjoner. I første omgang skal appen samle informasjon om folk sine bevegelsesmønstre:
Appen samler anonyme data om hvordan folk beveger seg, og hvor mange de møter. Det gjør oss i bedre stand til å forutse utviklingen i utbruddet, og hvordan tiltakene i samfunnet virker. Disse dataene vil FHI bruke til å analysere i hvor stor grad folk og grupper holder avstand til hverandre og omfang av nærkontakter. Slik blir det mulig å følge bedre med på om tiltakene mot koronaviruset virker, og om de smittede får flere nærkontakter etter hvert som samfunnet letter på de svært strenge restriksjonene.
https://www.fhi.no/nyheter/2020/ny-app-fra-folkehelseinstituttet/ (lastet ned 17.04.2020)
Denne innsamlingen er foreløpig den eneste funksjonen appen tilbyr. Innsamlingen er også kilde til mye av kritikken mot appen, og den er heller ikke nødvendig for å få beskjed om hvorvidt du har vært i nærheten av noen som har vært smittet (i Singapore så har de for eksempel en app som ikke samler inn bevegelsesmønster for analyse). En utfordring med denne innsamlingen er at appen er frivillig. Informasjonen om befolkningens bevegelsesmønster kan kun oppnås dersom mange installerer og bruker appen, og ikke bare en viss type befolkningsgruppe (for eksempel kun de som samvittighetsfulle følger myndighetenes råd).
Appen vil altså kun lagre informasjon om bevegelsesmønster. Etter dette har vært appens funksjon i en periode, vil man teste ut smittesporing i Drammen og to andre ukjente kommuner. Testen vil bestå i hvorvidt manuell sporing (å spørre pasienten) er mindre eller mer effektiv enn den digitale sporingen. Man vet ikke om appen vil fungere til å spore smitte. Intensjonen er god – men man vet ikke om det vil fungere.
Men: Dersom for få bruker appen, vil testingen feile. Dermed vil man ikke få vite hvorvidt appen fungerer etter sin intensjon. Med dette i bakhodet har befolkningen gjentatte ganger blitt oppfordret til å installere appen (som her i VG 15.04.2020).
Den andre funksjonen til Smittestopp, som FHI presenterer som den første (fordi det er denne funksjonen folk flest bryr seg om) er følgende:
Brukere av Smittestopp, vil få en sms om du har vært i nærheten av andre Smittestopp-brukere, som har fått påvist koronaviruset.
https://www.fhi.no/nyheter/2020/ny-app-fra-folkehelseinstituttet/ (lastet ned 17.04.2020)
Måten appen skal vite at du har vært i nærheten av andre, er gjennom en kombinasjon av GPS og Bluetooth (blåtann). GPS fungerer ved at rundt 30 satellitter sender små signaler. På telefonen din er det en mottaker, som ved å regne ut tiden det tar mellom å få signaler fra flere av disse satellittene, kan anslå hvor du befinner deg (sykt kult – les mer på physics.org). GPS er kun nøyaktig innen 4-5 meter. GPS er en del av denne appen hovedsakelig for å kunne samle inn informasjon, og lagre den på en sentral server (i følge Simula selv).
Blåtann fungerer ved hjelp av kortdistanse radiobølger (2,4 Ghz), som løpende sender ut søk for å koble seg til andre blåtann-mottakere, og lese av disse (navnet blåtann/bluetooth kommer fra den danske vikingekongen Harald Blåtann). Avstandsmålingen mellom folk er det altså blåtann som står for. Blåtann, som opererer på en båndbredde på 2,4 gigaherz, opererer på samme båndbredde som mange andre tjenester. NKOM (Nasjonal Kommunikasjonsmyndighet) kaller denne båndbredden for “fribruksbåndet”. Eksempler på tjenster som bruker 2,4 Ghz-båndet er trådløst Internett (WiFi), trådløse høyttalere og mikrofoner, bilalarmer, babymonitorer, mikrobølgeovner og leker.
Smittestopp bruker blåtann ved å sende ut signaler hvert minutt for å se hvilke andre Smittestopper som finnes i nærheten, og lagre kontaktpunkt som har vært nærmere enn 2 meter i 15 minutter eller mer. På samme måte som all annen signaloverføring, kan fribruksbåndet bli fullt. Bruker mange 2,4 gigahertz-båndet samtidig, vil noen av dingsene ikke virke. Dette kan i verste fall resultere i den uheldige konsekvens at man ikke vil får registrert at man har vært i nærheten av en smittekilde.
Men: Det kan godt være at de som har laget appen løst blåtann-problematikken. Andre land bruker også blåtann for å registrere nærhet. Noe sporing kan være bedre enn ingen sporing – og dette er det eneste alternativet vi har.
Nå som vi skal åpne opp samfunnet mer og mer, er det sannsynlig at flere blir smittet igjen. Om smitten har en inkubasjonstid på ca en uke, så er det potensielt ganske mange ganger man er innen 2 meter av hverandre – i rushtrafikken, på butikken, på gåtur, på andre siden av en vegg… Mange situasjoner kan være utløsende for en pling, selv om du har gått med ansiktsmaske, ikke tatt deg i ansiktet, vasket hendene grundig hver gang du har mulighet til det, og holdt god avstand til folk. Det er ikke sikkert en slik stadig påminnelse om trusselen er helsebringende.
Korona smitter ved dråpesmitte: Man unngår å smitte med å ha god hoste- og håndhygiene, og å holde avstand. Ikke med en app i lomma.
