Norsk bistand kobles til juntaens overvåking:
Telenor solgte, Norfund er fortsatt investert i Myanmar – får hard kritikk
Det statlige investeringsfondet er medeier i et selskap som anklages for å huse kinesisk overvåkingsteknologi
– og beskyldes for å bryte OECDs retningslinjer for ansvarlighet. Både selskapet og Norfund avviser anklagene.
Tre år etter at Telenor solgte virksomheten i Myanmar – for å ivareta «egne verdier om menneskerettigheter og ansvarlig virksomhet» – er Norfund, Statens investeringsfond for næringsvirksomhet i utviklingsland, fortsatt deleier i et selskap i det konfliktherjede landet.
Nå anklages dette selskapet for å gi regimet tilgang til å overvåke burmeseres nettrafikk:
Selskapet Frontiir – en av Myanmars største internett-tilbydere – skal ha tilrettelagt for et overvåkingssystem for det burmesiske militæret, ifølge en gransking fra britiske Finance Uncovered og burmesiske Myanmar Now.
Ifølge informasjon de to mediehusene har innhentet fra flere kilder, skal selskapet ha installert utstyr som kan dekryptere nettrafikk, blokkere nettsteder og forhindre bruk av virtual private networks (VPN), som ofte brukes av opposisjonen, ifølge granskingen.
Frontiir avviser anklagene og har formidlet til sine europeiske investorer – som i tillegg til Norfund, inkluderer det britiske investeringsfondet BII og danske Investeringsfonden for Udviklingslande (IFU) – at selskapets nettverk «aldri har blitt brukt av regimet til å avskjære eller dekryptere kommunikasjon».
– Vi overvåker den utfordrende situasjonen Frontiir står i, men har ikke sett beviser som gir oss grunn til å tvile på det selskapet forteller, og vår konklusjon har vært at det er bedre å beholde vår eierandel på 2,2 prosent, enn å overgi denne til noen andre, sier Norfunds leder for samfunnskontakt, Per Kristian Sbertoli, til Panorama.
– Dårlig for folk i Myanmar
Menneskerettighetssituasjonen i Myanmar er prekær, og en rekke internasjonale selskaper har forlatt landet etter at militæret kuppet makten i februar 2021.
I september 2021 kunngjorde for eksempel Telenor at selskapet ville forlate Myanmar og brorparten av sin milliardinvestering «for å kunne etterleve egne verdier om menneskerettigheter og ansvarlig virksomhet». Juntaen godkjente det kontroversielle salget til libanesiske M1 Group i slutten av mars året etter.
Bakgrunnen var blant annet regimets krav om å aktivere et system for «lovlig overvåkning». Slike systemer brukes av myndigheter i en rekke land, for å avdekke kriminalitet, men da kun etter en juridisk kontrollprosess – for å hindre misbruk.
En tidligere Telenor-ansatt, som uttaler seg anonymt, sier til Finance Uncovered og Myanmar Now nå, at det er «umulig» for en internettleverandør å operere i Myanmar uten å gi det sittende regimet tilgang til informasjon om brukerne.
Norfund har investert 26,9 millioner norske kroner, danske Investeringsfonden for Udviklingslande (IFU) har investert vel 70 millioner danske kroner, mens British International Investments (BII) har investert 26 millioner dollar i Frontiir. Finansieringen fra de europeiske utviklingsaktørene har bidratt positivt til at selskapet har vokst til å bli en av de største Internett-leverandørene i Myanmar.
På spørsmål om funnene i granskingen, svarer BII, Norfund og IFU – i ganske likelydende svar – at de har fått tydelige forsikringer fra Frontiir om at deres Myanmar Net-nettverk aldri har blitt brukt av burmesiske myndigheter til å avskjære eller dekryptere nettrafikk.
– Å selge vår eierandel ville være dårlig for selskapet og dårlig for folket i Myanmar, sier en talsperson for BII i en uttalelse til Finance Uncovered og den britiske avisen The Times.
