Doorkeeper, sluttrapport: Intelligent kameraovervåking med personvern i fokus

Sikkerhetsutfordringer

I dette kapittelet vil vi løfte noen sikkerhetsutfordringer som er aktuelle ved den type teknologi som Doorkeeper vil bruke, og gi noen overordnede kommentarer om de juridiske kravene til sikkerhet.

Sikkerhet er et stort tema, som i mange tilfeller er et premiss for et godt personvern. Det er vanskelig å sørge for personvernet uten tilstrekkelig sikkerhet. I denne rapporten har vi ikke muligheten til å dekke sikkerhet i sin helhet. Vi tar derfor kun med det som ble diskutert i arbeidsmøtene med Doorkeeper.

Rettslig krav til personopplysningssikkerhet

Personvernforordningen artikkel 32 regulerer kravene til personopplysningssikkerhet. Både Doorkeeper og kundene deres er forpliktet til å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen». Hvilke tiltak som er påkrevd for å etterleve regelverket vil derfor variere i takt med risikoene som de ulike virksomhetene er utsatt for og det generelle risikonivået i samfunnet. Som leverandør og utvikler av løsningen bør Doorkeeper sørge for at de kan tilby en svært sikker løsning.

Doorkeeper må videre sørge for at sikkerheten i løsningen er vedvarende, både ved at sikkerheten i løsningen følger den tekniske utviklingen, og at eventuelle sårbarheter blir adressert fortløpende. En god måte å sørge for vedvarende sikkerhet på er å være i forkant – å stadig følge med på hva som anses for å være beste praksis og kontinuerlig implementere beste praksis i produktene en utvikler.

Loven stiller krav til både tekniske og organisatoriske tiltak. «Organisatorisk» må forstås vidt og kan også omfatte fysiske tiltak. For å sikre konfidensialiteten til personer som er underlagt lovlig kameraovervåking kan det altså være aktuelt med en rekke forskjellige tiltak. Eksempler på slike tiltak er å:

  • sikre rommet som det overvåkes fra, slik at uvedkommende ikke kan komme inn eller se skjermene fra utsiden
  • utarbeide rutiner for bruk av systemet
  • sørge for tilstrekkelig hendelseshåndtering
  • grundig opplæring av brukerne
  • forplikte brukerne til en taushetserklæring
  • definere tilgangen til ulike brukerkontoer
  • utarbeide rutiner for regelmessig gjennomgang av loggene

Sikring av kommunikasjonen mellom kamera og plattform

Ett av diskusjonstemaene i arbeidsmøtene var sikring av kommunikasjonen mellom kamera og plattform i Doorkeepers løsning. Vil de to utformingene til oppsettet av løsningen påvirke hvilke sikkerhetstiltak Doorkeeper må iverksette i tråd med personvernregelverket?

Hvis videostrømmen som kameraet sender fra seg ikke inneholder opplysninger om identifiserbare enkeltpersoner, så vil personvernregelverket kun komme til anvendelse for behandlingen som skjer inni kameraet (og ikke kommunikasjonen videre til plattformen). Dette forutsetter imidlertid at kameraet til enhver tid sender fra seg helt anonyme opplysninger, som sannsynligvis ikke vil være tilfelle for Doorkeeper sin løsning.

Terskelen for å kunne kalle en opplysning for anonym er svært høy. Selv ved sladding av hele menneskekropper vil det ikke være mulig å utelukke at noen av sladdene sannsynligvis vil ha en utforming som gjør at man kan knytte dem til enkeltpersoner. For eksempel en relativt høy person som passerer på samme sted til omtrent samme tid hver dag.

Ettersom det neppe vil være mulig å garantere full anonymitet ved sladding, og kameraet selv ved utforming A tidvis skal kunne sende usladdet video, bør utgangspunktet være at kommunikasjonen mellom kamera og plattform sikres som om det alltid overføres personopplysninger. Dette synes likevel ikke som noen stor utfordring, ettersom de aller fleste moderne overvåkingskameraer har en form for innebygget kommunikasjonssikkerhet, for eksempel i form av transportkryptering («transport layer security»).

I løsninger hvor det ikke brukes kryptering, må den behandlingsansvarlige – og eventuelle databehandlere – kompensere med andre tiltak for å sikre at uvedkommende ikke kan få tilgang til å se eller endre videostrømmen.