Vaksinebloggen.no har mer informasjon om smitte og sykdom, men mantraet er: vask hendene, ikke host på andre, og hold avstand. Man blir ikke smittet ved tankeoverføring. Så det er ikke sikkert at det å ha vært i et område som en som senere har fått påvist smitte, hjelper deg med noe som helst annet enn å få økte angstnivåer. Smittestopp har som intensjon å informere folk om potensiell smitte, og på den måten stanse videre smitte. Ut fra hva appen faktisk gjør, virker det mer sannsynlig at mange får unødvendige beskjeder. Med mindre du slurver med grunnleggende tiltak (vask henda, hold avstand, ikke host og ikke bli hosta på).
Tilbake til teknologi. Simula hevder at de, som en offentlig eid forskningsinstitusjon, ser det som sitt ansvar å bistå myndighetene med sin kunnskap i denne situasjonen. Utviklingsarbeidet har vært ledet av professor Olav Lysne, som også ledet Lysne II-utvalget om “digitalt grenseforsvar”. I sin rapport fra 2016, som jeg var kritisk til i sin tid, anbefalte utvalget en masseinnsamling av metainformasjon på digital kommunikasjon som gikk ut og inn av landegrensene i Norge, for deretter å filtrere og sortere).
Simula har etter alt å dømme ingen erfaring med utvikling av apper (til tross for mye kompetanse), så Simula har fått hjelp av Shortcut og Scienta. Shortcut utvikler apper. Selskapet har 81 ansatte og god økonomi. Scienta er erfarne IT-folk som spesialiserer seg på programvareutvikling. Det er et selskap med 31 ansatte og (veldig) god økonomi.
Simula har kommersielle baktanker med appen (khrono 15.04.2020). Simula har vært åpne om at andre tilbydere, både statlige og kommersielle, er interesserte i å kjøpe appen (og koden). I sin redegjørelse over salgskriterier finner vi følgende setninger:
Dersom det kommer flere henvendelser om bruk av appen i utlandet, vil vi følge strategien som er skissert over; vi vil dele kode med andre offentlige aktører i liberale demokratier, men vi vil kreve lisens når kommersielle aktører inkluderer vår kode i sine løsninger. Vi vil hele tiden sette begrensninger på videre deling av koden for å unngå at koden brukes av undertrykkende regimer.
https://www.simula.no/news/smittestopp-betaling-bruk-av-appen-i-andre-land-0 (lastet ned 17.04.2020)
Ett av landene de allerede har delt koden med, er Storbritannia. Et land hvis myndigheter er kjent for en romslig tolkning av personvernhensyn (vises blant annet i denne artikkelen fra the Wired.co.uk fra 13.09.2018).
En blanding av kommersielle interesser, penger og uklar bruk av teknologien gjør at mange blir usikre og har lav tillit til Simula i denne saken. Jeg kjenner også at “digitalt grenseforsvar” kommer meg i minnet, og blir ikke helt komfortabel med å laste ned appen.
Men: Simula er hovedsakelig interessert i forskning og utvikling. At forskere har en tendens til å ikke være populistiske i sin kommunikasjon er ikke sjokkerende. De er nok genuine i sitt ønske om å “gi tilbake”. Skulle man konkurranseutsatt appen, hadde det tatt mye lengre tid.
Første utgivelse av en applikasjon har alltid feil, også Smittestopp. Selv moret jeg meg med Ida Aalens Facebookpost hvor hun går gjennom sin opplevelse av å installere appen. Det var store vanskeligheter med å få registrert seg som bruker, det var mange kryptiske feilmeldinger (digi.no 17.04.2020). En av de mer provoserende manglende er manglende universell utforming, som Blindeforbundet skriver om 17.04.2020.
Disse funksjonalitetsutfordringene er ikke grunnen til ønsket om åpenhet rundt kodene. Åpen kildekode betyr at kodene ligger offentlig tilgjengelig. Ønsket om åpen kildekode ligger i at mange har interesse av at appen skal fungere godt og være sikker. Mange kompetente mennesker ønsker å bruke sin tid på å se på koden. Flere gjør det allerede også (brukeren petteroea på GitHub er en av dem som forsøker å dekompilere koden, og han lister også opp flere). At flere ser på kodene betyr at det er flere som bidrar til å lete etter svakheter før noen som har fiendtlige intensjoner, finner dem.
På den andre siden finner du blant annet Simula selv (01.04.2020), som mener at åpenhet gjør det lettere for de med fiendtlige hensikter å finne svakheter. Simula ber isteden om tillit. Viseadministrerende direktør i Simula, Kyrre Lekve, blir sitert i Dagens Næringsliv 14.04.2020 til å si “– Ja, man må stole på kongen. Kongen har vedtatt dette i statsråd. Det ligger et grunnleggende tillitsforhold her, ja,”.
Men: Ettersom appen ble utviklet på veldig kort tid, er det sannsynlig at det er svakheter i koden. Simula har fått sikkerhetseksperter til å se på koden på samme måte som de som jobber med åpen kildekode ville ha gjort (NRK, 08.04.2020). Ettersom hastverk har vært essensielt her, kan det være en fornuftig løsning å holde kortene tettere til brystet. Det er jo detaljert personverninformasjon man samler inn.
Sentral lagring av data betyr at dataen blir lagret på et datasenter fremfor at du beholder din egen informasjon hos deg selv. Dataene til denne appen blir ikke lagret i Norge . “Internett er globalt, det er vel ett fett hvor det lagres?” Nei. Serverene er underlagt lovene i landet de fysisk er plassert. Det vil si at irsk lov gjelder. Som regel går det greit. Irland er et “liberalt land”.
