Category: Teknologi (Page 1 of 2)

Stormfulle skyer

“Amerikanerene vedtok nettopp en lov som sa at myndighetene skal ha tilgang til all data fra alle amerikanske selskap, mens Schrems II-dommen gjør at det er ulovlig for selskap å gi info om europeere over landegrensene. Disse lovene er helt i kollisjon, men ingen vet hva de skal gjøre med det enda. Alle som bruker en skytjeneste eller en plattformtjeneste blir jo berørt av dette. Men ingen vet hva de skal gjøre!”

Omtrent dette ble sagt i lunsjen på onsdag. Og siden jeg er inne på dette med sky for tiden, så ble jeg litt ekstra nysgjerrig på hva som lå bak dette utsagnet.

Begrepsavklaring

Først litt kjapt om GDPR, Schrems II, og CLOUD act.

GDPR (General Data Protection Regulation) er den europeiske lovreguleringen rundt det å behandle og lagre informasjon om borgere av EU (og i forlengelsen EØS). Fra 20 juli 2018 er loven en del av norsk lovgiving. GDPR er omfattende og komplisert.

Schrems II er betegnelsen på en dom avsagt i EU-domstolen 16. juli 2020 som i korte ord etablerte at europeiske borgeres personvern ikke blir ivaretatt i USA på grunn av “de vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking.” (som Datatilsynet formulerer det 16.07.2020).

CLOUD Act (“The Clarifying Lawful Overseas Use of Data Act“) er en amerikansk lovgiving som gjør justeringer til  Stored Communications Act (SCA) fra 1986. Denne loven gir amerikanske politimyndigheter anledning til å kreve lagret informasjon fra amerikanske teknologiselskap. Oppdateringen i Cloud Act er at dette gjelder uavhengig om serverene informasjonen er lagret på befinner seg i USA eller andre land.

Skytjenester og underleverandører

Forrige innlegg interoduserte jeg begrepet “Plattform som en Tjeneste”, eller PaaS som det oftere heter. En utfordring med slike plattformer er at veldig mange bruker Microsoft, Amazon eller Google. Amerikanske plattformer. Det betyr altså at selv om programvaren og alle applikasjoner er egne og selvutviklede for bedriften ikke har noe å si (angående dette). Under laget – i infrastrukturen, ligger alt lagret hos amerikanske selskap. Selskap som må utlevere data ved krav fra amerikanske myndigheter – uavhengig hvor serverene er.

Når det gjelder personvern er det fort de offentlige tjenestene mine tanker går til.

Offentlig-paas.no (som jeg altså er helt overivrig over å ha snublet over) hinter til at de fleste offentlige (selvutviklede) tjenestene bruker kubernetes. Og jeg skal være ærlig og si at jeg er på litt tynn is her (-kan du masse om kubernetes, gjerne ta kontakt og lær meg). Men dette er hva jeg forstår av kubernetes (etter å ha lest på kubernetes.io): Det er et open source verktøy som gjør deg uavhengig av plattform. Det vil si at du får en slags mellomting mellom IaaS og PaaS. Du får valgmulighetene og kontrollen til infrastrukturen som du ville hatt med IaaS, samtidig som du får en plattform du kan bygge programvare på (som ved PaaS). En slik “mellomløsning” blir som regel kalt CaaS (Container as a Service). Det virker (betryggende nok) som om mange av de offentlige tjenestene allerede fikler rundt med dette.

Fordi: dersom du har en tjeneste som er tungt integrert med Microsoft Azure (for eksempel), så er det ikke bare å “bytte”. Og bruker du amerikanske tjenester er det knapt mulig for dem å sikre at GDPR faktisk blir fulgt, uten at de bryter loven i sitt hjemland (ved å ikke samarbeide med politet). Altinn ligger på Microsoft Azure (altinndigital.no, 19.02.2021). I samme slengen nevnes det at “Digitaliseringsdirektoratet har ikke fattet beslutninger som gjør at vi kommer til å «flytte hjem» løsninger som er i sky på nåværende tidspunkt.”

“Å flytte hjem” – selv om det er noe jeg brenner for (hadde jeg jobbet i DigDir hadde jeg argumentert kraftig for at all norsk data skal befinne seg i Norge) – er vel strengt tatt ikke nødvendig, det er mange land i EU som er omfattet av de samme rammene som…. vel, EU. Det er særlig amerikanske tjenester som er i fokus i denne problemstillingen, og det er generelt flest amerikanske tjenester.

Hva blir konsekvensene for meg?

Ryktebørsen går, og det er de som tror denne dommen er slutten på skytjenester. “On prem”-tjenester, eller altså da å lagre alt “hos seg selv” er plutselig mer i vinden igjen – som om vi går tilbake noen år.

Men hva blir egentlig konsekvensene for sånne som meg og deg? Sannsynligvis flere arbeidsplasser til konsulenter – både juridiske og innen skyteknologi. Det blir mange endrede systemer og flere tjenester som utvikles. Det blir kanskje ikke de store tydelige konsekvensene for meg og deg – men det er en sånn langsiktig utvikling som blir interessant her. Jeg tror det hele kan dreie seg mot en langt mindre amerikansk dominans i teknologimarkedet på sikt. Mer nasjonalisme i lagringsstrukturen – flere tjenester lagres på norsk jord av mer lokale leverandører. Det vil også bli vanskeligere for tjenester som Dropbox å få tillit. Særlig når de så tydelig understreker at de følger GDPR til punkt og prikke – selv om vi vet at de har serverene sine i USA.

Hva blir konsekvensene?

EDPB (The European Data Protection Board) ga ut en rapport 10. november 2020 om hvordan selskap kan møte utfordringer knytte til Schrems II-dommen. Her er en link til rapporten i sin helhet (den er overraskende tydelig til offentlig rapport å være). Den gir flere råd og om å blant annet ettergå tjenester og å innføre ytterligere beskyttelsestiltak for å møte kravene som nå stilles.

I min søking rundt dette tema kommer jeg fort til tilbud om konsulenthjelp for å “innføre ytterlige beskyttelsestiltak” som det er krav om bedrifter for å gjøre – om de skal følge GDPR. Noe en bedrift vil, for det finnes trusler om ganske høye bøter om du ikke tilpasser deg GDPR. (Europeiske tilsynsmyndigheter har skrevet ut bøter for svimlende 272,5 millioner Euro siden 2018 kan Finansavisen fortelle 19.01.2021).

“Beskyttelsestiltak” fra kunden sin side er bra, men er det nok?

Noen skyleverandører går kraftig ut for å berolige sine kunder. Microsoft får jevnlig gjennomgå av Max Shrems på Twitter (den Schrems som har gitt navn til dommen) for sine forsøk på å “renvaske” seg:

Og samtidig kan det godt være Microsoft er først i klassen her – jeg har ikke sett Schrems kritisere Amazon (AMZ) like tydelig – det henger kanskje sammen med at de ikke har tatt seg bryet med å sette seg inn i problemstillingen i det hele tatt?

Dropbox har gått for løsningen å la være å svare på spørsmålet offentlig. Vi kan vel bare spekulere i hva det skal bety.

Advokatmat

Som med GDPR er det egentlig ikke teknologi som blir utfordringen – det er det juridiske. Men det juridiske må ha kunnskap om den teknologiske infrastrukturen for å i det hele tatt forstå utfrodringene. Heldigvis har mange også det. Jeg får opp en del treff, og her er to:

Advokatfirmaet PwC uttrykker “Flere av skytjenesteleverandørene viser til at de lagrer personopplysninger i datasentre innad i EU/EØS, og at de derfor ikke er underlagt kravet som følger med overføring av personopplysninger til tredjeland. Her må det bemerkes at ren teknisk tilgang i seg selv anses som en overføring av personopplysninger.” (pwc.no, 18.11.20, min kursiv).

Advokatfirmaet Scjødt (schjodt.no, 06.10.2020) antyder rett ut at skylagring som vi kjenner det kommer til å endres, fordi slik det er nå er det ikke sannsynlig å unngå tilgang til personlig data ved bruk av skytjenester:

For cloud services, high availability requirements are normally required, often “24/7/365”. In order for this to be practically feasible, technical personnel may have to access the database containing personal data – encrypted or not – through remote access from different time zones. In other words, a “transfer” happens if a consultant/operator in the United States can access personal data on a European server, for example when supporting an ERP system. Many cloud service providers have also explicitly reserved the right to grant such remote access in its standard agreements with the customer.

Det er med andre ord egentlig ikke helt innafor å bruke tjenestene slik vi gjør i dag. Men det er jo veldig komplisert – hvordan gjør vi det nå? La meg ta meg selv om et eksempel. Jeg er jo enig i at mitt personvern er viktig. Jeg har fremdeles ikke sluttet å bruke Dropbox. Det går på den gamle “hvis du ikke har noe å skjule, hvorfor beskytte det”. Jeg har ikke noe å skjule – men det er likevel ikke det som er poenget med dette. Poenget med dette er at dette er på SYSTEMNIVÅ.

“Alle” gjør det – altså bruker tjenester som i europeisk domstol rett og slett har blitt dømt til å være uskikket til å ta vare på personvernet til europeiske borgere. Og når dette skjer på system er det et problem.

Men hvordan skal man endre et system – et system basert på teknologi og juss som er så komplisert at de aller fleste ikke aner hvordan noen av delene fungerer?

Så langt virker konklusjonen fra lunsjen ganske riktig: Ingen vet helt hva de skal gjøre.

Dette er Max Schrems (2016). Bilde: Manfred Werner – Tsui cc-by-sa3.0

Øyene mot skyene

Jeg liker å fortelle historien om da jeg trodde at når noe var i “skyen” betød det at kode fløyt rundt i lufta, og så på en magisk måte – så magisk som bare kode kan – manifesterte koden seg til dokumenter når jeg bare trykket på ikonet på datamaskinen.

Jeg innbiller meg at om jeg hadde vært ung i dag hadde jeg forstått at “skyen” er like håndfast som ledninger og datamaskiner. Ikke minst har spurten med hjemmekontor gjort de fleste av oss veldig bevisste på hva som er i skyen (og dermed tilgjengelig), og hva som ikke er det. Til tross for at det er mer kjennskap til skyen nå enn før er det likevel mange sprikende ideer om hva skyen er, og hvordan det hele fungerer. Jeg hører oppdraget kalle, så la meg herved komme med en liten introduksjon på hva skyen er.

Kode flyter rundt i lufta, og…

Neida, bare tuller. Nå begynner vi.

For å begynne med det første først: Skyen er Cloud.

Skyen er et begrep på å lagre dataen din et annet sted enn på egen datamaskin. Skyen er det samme som lagringsplass som ikke er hjemme. For bedrifter kan “egen datamaskin” forsåvidt bety å lagre i egne lokaler (“on premises” som det så fint heter).

Det er flere måter å få tilgang til en sky. Quentin Hardy, beskriver forskjellige skytilganger slik (New York Times, 23.01.2017):

When people think of cloud computing, they often think of internet-connected public clouds run by the likes of Amazon, Microsoft and Google. (If you use Gmail, Dropbox or Microsoft’s Office 365, you are using a cloud service.) There are also consumer clouds that, for example, hold your pictures and social media posts (think of Facebook or Twitter), or store your music and email (think of Apple or Google).

Det er mange grunner til å lagre i skyen. Mine mest åpenbare grunner er at jeg får tilgang på bilder og dokumenter uansett hvor mange ganger jeg må bytte datamaskin*. Jeg har også etter hvert behov for mer lagringsplass enn det finnes på egen datamaskin. Et tredje behov er selvfølgelig å ha en sikker plass å lagre gamle bilder og viktige dokumenter. Men skyløsning handler ikke bare om å lagre private dokumenter på en ekstern server. Sky er mer, og i bedriftsmarkedet har sky kommet for bli.

*mmmmmm…. minnet om å styre med eksterne harddisker og knuse gamle laptop-er for å skru ut harddisk strømmer på…

Fra on prem til PaaS

Mange bedrifter utvikles i retningen til å bruke skyløsninger og går bort fra å være “on prem”, on premises – eller altså….”i egne lokaler”. “On prem” betyr at Bedriften har noen datamaskiner eller servere med lagringsplass hos seg selv.

Det kan være fordeler med å ha lagringen hos seg selv – men det krever kunnskap, tid og engasjement. I utviklingen mot å effektivisere, økonomisere og strømlinjeforme blir de spesialiserte tjenestene fort utflagget. Så om Bedriften da ønsker å bruke skytjenester, må de altså kjøpe dette. Neste steg er å finne ut i hvor stor grad de skal gjøre ting selv. Jo mer de gjør ting selv, jo mer kontroll og mer av fordelene til on premises-fordelene har de, samtidig som de kan dra nytte av infrastrukturen og utstyret til skyleverandørene.

Likevel er det mer vanlig å kjøpe forskjellige varianter av ferdigpakker. Det er ikke nødvendig å gjøre alt selv, og du kan kjøpe en ferdig tjeneste som dekker behovet til Bedriften uten noe særlig mer styr. Andre utvikler egen programvare og ønsker litt mer styr. Valg av nivå du vil ha i skyen henger også sammen med alle deler av bedriften. Juridiske elementer, som GDPR eller lagring av personsensitivt materiale spiller inn. Tekniske elementer som API (Application Programming Interface – utgangspunkt for å kunne koble til forskjellige tjenester og programmer til eksisterende tjenester eller programmer), maskinvare eller infrastruktur spiller inn. Alt krever kompetanse. Bedriften må ta et standpunkt om de er interessert i, eller har nytte av, å ha den kompetansen på egen lønningsliste – og om de i det hele tatt vet hva den kompetansen skal bestå i.

Så hva slags nivåer finnes? De tre vanligste inndelingene er Infrastructure as a Service (IaaS), Software as a Service (SaaS) og Platform as a Service (PaaS).

Forskjellen mellom Saas, Paas og IaaS

  • SaaS: Programvare som er tilgjengelig via tredjeparter over Internett
    • Eksempler: Google Apps, Dropbox, MailChimp, Jottacloud, Netflix, Wix, DocuMaster
  • PaaS: Plattform for å ha egne maskiner og applikasjoner tilgjengelig over Internett 
    • Eksempler: Amazon, Microsoft, OpenShift, Apache Stratos
  • IaaS: Skybaserte ressurser; lagring, nettverk og virtuelle maskiner.
    • Eksempler: Amazon, Microsoft, Rackspace, Blix Solutions, TietoEvry

Det finnes også andre versjoner av -aaS, hvor CaaS (Container as a service) er mest anvendt og FaaS (Function as a Service) er kanskje mest obskurt, men de tre listet over er en generell oversikt over forskjellige nivåer av skytjenester.

