Om informationssäkerhet och sekretess i en allt digitalare vardag

Metadata,Sekretess,Vad är

Vad är metadata – och vad kan ditt metadata berätta om dig?

16 Jul , 2017, 19.20 Linus Nyman

 

Idag ska vi snacka metadata. En term jag misstänker att så gott som alla i det här skedet åtminstone hört, men vad är det egentligen fråga om?

Termen kastades in i rampljuset år 2013 i samband med rapportering kring materialet som Snowden läckte ut gällande USA:s massövervakningsprogram. Då det blev hett om öronen för (bl.a.) NSA så försökte de lugna oroade amerikaner genom att berätta att Visst har vi ett massövervakninssystem, men vi lyssnar inte på era samtal. Nej, utan vi ”samlar bara metadata”.

Hur lugnad man borde känna sig över att någon ”bara” samlar ens metadata beror ju då på vad metadata egentligen är för något. Och vad någon kan veta om en på basen av det datat.

Och med den mästerfulla åsnebryggan kommer vi till vår första fråga:

Vad är metadata?

Den vanliga beskrivningen av metadata är att det är ”data om data”. Vilket ju inte säger så där värst mycket i sig, så vi tar ett konkret exempel.

På Wikipedias (engelskspråkiga) metadata sida har de en bild från en gången tid. Det är en bild av ett kortbaserat indexsystem. De av er som när ni hör orden ”can’t touch this” genast börjar sjunga ”Daaa-da-da-da, da-da, da-da” är gamla nog att känna igen sådana kort från biblioteksbesök.

 

Metadata. By Dr. Marcus Gossler - Own work, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=483741

Metadata goes retro. (Bild: Dr. Marcus Gossler, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=483741)

 

På korten fanns det information om alla böcker som fanns i bibban. Inte vad det stod i boken, utan vem den var skriven av, när den publicerades, av vilket förlag osv. Det var inte boken, utan data om boken. Metadata.

Nuförtiden förvaras (och generaras) metadata för det mesta digitalt. Det finns t.ex. en sida på nätet med metadata om min doktorsavhandling: författare, ISBN nummer, när den publicerades osv. Men doktorsavhandlingar är på det sättet ett lite dåligt exempel att ingen är intresserad av att komma åt varken deras data (själva doktorsavhandlingen) eller deras metadata (data om doktorsavhandlingen). Så vi tar och skiftar vårt fokus till lite mera relevanta exempel: mobiltelefoner.

Vad gäller mobiltelefoner så är själva snacket mellan människor inte metadata. Men så gott som allt annat man kan tänka sig är det. T.ex. vem du ringer åt, när du ringer åt dem, hur länge du pratar med dem och var du befinner dig när du ringer åt dem (information om vilken basstation din mobil var kopplad till under samtalet).

 Vad berättar ditt metadata om dig?

Tänk dig att du varje gång du ringer ett samtal måste meddela mig vem du ringde, vilken tid du ringde dem, hur länge ni pratade och var i världen du var när du ringde dem. Det enda du inte måste berätta är vad ni pratade om.

Och så tänker du dig att det gäller för alla samtal du ringer och alla samtal du tar emot (jag samlar också alla andras metadata). Och jag gör det dygnet runt, året om. Och lagrar all den informationen.

Jag kommer att kunna luska ut en överraskande mängd saker om dig. Vilka som hör till din familj. Vem du är vän med. Vem du jobbar med. Vilka du umgås med på jobbet, vilka på fritiden. Hur ofta du ringer åt din mamma (och om du kom ihåg hennes förra födelsedag). Vilka hobbyn och intressen du har. Vem du ringer åt i fyllan och villan när barerna stänger. Med mera.

Och det här var bara samtal – vi kan ännu höja potten med att varje gång du skickar ett textmeddelande måste du meddela vilken tid du gjorde det och åt vem det var. (Och nu har vi inte ens börjat diskutera annan metadata än den från din telefon. E-post, surfande på nätet, online inköp, vilka appar du använder och vad de samlar för metadata mm.)

”Bara” metadata

Jag samlar ju då alltså inte på någons metadata. Och jag kan därför förstå och acceptera att någon kanske tvivlar på min tolkning av hur mycket man kan luska ut om en person på basen av metadata. Så jag tar och citerar en kille som torde veta ett och annat om metadata: Stewart Baker, tidigare ”General Counsel” (typ chefsjurist) på NSA:

”Metadata berättar allt om en persons liv. Har man tillräckligt mycket metadata så behöver man egentligen inte innehållet” (Källa: Rusbridger i nybooks.com).

Vill ni få en djupare dykning i ämnet så kan jag rekommendera säkerhetsexperten Bruce Schneiers bok ”Data and Goliath”. I den berättar han bl.a. om forskare som getts tillgång till några månader av försökspersoners metadata (med deras tillstånd). Forskarna lyckades luska ut en hel del mycket personliga saker. Bland annat att det bland provkaninerna fanns en som haft problem med hjärtat, en som gjort en abort och en som hade en (inte-längre-så-hemlig) kannabisodling. Forskarna bakom studien (som hittas på Web Policy) avslutar forskningspappret med konstaterandet: phone metadata is highly sensitive.

Så nästa gång du hör någon försvara samlandet av information om dig genom att säga att de ”bara samlar ditt metadata”, så kom ihåg att metadata är långt ifrån ”bara” metadata.

2 kommentarer

  1. Det heter inte "ringa åt" det heter ringa till. Det heter inte "meddela åt mig", det heter meddela mig. Språkfel gör en text tungläst. skriver:

    Helene Blomqvist

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *