Annonse

Annonse

09:16 - 29. april 2016

«Vi garanterer deg konfidensiell behandling»

BOK & BIBLIOTEK: Bibliotekene outsourcer sine systemer. Er din informasjon trygg?

Hør førstebibliotekar Knut Hegna søke etter bombebøker i bibliotekets system på Morgenbladets podcast:

Bok og bibliotek

Artikkelen er hentet fra Bok og Bibliotek, en av samarbeidspartnerne i Morgenbladets tidsskriftportal. Du når magasinet på epost redaktor(at)xmag.no. Se mer fra over 30 norske tidsskrift i PORTALEN.

Bok og Bibliotek (etabl. 1933, som en videreføring av For folke- og skoleboksamlinger) tar opp temaer, trender og nyheter som angår bibliotek og bibliotekpolitikk - for eksempel nye arbeidsformer, teknologi, litteratur- og kulturformidling og bibliotekforskning.

Vi garanterer deg
- profesjonelt og imøtekommende personale
- konfidensiell behandling
- at tidsfrister overholdes

(Fra UBOs serviceerklæring)

Du sitter på forskerkontoret ditt. På dataskjermen har du artikkelen du arbeider med. Du søker etter artikler i kommersielle databaser og etter bøker i bibliotekkataloger for å drive din forskning videre. Du laster ned dokumenter og bestiller lån i trygg forvissning om at du arbeider i fred. Hvorfor skulle du ikke det? Biblioteket garanterer deg konfidensiell behandling. Heldigvis, for forskningstemaet ditt er både sensitivt og kontroversielt, kanskje venter et patent rundt hjørnet.

Les Universitetsbiblioteket i Oslos svar på kritikken.

Kontordøra glir umerkelig opp, en person kommer stille inn og kikker deg over skulderen, noterer alt du skriver og leser, hva du laster ned, hva du låner, hvem du samarbeider med. Du merker ingen ting, du kan ikke se hvem det er, personen er usynlig.

Er det virkelig mulig? Og hvorfor skulle dette skje? Denne type interesse for andres forskning kan være begrunnet i politiske, økonomiske, og andre forhold, f.eks. akademisk karriere. Fremmede makters etterretningstjenester driver spionasje av politiske og økonomiske grunner. Politiets sikkerhetstjeneste (PST) skriver for eksempel i sin trusselvurdering i 2016:

“Spionasje i det digitale rom er blitt en integrert del av fremmede sikkerhets- og etterretningstjenesters arbeid og utføres i stort omfang mot Norge og norske interesser.”

Du kan lese en lengre utgave av denne teksten på Universitetet i Oslos hjemmesider. 

I statusrapporten fra Forsvarets etterretningstjeneste skrives det om digitale trusler:

“Utviklingen er ikke begrenset til infrastruktur, industrielle prosesser og tjenesteproduksjon, men omfatter også meningsdannelse og sosial interaksjon.[… ] Etterretningsoperasjoner er i høy grad rettet mot politiske, militære, teknologiske og økonomiske mål i samsvar med nasjonalstatlige interesser.”

Forskningsresultater stjeles og brukes om igjen. Industrikonserner spionerer på hverandres forskning og utvikling.
    I pressekretser er det en økende forståelse for at kildevern har en side som ikke har fått oppmerksomhet: digital beskyttelse av kilden fra og med tipsøyeblikket til publisering. Nå nevnes også at pressen må ta grep for å sikre lesernes aktivitet, sikre at ingen tredjepart registrerer hva de leser.
    Når Universitetsbiblioteket i Oslo i sin serviceerklæring garanterer lånerne konfidensiell behandling, må det gjelde liknende forhold. Biblioteket må beskytte lånerne mot innsyn i hva de søker på, hva de låner, hvilke artikler de laster ned, osv. Men slik er det ikke. Bibliotekets garanti er uten fundament.

Biblioteket må beskytte lånerne mot innsyn i hva de søker på, hva de låner, hvilke artikler de laster ned, osv. Men slik er det ikke. Bibliotekets garanti er uten fundament.