Bilde lånt fra https://azure.microsoft.com/en-us/overview/what-is-paas/

Med Software as a Service (SaaS) får du den tjenesten du ber om. Dette er enkelt og greit at du betaler for en tjeneste. Det er opptil tjenesteleverandøren å tilpasse avtalen og tjenesten slik at det passer for deg. Noen tjenester er tilpasningsdyktige, det vil si du kan velge litt i innhold og forbehold, mens andre er mer statiske. Software as a Service er altså en tjeneste du kjøper, og denne tjenesten kjører på skyen (Internett. Du må være på Internett for å få full bruk av tjenesten). SaaS er lett å bruke og kan settes i gang på en-to-tre. Men dersom Bedriften skal utvikle egne programmer eller systemer, vil det være mer fornuftig å ha en av de andre, “dypere” tjenestene.

Platform as a Service (PaaS), eller Plattform som en Tjeneste, som jeg så Skatteetaten så nydelig hadde oversatt det til, er et annet nivå av skytjenester. Dette er altså en slags grunnflate, et operativsystem om du vil, som bruker for å utvikle egne programmer og systemer oppå. Forøvrig har store deler av det offentlige Norge, storkunder av PaaS-løsninger, gått sammen i et fagnettverk for å dele erfaringer om PaaS-utvikling. Nettsiden til fagnettverket er offentlig-paas.no.

Infrastructure as a Service (IaaS) er nettopp det: infrastruktur. Istedenfor å måtte kjøpe hardware og lokaler for å drive med hosting, kan Bedriften leie tjenester som passer sitt behov. Det er lett å både opp- og nedskalere ved å endre leieforholdene. Virtuelle maskiner (forkortet med VM av de som ikke tar seg bryet med å skrive ordene helt ut) er tilsynelatende egne servere som bedriften har full digital råderett over. Virtuelle Servere er strengt tatt ikke helt egne fysiske servere, men en digital tilgang som gjør at hostingleverandører kan tilby tjenesten uten at Bedriften trenger å være fysisk tilstede på sin maskinvare. Tilbydere av SaaS (som for eksempeler Dropbox og DocuMaster) er typiske kunder av IaaS.

Oversikt over de største IaaS fra 2016 hentet fra rapport laget av METISfiles

Det er selvfølgelig også mulig å gå inn i egenprodusert sky også, men jeg stopper her. Har du behov for en egen sky trenger du uansett mer dybdekunnskap enn jeg kan gi deg.

Hva med sikkerhet og sånn?

Grunnen til at jeg skriver om sky i det hele tatt, er forrige innlegg om brann i et datasenteret til OVH i Strassburg. Det ble en del reaksjoner med “jeg trodde” eller “vi hadde”, og det virker som om mange snakker forbi hverandre når det snakkes om sky. Det er ikke så rart – “skyen” er som jeg har vist over – ikke bare “skyen”. Det er forskjellige grader av hvor dypt du er inne i skyen. Og disse gradene påvirker også brukervilkårene og sikkerheten på mange måter.

Et av argumentene for mange å lagre i skyen er sikkerhetskopiering. De fleste SaaS har “backup” som en del av tjenesten. Mange av tjeneste er nettopp sikkerhetskopiering. Det er ikke uvanlig å finne elementer av backup i avtaler med PaaS også, selv om det ikke alltid er tilfellet. IaaS har derimot ikke noe innebygd sikkerhetskopiering og det er opp til kunden selv å sørge for dette.

Er det så nøye for deg hva kunder med IaaS gjør, det er vel snakk om større bedrifter, ikke sant? Tja – mange av disse større bedriftene har også sånne som meg og deg som sine kunder. Som jeg nevnte over er SaaS-tilbydere typiske kunder til IaaS. Da er det opp til disse SaaS-tilbyderne å aktivt påse at det finnes en ordning for sikkerhetskopier i sine IaaS-oppsett. Et eventuelt problem vil jo til sist nå sluttkundene – oss (og Bedriften selv da – men jeg prøver liksom å skrive sånn at alle kan relatere seg til denne problemstillingen).

Det er altså forskjellig hva man kan forvente av skytjenester, og det er avhengig av hvilke avtaler den tjenesten du bruker har gjort videre. En ekstra utfordring er når kunder forventer at det skal være backup på tjenesten, uten at de selv har satt det opp. For skyen er jo lagring på eksterne servere, så da er de sikre, ikke sant?

Jeg snublet innom et litt eldre innlegg fra 2017 av Marius Sanbu i TietoEvry “What is your backup strategy for Cloud based IaaS deployments?” som går gjennom nettopp denne misforståelsen. På en langt mer kompetent måte beskriver han hvordan et tidsbilde (en “snapshot”) som kreves for drift av IaaS-kunder ikke er en full backup. (Merk at det er et eldre innlegg, og jeg har ikke gått inn og sjekket vilkårene til AWS, Azure og Google som han skriver om – men problemstillingen står seg like fullt). I et nyere innlegg fra mars 2021 snakker Marius Sandbu videre om nettopp Disaster Recovery Plan, mon tro om han ikke også fikk med seg brannen…)

De fleste har backup, altså. Ramsalt, som var tidlig åpne med at de ble påvirket av brannen og som jeg også nevnte i forrige innlegg – tilbyr full innsikt i det meste hva som skjedde i etterkant av brannen (dog jeg har hørt rykter om at de har utelatt gullkorn fra den interne dialogen mens det hele pågikk). Allerede få timer etter brannen var Ramsalt sine første sider oppe og gå – alle sidene deres er igjen oppe. Ramsalt hadde en Disaster Recovery Plan, og den virket. Alle har ikke en Disaster Recovery Plan (kriseopprettingsplan?), og selv om de har det kan den være basert på feil premisser eller rett og slett ikke fungere.

Denne brannen var på mange måter en god påminnelse. Noen tjenesteleverandører ble rimelig stresset, fordi deres servere var alle plassert på én lokasjon. At en server går ned, eller går i stykker – det skjer. At et helt datasenter brenner er mer usannsynlig. Det ligger på linjen der med at man vet at røyking fører til kreft, men man festrøyker i studietiden likevel. Det er en av de usannsynlige greiene som kan skje, men som man aldri forventer skal skje.

Hvor dataen er lagret betyr noe

I et tidligere innlegg om smittestopp, forklarer jeg at hvor serverene står har en betydning – og at det var et problem med første smittestopp-app at dataen ble lagret utenfor Norge. Servere er skyen, og det betyr at det du lagrer på skyen er juridisk underlagt det landet hvor serveren står.

Om jeg har en skytjeneste med kinesisk innhold, vil det uansett være norsk lov som definerer hva som er lovlig innhold. På samme tid, om jeg fra Norge bruker en kinesisk skytjeneste (med kun lagringsplass i Kina), vil det jeg lagrer der være underlagt kinesisk lov. Det betyr at alle mine Dropbox-filer er underlagt amerikansk lovgiving. Om serverene mine greier er lagret på står i Utah, kan jeg rett og slett (om jeg har googlet riktig og ved å sette ting på spissen) når som helst bli huket inn og dømt for å forårsake en katastrofe (ved “annen skadelig eller destruktiv makt som ikke er et masseødeleggelsesvåpen”):

https://le.utah.gov/xcode/Title76/Chapter6/C76-6-S105_1800010118000101.pdf

Er det sannsynlig? Overhodet ikke. Det er satt på spissen. Og dette med sikkerhet i lagring innen nasjonale landegrenser er ytterst viktig, men jeg skal ikke gå inn på det nå. Det får bli neste gang. Jeg skal heller si opp Dropbox og flytte til en annen tjeneste med lagring i Norge (jeg har sagt det før, men jeg mener det virkelig. Det er flaut at jeg ikke har gjort det enda. Gjør som jeg sier, ikke som jeg gjør).

Nasjonal sikkerhet og kritisk infrastruktur

Like før helgen kommenterte jeg på Facebook. Man skulle kanskje tro at en som er så full av meninger er en hyppig deltaker i kommentarfelt – men jeg skriver veldig sjeldent kommentarer. Jeg leser mye og ofte kommentarfelt (jeg har tross alt en høyere utdanning i psykologi, og synes det er maks fascinerende å følge med på hvordan folk kommuniserer på digitale flater) – men bortsett fra en håndfull likes daglig, holder jeg meg stort sett borte fra selve kommenteringen. Så vondt vil jeg nemlig ikke meg selv, at jeg begynner med det. Og når jeg først har en mening jeg velger å taste ned, så er det stort sett på veggen til venner. Ikke i kommentarfelt under saker. Der holder jeg meg til å enten støtte andres ytring eller påpeke faktafeil i noen andres mening (når noen har feil på Internett… jeg er ikke noe bedre menneske enn at jeg også blir lurt inn i den karusellen).

Det jeg kommenterte på, var altså en som nylig gikk ut offentlig og sa hun stilte til valg på SV sin stortingsliste, og hun postet følgende artikkel:

Link til artikkelen: https://www.nrk.no/norge/nsm-atvarar-om-utanlandske-skytenester_-vil-sikre-nasjonal-kontroll-1.15173582

Fornøyd med meg selv, fortalte jeg om dette til kjæresten min, som for tiden studerer litt. Han parerer med “jamen dine meninger kan man ikke tro på, for du har personlige interesser i å ha nasjonale skytjenester – du er jo sammen med en som jobber med datasenter.” Og la oss bare ha det på det reine – han sier dette ikke fordi han mener det, men fordi han nylig har diskutert med andre studenter om dette med hvilke baktanker folk har for å argumentere for og imot noe.

Og ja: jeg er samboer med en som jobber med datasenter, men jeg kan ikke forstå annet enn at det har fint lite med min mening angående norsk sky, eller norsk kritisk infrastruktur og det å beholde norsk data på norske servere, å gjøre.

Som jeg skreiv litt om da jeg skreiv om Smittestopp-appen (som jeg forøvrig fremdeles ikke har lastet ned), så er serverenes fysiske plassering grunnlag for hvilke lover som gjelder disse serverene, ikke hvem som leier kapasitet på dem, eller hvem som eier dem. All datalagring skjer på forskjellige type servere, om det så er din egen datamaskin sitt minne eller det er på Facebook sine enorme lagre, så er det snakk om en fysisk datamaskin som lagrer informasjon. “Det finnes ingen sky, det er bare noen andres datamaskin” (“There is no cloud, its just someone else´s computer“).

For å gi et eksempel. For at påtalemyndighetene skal få tilgang til en servermaskin i Norge, må det en rettskjennelse til. Det finnes også kontrollorgan (EOS-utvalget og KK-utvalget) som påser at påtalemakten (politi og etterretning) følger de retningslinjer som er lagt (i min ikke så ydmyke mening er disse to organene noe av det viktigste i norsk rettssystem).

Jeg er ingen ekspert på internasjonal lov, men jeg er faktisk helt sikker på (et lite innslag av Donning-Kruger kanskje) at rettssikkerheten i Norge er bedre enn i mange land – og da kanskje særlig i (kanskje korrupte) lavkostland som gjør at skytjenester kan leveres billig. Ikke for å mase, men la meg trekke frem Edward Snowden som viste at joda, land samler inn massiv informasjonsmengder, og deler med hverandre. Det er ingen grunn å tro at denne innsamlingen ikke fremdeles er gjeldende, det er bare nå er det enda mer skjult, eller kanskje til og med ikke gjennomført av “ærlige nasjonalstater”.

Å drifte kritiske systemer, eller å ha lagring der hvor det er billigst, vil sannsynligvis bety at det ikke er i Norge.

Jeg plukker kirsebær på SSB: https://www.ssb.no/en/priser-og-prisindekser/statistikker/pppvare

Norge har egentlig mye som er tilrettelagt for å skape gode løsninger for massiv lagring, innalands. Vi har billig strøm, vi har økonomisk gunstige ordninger som er satt politisk, for datasenterproduksjon (Lovdata Avgift på elektrisk skatt og Skatteetatens prinsipputtalelse avgift på elektrisk kraft levert til datasenter). Disse ordningen er forøvrig også noe som førte til en eksplosiv interesse for å lage masse kryptovaluta-mininger, noe som på en måte er datasenter i det at det er serverhaller, men det har ikke helt samme nyttige funksjon (og for guds skyld: skal man ha en ordentlig debatt om dette temaet må man skille disse to). Andre gunstige forhold vi har i Norge er masse plass, og vi har, til tross for noen utfordringer, et godt utbygd bredbåndsnett.

Men det er også utfordringer i Norge. Norge er langt, og for å kunne ha en velfungerende infrastruktur, må det masse kabler til. En hel haug. La oss ta Bodø, for eksempel. Bodø kjører en kraftig digital strategi, og i den forbindelse er det naturlig å tenke i retning mot internasjonale datasenterforbindelser. Det ligger både arbeidsplasser og penger i gode datasenter. Men for at et sted skal være gunstig for (internasjonale) datasenter, må infrastrukturen rundt være god. Det må være kobling til andre nett, det holder ikke å bare plassere et datasenter i gokk (for i gokk er det masse plass) – dette datasenteret må være tilkoblet flere nett for at det skal være attraktivt.


https://live.infrapedia.com/app

Her er et kart. Dette kartet viser linjer (de lilla er prosjekterte). Som man kan se, er det stort sett Oslo, Kristiansand og Stavanger som har koblinger ut, og Bergen og Trondheim som har litt koblinger ut. Bodø er ikke noe særlig vits å nevne, sånn når det kommer til eksisterende tilkoblinger. . Oslo er klart det stedet med mest infrastruktur, og det er også derfor det er mest interessant for utenlandske aktører (som Google) å bygge datasenter på Østlandet. (Jeg har skrevet en del i boka mi om sårbarheten rundt det å ikke være tilkoblet flere enn en vei ut – altså via Sverige. Kjøp den. Det står mye nyttig info der.)

(Digresjon: Det er lurt å ha masse servere over alt, for store giganter som Google, Netflix og Facebook. Det handler om å gi oss forbrukere raske og gode tjenester – jo kortere vei informasjonen trenger å gå, jo raskere går den.)

Tilbake til Norge.

Å bygge en nasjonal infrastruktur krever ikke nødvendigvis mye koblinger ut av landet. Men det krever god tilkobling slik at informasjonen kommer til og fra uten videre problemer. Så selv uten krav til tilkobling til utlandet er det noe begrenset hvor man kan ha datasenter for å drifte en “norsk sky”. Og det er her utfordringen til Norge ligger: Norge er stort. Norge har spredt befolkning.

Det er billigere å bare ordne seg noen skytjenester i utlandet, og så skylde på dårlig kommunikasjon innad i landet, eller manglende infrastrutur.

Denne infrastrukturen kommer ikke av seg selv, og med de lange strekkene her i Norge, kommer denne infrastrukturen til å koste.

Men koster det mer å ha ha sårbarheter knyttet til kritiske tjenester? Jeg minner i farta om Broadnet og nødnettet som ble driftet fra India.