Det følger logisk at løsninger som gjør analyse og sladding i kamerahuset (utforming A), sannsynligvis medfører lavere risiko enn løsninger som gjør tilsvarende på en plattform (utforming B). Dette er blant annet fordi videostrømmen ved utforming A ikke overføres over et nettverk før den behandles, med mindre en hendelse oppdages og sladdingen fjernes. Uvedkommende som tilegner seg tilgang til videostrømmen vil derfor vanligvis kun få tilgang til sladdet video. Ved å redusere mengden opplysninger som overføres reduserer en også sårbarhetsflaten, fordi en angriper bare kan få tilgang til usladdet video ved å tilegne seg tilgang til videostrømmen gjennom programvaren i selve kameraet. At risikoen kan være lavere ved utforming A betyr imidlertid ikke at utforming B må medføre uakseptabel risiko. Dette må vurderes opp mot hvilke andre sikkerhetstiltak man kan iverksette. Det samme vil gjelde for løsninger som ikke tar i bruk noen form for videoanalyse eller sladding.

Det er opp til de behandlingsansvarlige og databehandlerne å vurdere om de innebygde sikringstiltakene i kameraene er tilstrekkelige. Da sandkasseprosjektet startet, hadde Doorkeeper allerede lagt opp til at løsningene deres benytter egne nettverk som var separate fra kundens. Formålet med dette var å unngå utfordringer og risikoer ved bruk av nettverk som Doorkeeper ikke kan kontrollere. Diskusjonene vi hadde i sandkassen førte til at Doorkeeper gjorde ytterligere endringer i løsningen deres, hvor de ønsker å benytte en VPN-løsning («Virtual Private Network») som leveres av en tredjepart for å ytterligere sikre kommunikasjonen mellom kameraene og plattformen. Slik vil de skape ende-til-ende kryptering mellom kamera og plattform, og dermed sikre kommunikasjonen bedre enn med alminnelig transportkryptering. Dette kan øke sikkerheten i begge tilnærmingene til Doorkeeper.

Regelmessig oppdatering av produktene

Gjennom diskusjonene i sandkassen har Doorkeeper forklart at kameraer med kjente sårbarheter, som ikke blir reparert, er en utfordring for sikkerhetsbransjen. Noen virksomheter fortsetter å benytte slike kameraer uten å installere oppdateringer, ofte til tross for at produsenten har gjort oppdateringer tilgjengelige.

Hvis det ikke iverksettes tiltak for å fjerne sårbarheter vil det føre til høyere risiko og kan medføre brudd på personvernregelverket. Det er også verdt å påpeke at jo færre aktører man har i leverandørkjeden, jo færre aktører må man forholde seg til for å holde produktene man bruker oppdatert.

En sårbarhet i en VPN-løsning kan føre til at uvedkommende får tilgang til en virksomhet sitt interne nettverk. Tilsvarende kan en sårbarhet i et kamera føre til at uvedkommende får tilgang til videostrømmen. Når angripere får kjennskap til sårbarheter, vil de generelt sett forsøke å utnytte dem så fort som mulig. Produsentene må derfor publisere oppdateringer så fort som mulig når sårbarheter blir kjent for dem, slik at sikkerheten kan opprettholdes. Det kan imidlertid være flere årsaker til at produsenten ikke lager oppdateringer til det aktuelle produktet. For eksempel at produsenten har stanset produktstøtten, at produsenten mangler evne til å støtte produktene sine eller at produsenten har gått konkurs. Hvis det ikke er mulig å få tak i oppdateringer fra produsenten, må de behandlingsansvarlige eller databehandlerne vurdere om sårbarheten kan fjernes med andre tiltak eller om utstyret må erstattes.

Det er vel så viktig å ha en mekanisme for å få med seg nyheter om sårbarheter i produktene man benytter, som å faktisk oppdatere produktene. Hvis man ikke vet om sårbarhetene, mangler man forutsetninger for å gjøre noe med dem.

Styring av tilgang

Styring av tilgang til både kameraene og plattformen i et videoovervåkingssystem er nødvendig for å sørge for at videostrømmen kun er tilgjengelig for de som skal ha tilgang den, for å unngå snoking eller for å unngå at opplysninger fra overvåkingen blir brukt til andre formål enn det som opprinnelig ble fastsatt. For Doorkeeper og deres kunder vil det blant annet si at de må vurdere hvem som skal ha tilgang til systemene og hvor vide tilgangene skal være. Det kan for eksempel handle om en bruker sin tilgang til å

  • følge med på videostrømmen,
  • fjerne sladdingen manuelt,
  • gjennomgå lagrede opptak,
  • manuelt slette opptak som ble satt i gang ved en feil eller
  • oppdatere kameraer og andre deler av systemet.