    Tidligere foregikk all formidling av litteratur bibliotekene imellom eller ved at bibliotekene skaffet de ønskete dokumentene ved innkjøp. Bibliotekene stilte sine samlinger solidarisk til disposisjon for andre bibliotek nasjonalt og internasjonalt og leverte boklån og artikkelkopier til bibliotek som ikke hadde boka eller tidsskriftet selv.
    I denne kommunikasjonen var det bare lånerens bibliotek som kjente lånerens identitet. Bibliotekene lånte bare bøker til sine egne lånere og andre bibliotek, ikke til andre biblioteks lånere. Lokalt bibliotek var et mellomledd som sikret lånerne anonymitet overfor omverdenen.
    Online-søk i kommersielle databaser ble utført av spesialpersonale i bibliotekene på vegne av lånerne. De kommersielle databasene kjente bare til hvilket bibliotek som kalte dem opp (via telefon og modem), ikke hvilken person som skulle ha trefflistene. Så lenge bibliotekets personale fulgte opp, var det mulig å gi lånerne tilnærmet full konfidensialitet angående deres bruk av bibliotekvesenets samlete ressurser.
    Fra første halvdel av 90-tallet og utover begynte dokumenter å bli plassert på nettet direkte tilgjengelig for personlige brukere, uten at biblioteket trådte inn som mellomledd annet enn for å reklamere for tjenestene.
    Den teknologiske utviklingen på sentrale felter i biblioteket kan i all korthet beskrives slik:

 

Tidsskriftene. En stor andel av tidsskriftene har i løpet av 2000-tallet blitt tilgjengelig direkte som en konsekvens av bibliotekets betaling av abonnementer. Det blir en forbindelse mellom personen og artikkelen uten bibliotekets mellomkomst. Bruken (nedlastinger) registreres av tidsskriftleverandøren og ikke av biblioteket. Tilgangen er stort sett kontrollert ved et nummer (IP-nr) som identifiserer maskinen brukeren sitter ved.


Bøkene. De siste årene har en økende mengde bøker fra ulike leverandører blitt stilt til rådighet for personlige brukere gjennom bibliotekenes abonnementer. Betingelsene kan være forskjellige, men bruken registreres hos leverandører, ikke bare at det leses av deg, men også hvor mye og hvilket lesemønster du har, koplet med andre bøker du har lest.


Referansedatabaser. Etter en periode med distribusjon av faglige referanse- og siteringsdatabaser på en eller flere CD-rom begynte disse i stedet å dukke opp på nett som abonnementstjenester. Bruken ble fra det tidspunktet registrert og analysert hos leverandøren, ikke i biblioteket. Tilgangen blir styrt av innlogging eller IP-nummerkontroll.


Systemene. Internsystemene er nå overført til tjenermaskiner i utlandet. Dette gjelder ikke bare UH-bibliotekene, men også andre fagbibliotek som er kun- der hos BIBSYS: Bibliotekene ved Forsvarets forskningsinstitutt, Stortinget, Institutt for energiteknikk, Helsedirektoratet, m.fl.

I alle disse forholdene har bibliotekene trådt ut av rollen som anonymiserende mellomledd gjennom “outsourcing” av samlinger, systemer og tjenester. Kontrollen er overlatt andre, kommersielle interesser.

I alle disse forholdene har bibliotekene trådt ut av rollen som anonymiserende mellomledd gjennom “outsourcing” av samlinger, systemer og tjenester. Kontrollen er overlatt andre, kommersielle interesser.


    Bibliotekene sitter igjen med den kontrollen som skjer i den direkte kommunikasjonen mellom leser og personalet over disken i biblioteket.
    Sikkerhetsaspektet ved denne utviklingen har aldri blitt diskutert åpent i organer som naturlig burde ha vært opptatt av dette. Universitetsbiblioteket i Oslo (UBO) har en garanti om konfidensialitet, men har ikke behandlet sikkerheten i ledende styrer, råd og utvalg. Det har heller aldri vært tema på de årlige møtene mellom UBO og Universitetets sentrale IT-tjeneste (USIT).
    Universitets- og høgskolerådets bibliotekutvalg (UHRB) har ikke behandlet dette til tross for at alle UH-bibliotekene, som nevnt, nylig har erstattet det nasjonalt kontrollerte BIBSYS-systemet med et kommersielt system som kjører på en tjenermaskin i utlandet.

 

Storebrødrenes verktøy

IP-nummer. IP-nummer er en unik identifikasjon av maskinen du bruker og nettverket den er koplet til. Det er ikke en identifikasjon av deg. Bruker du samme maskin daglig, vil det være enkelt for den kyndige å knytte deg som person sammen med maskinen gjennom å kombinere opplysninger fra din varierte bruk.
    For å bruke mange av tjenestene biblioteket tilbyr, må du være koplet til universitetets nett. Tilgang er styrt ved kontroll av IP-nummer som er adressen til maskinen du bruker. IP-nummeret sendes sammen med annen informasjon til tjenesten fordi tjenesten må vite hvor den skal returnere svaret på henvendelser.