Men. Det finnes også løsninger som ikke baserer seg på sky i det hele tatt, men som baserer seg på å ha egen drift. En sky krever ofte at noen leverer denne skyen. Det er en business-modell. “Vi har plass, lei hos oss”.

Det er ingen som har sagt at man ikke kan bestemme over sin egen data. Og på en eller annen måte ser det ut til at denne modellen, som er den opprinnelige lagringsmåten, går i glemmeboken. Skyen er så forlokkende og enkel – masse plass, og ingen bry med å passe på alt dette tekniske man ikke helt forstår…

Å ha alt hos seg selv, er plasskrevende og kostbart – ikke minst fordi du må ha folk som kan betjene dette.

Dette er likevel den beste løsninger (gitt at du har folk med riktig kompetanse) for store og tunge organisasjoner, uansett hva skyløsningstjenestene prøver å argumentere for. Men det får bli et tema for en annen gang.

For denne gang: Norske data må være i Norge. Skyløsninger er greit, men det må bli bedre og flere norske løsninger på dette, og det må kreves at ikke bare lagring – men også drifting av tjenestene gjøres fra Norge. Og.. ja. Lytt til eksperter.

Greia med FHI-appen

Skal man installere FHI-appen Smittestopp?

Full åpenhet: Jeg har ikke installert appen, men jeg ser ikke bort fra at jeg kommer til å gjøre det senere. Jeg skal ta dere gjennom noen av mine vurderinger.

Bakgrunn

Koronaviruset smitter lett, og noen blir svært alvorlige syke. Vi har ingen kjent vaksine eller kur.

13. mars ble smitten erklært ute av kontroll (Dagbladet.no 13.03.2020). Samme dag kontaktet den statlig eide forskningsorganisasjonen Simula Folkehelseinstituttet (FHI) for å tilby sine tjenester (ifølge Simula selv).

27. mars trådte “Forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19” i kraft.

16. april ble Smittestopp lansert. Appen er gratis og frivillig å installere. Appen har møtt en del kritikk, særlig i forbindelse med personvern.

“Smittestopp” vs bevegelsesmønster

Smittestopp har to funksjoner. I første omgang skal appen samle informasjon om folk sine bevegelsesmønstre:

Appen samler anonyme data om hvordan folk beveger seg, og hvor mange de møter. Det gjør oss i bedre stand til å forutse utviklingen i utbruddet, og hvordan tiltakene i samfunnet virker. Disse dataene vil FHI bruke til å analysere i hvor stor grad folk og grupper holder avstand til hverandre og omfang av nærkontakter. Slik blir det mulig å følge bedre med på om tiltakene mot koronaviruset virker, og om de smittede får flere nærkontakter etter hvert som samfunnet letter på de svært strenge restriksjonene.

https://www.fhi.no/nyheter/2020/ny-app-fra-folkehelseinstituttet/ (lastet ned 17.04.2020)

Denne innsamlingen er foreløpig den eneste funksjonen appen tilbyr. Innsamlingen er også kilde til mye av kritikken mot appen, og den er heller ikke nødvendig for å få beskjed om hvorvidt du har vært i nærheten av noen som har vært smittet (i Singapore så har de for eksempel en app som ikke samler inn bevegelsesmønster for analyse). En utfordring med denne innsamlingen er at appen er frivillig. Informasjonen om befolkningens bevegelsesmønster kan kun oppnås dersom mange installerer og bruker appen, og ikke bare en viss type befolkningsgruppe (for eksempel kun de som samvittighetsfulle følger myndighetenes råd).

Appen vil altså kun lagre informasjon om bevegelsesmønster. Etter dette har vært appens funksjon i en periode, vil man teste ut smittesporing i Drammen og to andre ukjente kommuner. Testen vil bestå i hvorvidt manuell sporing (å spørre pasienten) er mindre eller mer effektiv enn den digitale sporingen. Man vet ikke om appen vil fungere til å spore smitte. Intensjonen er god – men man vet ikke om det vil fungere.

Men: Dersom for få bruker appen, vil testingen feile. Dermed vil man ikke få vite hvorvidt appen fungerer etter sin intensjon. Med dette i bakhodet har befolkningen gjentatte ganger blitt oppfordret til å installere appen (som her i VG 15.04.2020).

Smittesporing eller famling i blinde

Den andre funksjonen til Smittestopp, som FHI presenterer som den første (fordi det er denne funksjonen folk flest bryr seg om) er følgende:

Brukere av Smittestopp, vil få en sms om du har vært i nærheten av andre Smittestopp-brukere, som har fått påvist koronaviruset.

https://www.fhi.no/nyheter/2020/ny-app-fra-folkehelseinstituttet/ (lastet ned 17.04.2020)

Måten appen skal vite at du har vært i nærheten av andre, er gjennom en kombinasjon av GPS og Bluetooth (blåtann). GPS fungerer ved at rundt 30 satellitter sender små signaler. På telefonen din er det en mottaker, som ved å regne ut tiden det tar mellom å få signaler fra flere av disse satellittene, kan anslå hvor du befinner deg (sykt kult – les mer på physics.org). GPS er kun nøyaktig innen 4-5 meter. GPS er en del av denne appen hovedsakelig for å kunne samle inn informasjon, og lagre den på en sentral server (i følge Simula selv).

Blåtann fungerer ved hjelp av kortdistanse radiobølger (2,4 Ghz), som løpende sender ut søk for å koble seg til andre blåtann-mottakere, og lese av disse (navnet blåtann/bluetooth kommer fra den danske vikingekongen Harald Blåtann). Avstandsmålingen mellom folk er det altså blåtann som står for. Blåtann, som opererer på en båndbredde på 2,4 gigaherz, opererer på samme båndbredde som mange andre tjenester. NKOM (Nasjonal Kommunikasjonsmyndighet) kaller denne båndbredden for “fribruksbåndet”. Eksempler på tjenster som bruker 2,4 Ghz-båndet er trådløst Internett (WiFi), trådløse høyttalere og mikrofoner, bilalarmer, babymonitorer, mikrobølgeovner og leker.

Smittestopp bruker blåtann ved å sende ut signaler hvert minutt for å se hvilke andre Smittestopper som finnes i nærheten, og lagre kontaktpunkt som har vært nærmere enn 2 meter i 15 minutter eller mer. På samme måte som all annen signaloverføring, kan fribruksbåndet bli fullt. Bruker mange 2,4 gigahertz-båndet samtidig, vil noen av dingsene ikke virke. Dette kan i verste fall resultere i den uheldige konsekvens at man ikke vil får registrert at man har vært i nærheten av en smittekilde.

Men: Det kan godt være at de som har laget appen løst blåtann-problematikken. Andre land bruker også blåtann for å registrere nærhet. Noe sporing kan være bedre enn ingen sporing – og dette er det eneste alternativet vi har.

Smitteangst

Nå som vi skal åpne opp samfunnet mer og mer, er det sannsynlig at flere blir smittet igjen. Om smitten har en inkubasjonstid på ca en uke, så er det potensielt ganske mange ganger man er innen 2 meter av hverandre – i rushtrafikken, på butikken, på gåtur, på andre siden av en vegg… Mange situasjoner kan være utløsende for en pling, selv om du har gått med ansiktsmaske, ikke tatt deg i ansiktet, vasket hendene grundig hver gang du har mulighet til det, og holdt god avstand til folk. Det er ikke sikkert en slik stadig påminnelse om trusselen er helsebringende.

Korona smitter ved dråpesmitte: Man unngår å smitte med å ha god hoste- og håndhygiene, og å holde avstand. Ikke med en app i lomma.

Vaksinebloggen.no har mer informasjon om smitte og sykdom, men mantraet er: vask hendene, ikke host på andre, og hold avstand. Man blir ikke smittet ved tankeoverføring. Så det er ikke sikkert at det å ha vært i et område som en som senere har fått påvist smitte, hjelper deg med noe som helst annet enn å få økte angstnivåer. Smittestopp har som intensjon å informere folk om potensiell smitte, og på den måten stanse videre smitte. Ut fra hva appen faktisk gjør, virker det mer sannsynlig at mange får unødvendige beskjeder. Med mindre du slurver med grunnleggende tiltak (vask henda, hold avstand, ikke host og ikke bli hosta på).

Simula kupper tjenesteutviklingen

Tilbake til teknologi. Simula hevder at de, som en offentlig eid forskningsinstitusjon, ser det som sitt ansvar å bistå myndighetene med sin kunnskap i denne situasjonen. Utviklingsarbeidet har vært ledet av professor Olav Lysne, som også ledet Lysne II-utvalget om “digitalt grenseforsvar”. I sin rapport fra 2016, som jeg var kritisk til i sin tid, anbefalte utvalget en masseinnsamling av metainformasjon på digital kommunikasjon som gikk ut og inn av landegrensene i Norge, for deretter å filtrere og sortere).

Simula har etter alt å dømme ingen erfaring med utvikling av apper (til tross for mye kompetanse), så Simula har fått hjelp av Shortcut og Scienta. Shortcut utvikler apper. Selskapet har 81 ansatte og god økonomi. Scienta er erfarne IT-folk som spesialiserer seg på programvareutvikling. Det er et selskap med 31 ansatte og (veldig) god økonomi.

Simula har kommersielle baktanker med appen (khrono 15.04.2020). Simula har vært åpne om at andre tilbydere, både statlige og kommersielle, er interesserte i å kjøpe appen (og koden). I sin redegjørelse over salgskriterier finner vi følgende setninger:

Dersom det kommer flere henvendelser om bruk av appen i utlandet, vil vi følge strategien som er skissert over; vi vil dele kode med andre offentlige aktører i liberale demokratier, men vi vil kreve lisens når kommersielle aktører inkluderer vår kode i sine løsninger. Vi vil hele tiden sette begrensninger på videre deling av koden for å unngå at koden brukes av undertrykkende regimer.

https://www.simula.no/news/smittestopp-betaling-bruk-av-appen-i-andre-land-0 (lastet ned 17.04.2020)

Ett av landene de allerede har delt koden med, er Storbritannia. Et land hvis myndigheter er kjent for en romslig tolkning av personvernhensyn (vises blant annet i denne artikkelen fra the Wired.co.uk fra 13.09.2018).

En blanding av kommersielle interesser, penger og uklar bruk av teknologien gjør at mange blir usikre og har lav tillit til Simula i denne saken. Jeg kjenner også at “digitalt grenseforsvar” kommer meg i minnet, og blir ikke helt komfortabel med å laste ned appen.

Men: Simula er hovedsakelig interessert i forskning og utvikling. At forskere har en tendens til å ikke være populistiske i sin kommunikasjon er ikke sjokkerende. De er nok genuine i sitt ønske om å “gi tilbake”. Skulle man konkurranseutsatt appen, hadde det tatt mye lengre tid.

Åpen kildekode

Første utgivelse av en applikasjon har alltid feil, også Smittestopp. Selv moret jeg meg med Ida Aalens Facebookpost hvor hun går gjennom sin opplevelse av å installere appen. Det var store vanskeligheter med å få registrert seg som bruker, det var mange kryptiske feilmeldinger (digi.no 17.04.2020). En av de mer provoserende manglende er manglende universell utforming, som Blindeforbundet skriver om 17.04.2020.

Disse funksjonalitetsutfordringene er ikke grunnen til ønsket om åpenhet rundt kodene. Åpen kildekode betyr at kodene ligger offentlig tilgjengelig. Ønsket om åpen kildekode ligger i at mange har interesse av at appen skal fungere godt og være sikker. Mange kompetente mennesker ønsker å bruke sin tid på å se på koden. Flere gjør det allerede også (brukeren petteroea på GitHub er en av dem som forsøker å dekompilere koden, og han lister også opp flere). At flere ser på kodene betyr at det er flere som bidrar til å lete etter svakheter før noen som har fiendtlige intensjoner, finner dem.

På den andre siden finner du blant annet Simula selv (01.04.2020), som mener at åpenhet gjør det lettere for de med fiendtlige hensikter å finne svakheter. Simula ber isteden om tillit. Viseadministrerende direktør i Simula, Kyrre Lekve, blir sitert i Dagens Næringsliv 14.04.2020 til å si “– Ja, man må stole på kongen. Kongen har vedtatt dette i statsråd. Det ligger et grunnleggende tillitsforhold her, ja,”.

Men: Ettersom appen ble utviklet på veldig kort tid, er det sannsynlig at det er svakheter i koden. Simula har fått sikkerhetseksperter til å se på koden på samme måte som de som jobber med åpen kildekode ville ha gjort (NRK, 08.04.2020). Ettersom hastverk har vært essensielt her, kan det være en fornuftig løsning å holde kortene tettere til brystet. Det er jo detaljert personverninformasjon man samler inn.

Irland

Sentral lagring av data betyr at dataen blir lagret på et datasenter fremfor at du beholder din egen informasjon hos deg selv. Dataene til denne appen blir ikke lagret i Norge . “Internett er globalt, det er vel ett fett hvor det lagres?” Nei. Serverene er underlagt lovene i landet de fysisk er plassert. Det vil si at irsk lov gjelder. Som regel går det greit. Irland er et “liberalt land”.

Jeg er derimot en sånn en som tenker at ting går til helvete når som helst, og jeg har ingen kontroll over lover i Irland. Jeg har litt kontroll på lover i Norge, for her kan jeg i det minste bruke stemmeseddelen, og jeg følger med på samfunnsdebatten. Jeg vet når noe skjer her. Ikke i Irland.

Men: Det kan se ut som om dataen skal flyttes til Norge (digi.no 16.04.2020). Det bør de virkelig.

Personvern

Jeg lærer mye av å lese kommentarfelt. Smittestopp engasjerer, mange er usikre. Uttalelser som går igjen er av typen “jeg vil gjøre mitt for å stoppe smitte” – som om denne appen i seg selv var et middel for å stoppe smitte. Folk som ikke ønsker å installere appen får en god porsjon sosialt press på seg til å “bidra i dugnaden”. Presset viser seg blant annet i en latterliggjøring a la dette:

Andreas Wahl (vitenWahl) fra sin Facebook page

Ingen – hvert fall ikke jeg – betviler intensjonen til Smittestopp. Men jeg tviler på funksjonaliteten – at den virker slik den er ønsket. Jeg tviler på sikkerheten til en app som har blitt utviklet under et så kraftig tidspress. Motstanden handler ikke om personvern alene, det handler om en kost/nytte vurdering hvor personvernet er betalingen. Om jeg var sikker på at appen var et våpen mot smitte, hadde jeg akseptert at usikre tider krever ekstraordinære tiltak.

Jeg synes appen er for inngripende. Lagring på en sentral server (i Irland) er unødvendig. At jeg har akseptert at Google har min posisjon mesteparten av tiden går også på at jeg har mer tillit til Google enn jeg har til Smittestopp. Tygg på den. Appen skriver i sine vilkår blant annet at den følger EU sine personverndirektiv. Det er bra. EU sine personverndirektiv er gode. Problemet er ikke intensjonen. Problemet er at lederen for EU sitt personvernråd kommuniserer at appen ikke følger personverndirektivene ved at den blant annet ikke forholder seg til dataminimerinsprinsippet (å samle inn minst mulig informasjon).