Jeg er derimot en sånn en som tenker at ting går til helvete når som helst, og jeg har ingen kontroll over lover i Irland. Jeg har litt kontroll på lover i Norge, for her kan jeg i det minste bruke stemmeseddelen, og jeg følger med på samfunnsdebatten. Jeg vet når noe skjer her. Ikke i Irland.
Men: Det kan se ut som om dataen skal flyttes til Norge (digi.no 16.04.2020). Det bør de virkelig.
Jeg lærer mye av å lese kommentarfelt. Smittestopp engasjerer, mange er usikre. Uttalelser som går igjen er av typen “jeg vil gjøre mitt for å stoppe smitte” – som om denne appen i seg selv var et middel for å stoppe smitte. Folk som ikke ønsker å installere appen får en god porsjon sosialt press på seg til å “bidra i dugnaden”. Presset viser seg blant annet i en latterliggjøring a la dette:
Ingen – hvert fall ikke jeg – betviler intensjonen til Smittestopp. Men jeg tviler på funksjonaliteten – at den virker slik den er ønsket. Jeg tviler på sikkerheten til en app som har blitt utviklet under et så kraftig tidspress. Motstanden handler ikke om personvern alene, det handler om en kost/nytte vurdering hvor personvernet er betalingen. Om jeg var sikker på at appen var et våpen mot smitte, hadde jeg akseptert at usikre tider krever ekstraordinære tiltak.
Jeg synes appen er for inngripende. Lagring på en sentral server (i Irland) er unødvendig. At jeg har akseptert at Google har min posisjon mesteparten av tiden går også på at jeg har mer tillit til Google enn jeg har til Smittestopp. Tygg på den. Appen skriver i sine vilkår blant annet at den følger EU sine personverndirektiv. Det er bra. EU sine personverndirektiv er gode. Problemet er ikke intensjonen. Problemet er at lederen for EU sitt personvernråd kommuniserer at appen ikke følger personverndirektivene ved at den blant annet ikke forholder seg til dataminimerinsprinsippet (å samle inn minst mulig informasjon).
Og hvem overvåker overvåkingen? EOS-utvalget og Kontrollutvalget for Komunikasjonskontroll overvåker myndigheter (politi, etterretning) sin overvåking. Hva med en frivillig app? FHI er definert som databehandler i forskriften, men hvem kontrollerer FHI? Hvem overvåker kontrollen av informasjonen som blir samlet inn? Hvem har kompetanse og ressurser til å påse at informasjonen som skal bli slettet, faktisk blir slettet? At informasjonen ikke brukes ut over de fullmakter som gis i loven? At eventuelle endringer i brukervilkår eller forskrifter blir informert tydelig? FHI og myndighetene ber oss om tillit. Det er så mange aspekter jeg ikke klarer å ha tillit til.
Men: Det er en pandemi. Om det redder liv at jeg laster den ned, hva gjør det at gud og hvermann ser at jeg stort sett er hjemme eller i en sånn 50 meters radius fra hjemme hver dag?
Bør du installere appen?
Jeg vet ikke. Jeg tror på intensjonen til denne appen, men jeg tror ikke den kommer til å fungere som den sier. Det er kanskje ikke mange gode grunner til å installere appen, men det er en: Vi lever i en pandemi.
Jeg håper du tar et informert valg.
Vask henda, hold avstand!
Dersom du synes det jeg skriver om er spennende, så kan du kjøpe boka mi “Internett Internett Internett” på forlagets nettside her: www.mudskipper.no
Ta kontakt med meg for å sponse et blogginnlegg – enten som generell sponsing (“skriv noe gøy og viktig”) eller direkte sponsing (“skriv om oss”). Jeg er usikker på hvordan jeg forholder meg til direkte sponsing, og det kan være jeg ikke synes det er greit. Men jeg er åpen for forslag.
Dersom du er privatperson og har lyst til å bidra, så har jeg bedrifts-vipps med nummer 578080. All inntekt blir regnskapsført.
Når mange er på Internett samtidig, blir det større belastning for nettet, og folk ender med å ikke komme seg på nett. Da koronakrisen oppsto i midten av mars 2020, ble det mye snakkis om hvorvidt nettet ville tåle den ekstra belastningen ettersom alle nå skulle være på hjemmekontor og bruke videokonferanser (gjerne samtidig med at husets tenåringer binger strømmetjenester). Flere store nyhetsmediene hadde en eller annen vinkel på dette, for eksempel Aftenposten (17.03.2020) og Nettavisen (16.03.2020), og praten begynte å gå blant folk. Da Telenor fikk utfordringer på vestlandet 18. mars var flere raskt ute i kommentarfelt og proklamerte at nå begynte problemene: dette var et tegn på at Internett kom til å knele. Det viste seg forøvrig at akkurat dette problemet var knyttet til en DNS-tjeneste, (uten at det har ikke vært like tydelig annonsert gjennom media som en potensiell kollaps av Internett).
Det har også vært problemer med å logge på hjemmeundervisningstjenesten Showbie (NRK, 13.03.2020) og NAV (strengt tatt BankID, melder VG 15.03.2020). Igjen hendelser som har fått de mest innbitte dommedagsprofetene til å melde at dette er tydelige tegn på Internett sin ende.