Studentavisa Universitas har ved flere anledninger avdekket svakheter i sikkerheten rundt bibliotekenes tjenester. Oppslagene finnes i avisas arkiv: http://universitas.no/pdf/ - (nr 29/2014 og 25+26/2015)

IP består av fire deler, som grovt beskrevet identifiserer land, institusjon, delnett og maskin. De to første er strengt tatt nok for å gi tilgang, men skal du ha noe tilbake, må tjenesten ha en returadresse fram til din maskin. Dette betyr at tjenesteleverandøren kan logge hvordan nettopp du bruker tjenesten. Du vet ikke hvordan leverandøren utnytter disse koplingene, hvordan de er sikret og om de stilles til rådighet for andre.

Du vet ikke hvordan leverandøren utnytter disse koplingene, hvordan de er sikret og om de stilles til rådighet for andre.


    IP-nummerne som utgjør avsender og adressat er ikke beskyttet av kryptering.

 

Innlogging. Stadig flere databasetjenester tilbyr ekstra personaliserte tjenester som å få utført regelmessige databasesøk og sende deg resultatet. Du kan få varsler om nye dokumenter innen ditt interesseområde, osv. Dette krever imidlertid at du lager deg en brukerkonto i tjenesten. Dette er jo greit, du velger selv om du vil utnytte ekstratjenestene, men dermed vil også dine interesser bli lagret på en maskin verken du eller biblioteket har kontroll over.Enkelte av databasetjenestene krever at du oppretter din egen brukerkonto før du i det hele tatt får bruke den enda du bruker en maskin med IP-adresse på UiO-nettet.

 

Kommunikasjonen. Hvor tar søket ditt veien når du sender det avgårde? For biblioteksystemets ved- kommende går kommunikasjonen til Nederland via Sverige og Danmark. Skal du søke i viktige kommersielle fagdatabaser som ligger i USA, tar kommunikasjonen veien fra Norge, til Sverige, videre til Danmark, derfra til Storbritannia før Atlanteren krysses.
    Kommunikasjonen angår ikke bare deg og den tjenermaskinen søke-URL-en angir. Foruten deg og din maskin – du er førstepart – er minst to parter til involvert:

 

Andrepart. Andrepart er tidsskriftleverandører, referansetjenester og kataloger som mottar dine forespørsler i form av søk, nedlasting av dokumenter, bestilling av litteratur. Hvordan behandles data når de kommer fram? Blir data slettet når det ikke lenger er behov for dem? Av og til er det nødvendig å lagre data identifisert med deg og din maskin. Blir lagrete data sikret mot uønsket innsyn? For eksempel ved at data lagres kryptert?


Tredjepart. Disse kan være involvert på minst tre måter. På den ene siden fins det tredjeparter som kan avlytte kommunikasjonen på veien fra første- til andrepart eller de kan rett og slett tre inn i rollen som andrepart. Dette kan vanskeliggjøres ved å kryptere kommunikasjonen.
    Tredjepart kan også hacke seg inn på andrepartsmaskinen og hente data om bibliotekbruk der. Det er også kjent at bakdører kan gi tilgang til dataene. Hvordan sikrer man seg mot slikt og hvilke garantier gir leverandøren av systemet?
    En siste variant er tredjeparter som inviteres inn av andrepart gjennom bruk av deres tjenester. Dette skjer lynraskt og uten at brukeren er klar over det. Noe av denne kommunikasjonen med inviterte tredjeparter er kryptert, noe ikke.

Et eksempel på inviterte tredjeparter ligger i visning av trefflister i biblioteksystemet. Der ser man små omslagsbilder til venstre for referansene.
    Disse omslagsbildene er ikke lagret på bibliotektjeneren, men hentes ved kommunikasjon med Google og Amazon. Dette betyr at disse tjenestene får vite både hvilke bøker du har søkt fram og at det er du (ved ditt IP-nummer) som har vist interesse. Disse opplysningene kan i neste omgang bli brukt for å studere dine leserinteresser og bli brukt som grunnlag for presentere deg andre varer, gi deg anbefalinger, kople med andre opplysninger samlet fra denne IP-adressen.

Disse omslagsbildene er ikke lagret på bibliotektjeneren, men hentes ved kommunikasjon med Google og Amazon. Dette betyr at disse tjenestene får vite både hvilke bøker du har søkt fram og at det er du (ved ditt IP-nummer) som har vist interesse.