Og hvem overvåker overvåkingen? EOS-utvalget og Kontrollutvalget for Komunikasjonskontroll overvåker myndigheter (politi, etterretning) sin overvåking. Hva med en frivillig app? FHI er definert som databehandler i forskriften, men hvem kontrollerer FHI? Hvem overvåker kontrollen av informasjonen som blir samlet inn? Hvem har kompetanse og ressurser til å påse at informasjonen som skal bli slettet, faktisk blir slettet? At informasjonen ikke brukes ut over de fullmakter som gis i loven? At eventuelle endringer i brukervilkår eller forskrifter blir informert tydelig? FHI og myndighetene ber oss om tillit. Det er så mange aspekter jeg ikke klarer å ha tillit til.

Men: Det er en pandemi. Om det redder liv at jeg laster den ned, hva gjør det at gud og hvermann ser at jeg stort sett er hjemme eller i en sånn 50 meters radius fra hjemme hver dag?

Konklusjon

Bør du installere appen?

Jeg vet ikke. Jeg tror på intensjonen til denne appen, men jeg tror ikke den kommer til å fungere som den sier. Det er kanskje ikke mange gode grunner til å installere appen, men det er en: Vi lever i en pandemi.

Jeg håper du tar et informert valg.

Vask henda, hold avstand!

Til slutt…

Dersom du synes det jeg skriver om er spennende, så kan du kjøpe boka mi “Internett Internett Internett” på forlagets nettside her: www.mudskipper.no

Ta kontakt med meg for å sponse et blogginnlegg – enten som generell sponsing (“skriv noe gøy og viktig”) eller direkte sponsing (“skriv om oss”). Jeg er usikker på hvordan jeg forholder meg til direkte sponsing, og det kan være jeg ikke synes det er greit. Men jeg er åpen for forslag.

Dersom du er privatperson og har lyst til å bidra, så har jeg bedrifts-vipps med nummer 578080. All inntekt blir regnskapsført.

Hvorfor kneler ikke Internett?

Når mange er på Internett samtidig, blir det større belastning for nettet, og folk ender med å ikke komme seg på nett. Da koronakrisen oppsto i midten av mars 2020, ble det mye snakkis om hvorvidt nettet ville tåle den ekstra belastningen ettersom alle nå skulle være på hjemmekontor og bruke videokonferanser (gjerne samtidig med at husets tenåringer binger strømmetjenester). Flere store nyhetsmediene hadde en eller annen vinkel på dette, for eksempel Aftenposten (17.03.2020) og Nettavisen (16.03.2020), og praten begynte å gå blant folk. Da Telenor fikk utfordringer på vestlandet 18. mars var flere raskt ute i kommentarfelt og proklamerte at nå begynte problemene: dette var et tegn på at Internett kom til å knele. Det viste seg forøvrig at akkurat dette problemet var knyttet til en DNS-tjeneste, (uten at det har ikke vært like tydelig annonsert gjennom media som en potensiell kollaps av Internett).

Det har også vært problemer med å logge på hjemmeundervisningstjenesten Showbie (NRK, 13.03.2020) og NAV (strengt tatt BankID, melder VG 15.03.2020). Igjen hendelser som har fått de mest innbitte dommedagsprofetene til å melde at dette er tydelige tegn på Internett sin ende.

Likevel har det vært lite kollaps å melde. Digitaliseringsministeren (for tiden Linda Hofset Helleland) møtte med representanter for de seks største teleselskapene for å høre om de hadde situasjonen under kontroll (NRK, 19.03.2020/25.03.2020).

Det hadde de.

La meg fortelle litt om Internett i Norge. Norge har en veldig godt utbygd infrastruktur. Bakkenettet i Norge har blitt ønsket velkomment og stimulert gjennom økonomiske ordninger, fritt marked, lite reguleringer og ikke minst en befolkning som har vært tidlig på Internett, og mye på Internett. Vi bruker Internett mye i Norge, og vi har et bakkenett som har mye kapasitet til å ta unna trafikk. I andre land har man laget oppfordringer om å ikke bruke for mye unødvendig trafikk, slik som dette bildet:

I Norge har vi ikke dette behovet.

Altså, jeg skal ikke klage på at YouTube og Netflix generelt har bremset ned kvaliteten på videostrømming i Europa (CNN, 20.03.2020) – videostrømming i høy kvalitet tar mye plass, men selve Internett er ikke i fare, og Internett i Norge har kapasitet til dette og mye mer. Selv om Norge blir med på denne dugnaden, er det ikke sikkert vi hadde trengt det (“Du kan ha videokonferanser, skype med venner og streame film og serier med god samvittighet. – Nettet i Norge er rigget for å tåle det vi opplever nå, sier Telenors dekningsdirektør Bjørn Amundsen.” kan Romerrikets Blad berolige 20.03.2020).

Litt tall om norsk Internett

Nå kommer det et avsnitt med masse tall som beskriver “Norge har veldig bra Internett-dekning”. Sovner du av tall kan du fint hoppe over dette avsnittet og gå rett til neste overskrift.

Norsk bredbåndsutbygging er blant den beste i verden. “Bredbånd” er en samlebetegnelse på teknologisk infrastruktur med høy kapasitet. “Kapasitet” er en benevnelse som sier noe om hvor mye samtidig trafikk linjene kan ta.

Norge har en høykapasitets bredbåndsdekning (minst 30 Mbit/s eller mer) på 98% i tettbebygde strøk og 59% av grisgrendte strøk (2019). Og selv om 30 Mbit/s skulle være nok, så har hele 86 % av norske husstander idag tilbud om (mulighet for) 100 Mbit/s nedstrøms kapasitet, og 63 % har tilbud om sinnsyke 1000 Mbit/s nedstrøms kapasitet (alle tallene er forøvrig hentet fra NKOM sin rapport “Bredbåndsdekningen i Norge 2019“). “Nedstrøms” kapasitet betyr kapasiteten du får til din enhet. Å laste opp – eller å dele – kan i mange tilfeller være lavere kvalitet. Dette er noe Internettleverandøren selv administrerer i sine abonnement, basert på hva som er vanlig for folk å bruke. Folk laster ned (konsumerer) mye mer enn de laster opp (deler).

De som ikke har denne typen dekning har annen dekning. (“Selv når vi ser bort fra satellittdekning har 99,98 % av husstander et 10 Mbit/s-tilbud.” – side 4 i den nevnte rapporten). NKOM anslår at færre enn 1000 husstander mangler tilbud om minst 10 Mbit/s, og i verste fall: færre enn 100 husstander mangler tilbud på 4 Mbit/s. Veldig få har med andre ord ingen/dårlig dekning. De bor på steder man forventer har dårlig dekning.

Men disse tallene – hva er det og hvor mye er dette? For å sette mengden data i perspektiv så anbefaler Netflix at du har minst 25 Mbit/s for at du skal kunne se film i aller høyeste oppløsning (ultra HD). Det er selvfølgelig forskjellig hva folk trenger av kapasitet på Internett, men for mange er 30 Mbit/s helt klart nok kapasitet… med mindre du skal både game mye, se på videostrømming og holde camshow samtidig (eller har mange tenåringer i hus som gjør disse tingene).

Internett tåler alt

En populær myte er at Internett, som ble utviklet under den kalde krigen, ble bygd for å overleve et atomangrep. Denne myten er ikke sann, men det er en god illustrasjon på at “Internett tåler alt”. Noe av grunnen til at Internett tåler alt, er at Internett er bygd opp av mange forskjellige nettverk. Det vil si at mange nettverk er knyttet sammen, og informasjonen som skal til B fra A går gjennom nettverkene C, D og E. Dersom nettverket C forsvinner (“poof“) finnes det mekanismer i Internett (protokoller som alle må følge og forholde seg til, i dette tilfelle for eksempel BGP – Border Gateway Protocol) som gjør at informasjonen som skal fra A til B bare dropper å gå gjennom C (som ikke fungerer), men fortsetter å gå gjennom D og E. Så “Internett” vil alltid fungere.

En gang måtte jeg tegne og forklare, så dette er gjenbruk. Mange nettverk er koblet sammen, som dere åpenbart ser her.

Det hjelper ikke deg om du sitter i nettverket C, som i mitt eksempel ikke fungerer lengre. Jeg skal gå gjennom tre utfordringer om hva som kunne ha gått galt med økt belastning på Internett i disse koronatider.

Utfordring 1: Kapasitetsproblemer

Når kapasiteten i nettverket er sprengt kan det sammenlignes med rushtrafikk. Mye samtidig trafikk = kø. Denne trafikken består i mange små pakker med data, datagrammer, som er på vei fra sender til mottaker. Når rushen kommer, skjer det fort at disse datagrammene ikke gidder å jobbe seg frem til målet sitt (altså de mister kontakt eller noe annet teknisk, de har strengt tatt ingen egen vilje, og forholder seg ikke til motivasjon). Når det blir kø og datagrammene ikke gidder mer, vil folk oppleve å ikke få kontakt med Internett. Det kan skje, men det kan enkelt hindres i å skje ced at Internettleverandørens kobler opp mer kapasitet.

Det er nettverksoperatøren din som påser at det nettverket du er koblet til, er stabilt og har kapasitet nok. I Norge har vi fritt marked på Internettleverandører, og det er over 130 som i en eller annen form tilbyr Internett.

Under frokosten i dag fant jeg på følgende metafor: Om du trenger et glass melk til, så henter du mer i kjøleskapet. Om du ikke har noe melk, så henter du fra kua di utenfor. Om du ikke har en egen ku, så kjøper du melk av noen som har ei melkeku. Dermed var kapasitetsutfordringer forklart: De fleste Internettleverandører har mer kapasitet tilgjengelig, og om de ikke har det så har de mulighet til å øke egen kapasitet med sin egen infrastruktur (legge ned flere kabler). Og om de ikke har det heller, så kan de kjøpe eller leie kapasitet hos en av de mange andre Internettleverandører som finnes – for eksempel den største aktøren Telenor.

Ku. Bilde fra Pexels, fotograf Julie Aagaard.

Alternativet til å oppgradere kapasiteten er jo at kundene skal bli forbanna fordi du ikke klarer å levere nett, mens andre leverandører klarer. Dette er selvfølgelig ikke like enkelt de steder hvor det ikke er like mye konkurranse i markedet – noe flere som bor i grisgrendte strøk kan skrive under på.

Utfordring 2: Kapasitet hjemme

Da har vi kontroll på hva kapasitet er, og at det er en veldig høy kapasitet generelt i Norge. Hvorfor antok noen at kapasiteten ble dårligere når alle har hjemmekontor? Internett er som nevnt bygd opp av mange forskjellige nett. Det nettet du har hjemme, er sannsynligvis ikke like… robust som det nettet du bruker på arbeidsplassen din. Bedrifter har ofte høyere krav til kapasitet og oppetid, og det er en forventning om at mange bruker bedriftens nett samtidig. Hjemmenettverket er derimot ikke ment til å håndtere at alle er hjemme – på samme måte som noen beskrev dopapir-problemet med at det nå er massevis av dopapir rundt omkring på arbeidsplasser som aldri blir brukt, mens hjemme bruker man desto mer dopapir og dermed blir det tomt i butikkene. Internettet på arbeidsplassen, som er ment at mange skal bruke samtidig, blir lite brukt, mens hjemmenettet ikke får ro på seg. Om en og annen er hjemme, så har ikke det så mye å si, men når alle er hjemme, og hvis alle bruker den samme Internettleverandørern “HjemmeInternett AS”, så vil HjemmeInternett AS sin kapasitet få en langt større påkjenning enn det HjemmeInternett AS forventet. Men, som kommunikasjonssjefen for Altibox påpekte i Tek.no 20. mars: “– Vi merker en stor økning i databruken midt på dagen, men fortsatt er det slik at det er kveldene hvor vi bruker nettet mest.”

Utfordring 3: Plutselig populær

En utfordring som vi derimot allerede har sett flere ganger under koronakrisen er at serveren som skal tilby en tjeneste blir oversvømt. Om hver forespørsel som kommer for å gå inn på en side er en dråpe, så vil alle nettsted klare å ta unna et drypp her og der. Og om det kommer mange, så må man kanskje stresse litt med å øse så båten ikke synker. Men om det kommer voldsomt mange, så vil båten synke. Denne typen oversvømmelse kan skje dersom en nettside plutselig blir langt mer populær enn vanlig, eller det skjer ved at noen med vilje simulerer besøk, og på den måten angriper et nettsted for å få det til å kræsje. Da kalles det et tjenestenektangrep (DDOS-angrep, eller “distributed denial of service-attack”). Du kan til enhver tid følge med på hvor det skjer tjenestenektangrep på nettsiden med det treffende navnet digitalattackmap. Slik ser det ut i skrivende stund:

Det er ikke alltid slike oversvømmelser er ondsinnede. Det skjer også når plutselig mange flere enn vanlig skal innom et nettsted eller en tjeneste. Som for eksempel når alle Norges skoleungdom skal på Showbie, når det egentlig var estimert for at (jeg vet ikke) at en håndfull som i perioder blir hjemmeskolert skulle få tilgang. Det samme skjer med NAV. NAV har en høy brukermasse og et godt system for å motta mange forespørsler, men en plutselig tredobling av den allerede høye brukermassen er ikke nødvendigvis det NAV sine systemer var klar for.

Det er ikke umulig å håndtere en slik utfordring heller. Måten man gjør det på er at tjenesten får flere servere til å håndtere alle forespørslene. Det er altså tjenesten selv som må tilrettelegge for at brukerene kan nå tjenesten – altså it´s learning må selv passe på at de klarer å ta unna alle forespørslene de får. Det er ikke noe du som bruker selv kan gjøre der – annet enn å logge på i utidige tidspunkt når andre ikke logger på (men det er kanskje ikke veldig fristende å begynne å stå opp klokka 03:30 på natta for å begynne en arbeidsøkt). I en sånn problemstilling som dette er det ikke Internett som ligger i faresonen, men én og én tjeneste. Det er ikke Internett det er noe feil ved, men det er den aktuelle tjenesten som ikke er rustet for den store pågangen. Det blir en propp, kan du si.

Det er ikke noe videre problem å legge til en ekstra server for å håndtere ekstra trafikk, om man har tilgang på datasenteret hvor man har serveren sin stående. Men om det nå blir slik at leveranser fra utlandet blir stanset, det blir handelsblokader – eller til og med om krona faller uten at andre valuta også følger med ned – da kan det bli veldig dyrt å handle ny hardware (nye servere). Nå finnes det mange ubrukte servere rundt om kring, men om krisen blir langvarig, vårt digitale liv blir mer omfattende og vår digitale bruk fortsetter å ha en eksplosiv øking, så vil disse serverene snart være i bruk. Vi får håpe at nye servere ikke blir utilgjengelige etter det. Samtidig får vi også håpe at de fleste har lagret sine tjenester på datasentre i Norge, og ikke i “skyen” i utlandet et sted hvor man ikke får tilgang til dem, i hvert fall dersom handelsblokader og utreiseforbud blir gjeldende.

Økt bruk eller bare en hype?

Er det ikke noe viktig da, at vi har økt bruk av Internett i disse dager?

Sånn i forhold til hvorvidt det er fare for at Internett kollapser, så kan man nok slappe av. Det skal mye mer til før det blir virkelige problemer med Interentt. Internett er skapt til å tåle alt, og overleve alt. Samtidig ser vi generelt økt trafikk for tiden. NIX – Norwegian Internet Exchange Point er et knutepunkt hvor mye av Internett-trafikken i Norge går gjennom. Et Internet Exchange Point er et punkt hvor flere av nettverkene møtes og kan kobles opp direkte til hverandre, slik at de kundene du har får tilgang til hele Internett, og ikke bare det nettverket som din internettleverandør er ansvarlig for. Det vil si at all trafikk går ikke gjennom NIX, men det er et slags representativt utvalg for hva som skjer i Internett-trafikken i Norge. På NIX sine nettsider kan man følge utviklingen av trafikk gjennom systemene, og som du kan se av grafen, er det en økning i bruk av Internett den siste måneden:

Grafen viser ett års trafikk, og det er høyere trafikk i siste måned enn tidligere. Flere av kundene til NIX har også økt egen kapasitet betraktlig (Digi.no 19.03.2020). Men: Som i de fleste andre ledd knyttet til Internett her i Norge, så skal det mye mer til før kapasiteten er sprengt.

Til konklusjon har jeg mest lyst til å si; chill, len deg tilbake, nyt Internett.

Til slutt…

Jeg er frilanser og selvstendig næringsdrivende som i disse koronatider sliter med å gjennomføre betalte oppdrag. Jeg har søkt om penger for å skrive blogginnlegg som dette (hovedprosjektet mitt er tross alt å popularisere Internett), men jeg har foreløpig ikke fått noe napp. Dersom du synes det jeg skriver om er spennende, så kan du kjøpe boka mi “Internett Internett Internett” på forlagets nettside her: www.mudskipper.no

Dersom du jobber i en bedrift (eller er særs bemidlet), ta kontakt med meg for å sponse et blogginnlegg – enten som generell sponsing (“skriv noe gøy og viktig”) eller direkte sponsing (“skriv om oss”). Jeg er usikker på hvordan jeg forholder meg til direkte sponsing, og det kan være jeg ikke synes det er greit. Men jeg er åpen for forslag!

Dersom du er privatperson og har lyst til å bidra til at jeg får betalt regningene mine, så har jeg en bedrifts-vipps med nummer 578080. All inntekt blir regnskapsført.

Who is in charge over the Internet?

Disclaimer: This is a talk I was supposed to do at an event which was cancelled due to Covid-19. I normally write in Norwegian, but since this talk was supposed to be in English, this post is also in English. I have modified the text to be more reader-friendly, but the initial intention of this talk was never to be presented as text.

OK, so this is the ominous title of my talk, much designed to make people either curious or pissed off. No one is in charge over the Internet, right? Right? Let me take a step back before I continue.

When I wrote my book “Internett Internett Internett” – an introductory book about how Internet works, I spoke with many people. My background is from the social sciences (Psychology and Social Anthropology). I do not have a degree in computer technology, so I needed to get people to explain things to me. But I “discovered” Internet Governance on my own, by being a member of Internet Society (an organization, not just a fancy word for people who “speak leet”). Rather quickly I came to realize that while some of the people I talked with have a lot of knowledge of computer science and Internet technology, Internet Governance is not really a focus of a lot of these technologists. So when I was asked to do a talk at Hackeriet, and told to choose whatever I wanted to talk about, I saw an opportunity to lure more people into being aware of Internet Governance, and hopefully have more people engaging.

With all bold types and click-bates aside, this talk is an introduction to Internet Governance.

“Internet Governance” is an overly woolen expression which entails so much and then some. WSIS 2005 was a two-year long meeting by the United Nations*, and they came up with some definitions worth noting. What is Internet Governance? Well, all of the above. It is everyone concerned about everything concerning Internet-related issues.

* (Yes, this was quite crude, let me explain: The World Summit on Information Technology (WSIS) first met in 2003, and organized a working group to address some definitions etc, and then the whole meeting met up again in 2005. Also, it was the ITU (The International Telecommunication Union) who held the meeting. “ITU is the United Nations specialized agency for information and communication technologies – ICTs.”)

This image from DiploFoundation is popular when trying to explain Internet Governance and the complexity. The building is not finished, and each floor has a main theme or two. Various issues, like data mining, net neutrality, media freedom, online gambling and so forth – are placed throughout the building. The billboard outside shows a vast number of agents concerned with Internet Governance. I like this image. Internet Governance is complex, and having a playful drawing to illustrate things are always positive.

Internet Governance is, as you might have deduced from the notions over, a lot of people discussing a lot of issues. These discussions are founded on the basis of rough consensus. This means that when ideas are good enough, or people are more or less in accord, decisions go into action. Internet Governance is not a dictatorship, nor is it a democracy. Internet Governance is discussion until people attending are sort of agreeing. Sooner or later things will change, and technology will evolve, so there is no need to be completely in agreement. By the time complete agreement is found, something new has already replaced the old.

Internet Governance is based on a multistakeholder model. This means that not one or two fractions of the society, let’s say government and business, are given exclusive rights to figure out what’s best for the future of the Internet). Everyone who has a stake in Internet, who works with the Internet, on the Internet, or against the Internet – everyone has a stake in the Internet, and everyone should thus have a say in what’s going on. No one is excluded, basically.

Internet Governance is based on a bottom-up approach. Technology is at the bottom of everything concerning Internet. You can’t sit and decide “now everyone have to use one IP-address”, when there is not enough IPv4-addresses to use. Technology is the base line, and people closer to that baseline must be the ones who have the final word. Having someone saying “from now on, everyone who uses Internet must first register on the web” will just make people find solutions on how to not be registered. Ideas may come from some sort of authority, but actual change must come from the community itself. From end users, hands on technologists, entrepreneurs, and so forth.

Having a body decide issues based on rough consensus. multistakeholder and bottom up will not be able to make decisive, final and specific decisions. Internet Governance is a continuous discussion concerning various issues. Going back to the WSIS: That working group in between those two summits was called WGIG, and in their report, they described what Internet Governance should focus on, in four main “clusters”:

Infrastructure includes most of the technology in building, creating and sustaining the Internet. This means everything from internationalizing domain names to administration of root zones, and all between technical standards and peering-agreements. Security, safety and privacy concerns issues regarding use and misuse, and how to protect a reason for trust in the Internt, so to speak. Getting rid of those spammers. Intellectual property and trade is a no-brainer for most, but for those very high strung “Internet is all about sharing”-people out there, companies and people have a right to intellectual property protection, and we can disagree on to what extent one should protect these intellectual properties, but as long as Internet have existed, challenges concerning copyright and intellectual properties have existed. The fourth and last point, developmental issues, concerns capacity building and access for everyone, also in developing countries.

When we now have seen a bit at what are the scope og Internet Governance, let’s look at who and how.

Internet Governance is made up by a lot of organizations. In the list over, I have put in lots of technology-organizations which obviously is a part of Internet Governance here, but also stuff like “EU”, because legislative changes in EU makes an impact on the Internet as a whole – just consider the cookie-law and GDPR. I have also put in major organizations like UNICEF who focus on focus on children’s rights and the Internet and WTO who focus on how digital technologies are transforming global commerce. These types of organizations have a lot of weight, and their statements make an impact. I have also, as an example of what contributes to the agenda of Internet Governance, put down a well known anonymous discussion forum – not because the comments there are clever and game-changing, but because actions on anonymous discussions forums like this may push governments to form laws contra-productive to an open Internet based on cooperation, trust and freedom. Some of the organizations are highlighted, and I will look at them in more detail at the end of this talk. Stay tuned.

Instead of ranting on about different organizations, who is it, really, who participates in Internet Governance?

Strictly speaking, people from either governments, business, research, tech community or civil society is Internet Governance. This means that Internet Governance is not a fixed group or a complete setup. Internet Governance is multistakeholder, and by “multi”, they really mean multi. It helps, obviously, if you are a part of a larger group, because having the opportunity to contribute does not mean people have to listen to you.

So what power do Internet Governance hold? I named this talk “who is in charge over the Internet”, after all. Well, the expression “too many cooks may spoil the broth” is universal. The Norwegian equivalent expression is “the more cooks, the more mess”. And this is an apt expression for Internet Governance. There are so many perspectives and viewpoints, that trying to make “rough consensus” out of it all, is akin to utopian. Internet Governance is, all in all, a lot of discussions in a lot of different foras.

So whats the point then?

Let us take a short detour to look at what Internet is first.

This models depict three different sorts of networks. None of these are what Internet looks like. They are arch-typical networks, and Internet, living in reality, is somewhat between decentralized and distributed. Internet is definitely not centralized, so making a demand or a law just won’t work. Top-down won’t work. To be able to do change, all different networks who are connected need to cooperate. Which means a lot of… different people (understatement of the decade) need to cooperate.

In every talk I have, I tend to define Internet as all the layers of Internet, and I don’t just do this to show off all the fancy words I know, but I do this to stress to people that what most of us define Internet as, is only a part of Internet. I’m not going into the OSI-model of 7 layers of Internet, but paraphrase highlights:

A lot of people I have talked to, have defined Internet as one of the roles over; the decentralized/distributed nature, the cooperation between networks, the standards or the content. None of these things are wrong, is just depends on what you are going to focus on. When speaking about Internet Governance, you must include all these things in the definition of “Internet”. Too often, I see that people fail to do so. They try to control content without considering the decentralized, distributed network. They try to force legislations without considering the cooperation between autonomous networks, they try to create network solutions without considering the standards and so forth. When trying to argue against network blocking, which I have done previously, my adversaries think I only speak about content – because that is what they speak about. When being involved with Internet Governance, you need to have the whole perspective, as well as being dedicated to your field.

Back to Internet Governance.

There is a lot of power in being the ones with the knowledge in how things work. Various administrative tasks are grouped under the term “Internet Governance”, because there is politics in administration. Naming, for example – it wasn’t until rather recently (2009) that internationalized top-level domains were allowed, having previously only been open to latin letters. This seems, perhaps, like a small and insignificant detail, but that is because we use latin letters. Most of us here in Norway are bilingual (or masters even more languages). For Internet users who do not read or write latin letters in their native language, Internet and the world wide web would be off-putting. Remember the focus on developing countries and their access to Internet as a main focus of Internet Governance? This is a practical example.

Further, since Internet Governance truly is a massive amount of discussions, everyone who shares their opinion, possibly even not considering themselves as a part of Internet Governance, will be a part of that massive idea-hurling digital society which in turn shapes how we, everyone, relates to the Internet. Lawmakers may produce laws concerning parts of Internet, and how to solve these demands is also a part of changing the Internet Governance.

Internet Governance is an umbrella expression to include all tech-heads, business-suits, government hagglers, academic nerds and general individuals who wants to participate in this multistakeholder haven of bottom-up rough consensus.

Since there are a lot of organizations out there, I thought I should give a really short introduction to some of them. This is not a list of the most important, or the “coolest”, or the ones with the most impact etc. This is just some organizations.

ICANN is possibly the largest entity in Internet Governance. The mission of ICANN is to coordinate the stable operation of the Internet’s unique identifier systems. Translated to normal language; ICANN administrate the naming and numbers of Internet. Naming is basically various top-level domain names, like .org, .net, .info and so on. These top-level domain names exists because ICANN approved them, on the basis of lots of discussions (and a highly expensive application round). ICANN (through IANA) also administers Internet numbers, like IP-adresses, by allocating these resources further “down the line”. In addition, ICANN coordinates the operation and evolution of the DNS’s root name server system. I’m not going into what root servers are now, but they are extremely important to make Internet work.

Every year, ICANN holds this massive meeting, which is free to attend, in various locations world wide. ICANN consists mainly of people “in the business”. ICANN has a lot of advisory groups and connected interests. They are governed by a board of elected individuals, and different groups and forums consisting of more or less selected people.

To participate in ICANN, and if you are not naturally a part of any other of the massive amount of advisory groups, ICANN also have a “all the rest”-grouping, called At-Large. Individuals from Civil Society comes under this, as the advisory groups mostly are people who work with domain names, or governments, or the technical community. The At-Large group could obviously become rather large, so it is divided into regional groups. The European at-large Organization is called EURALO.

IETF is the standards-organization of the Internet. Their mission is to “make Internet work better by producing high quality, relevant technical documents that influence the way people design, use, and manage the Internet.” These documents, Request for Comments – RFCs, describes everything from how technology works to what IETFs role is. The RFC are generally called “standards”, and are the backbone of how Internet is connected. One of the most important philosophies of IETF is an open Internet, where all the information about how things are connected should be accessible to all. Most of the activity of IETF is organized in working groups online. There are no formal member lists or membership fee, everyone who is interested may participate.

W3C is another organization who focus on standards, but W3C is an organization which focuses on the World Wide Web. Their mission is to “lead the World Wide Web to its full potential by developing protocols and guidelines that ensure the long-term growth of the Web.” There is a membership fee. The organization was formed by the legendary sir Tim Berners-Lee who invented how the Web could work, and decided to just let the knowledge be public – thus being maybe the one person who made sure the Internet got it’s popularity. W3C is highly involved with research activities.

RIPE NCC is a coordination centre for allocation of IP-addresses. RIPE NCC is a regional Internet registry (RIR), one of the recipients of the IP-addresses allocated from IANA. They are also the administrative nexus of the independent discussion forum RIPE (RIPE79, RIPE80 and so forth). These meetings happens usually twice a year. Tickets for the RIPE-meetings have various prices (student-ticket, day- or week-ticket), but practically all of the presentations are available online at the website after the meeting. Between the different meetings, people are welcome to participate in online working groups. Worth noting is also that the RIPE-meetings offer childcare in cooperation with Holiday Sitters for attendees.

Internet Society (ISOC) is an organization for people who use Internet. End users. The mission is to “support and promote the development of Internet as a global technical infrastructure, a resource to enrich people’s lives, and [to be] a force for good in society.” The organization is open to all, and organized in geographical chapters. Some chapters have a membership fee, some do not. The Norwegian Chapter of Internet Society does not have a membership fee. The organization was originally formed as a legal umbrella-organization to protect the work of IETF, leaving IETF to do their technical stuff, and having ISOC as a shield around them. The ISOC dabbles in various issues such as Internet blocking and filtering, infrastructure, availability etc. Something for everyone. (As a side-note, this organization was what introduced me to Internet Governance).