Likevel har det vært lite kollaps å melde. Digitaliseringsministeren (for tiden Linda Hofset Helleland) møtte med representanter for de seks største teleselskapene for å høre om de hadde situasjonen under kontroll (NRK, 19.03.2020/25.03.2020).
Det hadde de.
La meg fortelle litt om Internett i Norge. Norge har en veldig godt utbygd infrastruktur. Bakkenettet i Norge har blitt ønsket velkomment og stimulert gjennom økonomiske ordninger, fritt marked, lite reguleringer og ikke minst en befolkning som har vært tidlig på Internett, og mye på Internett. Vi bruker Internett mye i Norge, og vi har et bakkenett som har mye kapasitet til å ta unna trafikk. I andre land har man laget oppfordringer om å ikke bruke for mye unødvendig trafikk, slik som dette bildet:
I Norge har vi ikke dette behovet.
Altså, jeg skal ikke klage på at YouTube og Netflix generelt har bremset ned kvaliteten på videostrømming i Europa (CNN, 20.03.2020) – videostrømming i høy kvalitet tar mye plass, men selve Internett er ikke i fare, og Internett i Norge har kapasitet til dette og mye mer. Selv om Norge blir med på denne dugnaden, er det ikke sikkert vi hadde trengt det (“Du kan ha videokonferanser, skype med venner og streame film og serier med god samvittighet. – Nettet i Norge er rigget for å tåle det vi opplever nå, sier Telenors dekningsdirektør Bjørn Amundsen.” kan Romerrikets Blad berolige 20.03.2020).
Nå kommer det et avsnitt med masse tall som beskriver “Norge har veldig bra Internett-dekning”. Sovner du av tall kan du fint hoppe over dette avsnittet og gå rett til neste overskrift.
Norsk bredbåndsutbygging er blant den beste i verden. “Bredbånd” er en samlebetegnelse på teknologisk infrastruktur med høy kapasitet. “Kapasitet” er en benevnelse som sier noe om hvor mye samtidig trafikk linjene kan ta.
Norge har en høykapasitets bredbåndsdekning (minst 30 Mbit/s eller mer) på 98% i tettbebygde strøk og 59% av grisgrendte strøk (2019). Og selv om 30 Mbit/s skulle være nok, så har hele 86 % av norske husstander idag tilbud om (mulighet for) 100 Mbit/s nedstrøms kapasitet, og 63 % har tilbud om sinnsyke 1000 Mbit/s nedstrøms kapasitet (alle tallene er forøvrig hentet fra NKOM sin rapport “Bredbåndsdekningen i Norge 2019“). “Nedstrøms” kapasitet betyr kapasiteten du får til din enhet. Å laste opp – eller å dele – kan i mange tilfeller være lavere kvalitet. Dette er noe Internettleverandøren selv administrerer i sine abonnement, basert på hva som er vanlig for folk å bruke. Folk laster ned (konsumerer) mye mer enn de laster opp (deler).
De som ikke har denne typen dekning har annen dekning. (“Selv når vi ser bort fra satellittdekning har 99,98 % av husstander et 10 Mbit/s-tilbud.” – side 4 i den nevnte rapporten). NKOM anslår at færre enn 1000 husstander mangler tilbud om minst 10 Mbit/s, og i verste fall: færre enn 100 husstander mangler tilbud på 4 Mbit/s. Veldig få har med andre ord ingen/dårlig dekning. De bor på steder man forventer har dårlig dekning.
Men disse tallene – hva er det og hvor mye er dette? For å sette mengden data i perspektiv så anbefaler Netflix at du har minst 25 Mbit/s for at du skal kunne se film i aller høyeste oppløsning (ultra HD). Det er selvfølgelig forskjellig hva folk trenger av kapasitet på Internett, men for mange er 30 Mbit/s helt klart nok kapasitet… med mindre du skal både game mye, se på videostrømming og holde camshow samtidig (eller har mange tenåringer i hus som gjør disse tingene).
En populær myte er at Internett, som ble utviklet under den kalde krigen, ble bygd for å overleve et atomangrep. Denne myten er ikke sann, men det er en god illustrasjon på at “Internett tåler alt”. Noe av grunnen til at Internett tåler alt, er at Internett er bygd opp av mange forskjellige nettverk. Det vil si at mange nettverk er knyttet sammen, og informasjonen som skal til B fra A går gjennom nettverkene C, D og E. Dersom nettverket C forsvinner (“poof“) finnes det mekanismer i Internett (protokoller som alle må følge og forholde seg til, i dette tilfelle for eksempel BGP – Border Gateway Protocol) som gjør at informasjonen som skal fra A til B bare dropper å gå gjennom C (som ikke fungerer), men fortsetter å gå gjennom D og E. Så “Internett” vil alltid fungere.
Det hjelper ikke deg om du sitter i nettverket C, som i mitt eksempel ikke fungerer lengre. Jeg skal gå gjennom tre utfordringer om hva som kunne ha gått galt med økt belastning på Internett i disse koronatider.
Når kapasiteten i nettverket er sprengt kan det sammenlignes med rushtrafikk. Mye samtidig trafikk = kø. Denne trafikken består i mange små pakker med data, datagrammer, som er på vei fra sender til mottaker. Når rushen kommer, skjer det fort at disse datagrammene ikke gidder å jobbe seg frem til målet sitt (altså de mister kontakt eller noe annet teknisk, de har strengt tatt ingen egen vilje, og forholder seg ikke til motivasjon). Når det blir kø og datagrammene ikke gidder mer, vil folk oppleve å ikke få kontakt med Internett. Det kan skje, men det kan enkelt hindres i å skje ced at Internettleverandørens kobler opp mer kapasitet.
Det er nettverksoperatøren din som påser at det nettverket du er koblet til, er stabilt og har kapasitet nok. I Norge har vi fritt marked på Internettleverandører, og det er over 130 som i en eller annen form tilbyr Internett.
Under frokosten i dag fant jeg på følgende metafor: Om du trenger et glass melk til, så henter du mer i kjøleskapet. Om du ikke har noe melk, så henter du fra kua di utenfor. Om du ikke har en egen ku, så kjøper du melk av noen som har ei melkeku. Dermed var kapasitetsutfordringer forklart: De fleste Internettleverandører har mer kapasitet tilgjengelig, og om de ikke har det så har de mulighet til å øke egen kapasitet med sin egen infrastruktur (legge ned flere kabler). Og om de ikke har det heller, så kan de kjøpe eller leie kapasitet hos en av de mange andre Internettleverandører som finnes – for eksempel den største aktøren Telenor.
Alternativet til å oppgradere kapasiteten er jo at kundene skal bli forbanna fordi du ikke klarer å levere nett, mens andre leverandører klarer. Dette er selvfølgelig ikke like enkelt de steder hvor det ikke er like mye konkurranse i markedet – noe flere som bor i grisgrendte strøk kan skrive under på.
Da har vi kontroll på hva kapasitet er, og at det er en veldig høy kapasitet generelt i Norge. Hvorfor antok noen at kapasiteten ble dårligere når alle har hjemmekontor? Internett er som nevnt bygd opp av mange forskjellige nett. Det nettet du har hjemme, er sannsynligvis ikke like… robust som det nettet du bruker på arbeidsplassen din. Bedrifter har ofte høyere krav til kapasitet og oppetid, og det er en forventning om at mange bruker bedriftens nett samtidig. Hjemmenettverket er derimot ikke ment til å håndtere at alle er hjemme – på samme måte som noen beskrev dopapir-problemet med at det nå er massevis av dopapir rundt omkring på arbeidsplasser som aldri blir brukt, mens hjemme bruker man desto mer dopapir og dermed blir det tomt i butikkene. Internettet på arbeidsplassen, som er ment at mange skal bruke samtidig, blir lite brukt, mens hjemmenettet ikke får ro på seg. Om en og annen er hjemme, så har ikke det så mye å si, men når alle er hjemme, og hvis alle bruker den samme Internettleverandørern “HjemmeInternett AS”, så vil HjemmeInternett AS sin kapasitet få en langt større påkjenning enn det HjemmeInternett AS forventet. Men, som kommunikasjonssjefen for Altibox påpekte i Tek.no 20. mars: “– Vi merker en stor økning i databruken midt på dagen, men fortsatt er det slik at det er kveldene hvor vi bruker nettet mest.”
En utfordring som vi derimot allerede har sett flere ganger under koronakrisen er at serveren som skal tilby en tjeneste blir oversvømt. Om hver forespørsel som kommer for å gå inn på en side er en dråpe, så vil alle nettsted klare å ta unna et drypp her og der. Og om det kommer mange, så må man kanskje stresse litt med å øse så båten ikke synker. Men om det kommer voldsomt mange, så vil båten synke. Denne typen oversvømmelse kan skje dersom en nettside plutselig blir langt mer populær enn vanlig, eller det skjer ved at noen med vilje simulerer besøk, og på den måten angriper et nettsted for å få det til å kræsje. Da kalles det et tjenestenektangrep (DDOS-angrep, eller “distributed denial of service-attack”). Du kan til enhver tid følge med på hvor det skjer tjenestenektangrep på nettsiden med det treffende navnet digitalattackmap. Slik ser det ut i skrivende stund:
Det er ikke alltid slike oversvømmelser er ondsinnede. Det skjer også når plutselig mange flere enn vanlig skal innom et nettsted eller en tjeneste. Som for eksempel når alle Norges skoleungdom skal på Showbie, når det egentlig var estimert for at (jeg vet ikke) at en håndfull som i perioder blir hjemmeskolert skulle få tilgang. Det samme skjer med NAV. NAV har en høy brukermasse og et godt system for å motta mange forespørsler, men en plutselig tredobling av den allerede høye brukermassen er ikke nødvendigvis det NAV sine systemer var klar for.
Det er ikke umulig å håndtere en slik utfordring heller. Måten man gjør det på er at tjenesten får flere servere til å håndtere alle forespørslene. Det er altså tjenesten selv som må tilrettelegge for at brukerene kan nå tjenesten – altså it´s learning må selv passe på at de klarer å ta unna alle forespørslene de får. Det er ikke noe du som bruker selv kan gjøre der – annet enn å logge på i utidige tidspunkt når andre ikke logger på (men det er kanskje ikke veldig fristende å begynne å stå opp klokka 03:30 på natta for å begynne en arbeidsøkt). I en sånn problemstilling som dette er det ikke Internett som ligger i faresonen, men én og én tjeneste. Det er ikke Internett det er noe feil ved, men det er den aktuelle tjenesten som ikke er rustet for den store pågangen. Det blir en propp, kan du si.