 

Kryptering. Det snakkes mye om kryptert kommunikasjon. Kryptering har to formål.
    For det første at du skal være sikker på at kommunikasjonen virkelig går til den maskinen du tror (autentisering).
Det andre formålet er at informasjonen krypteres før den sendes og dekrypteres når den kommer fram til riktig tjenermaskin slik at tredjepart ikke skal kunne lese informasjonen underveis. Det som ikke blir kryptert, er hvilke parter kommunikasjonen går mellom (såkalte metadata).
    Kryptert kommunikasjon kan ha forskjellige sikkerhetsnivåer. På nettet fins det verktøy for å teste krypterte forbindelser etter ulike kriterier som f.eks krypteringsnøklenes styrke.
    I en nettleser kan man stille inn kommunikasjonen til alltid å prøve kryptert kommunikasjon før man aksepterer å bruke ukryptert. Gjør man det, får man en advarsel om at informasjonen blir sendt over en usikker kanal og kan leses av tredjepart. Man kan også velge at man ikke aksepterer ukryptert kommunikasjon overhodet, men da får man i øyeblikket ikke søke i bibliotekkatalogen og andre abonnementstjenester som ikke støtter kryptering.

 

Sporing. Cookies eller informasjonskapsler er små pakker med data som nettsider sender til nettleseren. Pakkene blir lagret på datamaskinen din dersom du ikke har stilt inn nettleseren til å hindre slike pakker.
    Pakkene kan betjene nyttige funksjoner på det nettstedet du besøker, f.eks holde på innloggingsinformasjon eller når det gjelder bruk av bibliotektjenester å gi deg en sesjonsidentifikator som gjør at du vedlikeholder en viss kontinuitet i kommunikasjonen.
    Dersom nettsiden du besøker, henter inn data fra andre tjenere (tredjepart), kan disse også lagre sine kapsler på maskinen din som i sin tur kan brukes om du besøker tredjeparten.
    I følge Datatilsynet er kapsler den mest utbredte teknologien for å spore brukeren på nett:

Selskap som er tilstede med tredjepartscookies er vanligvis ikke bare til stede på ett nettsted, men på hundrevis av nettsteder. Dette gjør det mulig å følge brukeren fra nettsted til nettsted og å bygge opp omfattende profiler på vedkommende basert på surfehistorikken.

Kapslene blir sendt over nett og når dette gjøres ukryptert, kan de leses av uvedkommende i tillegg til at de altså ligger på maskinen din.
    Kapsler har en utløpstid som settes av den nettsiden du besøker. Når nettle- seren avsluttes, vil den sjekke utløpstidene og rydde opp under forutsetning av at nettleseren er stilt inn til å gjøre det.
    Om nettleseren er stilt inn for å hindre kapsler, vil du få en beskjed. Bør man ikke i det minste kunne søke og orientere seg i katalogen uten å bli sporet?

Dette gjør det mulig å følge brukeren fra nettsted til nettsted og å bygge opp omfattende profiler på vedkommende basert på surfehistorikken.


    De fleste har ikke sperret for kapsler og hva skjer da? En enkel søkesesjon i biblioteksystemet genererer 31 kapsler. Det er ikke godt for en amatør å forstå hva meningen med alle disse kapslene er og hvorfor enkelte av dem har en utløpstid på 10 år.
    Dersom man stenger for all bruk av kapsler, blir man som regel stengt ute fra tjenestene nettsiden tilbyr. Det er en take-it-or-leave-it-situasjon, man gis ikke noe valg. Dette gjelder også søk i bibliotekkatalogen. Det er en helt uakseptabel praksis for offentlig finansierte institusjoner som UH-bibliotekene er.

Take it or leave it: Du må akseptere informasjonskapsler for å bruke bibliotekets søketjeneste.

 

Skytjenester og bakdører. Mange bibliotektjenester foregår nå i skyen. Å bruke skytjenester betyr i all korthet å lagre og behandle data på en maskin du ikke selv har kontroll over. Datatilsynet har i sin veileder pekt på en rekke problemer med å bruke skytjenester på ulike nivåer. Når man tar i bruk en skytjeneste, må man være oppmerksom på hva som lagres, hvem som tilgang, hvor lenge det lagres og hvordandataene er beskyttet mot innsyn.
    For bibliotekets del gjelder det alle data som kopler personer med det de søker på, bøker de låner eller har lånt eller laster ned. Slike data bør beskyttes på minst to nivåer. For det første bør dataene krypteres der de lagres. For det andre bør det bare være autorisert personale som kan inspisere dataene, for eksempel i forbindelse med systemvedlikehold. På samme måte som for helseinformasjonssystemer bør det loggføres hvem som går inn på dataene.
    Universitetsavisa På Høyden ved UiB publiserte i 2014 en artikkel om problemene med å lagre sensitive forskningsdata i skyen. Bibliotekdataene er også sensitive.
  Skytjenester er også utsatt for bakdører. Edward Snowden omtalte bakdører slik:

A backdoor is a mechanism to provide secret access to otherwise confidential communications. It has nothing to do with warrants.

