För några veckor sedan röstade den amerikanska kongressen igenom ett beslut som ger amerikanska internetleverantörer rätt att handla med sina kunders internethistorik. För den som är rädd om sin integritet finns det ett antal åtgärder att ta. Frågan är bara vilken av dem som har minst nackdelar.
För den som vill förstå vad det är för information det rör sig om rekommenderar jag en rapport jag läste förra våren, What ISPs Can See, från tankesmedjan Upturn. Det är bra läsning, inte bara för att texten beskriver vad internetoperatörerna kan se, utan också för att den visar hur svårt det i nuläget är att göra något åt situationen.
Facebook ser lite – en ISP ser allt
Både inför och efter kongressens beslut har jämförelser med internetjättar som Facebook och Google gjorts. Det är företag som med hjälp av cookies och andra tekniska lösningar spårar hur användarna rör sig på webben, i syfte att bygga databaser att fatta annonsbeslut utifrån. Ju mer ett företag vet om sina användare, desto lättare är det att sälja annonser eftersom annonsörerna i större utsträckning kan känna sig säkra på att de når rätt personer.
Att Google och Facebook får ägna sig åt den här handeln samtidigt som internetleverantörerna inte får lov att göra det är orättvist. Det är i alla fall vad som har påståtts i debatten.
Men det finns all anledning att stanna upp en stund för att reflektera över ett par olika saker här.
För det första: Du väljer själv om du ska ha ett konto på Facebook eller Google. Men att välja bort en internetleverantör är inte möjligt med mindre än att du väljer bort internet helt och hållet.
För det andra: Facebook och Google ser hur du surfar runt på webben. Och inte ens hela webben. ArsTechnica refererar till siffror som visar omfattningen av så kallad ”third party tracking”:
According to the record, only three companies (Google, Facebook, and Twitter) have third party tracking capabilities across more than 10 percent of the top one million websites, and none of those have access to more than approximately 25 percent of web pages. In contrast, a BIAS (broadband Internet access service) provider sees 100 percent of a customer’s unencrypted Internet traffic.
En viktig aspekt antyds i den sista meningen: Internet är väldigt mycket mer än webben. Din internetleverantör ser allt du gör. Vilka webbplatser du besöker, men också vilka appar du använder, vilka tjänster du använder för att chatta med släkt och vänner och så vidare.
Jämförelsen mellan Facebook/Google och Internetleverantörerna haltar alltså betänkligt.
HTTPS gör saker och ting bättre – åtminstone något
Kryptering nämns också i artikeln hos ArsTechnica. Precis som i rapporten från Upturn.
Kanske har du lagt märke till att alla sidor på Wikipedia är krypterade med HTTPS. Det är ett öppet uppslagsverk, utan några hemligheter och som dessutom vem som helst får vara med och skriva. Så varför är Wikipedia krypterat?
Eftersom en webbadress utgörs av två delar, domännamnet och namnet på den sidan som besökaren vill se. Och en internetoperatör ser både och, så länge överföringen går i klartext. Den som läser om personlig konkurs och skuldsanering, eller om hjärtkärlsjukdomar, eller om andra högst privata ämnen på en webbsida kommer alltså att avslöja det för sin internetleverantör.
Med HTTPS kan internetoperatören däremot bara se domännamnet, inte namnet på den specifika sidan.
I rapporten från Upturn finns siffror från de 50 största sajterna i tre olika kategorier: Hälsa, shopping och nyheter. 86 procent av webbplatserna i de två första använder inte kryptering. Av nyhetssajterna är det 90 procent som kör utan.
Det här är givetvis illa.
Men tyvärr är inte HTTPS en silverkula som löser hela problematiken. Forskare har visat hur så kallade side channels gör det möjligt att avgöra vilka krypterade webbsidor en internetanvändare besöker – utan att knäcka krypteringen. Istället utnyttjas det faktum att varje webbsida har sin egen unika signatur. Det handlar om hur stor den är, från vilka andra servrar data hämtas, i vilken ordning och så vidare.
Så vad gör vi?
När Upturn publicerade sin rapport förra våren var det teknik som i första hand befann sig på forskningsstadiet och det fanns då inga kända fall där möjligheterna utnyttjades av internetleverantörer. Det innebär med största sannolikhet att kryptering med HTTPS trots allt är bättre än okrypterade webbplatser, och därför är EFF:s råd om att installera HTTPS Everywhere i webbläsaren värt att följa. Webbläsartillägget ser till att din webbläsare alltid väljer en krypterad version av en webbsida om den finns både krypterad och okrypterad.
Ett annat alternativ är att använda en VPN-tjänst som ser till att all trafik till och från datorn är krypterad, oavsett vilka webbplatser eller andra tjänster och appar som används. Det är absolut ett sätt att hålla sina internetvanor borta från internetleverantörens insyn. Men det innebär å andra sidan att man ger motsvarande möjlighet till det företag som tillhandahåller VPN-tjänsten.
Vilken information är egentligen känslig?
Över hela den här diskussionen svävar också frågan om vad som egentligen är personuppgifter, vad som är känslig information och vad som bara är metadata. Och här har många forskare visat att betydligt mer information än vad man först tror är både personuppgifter och värdefull data. Det är inte så enkelt att anonymisera data som man kan förledas att tro. Det är inte heller särskilt svårt att många gånger dra långtgående slutsatser om en person bara utifrån vilka webbplatser som besökts, utan att veta exakt vilka sidor som har lästs.
Det här är något som behöver diskuteras i mycket högre utsträckning än vad som görs idag.
För svenska internetanvändare har beslutet i kongressen inga direkta konsekvenser. Däremot är Upturns rapport ändå rekommenderad läsning.
Det en amerikansk internetleverantör kan se av sina kunders nätvanor är samma saker som innehavaren av det där trådlösa nätverket du av enkelhet väljer att koppla upp dig mot när du sätter dig på ett kafé för att jobba en halvtimme på väg till nästa möte också kan se.
I det läget råder det ingen tvekan om att ett VPN är en bra idé.
Om skribenten
Anders Thoresson har bevakat IT och telekom sedan 1999, först som reporter på Ny Teknik och sedan 2006 som frilans. Genom åren har hans texter bland annat publicerats i Dagens Nyheter, Dagens Industri, Forskning och Framsteg, IVA Aktuellt och Ny Teknik. Han har också skrivit flera Internetguider åt IIS och gör poddcasten Digitalsamtal. Du når Anders via hans webbplats.