Bedriftsinformasjon i Prism – en mulighet for industrispionasje

Prism-avsløringene har i stor grad fokusert på personvern og hvordan personlig informasjon har blitt samlet inn, lagret og analysert. Men, er det egentlig bare personvernet som er truet av Prism? Har det ikke blitt samlet noe annet enn personlig informasjon? Er det kanskje et par bedrifter som burde ta en ekstra kikk på hvor og hvordan de lagrer og distribuerer data?

Personvern handler i bunn og grunn om kontroll på informasjon, eller kontroll på personlig informasjon for å være mer nøyaktig. Og slik kontroll er noe vi ønsker for andre type data også. Jeg kan tenke meg at de fleste ledere for børsnoterte selskaper ønsker å ha en viss kontroll med børsmeldinger før de blir offentlige. Det samme ønsker sikkert en forsker som er midt i en patent-søknad, eller en bedrift som akkurat har utviklet et nytt banebrytende produkt. Ja, jeg tipper at også NSA-topper (og hele statsapparatet) hadde ønsket kontroll på informasjon om sine egne overvåkningsprogrammer. Altså er personvern (kontroll på personlig informasjon) bare en spesialisering av informasjonskontroll.

Det er ganske enkelt å avfeie trusselen fra Prism-prosjektet med at de ikke hadde til hensikt å ramme bedrifter, men la oss isteden ta en kjapp analyse og se om resultatet blir det samme. Det er to ting som må være på plass for at Prism skal kunne utgjøre en fare for bedrifter: 1) Prism må få tilgang til bedriftsinformasjon, og 2) Noen med nødvendige tilganger i Prism må kunne misbruke informasjonen. Under redegjør vi kort for hvordan disse to parametrene kan oppfylles.

Hvordan kan Prism få tak i bedriftsinformasjon?

VoIP/chat: Skype er blant de mest brukte VoIP-løsningene i verden og ofte foretrukket framfor vanlig telefonkommunikasjon, spesielt når samtalen trenger videokommunikasjon og når den krysser landegrenser. De fleste større bedrifter har gjerne egne systemer for slike situasjoner, men det er mange bedrifter der ute som regelmessig benytter Skype som en effektiv og ikke minst billig tjeneste. Det er ikke utenkelig at noen av disse samtalene inkluderer bedriftsinformasjon, og gjerne også av den typen man helst ikke skal kaste rundt seg i tide og utide.

Filoverføringer: Cloud computing har for alvor skutt fart den siste tiden, men med Office 365 som en av de største aktørene er det grunn til å være litt betenkt. Microsoft er som kjent på lista over leverandører til Prism-prosjektet og dermed er det en viss fare for at alle sharepoint-dokumentene ligger klar for gjennomlesning av NSA. Det har riktignok så langt ikke vært nevnt eksplisitt, men når målet er å bekjempe terrorisme virker det ikke spesielt sannsynlig at å flytte kommunikasjonen til Office 365 skulle undra noen fra overvåkning. I tillegg skal etter sigende Prism utvides og da vil andre cloud-tilbydere antakelig stå høyt på lista til NSA.

E-post: Google, Microsoft, Yahoo og Apple er de aller største leverandørene av e-posttjenester. Og i motsetning til hva flere synes å tro, så er man ikke nødt til selv å bruke disse leverandørene for å bli implisert i Prism-prosjektet. Det holder at mottakeren av e-posten gjør det. Altså, hvis man sender en e-post (med bedriftsinformasjon) til en e-postadresse hos noen av disse tjenestetilbyderne vil innholdet i utgangspunktet være med i Prism-prosjektet. Her er det viktig å huske på at flere leverandører  tilbyr e-posttjenester på eget domene, slik at det slettes ikke behøver å være en e-postadresse som slutter med gmail.com  for at meldingen skal ende opp hos Google, og deretter i Prism.

Så, for å oppsummere: det er i alle høyeste grad mulig at bedriftsinformasjon havner i NSA-arkivet for analyse og lagring. Og med den forventede veksten i skytjenester vil det antakelig bare bli enklere i fremtiden.