Kontroversielt kinesisk selskap
Siden militæret kuppet makten, har det utviklet seg en borgerkrig i Myanmar, og juntaen har slått hardt ned på opposisjonen, der tusener er drept eller arrestert. Del av bakteppet for den ekstremt brutale behandlingen av regimekritikere, er overvåking av nettrafikk.
Ifølge Finance Uncovereds og Myanmar Nows velplasserte kilder, er et kinesisk-utviklet overvåkings-system plassert inne i et av Frontiirs datasentre i Yangon. Utstyret ser ut til å ha den samme teknologien som ble omtalt i en Justice for Myanmar-rapport fra 2024, og ifølge kildene, kan systemet fjernstyres av Myanmar-regimets eget cyber-sikkerhetsteam.
Ifølge granskingen, er utstyret utviklet av Geedge Networks, et kinesisk selskap, grunnlagt av Fang Binxing, mannen bak den kinesiske internett-sensurmodellen best kjent som «Kinas store brannmur». Geedge Networks har ikke besvart gjentatte henvendelser fra Finance Uncovered og Myanmar Now, men Ifølge selskapets egne beskrivelser, er Geedge Networks en global leverandør av «etterretningsutstyr og -løsninger».
Sammen med den britiske storavisen The Times og danske Danwatch, er Panorama invitert inn i Finance Uncovereds og Myanmar Nows journalistiske samarbeid, og har alle fått tilgang til et bredt kildemateriale som underbygger funnene i granskingen.
Dokumentasjon de to mediehusene har innhentet, kan ikke publiseres av kildebeskyttelseshensyn. Men også menneskerettighetsaktivister mener juntaen har anskaffet teknologi som gjør det mulig for sitt cybersikkerhetsteam å overvåke nettrafikk, ikke bare på Frontiirs nett, men alle telekom- og internettselskaper i landet.
– Militæret har mulighet til å se på nettverksaktiviteter live. De trenger ikke være til stede fysisk, de har sitt eget overvåkingskontor, sier Wai Phyo Myint, analytiker for Access Now, en organisasjone som jobber for digitale rettigheter.
Hun oppfordrer investorer til å se nærmere på internett-leverandører som Frontiir, om de har «overholdt militære direktiver», inkludert «overvåking av kommunikasjonslinjer».
– Vi oppfordrer sterkt investorer til å vurdere å innføre sanksjoner mot selskaper dersom deres operasjoner direkte eller indirekte er til fordel for militæret, sier Wai Phyo Myint.
«Unik nettverksarkitektur»
Frontiirs virksomhet vokste raskt etter at et tidligere militærregime avga makt til en sivil administrasjon som innledet det som i tiåret før kuppet så ut som en demokrati-prosess.
Selskapet har ifølge beskrivelser på eget nettsted en unik nettverksarkitektur som «er et av de mest avanserte (...) i verden», og påpeker at de kan tilby internett i områder hvor det er krevende å legge fibernett, og slik «bygge bro over det digitale skillet».
Tross demokratiprosessen, innførte Storbritannia og EU i 2018 sanksjoner som skulle hindre selskaper i å hjelpe myndighetsorganer i Myanmar å overvåke nettrafikk.
Frykten var at militæret, som etter grunnloven fortsatt hadde enorm makt, skulle bruke data til å underbygge menneskerettighetsbrudd. Men sanksjonene stoppet ikke det norske, danske, eller britiske fondet fra å investere i nettselskapet Frontiir året etter.
Bekymringer om Frontiirs etterlevelse av myndighetenes krav om å sensurere internett ble for alvor løftet fram i 2020, da Finance Uncovered og Myanmar Now avdekket at selskapet blokkerte tilgangen til tusenvis av nettsteder på myndighetenes ordre.