I boka No place to hide mer enn antyder journalisten Glenn Greenwald at NSA går bak ryggen på nettverksfirmaer som leverer tjenermaskiner og rutere til utlandet. Leveransene blir fanget opp og teknisk modifisert slik at utenforstående i all hemmelighet kan få tilgang til både lagrete data og kommunikasjon.
    Nylig gikk sjefen i Apple Inc ut med et brev til sine kunder der han beskrev FBIs krav om at Apple skulle lage bakdører i sine produkter (iPhone, iPad etc). Dette for at FBI skulle kunne sjekke informasjonen i dem uten at eieren var klar over det.
    Google og Facebook ga sin støtte til utspillet fra Apple. Vi har til gode å se tilsvarende holdninger fra det israelske selskapet Ex Libris som under skiftende eierskap har levert og leverer biblioteksystemer til forskningsmiljøer over store deler av verden.
    Problemet med bakdører er ikke bare at de fins, men at når de først eksisterer, kan de også misbrukes av andre.
I en FN-rapport slås det i tillegg fast at kryptering er viktig for menneskerettighetene og at bakdører undergraver dem.

 

Hva gjør andre bibliotek
 

Den internasjonale sammenslutningen av bibliotekorganisasjoner (IFLA) vedtok i 2014 sitt Internet Manifesto som blant annet gir sin tilslutning til FNs menneskerettighetserklæring på generell basis, men trekker spesielt fram artikkel 19:

Everyone has the right to freedom of opinion and expression; this right includes freedom to hold opinions without interference and to seek, receive and impart information and ideas through any media and regardless of frontiers.

Dette gjør det mulig å følge brukeren fra nettsted til nettsted og å bygge opp omfattende profiler på vedkommende basert på surfehistorikken.

Internasjonalt fins det flere initiativ som problematiserer og informerer om ulike aspekter ved lesersikkerhet i bibliotekene. Noen nettsteder formidler tips om tekniske og praktiske tiltak for å beskytte både biblioteket selv og deres brukere.
    National Information Standards Organization (NISO) har i samarbeid med leverandører publisert prinsipper for beskyttelse av personlig integritet (privacy) ved bruk av bibliotektjenester og tjenester fra forleggere og programvarehus.
    Mange bibliotek benytter seg av Tor-prosjektets tjenester for å anonymisere nettbruken på bibliotekets publikumsmaskiner.

 

Vil det skje noe? En leder i studentavisa Universitas hadde overskriften Storebror ser deg, men er vi nødt til å hjelpe ham? Nei, biblioteket bør gjøre hva det kan for å gjøre Storebrorjobben så vanskelig som mulig.
    Bibliotekledere har uttalt seg om hvor alvorlig de tar dette problemet og hvor mye tid og ressurser de bruker på det. Det er vanskelig å se at denne holdningen har båret frukter i form av større sikkerhet for leserne, eller i større åpenhet.
    Universitetsbiblioteket i Oslo har som mål å være fremragende. Her er et område der biblioteket kan ta initiativ, nasjonalt og internasjonalt, som kan gjøre biblioteket fortjent til betegnelsen. Det er mye å gjøre.

 

- Av førstebibliotekar Knut Hegna, Realfagsbiblioteket, Universitetet i Oslo. Teksten er ble originalt publisert i tidsskriftet Bok og Bibliotek

Annonse

Mer fra Portalen

NORSK PEDAGOGISK TIDSSKRIFT: Pedagogikk bør hete pedagogikk.

SYN OG SEGN: Finst det rammer og retningslinjer som definerer kven som er samisk?

PROSA: Var jødeforfølgelsene i Norge likevel bare nazistenes ansvar? 

PERISKOP: Det er på tide å heve ambisjonene for hva vi vil at en lekeplass skal være.

RØYST: Verdens mest alvorlige trussel er mangelen på samarbeid.