Hvem i Prism kan misbruke bedriftsinformasjon?

Dette blir i stor grad spekulasjon, men det hindrer ikke at det både kan være morsomt og nyttig. Hvem har muligheten til å misbruke informasjon? Siden det er NSA som står for innsamling og analyse så er det jo også en mulighet for at de vil misbruke bedriftsinformasjon. Men det er antakelig litt i det konspiratoriske hjørnet å hevde at NSA driver utstrakt industrispionasje mot Norge. Når det er sagt, så var det for kort tid siden også konspiratorisk å hevde at NSA drev utstrakt overvåking av nordmenns internetaktivitet, så hvem vet? Men, la oss la denne muligheten ligge og se bort fra at NSA og statsapparatet til USA ønsker å misbruke bedriftsinformasjon, hvem andre kan tenkes å gjøre det? Overvåkingen i regi av NSA utføres i stor grad av private selskaper (Snowden jobbet for et slikt) noe som betyr at disse selskapene også har tilgang til informasjonen i Prism. Kanskje kan de videreselge eksperthjelp til andre selskaper, eller selv bli fristet til å gjøre en kule på børsen eller kommersialisere et lovende produkt? Men, noe slikt ville antakelig ikke bli applaudert i NSA og det ville være ganske vanskelig for et selskap å holde det skjult er nok dette også litt i det konspiratoriske hjørnet, så vi kan se bort fra dette også. Og da står vi igjen med svakeste ledd – de ansatte. Ifølge Snowden var det 90.000 mennesker som hadde rettigheter til all informasjonen i Prism, og som på fritt initiativ og uten godkjenning kunne søke i hele informasjonsbasen. Det er vanskelig å se for seg at det ikke skulle finnes minst ett råttent eple blant disse menneskene. En person som vil spe på statslønnen sin med salg av informasjon fra sin arbeidsplass. Eller én person som blir utsatt for utilbørlig press av bedrifter eller andre lands etterretningstjenester. Det er heller ingen grunn til å tro at ikke bedrifter skulle ønske å leie inn slike “konsulenter”. Så vidt vi vet har ikke Snowden fått betaling for informasjonen han har gitt The Guardian, men bortsett fra det er det akkurat dette som har skjedd. Informasjon ble tatt fra NSA og gitt til utenforstående.

Men det kommer jo ikke til å skje?

Nei, det er korrekt. For de aller fleste mindre foretak vil antakelig ikke bedrifsinformasjon fra Prism utgjøre noen reell risiko. Bedriftshemmelighetene til et enkelpersonsforetak innen web-design er det antakelig ikke så mange som har lyst å betale for. Likevel er det slik at PST i sin åpne trusselvurdering for 2013 peker på at industrispionasje mot norske forsknings- og teknologimiljøer er økende, spesielt innen olje og gass, maritim sektor og forskning/utdanning. Dette er presisert i “Trusler og sårbarheter 2013 – samordnet vurdering” fra E-tjenesten, NSM og PST, hvor det blant annet heter  “Eksempler på konkrete utsatte verdier er høyteknologi til petroleumsindustri, maritim industri, forsvarsindustri, samt sensitive økonomiske og politiske vurderinger”. I den samme rapporten finner vi også en beskrivelse av ulike aktuelle aktører (angripere) som “spenner fra statlige etterretnings- og sikkerhetstjenester, via tradisjonelle militære motstandere, globale næringsbedrifter, terrorist- og ekstremistgrupper til organiserte hackergrupper og enkeltpersoner”.

Det er altså ingen grunn til å avfeie trusselen uten videre. Hvorvidt det til syvende og sist oppleves som en risiko avhenger av hvilken bedrift det gjelder og hvor verdifull informasjonen som distribueres er. Det viktige er uansett at bedrifter tar inn over seg at muligheten er der og at konsekvensene kan bli store dersom sensitiv bedriftsinformasjon skulle finne veien fra en skytjeneste via Prism til en konkurrent. Er det lov å håpe på et oppsving for brukskontroll?