BII, det statlige britiske utviklingsfondet, lovet en hasteundersøkelse etter at spørsmål ble reist i det britiske parlamentet om Frontiir i juni samme år.
Men i stedet for å selge sin eierandel til en verdi av 20 millioner dollar, investerte fondet nye tre millioner dollar den påfølgende måneden.
Telenor advarte
Og i november 2020 – kort tid etter den økte investeringen – utarbeidet Frontiir et forslag om et såkalt Lawful Intercept System – som kunne gi burmesiske myndigheter mulighet til å spore brukeres plassering, lese e-post og høre og se innhold i lyd- og videofiler.
I et dokument, som Finance Uncovered og Myanmar Now har fått overlevert av sine kilder, foreslo selskapet å opprette «en dedikert linjeforbindelse for å overføre avskjæringsrelatert informasjon og kommunikasjonsinnhold». Etter først å ha avvist enhver involvering, erkjente Frontiir den gang at de hadde sendt inn forslaget, men sa at det «bare inneholdt idéer (om lovlig avlytting; journ.anm) basert på offentlig informasjon».
«Lawful Intercept er et kraftig verktøy og Myanmar Net er forpliktet til å overholde internasjonale standarder», heter det i dokumentet datert 15. november 2020.
Bare noen uker etter at Frontiir la fram sitt forslag, advarte Telenor om at burmesiske myndigheter ønsket å få tilgang til internettleverandørers systemer direkte, uten å trenge juridisk godkjenning fra sak til sak for å avskjære brukernes data.
«Uten tilstrekkelige juridiske sikringsmekanismer, muliggjør dette misbruk og brudd på kundenes menneskerettigheter», het det fra Telenor den gang.
Etter militærkuppet i 2021 ble arbeidet med å innføre juridiske sikkerhetstiltak for å beskytte Myanmars borgere på nett skrotet, og det foreslåtte «lovlige avlyttingssystemet» ble aldri utviklet.
I stedet utvidet juntaen sin kontroll, overvåket innbyggerne og blokkerte nettsteder. Frontiir skal eksempelvis ha blitt tvunget til å stenge ned sitt nett i byene Yangon, Mandalay og Naypyidaw etter en militær ordre på kuppdagen, 1. februar.
Siden den gang har selskapet, ifølge Myanmar Now og Finance Uncovers kilder, periodisk blokkert sosiale medieplattformer, inkludert Facebook, Twitter (nå X) og Instagram, samt uavhengige medier og nettsidene til en rekke sivilsamfunnsorganisasjoner.
Bygde infrastruktur for regimet?
Og midt i det politiske kaoset, som senere har utviklet seg til en borgerkrig, skal Frontiir ha bygget ut nett-infrastruktur til avdelingen som er ansvarlig for statlig internettovervåking, ifølge Finance Uncovered og Myanmar Nows kilder.
I et følgebrev vedlagt forslaget om lovlig avlytting, skrev Frontiir at de hadde installert fiberoptiske kabler til bygningen som huser burmesiske myndigheters Senter for informasjonsteknologi og cybersikkerhet (ITCSD). Kildene mener ITCSD fortsatte å bruke Frontiirs kabler etter militærkuppet i februar 2021.
Frontiir har ikke svart på gjentatte spørsmål fra Finance Uncovered og Myanmar Now om de fiberoptiske kablene, men Norfund, IFU og BII sier alle at selskapet har fortalt at de var pålagt å legge kablene som en del av sin lisensavtale, men at de aldri ble tatt i bruk.
«Vi har ikke sett bevis for at Myanmar-regjeringen har fått tilgang til Frontiir-nettverket for å avskjære eller dekryptere kommunikasjon», sier en talsperson for BII, og legger til at selskapet har forsikret om at det «aldri har vært gjenstand for avlytting».
IFUs svar er relativt likelydende, og fremholder i tillegg at det danske fondet «ikke har identifisert overbevisende argumenter som tyder på at det å gi fra seg vår eierandel i selskapet vil bidra positivt til situasjonen i Myanmar».