I included the World Economic Forum in this short, not complete list of organization in Internet Governance, to show the variations of organization. The WEF is a foundation who arrange an annual meeting, usually in Davos. Their main concern is the public-private cooperation. This is an organization for super-rich companies and government leaders. Not something everyone may participate in. But they have som really interesting papers concerning Internet coming out every now and then, and one of their project, in which they have a continuous focus on, is Internet for all. The Internet for all-project boasts about having launched four operational country programs in Rwanda, South Africa, Argentina and Jordan, and attracted significant financial and human resources to support these country-level efforts. This is quite in line of the core definition of Internet Governance, and thus shows clearly that “Internet Governance” is not excluded to Internet-only organizations at all.

We are now at the end of this “written talk”. Please leave a comment if something is unclear, there are spelling-errors, or if you wonder about something else Internet-related you would like me to write about.

Maja er på radioen

Jeg skrev en bok om Internett for å øke allmennkunnskapen om Internett. Jeg måtte lære meg hvordan Internett fungerte ved å spørre, masse, grave og lese, og jeg tenkte jeg skulle lette den veien for andre ved å skrive denne boka.

Men å skrive en bok holder ikke. Jeg må også få folk til å snakke om Internett, diskutere det med en grunnleggende kunnskap om hvordan Internett henger sammen når man diskuterer. Og da må jeg inspirere til samtale. Altså, ikke nødvendigvis jeg, hvem som helst kan jo åpne for og inspirere til, å snakke om Internett. Jeg liker å ta den jobben, er vel det jeg mener.

For å inspirere til samtale må jeg ha en plattform hvor jeg når frem til folk jeg ellers ikke ville nådd frem til. Og hvem skal gi meg en plattform? Vel, drømmen har jo alltid vært å få lov til å prate på selveste pratemediumet, radio. Jeg hører mye på radio. Jeg har det fra min far, som pleide å gå rundt med en batteridreven radio han hadde med seg fra rom til rom (ett av mine ufravikelige krav når jeg skal gå til anskaffelse av ny radio er den dag i dag at den må være mulig å være batteridreven sånn at jeg kan ta den med meg hit og dit). Og hvilken kanal er vel bedre å prate på, enn NRK P2?

For at folka i P2 skulle innse at jeg finnes, og at jeg har masse spennende å snakke om (Internett er et rimelig stort felt), så sendte jeg i høst ut en pressemelding til et par programmer, da jeg ga ut boka. Jeg fikk svar fra en produsent i ett program om at det var interessant, og hun ba om å få et lesereksemplar. Jeg løp til Marienlyst (gikk i rask gange) og leverte fra meg boka samme dag. Så hørte jeg ikke noe.

Men det var greit nok, jeg hadde ganske mye å gjøre med å pakke og sende bøker som ble solgt, forberede foredrag og ellers være meg. Og mens jeg er meg (noe som det siste året har involvert en god dæsj å være primæromsorgsperson for baby), hører jeg på radio. En dag var det Internett-relaterte greier på Ekko, de snakket om algoritmer. Jeg synes det var skikkelig gøy å høre på, og tenkte uskjemmet at “her har jo jeg innspill, og de vil sikkert ha dette innspillet”. Jeg sendte en kort mail hvor jeg skrev en takk for spennende program, og her er forresten et blogginnlegg jeg har skrevet om algoritmer (Maja tester algoritmer på Snapchat). Ingen respons, men det var helt på tampen av programmet, og jeg tenkte ikke noe mer på det.

FØR JEG PLUTSELIG FIKK SPØRSMÅL OM Å SNAKKE OM INTERNETT I EKKO, på svaret på den e-posten om algoritmer. Ekkos Martin Jahr takket pent for boka (som tydeligvis hadde kommet til han), og lurte på om jeg ville komme på lufta.

Da jeg fikk den forespørselen ble det veldig klart for meg at dette vil jeg skikkelig mye. Ofte når jeg blir spurt om å gjøre noe jeg ikke har gjort før, pleier jeg å måtte tenke meg om litt først. Jeg tar en rask “hva vil det innebære, hvordan vil det gjennomføres, hva blir konsekvensene hvis jeg gjør, hva blir konsekvensene hvis jeg avslår og så videre”-vurdering. Rimelig slitsomt og lett for å grave seg ned i en angstgrop. Men på dette svarte jeg bare umiddelbart

“Ja!”

Og det var det. Litt planlegging frem og tilbake, og flere runder med det jeg oppfattet som “er det sikkert at hun faktisk dukker opp”-sjekk, så sto jeg i venterommet på radioresepsjonen på Marienlyst og kikket på kunsten de har der.

Jeg ble hentet av min Martin Jahr, vi gikk langt og lengre enn lengst (det er overraskende mange ganger, dører, svinger og pågående innspillinger på NRK-bygget), og jeg ble vist inn i et rom. Jeg ba om kaffe, og flere folk – jeg aner ikke hvem de var, for når sant skal sies var jeg litt nervøs og fikk ikke med meg noen navn – kom med innspill til ting som ville være interessante å ta med. Der sto jeg med mitt notatark fylt med sammenhenger fra personlig bruk til infrastruktur og teknologi, og innså at de egentlig ville ha meg til å snakke om juss. Men jeg fikk kaffe og tenkte at det går nok godt. Juss relatert til Internett er jo også Internett, på en måte.

Så inn i opptak, og det var veldig hyggelig. Vi prata, og plutselig var vi ferdige. Kaffen var blitt kald (men kaffe er kaffe, så jeg tylla den i meg før jeg reiste meg). Martin Jahr spurte hvordan jeg synes det hele hadde vært, og jeg ble med ett veldig bevisst på alle de gode poengene på notatarket mitt som vi ikke hadde vært inne på i det hele tatt. Men i løpet av intervjuet spurte han jo om jeg kunne tenke meg å komme tilbake, gjorde han ikke?

Jeg hadde egentlig lyst til å sende han en e-post med en gang jeg kom hjem for å begynne å planlegge neste innslag, men jeg stanset meg selv. Jeg ville sjekke reaksjoner først. Hva om noen kom med en krass kritikk og… latterliggjorde meg? Denne enorme gnagende hamsteren som sitter der og gjør meg skikkelig redd for å få kjeft. Den er der, selv hos trassigkopper som meg.

Ingen krass kritikk kom. Et par (gode venner) ga tilbakemelding om at dette var helt topp, men selv om jeg setter veldig pris på heiarop, stoler jeg aldri på venner når det gjelder å kvalitetsvurdere ting jeg gjør. Et par mer fjerne bekjente sa også at de hadde hørt meg, og at de synes det var interessant. I det store og hele har det ikke vært mange reaksjoner. I hvert fall ingen bølge av negative troll.

Så nå skal jeg rett og slett sende han Martin en e-post med det samme, og si at jeg har lyst til å komme tilbake hvis de vil ha meg. Man har ikke nådd frem med budskapet før man får en bølge av negative troll mot seg. Og jeg vil nå frem med budskapet mitt slik at ALLE kan forstå mer av hvordan Internett fungerer.

PS: Her er link til EKKO-episoden 04. mars 2020, og du finner meg sånn rundt 01:11:00

2020-03-02 15.44.05

Martin Jahr fra Ekko og meg, i Ekko.

 

Maja sin presentasjon på Internettforum 2019

Onsdag 20 november 2019 var det nasjonalt Internettforum i regi av Norid. Årets tema var “Digital tillitskrise?” Dette var fjerde året Internettforum ble arrangert, og som jeg tidligere har nevnt, så sto jeg på plakaten i år.

Ikke alle kunne dra dit, men siden jeg ikke sover lengre (baby + søvn, en dårlig kombinasjon, ikke ukjent for mange), bruker jeg mer tid på å forberede meg godt til når jeg skal presentere offentlig, både lanseringsfesten og Internettforum ble grundig planlagt og nedskrevet hva jeg skulle si. Så for å ikke la dette gå til spille, tenkte jeg rett og slett å bare legge presentasjonen her, med illustrasjoner og alt. Værsågod – dette var det jeg planla å si, redigert litt for å se bedre ut på blogg, men fremdeles notater for en muntlig presentasjon.

DET ENKE ER OFTE DET BESTE – ELLER…?

Hei! Mitt navn er Maja Enes. Jeg er utdannet samfunnsviter, og jeg skal nå fortelle dere litt om hva jeg synes om Internett. Det vil si, jeg skal egentlig si litt om hva jeg synes om at folk ikke kan så mye om hvordan Internett fungerer. Det er nok av samfunnsvitere som har meninger om Internett sånn på et generelt basis, men jeg er altså opptatt av at folk skal forstå Internett, og med det mener jeg særlig at folk skal forstå Internett infrastruktur og administrasjon.

Hvorfor skal jeg, en enkel samfunnsviter uten noen større akademiske meritter, begynne å snakke om Internett for dere? For å svare på dette, skal jeg veldig raskt gå inn på hvilken reise jeg har vært gjennom de siste fem årene, som endte i at jeg skreiv den boka der, med den treffende tittelen Interentt Internett Internett. Ble gitt ut i oktober.

Jeg jobbet på NAV, som så mange andre med en samfunnsvitenskapelig utdanning. For å få litt variasjon i livet, søkte jeg meg inn til å jobbe med softwaretesting, og etter noen måneder som funksjonell tester søkte fikk jeg et vikariat som testleder på Politiets IKT-tjenester. Jeg er flink med data, til samfunnsviter å være. Samtidig dro jeg på noen internasjonale treff for Internet Society. 

Internet Society er en global organisasjon som jobber for å holde Internett fritt og uavhengig, blant annet er det en juridisk paraplyorganisasjon for IETF, som jobber for å utvikle standarder på nett. I tillegg har Internet Society inntil nå vært registrarer for .org-domenet. Men det selger de nå. Internet Society er også kjent som ISOC, og ISOC Norge sitter her ved Salve.

I min tid tenkte jeg at «et fritt og åpent Internett» handlet om ytringsfrihet og sånn, og det er viktig for meg, som tross alt er samfunnvsiter. Det viste seg derimot ganske kjapt at jeg var litt på tynn is, og Internet Society er hakket mer teknologisk enn jeg hadde sett for meg. 

Fra naivitet til kunnskap

Jeg har aldri vært redd for å lære nye ting, så jeg tok Wikipedia fatt og “skulle bare lære meg litt om Internett”.

Det finnes overraskende mye informasjon om Internett på Internett, men mye av informasjonen er helt uforståelig for meg som en skarve samfunnsviter. Så jeg spurte folk. Og jeg gråt i frustrasjon, og jeg fikk grått hår. Jeg klagde og sutret om at alt var så uoversiktlig til alle som ville høre på. Og jeg begynner å se konturene av noe viktig.

Jo mer jeg lærte, og jo mer jeg innså, jo mer stressa ble jeg. Det var ikke egentlig informasjonen om hvordan Internett fungerer som gjorde meg stressa. Det var at jeg kunne så lite. Jeg, som tross alt er ganske flink med data – til samfunnsviter å være – jeg trodde jeg kunne ganske masse. Og folk jeg snakket med kunne overraskende lite de også. Det vil si, mange kan noe, men det er ikke så mange som har breddeforståelsen av hva som skal til for at Internett fungerer. De har kunnskaper i sitt felt, men ikke ut over det.

I vår digitaliseringshverdag finner vi stadig på nye og lure måter å bruke Internett på. Men jo mer jeg lærte om hvordan Internett fungerer, jo tydeligere ble det for meg at de aller fleste av oss vet ikke hvordan Internett fungerer – og dette stressa meg.

Internett blir stadig mer brukervennlig. Det er ikke bare algoritmene som forenkler hvordan vi bruker nettet, og hvilke applikasjoner vi bruker, men fremgang i teknologien. 

Hva er Internett?

Jeg går kanskje litt fort frem. Jeg ønsker å definere begrepsbruken min. «Hva er Internett» ble jeg spurt for fem år siden. «Internett er der man leser e-post og ser på nettleser og spiller spill og sånn» svarte jeg da. Nå som jeg er mye klokere og mer kunnskapsrik, så definerer jeg Internett helt annerledes. 

Internett er definert i OSI-standarden som et verktøy bygd opp av 7 lag. De forskjellige lagene representerer forskjellige funksjoner og kommunikative metoder som gjør at Internett til syvende og sist fungerer. Det nederste laget består av fysisk infrastruktur, som kabler og signaloverføring via for eksempel lys. Så er det en hel masse ting som skjer med nettverk og rutere og alt mulig, og øverst i lag 7 finner vi applikasjonslaget hvor man leser e-post, ser på nettlesere og spiller spill og sånn – det jeg trodde var Internett før. Internett er hele verdikjeden. Internett er altså mer enn bare det vi forbrukere eller sluttbrukere befatter oss med. 

En annen viktig begrepsavklaring er hva slags nettverk vi bruker. Internett er organisert som et distribuert nettverk. Det vil si at det har ikke noe spesifikt punkt som bestemmer. Internett bestemmer selv over seg selv, på den måten at alle de forskjellige nodene må samarbeide, ellers går det ikke. Denne metoden å samarbeide på blir kjennetegnet med røff konsensus og nedenfra-og-opp-perspektiv. 

Teknonologien internett, å sende pakker over et nett,  er ikke alene nok for å kalle noe Internett. Internett – og jeg driver og iherdig argumenterer for at det skal skriver med stor I fordi det er et egennavn – er det internettet vi har skapt ved at alle er koblet på. Utenom Nord Korea, da, som har sitt eget, Kwangmyong

Det er utfordringer med Internett

Altså, 7 lag og distribuert nettverk. Hva er problemet med at folk ikke kan om hvordan Internett fungerer? 

Det er utfordringer med Internett. Det finnes mye dritt på Internett. Internett er ikke bare full av folk som er snille og glade og ønsker å være konstruktive og bruke vitenskap til å føre samfunnet videre. Internett er åpent og globalt, med de utfordringer det medfører. 

Selv om Norge er et land med høy digital kompetanse, er vi ikke fri for at privatpersoner stadig vekk trør feil. Jeg tror ikke kunnskap om at Internett har 7 lag og at det er et distribuert nettverk skal komme til å løse dette, men det handler om å ha kunnskap som gir en ryggmarksrefleks. 

  • Du skrur på to-trinns-autentisering der du kan, selv om det betyr at det tar litt lengre tid å logge seg på.
  • Du takker nei til bruk av informasjonskapsler der det går an, selv om det betyr at du må takke nei til informasjonskapsler neste gang du er på samme nettsted. 
  • Når du implementerer en ny digital løsning så har du sikkerhet i fokus, selv om det betyr at løsningen blir dyrere og det blir mer jobb å legge inn informasjon før bruk. 
  • Du er ikke redd for 5G.