Det er ikke noe videre problem å legge til en ekstra server for å håndtere ekstra trafikk, om man har tilgang på datasenteret hvor man har serveren sin stående. Men om det nå blir slik at leveranser fra utlandet blir stanset, det blir handelsblokader – eller til og med om krona faller uten at andre valuta også følger med ned – da kan det bli veldig dyrt å handle ny hardware (nye servere). Nå finnes det mange ubrukte servere rundt om kring, men om krisen blir langvarig, vårt digitale liv blir mer omfattende og vår digitale bruk fortsetter å ha en eksplosiv øking, så vil disse serverene snart være i bruk. Vi får håpe at nye servere ikke blir utilgjengelige etter det. Samtidig får vi også håpe at de fleste har lagret sine tjenester på datasentre i Norge, og ikke i “skyen” i utlandet et sted hvor man ikke får tilgang til dem, i hvert fall dersom handelsblokader og utreiseforbud blir gjeldende.
Er det ikke noe viktig da, at vi har økt bruk av Internett i disse dager?
Sånn i forhold til hvorvidt det er fare for at Internett kollapser, så kan man nok slappe av. Det skal mye mer til før det blir virkelige problemer med Interentt. Internett er skapt til å tåle alt, og overleve alt. Samtidig ser vi generelt økt trafikk for tiden. NIX – Norwegian Internet Exchange Point er et knutepunkt hvor mye av Internett-trafikken i Norge går gjennom. Et Internet Exchange Point er et punkt hvor flere av nettverkene møtes og kan kobles opp direkte til hverandre, slik at de kundene du har får tilgang til hele Internett, og ikke bare det nettverket som din internettleverandør er ansvarlig for. Det vil si at all trafikk går ikke gjennom NIX, men det er et slags representativt utvalg for hva som skjer i Internett-trafikken i Norge. På NIX sine nettsider kan man følge utviklingen av trafikk gjennom systemene, og som du kan se av grafen, er det en økning i bruk av Internett den siste måneden:
Grafen viser ett års trafikk, og det er høyere trafikk i siste måned enn tidligere. Flere av kundene til NIX har også økt egen kapasitet betraktlig (Digi.no 19.03.2020). Men: Som i de fleste andre ledd knyttet til Internett her i Norge, så skal det mye mer til før kapasiteten er sprengt.
Til konklusjon har jeg mest lyst til å si; chill, len deg tilbake, nyt Internett.
Jeg er frilanser og selvstendig næringsdrivende som i disse koronatider sliter med å gjennomføre betalte oppdrag. Jeg har søkt om penger for å skrive blogginnlegg som dette (hovedprosjektet mitt er tross alt å popularisere Internett), men jeg har foreløpig ikke fått noe napp. Dersom du synes det jeg skriver om er spennende, så kan du kjøpe boka mi “Internett Internett Internett” på forlagets nettside her: www.mudskipper.no
Dersom du jobber i en bedrift (eller er særs bemidlet), ta kontakt med meg for å sponse et blogginnlegg – enten som generell sponsing (“skriv noe gøy og viktig”) eller direkte sponsing (“skriv om oss”). Jeg er usikker på hvordan jeg forholder meg til direkte sponsing, og det kan være jeg ikke synes det er greit. Men jeg er åpen for forslag!
Dersom du er privatperson og har lyst til å bidra til at jeg får betalt regningene mine, så har jeg en bedrifts-vipps med nummer 578080. All inntekt blir regnskapsført.
Disclaimer: This is a talk I was supposed to do at an event which was cancelled due to Covid-19. I normally write in Norwegian, but since this talk was supposed to be in English, this post is also in English. I have modified the text to be more reader-friendly, but the initial intention of this talk was never to be presented as text.
OK, so this is the ominous title of my talk, much designed to make people either curious or pissed off. No one is in charge over the Internet, right? Right? Let me take a step back before I continue.
When I wrote my book “Internett Internett Internett” – an introductory book about how Internet works, I spoke with many people. My background is from the social sciences (Psychology and Social Anthropology). I do not have a degree in computer technology, so I needed to get people to explain things to me. But I “discovered” Internet Governance on my own, by being a member of Internet Society (an organization, not just a fancy word for people who “speak leet”). Rather quickly I came to realize that while some of the people I talked with have a lot of knowledge of computer science and Internet technology, Internet Governance is not really a focus of a lot of these technologists. So when I was asked to do a talk at Hackeriet, and told to choose whatever I wanted to talk about, I saw an opportunity to lure more people into being aware of Internet Governance, and hopefully have more people engaging.
With all bold types and click-bates aside, this talk is an introduction to Internet Governance.
“Internet Governance” is an overly woolen expression which entails so much and then some. WSIS 2005 was a two-year long meeting by the United Nations*, and they came up with some definitions worth noting. What is Internet Governance? Well, all of the above. It is everyone concerned about everything concerning Internet-related issues.
* (Yes, this was quite crude, let me explain: The World Summit on Information Technology (WSIS) first met in 2003, and organized a working group to address some definitions etc, and then the whole meeting met up again in 2005. Also, it was the ITU (The International Telecommunication Union) who held the meeting. “ITU is the United Nations specialized agency for information and communication technologies – ICTs.”)
This image from DiploFoundation is popular when trying to explain Internet Governance and the complexity. The building is not finished, and each floor has a main theme or two. Various issues, like data mining, net neutrality, media freedom, online gambling and so forth – are placed throughout the building. The billboard outside shows a vast number of agents concerned with Internet Governance. I like this image. Internet Governance is complex, and having a playful drawing to illustrate things are always positive.