Norfunds Per Kristian Sbertoli sier til Panorama at det norske, statlige investeringsfondet, har overvåket eierskapet i Frontiir gjennom sin investeringspartner Delta Capital.
– Vi er klar over den utfordrende situasjonen Frontiir er i, og vi overvåker situasjonen, men vi har til dags dato ikke sett noen bevis som gir oss grunn til å tvile på det selskapet forteller oss, sier Sbertoli til Panorama.
– Har vært utfordrende
Joseph Wilde-Ramsing, organisasjonen SOMOs ekspert på internasjonale selskapers menneskerettighetsforpliktelser, betegner svarene som svake og sier at Storbritannia, Norge og Danmark ikke klarer å håndheve OECDs retningslinjer for ansvarlig næringsliv.
I henhold til disse reglene, som er juridisk bindende for alle tre OECD-medlemmene, har investorer «et ansvar for å bruke den innflytelsen de har for å få selskapet til å slutte å krenke menneskerettighetene», påpeker Wilde-Ramsing i et epost-svar.
«I Myanmar snakker vi om at folk blir drept, arrestert og kidnappet, så ansvaret for hvor raskt selskaper må handle, åpenhet og robustheten de må vise, er høy», skriver Ramsing i svaret til Finance Uncovered og Myanmar Now.
– Norfunds tilnærming til risikostyring er i tråd med FNs- og OECDs retningslinjer for ansvarlig næringsliv, og vi gjennomfører aktsomhetsvurderinger av alle forretningspartnere og adresserer risikoen for negative påvirkninger. Det har imidlertid vært utfordrende å vite hva som er den beste måten å håndtere investeringene våre i Myanmar på etter kuppet, så vi hører gjerne ekspertens råd om hva Norfund burde ha gjort annerledes tidligere, eller bør gjøre framover, sier Norfunds Per Kristian Sbertoli.
Forstår de ikke retningslinjene?
Panorama tar kontakt med Wilde-Ramsing for å høre hva hans anbefaling til Norfund er:
– Bortsett fra noen fine ord om at de «følger OECDs retningslinjer», er det ingenting i svarene som tyder på at de gjør tilstrekkelig due diligence for forretningsdrift i en konfliktsone, der alvorlige menneskerettighetsbrudd skjer hver eneste dag. Så mitt råd vil være å følge retningslinjene. Dersom de gjør det, tror jeg den eneste logiske konklusjonen blir at de må tre ut av eierskapet på en ansvarlig måte, sier han.
Norfunds Per Kristian Sbertoli svarer på SOMO-ekspertens råd ved å avvise at det statlige investeringsfondet ikke følger OECDs retningslinjer.
– Retningslinjene sier at dersom negative effekter har blitt identifisert, skal man forsøke avbøtende tiltak, og dersom dette ikke fører fram, skal man vurdere å selge. I dette tilfellet har vi ikke sett noen bevis på negative effekter, sier Sbertoli til Panorama.
– Men Telenor forlot Myanmar og store deler av sin milliardinvestering i 2021, blant annet «for å kunne etterleve egne verdier om menneskerettigheter og ansvarlig virksomhet». Denne investeringen må jo være et dilemma: Hvorfor er det egentlig best for burmesiske internettbrukere at Norfund i 2025 – fire år etter militærkuppet – fortsatt er investert i Frontiir?
– Det enkleste ville nok være å trekke seg ut. Men Norfund er satt opp for å håndtere mer risiko enn kommersielle investorer. Vår vurdering har vært at for et selskap som Frontiir, som vil opprettholde arbeidsplasser og tilby folk og næringsliv tilgang til internett, og samtidig ivareta høye etiske standarder, har vårt eierskap en positiv betydning, og at det ansvarlige valget for oss har vært å bli, sier Sbertoli.