Disse ryggmargsrefleksen kommer ikke av å bli fortalt, gang på gang, at det finnes folk som vil svindle deg over e-post. Hadde det hjulpet, ville man fått bukt med at folk setter seg i kredittkortgjeld fordi de sender stadig større summer til noen de tror er sin venn i nød. Folk slutter ikke å røyke fordi noen sa til dem at du kan få kreft av å røyke. Ungdom begynner aldri å røyke som ryggmargsrefleks fordi røyking er farlig.

Steg for steg kommer derimot dårlige menneskers bruk av Internett til å påvirke hverdagen til folk. En handling krever en reaksjon. Og noen reaksjoner er gode, noen reaksjoner er dårlige, og noen reaksjoner burde aldri ha vært nødvendige. 

Problemer oppstår ikke bare på privat basis ved at folk ikke har en grunnleggende kunnskap. Utfordringer kommer fordi folk følger med i tiden. De skal ha enkle og kjappe løsninger, vi begynner å bli vant med at «de fikser det». Vi har alt for mye tillit i dette landet. Normalt sett er det en bra ting, jeg liker det. Men Internett er globalt, vi må skjerpe oss. 

Veldig mange utfordringer bør vi aldri komme opp i. At en av Stortingets tjeneste-telefoner drar til Iran handler ikke om vond vilje. Det handler om malplassert tillit. 

Jeg mener ikke at Internett er en dårlig ting, men vi må la det komme innover oss at dette er en global greie, og det er ikke sunt for oss som samfunn at vi ikke har kunnskap nok til å unngå å  gjøre grove feil, og det er ikke sunt for Internett som teknologi at vi ikke skal ha kunnskap nok til å imøtekomme utfordringer med konstruktive og gode løsninger.

Jeg skal komme med eksempler på hva jeg mener. 

Eksempel 1: DNSSEC

Mitt første eksempel er DNSSEC. Dette er et sikkerhetstiltak, ett av mange, som vi finner på Internett. Det er en funksjon som beskytter navnetjenere for å sikre at navnetjenere ikke blir overstyrt, men at nettverket kun stoler på navnetjenere som er godkjente med nøkkel. DNSSEC er litt styr å implementere, og ikke alle bruker det. Faktisk så er det veldig mange som IKKE bruker det. De tenker kanskje at så viktig kan det vel ikke være, det finnes jo andre sikkerhetstiltak. 

Men igjen. Det finnes andre sikkerhetstiltak for nettsteder, og det finnes også et teknisk community som hadde oppdaget en feil ved DNS sånn ikke alt for seint. Vi kan ha tillit til at de andre sikkerhetstiltakene virker, og vi kan ha tillit til communitien, men da bør vite at det er det vi har tillit til, og ikke bare trekke lua over øynene og tenke at det vi ikke vet har vi ikke vondt av.

Men hva kan folk gjøre med det?

Veldig mange som har nettsider på Internett bruker en eller annen form for nettsidebygger, og veldig mange hoster også nettsiden sin hos den nettsidebyggeren, for det er så enkelt og greit. Alt i ett, lissom. De kan sikkert fikse domenenavn også. Men å hoste hos disse store selskapene vil mer eller mindre bety det samme som å akseptere at man ikke får DNSSEC. wordpress.com er veldig tydelige på at de kommer ikke til å tilby DNSSEC. wix.com har en poll på om de skal tilby det, jeg aner ikke hvor lenge de har hatt den pollen gående. Shopify tilbyr DNSSEC – for 500 ekstra dollar, jeg vet ikke om det er i måneden eller en engangssum. Squarespace fant jeg ingen informasjon om, så selv om jeg trekker frem wordpress.com som en aktør her, er de slettes ikke alene om å ikke være interessert i DNSSEC.

Om man synes dette er viktig, så kan man velge hostingleverandør som tilbyd DNSSEC. Man kan fremdeles bruke nettsidebyggeren, men man bruker en annen hosting. Dette krever at man kan litt, først og fremst må kan vite hva hosting er, og hva man trenger av en hostingleverandør, men man må også vite at det finnes noe som heter DNSSEC, og man skal jo helst ha tatt et informert valg om at det er noe man vil ha. 

Eksempel 2: IPv6

Et annet eksempel på jeg vil se på er IPv6. Som forhåpentligvis alle her vet, er IPv4 en uttørket ressurs. Det er rimelig mange flere tilkoblinger på Internett enn man forutså back in the Day da Internettprotokollen ble skapt. Og så har man da oppgradert adresseringen, og nyeste versjon er IPv6, som det finnes så mange av, at alle internett-tilkoblinger kunne fått en adresse og selv etter det hadde vi hatt mange flere igjen.
Men en utfordring er at ingen vil slutte å bruke IPv4. En videre utfordring er at IPv4 og IPv6 ikke kan kommunisere direkte sammen, så så lenge noen nettsider er å finne KUN på IPv4, så vil IPv4 bli fortsatt å brukt. Og de blir brukt med en god dose kreativitet. Hvordan man deler opp en IP-adresse, eller hvordan man bruker den felles og så videre er ikke bare voldsomt kreativt, men det er også ikke veldig heldig. Hvor lenge kan det vare at man har brukt forskjellige gaffateip-løsninger? Hvem vet? Men hva kan folk gjøre med det?

En ting jeg kan gjøre er å bare tilgjengeliggjøre bloggen min på IPv6, og akseptere at jeg kanskje ikke får trafikk på min nettside. Om mange nok gjør det vil det minske nytten av IPv4, og når stadig færre sider blir å finne på IPv4, så er det kanskje ikke så vanskelig å velge det bort og bytte ut. Men det er ikke alle som kan bare ekskludere en stor del av potensielle lesere på den måten. De fleste sluttbrukere og privatpersoner er jo på Internett gjennom IPv4 fremdeles.

Dermed er tilstanden slik: IPv4 blir ikke byttet ut før alle begynner å tilby IPv6, og så lenge ikke alle tilbyr alt på IPv6, så… 

Dersom noen av oss velger å ikke tilby nettstedet vårt på IPv4 (som jo de fleste sluttbrukere er på Internett gjennom), kommer vi til et større problem med fremtiden til Internett. Det var dette vi skal snakke om nå som gjorde at jeg ble stressa og måtte trekke pusten og tenkte “dette burde alle vite, dette burde alle ha muligheten til å forstå”.

https://www.weforum.org/agenda/2016/04/10-forces-that-threaten-to-tear-the-internet-apart

Vi har nytte av Internett som et globalt og fritt verktøy, hvor informasjon vi kanskje ikke visste vi hadde lyst på ligger og venter på oss. Men fordi det også er en boltreplass for ting vi ikke liker, jobbes det stadig med å få kontroll over kommunikasjonen som skjer på Internett. Denne kontrollen kan være styrt av styresmakter som vil hindre ulovligheter, det kan være at folk ber om og ønsker for eksempel et generelt pornografi-filter. De konsekvensene man frykter er at man vil legge så mange føringer og teknologiske sperringer at man til slutt ender med en balkanisering av Internett – altså en oppdeling i flere internetter, ikke lengre egennavnet Internett. 

Min informasjon er ikke det samme som Annie i Australia eller Tim i Kanada. Krav om innhenting av informasjon, blokkeringer av nettsteder eller generelt uvilje mot Internett fordi det finnes kjipe ting som blir spredd, delt og fortært – i verste fall er selve Internett i fare. Om det blir for mange begrensninger, vil da de som står for begrensningene si at vi like godt kan lage et eget internett, på lik linje som Nord Korea har gjort, eller vil det være noen som ser nytten i å begynne å tilby Internett 2.0 – et Internett som ikke er ødelagt av historien så langt, men som heller ikke er en del av det Internett vi kjenner i dag, Et helt nytt Internett med en helt nytt rotnavnesysten – enten “off the grid”, med rene økonomisk motiverte interesser, eller fra statlige aktører med et propagandabehov. Er det på noen måte ønskelig?

Om Internett blir delt, om det så er enten fra statlig vilje, kommersielle interesser (som walled gardens), eller kriminelle baktanker, så er likevel resultatet der: Internett blir ødelagt om det blir delt opp.

Fremtiden

Vi er ikke der enda. Mange mener til og med at noe fragmentering av Internett aldri kommer til å skje, Internett er for komplekst, og det er for mange involvert i prosessen rundt det å bygge og utvikle Internett. Internett er dessuten i utvikling hele tiden. DNSSEC er ikke nødvendigvis så viktig lengre, fordi man begynner å se på mulighetene for å sikre DNS direkte i nettlesere, eller sikre DNS over sikkerhetssertifikatet TLS og så videre.

IPv4… Ja, det er faktisk krise – men enn så lenge fungerer det jo på en måte. Mange tilbyr nettsteder på IPv4 og IPv6 samtidig (dual stack), og alle må jo over på IPv6 etter hvert.

Fremtiden er hva vi skaper den til å bli, og jeg vil gjerne at Internett fortsetter å være et bra sted. Jeg tror ikke vi kan klare det på å legge all vår tillit til at disse folka i Internet communitien fikser det. Vi må alle være med på å fikse det. Vi må få ryggmargsrefleksen i å forstå at Internett er bra, vi må utvikle det videre sammen i en retning vi ønsker, vi kan ikke lengre bare bli med på turen som passasjerer.

På mandag kom det nye læreplaner, og ordene «digitale ferdigheter» ble brukt hyppig. Elevene skal lære å bruke teknologi. Koding og programmering er også med i generell terminologi. 

https://www.udir.no/lk20/nat01-04/om-faget/kjerneelementer

Denne teksten er klippet fra beskrivelsen av naturfag. Det er viktig å lære mer digitale ferdigheter, og det er nok lurt å begynne tidlig med å lære koding. Koding kommer til å være en helt essensiell del av fremtidens arbeidsmarked, og det er helt naturlig at skolen tar inn dette. 

Men jeg synes selvfølgelig det er lite fokus på hvordan Internett fungerer. Det er bra å vite hvordan man skal bruke Internett, men det var dette med at applikasjoner bare er en liten del av Internett. Kunnskap om Internett infrastruktur er en helt essensiell del av fremtidens samfunn.

Skal vi fortsette at Internett skal ta så mye plass i samfunnet vårt – det er jo her mer eller mindre all kommunikasjon går, både privat og på arbeid, om helse og om økonomi, om skatt og om seksuelle preferanser – må vi ruste oss. Om vi skal kunne ha tillit til at dette verktøyet overlever den store påkjenningen det er at alle vil ha en mening om den, og alle vil gjøre lure ting, så må vi bare sette i gang og øke det allmenne kunnskapsnivået om Internett infrastruktur. 

Når vi gjør det, vil vi være i stand til å ta gode valg for Internett, gode valg for fremtiden, gode valg for kunnskapen, gode valg for samfunnet. Vi vil fortjene den tilliten vi allerede gir til Internett, fordi vi vil få en ryggmargsrefleks som sier nettopp hva som er trygg og riktig bruk, også i lagene under applikasjonen.

Takk for meg (jeg skal fikse dette med IPv6, jeg lover).

Maja tester algoritmer på Snapchat

18. februar oppdaterte Snapchat sine retningslinjer, noe som har gjort at Nettavisens  har skrevet en sak om at Grunde Almeland (fra Venstre, som jeg faktisk har skrevet om tidligere her på bloggen) har slettet appen.

Det Venstre-politikeren reagerer på i Snapchat sine nye vilkår, er at selskapet nå kan eie, selge videre og lage innhold basert på bilder og videoer fra brukerne.

Kan man lese i saken fra Nettavisen.

Dette er ikke en nyhet. At folk er kritiske til all innsamlingen og rettighetsfraskrivelsen man gjør når man bruker sosiale medier, er positivt. Jeg rullet en smule med øynene da flere store medier gjorde et poeng av at digitaliseringsministeren ikke hadde Facebook. Å velge bort Facebook, Snapchat og andre sosiale medier er ikke tegn på digital usikkerhet, det er et tegn på digital bevissthet.

Sier jeg, som er aktiv på Facebook, Snapchat og Instagram og som har kontoer på enda flere mer eller mindre sosiale medier. Jeg bruker plattformene bevisst. Dette er offentlig informasjon. Jeg er veldig restriktiv i hvor mye privat informasjon jeg deler. Snapchat er det mediumet jeg er mest privat i, og jeg har sånn ca 15 kontakter der.

Nok om meg. Snapchat har altså oppdatert retningslinjene, og i en Snapchatgruppe med tre venninner fikk jeg spørsmål om “stemmer dette virkelig?” i forbindelse med saken om Grunde Almeland. Først var jeg litt sånn “nei, dette er standard, du gir alltid fra deg rettigheter”. Og jeg begynte å snakke om det Snapchat definerer som “Offentlig Innhold” er ting du legger ut på MyStory som skal være “synlig for alle”:

Vi kaller Story-innsendelser som er innstilt på å være synlige for Alle, såvel som innhold du leverer til crowdsourcing-tjenester, inkludert Our Story, for “Offentlig innhold”.

Litt lengre ned spesifiserer Snapchat hva de vil gjøre med “Offentlig Innhold” (understrekingen er mine, og jeg har lagt til det som står i kursiv):

Fordi Offentlig Innhold i seg selv er offentlig og av offentlig interesse, er lisensen du gir oss for innhold som sendes til disse tjenestene mer omfattende. I tillegg til å gi oss rettighetene nevnt i forrige avsnitt (altså “en verdensomspennende, vederlagsfri, underlisensierbar og overførbar lisens til å være vert, lagre, bruke, vise, reprodusere, modifisere, tilpasse, redigere, publisere og distribuere innholdet for så lenge du bruker Tjenestene.”), gir du oss en evigvarende lisens til å lage avledede arbeider fra, promotere, utstille, kringkaste, syndikere, offentlig fremføre, underlisensiere og offentlig vise Offentlig Innhold i enhver form og med enhver medie- eller distribusjonsmetode (nå kjent eller senere utviklet).

I den grad det er nødvendig, når du er med i, oppretter, laster opp, legger ut, eller sender Offentlig Innhold, gir du også Snap Group Limited, Snap Inc., våre datterselskaper og våre samarbeidspartnere, en ubegrenset, verdensomspennende, evigvarende rettighet og lisens til å bruke ditt navn, skikkelse og stemme, også i sammenheng med kommersielt eller sponset innhold. Dette betyr blant annet at du ikke har krav på kompensasjon fra Snap Group Limited, Snap Inc., våre datterselskaper eller våre samarbeidspartnere hvis ditt navn, skikkelse eller stemme overføres gjennom Tjenestene, enten på Snapchat-applikasjonen eller på en av våre samarbeidspartneres plattformer.