Internet Governance is, as you might have deduced from the notions over, a lot of people discussing a lot of issues. These discussions are founded on the basis of rough consensus. This means that when ideas are good enough, or people are more or less in accord, decisions go into action. Internet Governance is not a dictatorship, nor is it a democracy. Internet Governance is discussion until people attending are sort of agreeing. Sooner or later things will change, and technology will evolve, so there is no need to be completely in agreement. By the time complete agreement is found, something new has already replaced the old.
Internet Governance is based on a multistakeholder model. This means that not one or two fractions of the society, let’s say government and business, are given exclusive rights to figure out what’s best for the future of the Internet). Everyone who has a stake in Internet, who works with the Internet, on the Internet, or against the Internet – everyone has a stake in the Internet, and everyone should thus have a say in what’s going on. No one is excluded, basically.
Internet Governance is based on a bottom-up approach. Technology is at the bottom of everything concerning Internet. You can’t sit and decide “now everyone have to use one IP-address”, when there is not enough IPv4-addresses to use. Technology is the base line, and people closer to that baseline must be the ones who have the final word. Having someone saying “from now on, everyone who uses Internet must first register on the web” will just make people find solutions on how to not be registered. Ideas may come from some sort of authority, but actual change must come from the community itself. From end users, hands on technologists, entrepreneurs, and so forth.
Having a body decide issues based on rough consensus. multistakeholder and bottom up will not be able to make decisive, final and specific decisions. Internet Governance is a continuous discussion concerning various issues. Going back to the WSIS: That working group in between those two summits was called WGIG, and in their report, they described what Internet Governance should focus on, in four main “clusters”:
Infrastructure includes most of the technology in building, creating and sustaining the Internet. This means everything from internationalizing domain names to administration of root zones, and all between technical standards and peering-agreements. Security, safety and privacy concerns issues regarding use and misuse, and how to protect a reason for trust in the Internt, so to speak. Getting rid of those spammers. Intellectual property and trade is a no-brainer for most, but for those very high strung “Internet is all about sharing”-people out there, companies and people have a right to intellectual property protection, and we can disagree on to what extent one should protect these intellectual properties, but as long as Internet have existed, challenges concerning copyright and intellectual properties have existed. The fourth and last point, developmental issues, concerns capacity building and access for everyone, also in developing countries.
When we now have seen a bit at what are the scope og Internet Governance, let’s look at who and how.
Internet Governance is made up by a lot of organizations. In the list over, I have put in lots of technology-organizations which obviously is a part of Internet Governance here, but also stuff like “EU”, because legislative changes in EU makes an impact on the Internet as a whole – just consider the cookie-law and GDPR. I have also put in major organizations like UNICEF who focus on focus on children’s rights and the Internet and WTO who focus on how digital technologies are transforming global commerce. These types of organizations have a lot of weight, and their statements make an impact. I have also, as an example of what contributes to the agenda of Internet Governance, put down a well known anonymous discussion forum – not because the comments there are clever and game-changing, but because actions on anonymous discussions forums like this may push governments to form laws contra-productive to an open Internet based on cooperation, trust and freedom. Some of the organizations are highlighted, and I will look at them in more detail at the end of this talk. Stay tuned.
Instead of ranting on about different organizations, who is it, really, who participates in Internet Governance?
Strictly speaking, people from either governments, business, research, tech community or civil society is Internet Governance. This means that Internet Governance is not a fixed group or a complete setup. Internet Governance is multistakeholder, and by “multi”, they really mean multi. It helps, obviously, if you are a part of a larger group, because having the opportunity to contribute does not mean people have to listen to you.
So what power do Internet Governance hold? I named this talk “who is in charge over the Internet”, after all. Well, the expression “too many cooks may spoil the broth” is universal. The Norwegian equivalent expression is “the more cooks, the more mess”. And this is an apt expression for Internet Governance. There are so many perspectives and viewpoints, that trying to make “rough consensus” out of it all, is akin to utopian. Internet Governance is, all in all, a lot of discussions in a lot of different foras.
So whats the point then?
Let us take a short detour to look at what Internet is first.
This models depict three different sorts of networks. None of these are what Internet looks like. They are arch-typical networks, and Internet, living in reality, is somewhat between decentralized and distributed. Internet is definitely not centralized, so making a demand or a law just won’t work. Top-down won’t work. To be able to do change, all different networks who are connected need to cooperate. Which means a lot of… different people (understatement of the decade) need to cooperate.
In every talk I have, I tend to define Internet as all the layers of Internet, and I don’t just do this to show off all the fancy words I know, but I do this to stress to people that what most of us define Internet as, is only a part of Internet. I’m not going into the OSI-model of 7 layers of Internet, but paraphrase highlights:
A lot of people I have talked to, have defined Internet as one of the roles over; the decentralized/distributed nature, the cooperation between networks, the standards or the content. None of these things are wrong, is just depends on what you are going to focus on. When speaking about Internet Governance, you must include all these things in the definition of “Internet”. Too often, I see that people fail to do so. They try to control content without considering the decentralized, distributed network. They try to force legislations without considering the cooperation between autonomous networks, they try to create network solutions without considering the standards and so forth. When trying to argue against network blocking, which I have done previously, my adversaries think I only speak about content – because that is what they speak about. When being involved with Internet Governance, you need to have the whole perspective, as well as being dedicated to your field.
Back to Internet Governance.