En operatør som skal følge med på den aktuelle videostrømmen må nødvendigvis ha tilgang til å se videostrømmen, men vil antageligvis ikke trenge tilgang til å installere systemoppdateringer. Direktøren i virksomheten vil sannsynligvis ikke trenge tilgang til noe annet enn opptakene som er lagret i etterkant av en reell hendelse. Administratoren av systemet vil trenge tilgang til å oppdatere kameraer og andre produkter. Systemet bør altså være utviklet på en måte som gjør at det er mulig å definere tilgangsnivået for hver bruker eller brukergruppe.

Doorkeeper legger til grunn at de skal konfigurere løsningene for sine kunder, for å minimere risikoen for at løsningen brukes må måter som ikke er forenlige med Doorkeeper sine intensjoner. Diskusjonene om dette temaet har videre ført til at Doorkeeper vurderer å opprette sin egen vaktsentral med egne operatører, slik at de kan ha mer kontroll over hvordan overvåkingssystemene deres benyttes. Doorkeeper fremholder at det er svært viktig for dem at løsningene de tilbyr blir benyttet på en lovlig og etisk forsvarlig måte.

Hva hvis teknologien ikke fungerer slik den er ment?

En aktuell risiko med løsningen som Doorkeeper utvikler kan være at algoritmen utløser falske positiver eller falske negativer. Da vil løsningen fjerne sensuren og starte permanent lagring av opptak uten at det har skjedd en hendelse, eller så vil løsningen overse en hendelse den er ment å oppdage.

Falske positiver kan medføre at behandlingen av personopplysninger blir mer omfattende enn behandlingsansvarlig har lov til. I motsetning vil falske negativer kunne medføre at overvåkingen ikke oppfyller formålene den er ment/trent å oppfylle. Enhver som benytter kunstig intelligens må følge med på eventuelle falske positiver og negativer, og kontinuerlig tilpasse løsningen deres slik at den fungerer etter hensikt.

De rettslige vurderingene i denne rapporten tar utgangspunkt i beskrivelsen av løsningen som Doorkeeper har forelagt oss. Datatilsynet har ikke etterprøvd eller gjort tester for å kvalitetssikre hvordan løsningen faktisk fungerer. Hvis en løsning ikke fungerer slik som den er tiltenkt, kan dette ha store konsekvenser for lovligheten av overvåkingen. For eksempel, hvis en løsning har feil eller mangler som gjør at den samler inn mer opplysninger enn forespeilet, vil dette kunne medføre brudd på dataminimeringsprinsippet i artikkel 5.

Helhetlig sikkerhet

Leverandører av komplette tjenester – i motsetning til leverandører av enkeltkomponenter – vil ofte ha et bedre utgangspunkt for å sikre løsningene de tilbyr. Dette er fordi de kan utøve mer kontroll av produktene som inngår i tjenesten.

Doorkeeper fremmer at de primært ønsker å være en tjenesteleverandør. Dette betyr at de vil ha stor kontroll over både kameraene, nettverket og plattformen. Dersom de velger å opprette en vaktsentral vil de også ha kontroll over denne og operatørene. Økt grad av kontroll kan legge til rette for et høyere sikkerhetsnivå, men innebærer også ytterligere ansvar for Doorkeeper – et ansvar som er viktig for dem å være bevisste på.

Ved å kontrollere videostrømmen fra den genereres i kameraet til operatøren kan se den på en skjerm, kan Doorkeeper i større grad ta ansvar for kommunikasjonssikkerheten i alle komponentene. Doorkeeper vil også ha større kontroll over at løsningen er konfigurert på en sikker og personvernvennlig måte og redusere sannsynligheten for at konfigurasjonen endres til en som er mindre sikker. Ved å opprette en egen vaktsentral og ansette egne operatører kan Doorkeeper innrette vaktsentralen på en sikker måte, og de kan sørge for å lære opp operatørene etter deres egne standarder.

Dersom Doorkeeper oppnår målet om å være tjenesteleverandør, blir det viktig for dem å være oppmerksomme på utfordringer som kan være særlig aktuelle for slike. De vil for eksempel ha direkte kontroll med flere komponenter enn om de kun opptrer som leverandør av kameraer. Dette betyr at de vil ha et ansvar for at et stort antall komponenter skal operere på en sikker måte. Denne utfordringen kan bli større hvis kundemassen øker, eller hvis ulike kunder har behov for ulike konfigurasjoner. Det blir viktig for Doorkeeper å være bevisste på disse utfordringene, og at de har et styringssystemsom som er dekkende for å ivareta sikkerheten i hele tjenesten.