Men hun ville ikke gi seg. Hun var usikker. Så jeg gikk inn og kikket litt nøyere på det første avsnittet som jeg bare skummet første gangen. Og rett under definisjonen av Offentlig Innhold kommer det litt mer tydelig frem:

For alt innhold du sender til Tjenestene annet enn Offentlig innhold, gir du Snap Group Limited, Snap Inc. og deres underselskaper en verdensomspennende, vederlagsfri, underlisensierbar og overførbar lisens til å være vert, lagre, bruke, vise, reprodusere, modifisere, tilpasse, redigere, publisere og distribuere innholdet for så lenge du bruker Tjenestene. Denne lisensen har alene det formål å drive, utvikle, levere, markedsføre og forbedre tjenestene samt utforske og utvikle nye.

Altså. Offentlig innhold kan du bare glemme å tro du har noe medbestemmelsesrett på hvordan det skal brukes. Har du offentlig profil eller sender offentlig informasjon på Snapchat, vil Snapchat eller deres samarbeidspartnere (som er mange) kunne bruke både bildene dine og navnet ditt. For alltid og alltid.

Privat innhold kan også brukes – blant annet i markedsføring, men kun for Snapchat og deres egne underselskaper. Dessuten er det ikke snakk om å knytte innhold opp mot (identifiserbar) person, slik retningslinjene står nå.

Diskusjonen i den lille private gruppen på Snapchat dreide seg mot rettet reklame og at Snapchat skal tjene penger. Spør du meg om “de onde hensiktene til sosiale medier” så får du svar: Hensikten er at de skal tjene penger. Vær bevisst på hva du ikke ønsker de skal vite. Bedriv i verste fall desinformasjon. De kommer ikke til å gidde å lage individuelle profiler på deg, de bruker Big Data, de selger info som kan brukes av andre til markedsføring. Men de ønsker ikke å være kjip med sine brukere – da mister de jo det de tjener penger på. Det er lurt å være bevisst, men det er ikke nødvendig å være paranoid.

Hele denne gjennomgangen og diskusjonen rundt vilkårene på Snapchat gjorde meg nysgjerrig.  Hva skal til for at bilder i lukkede grupper blir til penger for Snapchat?

Jeg bestemte meg for å bruke denne lille gruppen med oss 4 som et eksperiment. Jeg unnskyldte meg på forhånd, og fortalte jeg kom til å sende dem bilder av biler fremover for å teste algoritmen. Hvor effektivt kan Snapchat bruke informasjon i lukkede grupper til å tjene penger? Jeg så for meg ca en uke med to bil-bilder om dagen før Snapchat tolket det slik at jeg plutselig har fattet interesse for biler og derfor sannsynligvis er i markedet.

Jeg begynte på mandag. På vei til barnehagen tok jeg et bilde av en hvit Volvo forfra. “Hvit volvo” var teksten jeg skreiv. På vei fra barnehagen tok jeg bilde av en sølvgrå Nissan. “Sølvgrå Nissan” var den originale teksten til det bildet. I går, tirsdag, holdt jeg på å glemme hele greia, men på kvelden i et parkeringshus snappet jeg et bilde av en sort Landrover. Jeg tipper dere selv kan gjette hva teksten til dette bildet var. Det ble med denne ene bilen i løpet av tirsdagen.

På vei til sengs på tirsdagen, mens jeg sitter på do (jeg sitter med telefonen på do som alle andre, la oss slutte å late som om vi ikke gjør det), kommer det. Både Facebook og Instagram gir meg bilreklamer:

Tre bilder på en lukket gruppe på Snapchat gjennom to dager gjør at jeg får reklame for biler på andre sosiale medier (mens Facebook eier både Instagram og WhatsApp, så er Snapchat en konkurrent).

Jeg har ikke gått vitenskapelig til verks her. Jeg har hatt en hypotese og bekreftet den istedenfor å finne design som skal avkrefte den, for eksempel. Det kan også være tilfeldig at jeg plutselig får bilreklamer. Det kan være at det bare er nå jeg legger merke til bilreklamer – jeg tror jeg ikke har sett noen før nå, men kanskje jeg bare har scrollet forbi dem fordi jeg faktisk ikke er i markedet for å kjøpe bil.

Men jeg tror ikke det. Det er mer sannsynlig at Snapchat er en effektiv pengemakemaskin enn at jeg gir subtile hint til verdensrommet at jeg har et forsøk gående angående bilreklamer.

Jeg hadde derimot “håpt” å få google til å gi meg noen reklamer også siden jeg først var i gang med dette prosjektet, så jeg skal prøve noen dager til. Jeg innser derimot utfordringen når jeg for tiden stort sett googler ting som “fylte auberginer” eller “vondt i ryggen gravid”, og det kan være litt vanskelig å koble opp mot bilreklamer.

Gjør dette at jeg kommer til å slutte med sosiale medier?

Nei. Jeg liker tjenestene for godt. Jeg vet at innsamling av data skjer. Jeg velger å forholde meg til det istedenfor å ta avstand til det. Jeg tar aktive valg om å være restriktiv hva jeg deler (bortsett fra når det gjelder katten – hun blir i høy grad eksponert på sosiale medier), jeg trykker “like” på ting jeg vil se mer lignende av fordi jeg vet min aktivitet blir sporet. Jeg dropper å trykke like på ting jeg liker men som jeg ikke gidder å se lignende ting av. Jeg bedriver i tillegg halvhjertet og sporadisk desinformasjon ved å forskjellig fødselsdato, forskjellig kjønn og så videre, på forskjellige kontoer.

Jeg er ikke redd for Big Data – informasjonen om meg som blir samlet for reklameformål. Jeg tror rett og slett ikke at meg og mine preferanser er viktige nok til at noen skal ta seg bryet med å isolere meg og min person fra det formålet innsamlingen egentlig har – nemlig å tjene penger for Snapchat (eller andre).

MEN. Det er et men her. I en litt mer engasjert fortid pleide jeg å proklamere at det man poster på sosiale medier er det man er villig til å gå i fengsel for å mene. Jeg argumenterte for at ved en eventuell rask samfunnsendring (revolusjon, som det også heter), så vil rettigheter vi tar for gitt i dag bli ulovlige i morgen. Man burde derfor tenke nøye over hvordan man ser ut i sosiale medier. Jeg innser nå, som jeg er litt eldre, at det jeg egentlig var, var en forkjemper for nedkjølingseffekten. Og den er jeg jo imot. Jeg støtter de som velger å ikke bruke sosiale medier, og hadde det ikke vært for at jeg som sagt liker tjenestene, så hadde jeg også droppet det.

Uansett er jeg imponert over hvor raskt Snapchat fikk til å tjene penger på min private samtale. Algoritmene er insane, må vel konklusjonen være.

53323493_435034010568034_4624633528053661696_n

Ikke en av bildene av biler som jeg sendte.

Maja mener noe: Digitaliseringsminister

Man skal mene noe for at folk gidder å høre på deg, ble det sagt her angående sosiale medier. Og da får jeg mene noe da (i min typiske “vi får vente og se hva som skjer”-holdning, men med litt bakgrunnsinfo). For dere som ikke gidder å lese, så er jeg positiv til ny digitaliseringsminister, positiv til Nikolai Astrup, men litt spent på hvor ansvarsområdet hans ligger.

Norge har fått en digitaliseringsminister. Dette er ikke for tidlig, men bedre seint enn aldri. Hva mandatet til denne stillingen blir er uklart for meg (men det ser ut som om Marius Jørgenrud i Digi.no vet litt mer enn meg).

Stillingen digitaliseringsminister er underlagt Kommunal- og Moderniseringsdepartementet. Dette er ett av departement som involverer seg med Internett i Norge. Andre departement er Forsvarsdepartementet (som jobber for en sterkere overvåking under tittelen “digitalt grenseforsvar”), Kunnskapsdepartementet (som enn så lenge har ansvar for UNINETT, som igjen er overordnet NorID, som administrerer .no-domenet), og ikke minst Samferdselsdepartementet (hvor NKOM er underlagt, som blant annet fører tilsyn med Internettleverandører i Norge). Og da har vi ikke gått innom Kulturdepartementet (Kultur- og Likestillingsdepartementet?) med deres fokus på åndsverksloven, Nærings- og Fiskeridepartementet (som er tilknyttet Teknologirådet) eller Justis- og beredskapsdepartementet med deres fokus på alle former for lover og reguleringer i embetsverkets navn og så videre.

For min egen sjelero sin skyld har jeg hovedsakelig tenkt på Internett som administrert av hovedsakelig Kommunal- og Moderniseringsdepartementet, Kunnskapsdepartementet og Samferdselsdepartementet. Digitaliseringsministeren blir altså plassert under Kommunal- og Moderniseringsdepartementet.

La oss gå dypere inn i Kommunal- og Moderniseringsdepartementet. Vi fortsetter med å kalle det KMD.

Som alle andre departement, har KMD forskjellige avdelinger, og forskjellige etater. Den aktuelle avdelingen i KMD er Avdelingen for IT og forvaltningspolitikk. Følgende er deres mandat:

Avdelingen har koordineringsansvaret for forvaltningspolitikken og IT-politikken. Dette omfatter blant annet arbeidet med digitalisering og innovasjon i offentlig sektor. Avdelingen har også ansvar for etatsstyringen av Direktoratet for forvaltning og IKT (Difi). Avdelingen ledes av ekspedisjonssjef Jan Hjelle.

Under etater og Virksomheter i KMD finner vi blant annet Datatilsynet (et tilsyn – og et ombud – i personvernsaker) og Difi (Direktoratet for Forvaltning og IKT, som jobber med å digitalisere og samordne statlige organer).

Hovedfokuset på KMD sitt arbeid med Internett er altså anskaffelse/utvikling, bruk og forvaltning av IKT. Et viktig arbeid. Det skjer mye spennende innenfor digitalisering av offentlig forvaltning. Helsedepartementet, med direktorat for e-helse har sin egen avdeling for nettopp dette, konsentrert om helsesektoren, som fungerer godt. Hvordan ansvarsfordelingen mellom digitaliseringsministeren og E-helseavdelingen er litt uklart (for meg). Det har også vært større katastrofer i offentlig digitalisering som for eksempel Broadnet som utflagget arbeidet med nødnettet til India uten kontroll på tilganger og sikkerhet (en sak de til slutt måtte betale 11 millioner i bøter for). Med såpass viktig informasjon som finnes i offentlig forvaltning er det viktig at det ikke blir begått flere dårlige vurderinger som ble gjort i Broadnet-saken. Det er viktig og bra at vi ansvarliggjøring en som skal følge opp offentlige anskaffelser og offentlig bruk av digitale hjelpemidler.

Jeg vet det er tidlig i en digitaliseringsministers karriere, men det er flere ting enn ansvarsfordelingen rundt e-helse som er uklart.

Samferdselsdepartementet, som i all hovedsak er overordnet ansvarlig for infrastruktur, med NKOM og frekvensforvaltning, har også en essensiell jobb med Internett som all øvrig bruk av Internett er avhengig av. Dette vil vi alt fra datasentre til bredbånd. Disse være med i vurdering av muligheter for hvordan digitaliseringen av det offentlige Norge skal skje. Det hjelper ikke å ha gode systemer med gode utviklere, om all dataen blir lagret på en skyserver i utlandet. Hvordan blir ansvaret lagt i forbindelse med utviklingsmuligheter i infrastrukturen? Vil Samferdselsdepartementet fremdeles ha dette som fokus, og digitaliseringsministeren må forholde seg til at “forhåpentligvis” vil det være et godt samarbeid? Det er under 10 år siden Norge forspilte en historisk god sjanse til å huse CERN sine datasentre ved at ingen svarte da CERN sendte en direkte forespørsel til norske myndigheter om tilbud. Uten svar gikk CERN deretter ut globalt og endte med å plassere sine data i Ungarn. Slike muligheter, som i all hovedsak er koblet opp mot infrastruktur, og ikke offentlig digitalisering – vil dette være et ansvarsområde for digitaliseringsministeren? Det er for tidlig å si (ikke sterke meninger her altså, mer min typiske “vi får vente og se, og samle informasjon”-holdning).

Men når vi nå er direkte inne på Nikolai Astrup, så har jeg litt å si der og. Som utviklingsminister har han blant annet jobbet med digitale løsninger i utvilkingsarbeidet. I en uttalelse Astrup hadde i 2018 om mulighetene til teknologien, sa han blant annet:

Vi er midt i en digital revolusjon, og ny teknologi gir oss uante muligheter. Vi kommuniserer på nye måter, elever får moderne læringsverktøy, eldre får en enklere alderdom, og snart er kunstig intelligens en del av hverdagen vår. Men selv om den digitale utviklingen har ført med seg mye godt for oss, har vi ikke klart å utnytte teknologien i utviklingsarbeidet slik at også mennesker i verdens fattigste land får glede av den.

Han er ikke alene om å se dette. World Economic Forum la frem en rapport i 2015 hvor de ser på hvordan skillet mellom IKT-kunnskap skaper et skille mellom mennesker som får muligheten til økonomisk vekst, og de som blir holdt utenfor. Det FN-baserte møtet WSIS+10, også i 2015 pekte også på hvordan Internett og teknologi fostrer økonomisk vekst og hjelper folk ut av ekstrem fattigdom, mens det digitale gapet hindrer den samme utviklingen. Det er derfor smart å fokusere på digitalisering som utviklingsminister. Nikolai Astrup viste med dette at han var reflektert over løsninger på utviklingsfeltet.

Videre har det blitt et poeng av at Astrup som digitaliseringsminister slettet Facebook-kontoen sin i 2012. Flere medier rapporterte dette  som en nyhet (for eksempel Dagbladet), og jeg fikk inntrykk av at mange (journalister) synes dette var både rart og litt motstridende for en digitaliseringsminister å gjøre. Jeg synes dette er enda et positivt tegn.

Vi ser nå at de som er mest kompetente på Internett, nemlig de yngre – de i 20-årene, har en ganske restriktiv holdning til sosiale medier, og bruken synker. Det er den eldre garden som mest aktiv i å dele falske nyheter på sosiale medier og ha dårlig kildekritikk (amerikansk undersøkelse fra 2018). Personlig erfaring tilsier også at det er hovedsakelig de godt voksne som er mest aktive i kommentarfelt også. Sterke meninger. Høy bruk av sosiale medier vitner ikke om å være teknologisk oppdatert – det kan nesten virke som om det indikerer det motsatte. At Astrup i det minste har et reflektert forhold til dette med sosiale medier og personvern tar jeg som et godt tegn.

Dessuten vet jeg at det er en ganske sulten bransje som kommer til å henge over Astrup som harehunder på jakt, så han får nok ikke jobbe i stillhet uten innspill.

venndiagram

Illustrasjonsbilde: Template for venn-diagram fra draw.io. Jeg brukte så lang tid på å skrive dette at jeg ikke tok meg tid til å tegne noe bedre. Men dette minner litt om offentlig-Norges organisering av Internett.

« Older posts

© 2021 FRK. ENES

Theme by Anders NorenUp ↑