There is a lot of power in being the ones with the knowledge in how things work. Various administrative tasks are grouped under the term “Internet Governance”, because there is politics in administration. Naming, for example – it wasn’t until rather recently (2009) that internationalized top-level domains were allowed, having previously only been open to latin letters. This seems, perhaps, like a small and insignificant detail, but that is because we use latin letters. Most of us here in Norway are bilingual (or masters even more languages). For Internet users who do not read or write latin letters in their native language, Internet and the world wide web would be off-putting. Remember the focus on developing countries and their access to Internet as a main focus of Internet Governance? This is a practical example.
Further, since Internet Governance truly is a massive amount of discussions, everyone who shares their opinion, possibly even not considering themselves as a part of Internet Governance, will be a part of that massive idea-hurling digital society which in turn shapes how we, everyone, relates to the Internet. Lawmakers may produce laws concerning parts of Internet, and how to solve these demands is also a part of changing the Internet Governance.
Internet Governance is an umbrella expression to include all tech-heads, business-suits, government hagglers, academic nerds and general individuals who wants to participate in this multistakeholder haven of bottom-up rough consensus.
Since there are a lot of organizations out there, I thought I should give a really short introduction to some of them. This is not a list of the most important, or the “coolest”, or the ones with the most impact etc. This is just some organizations.
ICANN is possibly the largest entity in Internet Governance. The mission of ICANN is to coordinate the stable operation of the Internet’s unique identifier systems. Translated to normal language; ICANN administrate the naming and numbers of Internet. Naming is basically various top-level domain names, like .org, .net, .info and so on. These top-level domain names exists because ICANN approved them, on the basis of lots of discussions (and a highly expensive application round). ICANN (through IANA) also administers Internet numbers, like IP-adresses, by allocating these resources further “down the line”. In addition, ICANN coordinates the operation and evolution of the DNS’s root name server system. I’m not going into what root servers are now, but they are extremely important to make Internet work.
Every year, ICANN holds this massive meeting, which is free to attend, in various locations world wide. ICANN consists mainly of people “in the business”. ICANN has a lot of advisory groups and connected interests. They are governed by a board of elected individuals, and different groups and forums consisting of more or less selected people.
To participate in ICANN, and if you are not naturally a part of any other of the massive amount of advisory groups, ICANN also have a “all the rest”-grouping, called At-Large. Individuals from Civil Society comes under this, as the advisory groups mostly are people who work with domain names, or governments, or the technical community. The At-Large group could obviously become rather large, so it is divided into regional groups. The European at-large Organization is called EURALO.
IETF is the standards-organization of the Internet. Their mission is to “make Internet work better by producing high quality, relevant technical documents that influence the way people design, use, and manage the Internet.” These documents, Request for Comments – RFCs, describes everything from how technology works to what IETFs role is. The RFC are generally called “standards”, and are the backbone of how Internet is connected. One of the most important philosophies of IETF is an open Internet, where all the information about how things are connected should be accessible to all. Most of the activity of IETF is organized in working groups online. There are no formal member lists or membership fee, everyone who is interested may participate.
W3C is another organization who focus on standards, but W3C is an organization which focuses on the World Wide Web. Their mission is to “lead the World Wide Web to its full potential by developing protocols and guidelines that ensure the long-term growth of the Web.” There is a membership fee. The organization was formed by the legendary sir Tim Berners-Lee who invented how the Web could work, and decided to just let the knowledge be public – thus being maybe the one person who made sure the Internet got it’s popularity. W3C is highly involved with research activities.
RIPE NCC is a coordination centre for allocation of IP-addresses. RIPE NCC is a regional Internet registry (RIR), one of the recipients of the IP-addresses allocated from IANA. They are also the administrative nexus of the independent discussion forum RIPE (RIPE79, RIPE80 and so forth). These meetings happens usually twice a year. Tickets for the RIPE-meetings have various prices (student-ticket, day- or week-ticket), but practically all of the presentations are available online at the website after the meeting. Between the different meetings, people are welcome to participate in online working groups. Worth noting is also that the RIPE-meetings offer childcare in cooperation with Holiday Sitters for attendees.
Internet Society (ISOC) is an organization for people who use Internet. End users. The mission is to “support and promote the development of Internet as a global technical infrastructure, a resource to enrich people’s lives, and [to be] a force for good in society.” The organization is open to all, and organized in geographical chapters. Some chapters have a membership fee, some do not. The Norwegian Chapter of Internet Society does not have a membership fee. The organization was originally formed as a legal umbrella-organization to protect the work of IETF, leaving IETF to do their technical stuff, and having ISOC as a shield around them. The ISOC dabbles in various issues such as Internet blocking and filtering, infrastructure, availability etc. Something for everyone. (As a side-note, this organization was what introduced me to Internet Governance).
I included the World Economic Forum in this short, not complete list of organization in Internet Governance, to show the variations of organization. The WEF is a foundation who arrange an annual meeting, usually in Davos. Their main concern is the public-private cooperation. This is an organization for super-rich companies and government leaders. Not something everyone may participate in. But they have som really interesting papers concerning Internet coming out every now and then, and one of their project, in which they have a continuous focus on, is Internet for all. The Internet for all-project boasts about having launched four operational country programs in Rwanda, South Africa, Argentina and Jordan, and attracted significant financial and human resources to support these country-level efforts. This is quite in line of the core definition of Internet Governance, and thus shows clearly that “Internet Governance” is not excluded to Internet-only organizations at all.
We are now at the end of this “written talk”. Please leave a comment if something is unclear, there are spelling-errors, or if you wonder about something else Internet-related you would like me to write about.
© 2021 FRK. ENES
Theme by Anders Noren — Up ↑
