Rusland: Internet med måde

Ny lovgivning stiller krav om, at ”persondata” skal gemmes på servere inden for Ruslands grænser. Over to millioner virksomheder bliver berørt af de nye regler.

Det russiske parlament har i de seneste måneder gennemført lovgivning, der giver de nationale, russiske myndigheder udstrakt kontrol over internettet, og som opstiller en række nye krav til beskyttelsen af persondata.

Lovgivningen betyder, at de russiske myndigheder kan nedlægge forbud mod visningen af bestemte hjemmesider.

Det sker i praksis ved, at der er blevet etableret en negativ-liste over sider, der ikke må vises på internettet i Rusland.

Indgrebet har ifølge den russiske regering til formål at forhindre kriminelle miljøer i at bruge nettet til distribution af illegalt materiale og propaganda.

Rækkevidden af lovgivningen blev for nylig demonstreret, da myndighederne lukkede for adgangen til den russiske udgave af Wikipedia.

Indgrebet kom efter, at myndighederne havde krævet et bestemt opslag på Wikipedia fjernet.

Opslaget handlede om fremstilling af et hash-lignende rusmiddel, og det lå dermed præcis i det felt, som regeringen havde fremhævet som mål for indgrebet, nemlig at få sat en stopper for narko-relaterede sider på nettet.

Myndighedernes krav om at få siden fjernet eller redigeret blev afvist af den russiske redaktion af Wikipedia, og herefter lukkede myndighederne så ned for hele den russiske Wikipedia.

Inden for de næste 24 timer blev den famøse hash-side grundigt redigeret af den lokale redaktion, der stod for siden, og så blev der åbnet for Wikipedia igen.

Forløbet afspejler et rent teknisk element i det skakspil, der nu udspiller sig mellem myndighederne og udbyderne af indhold på nettet.

Udbydere som Wikipedia, Google, og mange andre, især amerikanske, udbydere er i de seneste år gået over til at vise deres sider under protokollen https, i stedet for den klassiske http.

Overgangen til https er et godt træk, der medvirker til at øge den generelle sikkerhed på nettet.

Men anvendelsen af https har også den – tilsigtede – funktion, at gøre det sværere for de nationale myndigheder rundt om i verden at følge med i, hvad deres borgere bruger nettet til.

Før man gik over til https, kunne myndighederne følge med i, at en bruger var inde på for eksempel Wikipedia, og myndighederne kunne desuden se helt nøjagtigt, hvilke undersider, som brugeren benyttede, når han eller hun besøgte Wikipedia.

I det klassiske http-setup kan myndighederne altså dels se, hvilke underliggende sider, der bliver besøgt, og myndighederne kan desuden blokere for en bestemt underliggende side, uden at skulle blokere for hele sitet.

Denne fleksibilitet forsvinder med anvendelse af https.

Nu kan myndighederne stadig se, at en bruger for eksempel anvender Wikipedia, men de kan ikke længere følge med i, hvilke undersider, der bliver brugt. Myndighederne kan derfor heller ikke længere blokere for bestemte undersider.

Så hvis myndighederne vil blokere for noget, så bliver de nødt til at komme ud af busken og lukke ned for hele molevitten, hvilket kan være politisk ømtåleligt.

Den aktuelle styrkeprøve om hash-siden på den russiske Wikipedia demonstrerede eftertrykkeligt, at de russiske myndigheder ikke er håndsky overfor at lukke for hele molevitten, hvis der ikke bliver rettet ind.

Og det bliver der så.

Der vil sikkert ske det samme, når det gælder det seneste tiltag fra de russiske myndigheder, der vedrører et krav om, at persondata om russiske borgere skal opbevares på servere i Rusland.

Der må gerne være kopier at databasen i udlandet, men den originale database skal være lokaliseret i Rusland.

De russiske myndigheder anslår, at de nye regler vil berøre over 2 millioner virksomheder, der på den ene eller den anden måde håndterer persondata om russiske borgere.

Indgrebet har ført til protester, og fra kritikkernes side ses det som et forsøg på at sikre myndighederne adgang til persondata, når det passer dem.

Igen er der et rent teknisk aspekt, fordi man med brugerdata-loven i hånden, kan få adgang til at komme om bag https-protokollen, og på den måde får myndigheder en bagdør til https-krypteringen.

Det vil ikke være trivielt for myndighederne, at gøre brug af denne mulighed, men den findes.

For de store udbydere af tjenester på nettet drejer det sig imidlertid ikke om ideologi og principper, men først og fremmest om at holde forretningen kørende på de vilkår, som de nationale myndigheder nu engang opstiller i de forskellige lande.

Ebay, PayPal, Lenovo, Samsung, Booking.com og Uber er nogle af de virksomheder, der allerede har truffet aftaler med de russiske myndigheder om opbevaring af persondata på servere i Rusland.

De russiske myndigheder har desuden oplyst, at Google for nylig er blevet en stor kunde i hosting-forretningen hos det russiske nationale, statsejede teleselskab, Rostelecom.

Twitter, der er en meget lille spiller i Rusland, har fået besked fra myndighederne om, at deres data ikke anses for at være ”persondata” i lovens forstand, så de kan bare kører videre som de plejer.

Facebook, der også kun er en marginal spiller i Rusland, går efter en tilsvarende aftale.

Men for virksomheder, der vil gøre store forretninger i Rusland handler det om at finde praktiske løsninger, der kan godkendes af myndighederne.

07092015-02

Henvisninger og baggrund: 07.09.2015