Search form

Datasäkerhet som lagstiftningsobjekt

Jag skickade nyss ut ett pressmeddelande där jag försöker kortfattat förklara bakgrunden till ett förslag som rönt viss uppmärksamhet bland datasäkerhetsexperter de senaste veckorna.

Vissa frågor jag har fått från andra medlemsländer (Frankrike och Tjeckien) verkar indikera att många tror att förslaget parlamentets utskott för mänskliga rättigheter och inre säkerhet (LIBE) röstade igenom för två veckor sedan är någonting nytt. Så är det egentligen inte. Direktivsförslaget (på EU-språk: meddelande från kommissionen, alt. på engelska communication from the commission) 2010/0273(COD) är egentligen en omarbetning av ett gammalt rambeslut från kommissionen och rådet, 2005/222/JHA (Rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem). Det behandlades av parlamentet redan 2002, och kommissionens förslag på omarbetning till direktiv som publicerades 2010 var snarlikt den gamla förordningen. På Europaparlamentets webbplats för uppföljning av lagstiftningen finns ännu ingen länk publicerad till det förslag LIBE-utskottet faktiskt antagit så det är svårt att säga hur det egentligen har förändrats.

Det som är väldigt tydligt i de debatter som förs om datasäkerhet i parlamentet - till exempel ITRE-utskottets debatter tidigare i år om ENISA - och även de rapporter som kommer från datasäkerhetsdebatter på kommissionen är dock att man, precis som jag nämner i pressreleasen, lägger ett onödigt fokus på distributed denial of service-attacker. Det är nog som Bruce Schneier nämner "en funktion av mediarapportering snarare än någon faktiskt hackingepidemi". Visst visar det sig också att majoriteten av just DDoS-attacker verkar vara politiska snarare än utslag för ökad kriminalitet eller osäkerhet i våra datasystem.

Ett EU-land där man stundtals kommit längre i politiska säkerhetsdebatter än andra länder är Nederländerna. Där lyckades underkammaren ("Tweede kamer", motsvarande svenska riksdagen) nyligen ställa frågan till landets regering om landets SCADA-system egentligen var väl säkrade. SCADA-system är sådana datasystem som ofta hanterar väldigt specialiserade uppgifter. De består av hårdvara och mjukvara och kan förekomma i till exempel vattenreningsverk, kärnkraftverk eller andra platser där man förväntar sig någon form av datorkontroll men inte nödvändigtvis en dator i form av persondator (alltså, sådan dator vi vanligtvis hittar i hemet eller på kontoret). Det svarade regeringen att de visst var och lade till att de i de flesta fall inte var uppkopplade mot internet alls, eller hade egna nätverk. Men ja, kommer man i närheten av ett sådant system med t ex en USB-sticka, eller tar sig till ett av nätverkspunkterna för systemens interna nätverk, kan man nog åstadkomma en del ändå.

Ett vanligt exempel att ta upp på när just överbelastningsattacker (DDoS) varit stora problem i Europaunionen är den attack som skedde mot Estland 2007. Det är allmänt vedertaget att den attacken inte var organiserad och berodde på Estlands dåförtiden dåliga infrastruktur. Man löste sedermera problemet genom att ge Estland fler kopplingar än en till omvärlden, informationsinfrastrukturellt sett. I många fall där överbelastningsattacker varit aktuella ser man också väldigt tydligt att det är just aktörer som har centraliserad infrastruktur som drabbas. VISA och Mastercard, men däremot inte Amazon som hade servrar i flertalet medlemsländer vid tiden för de uppmärksammade attackerna till stöd för Wikileaks.

Nu är det förvisso into politikers uppgift att se till varken SCADA-system, internet exchanges eller serverhallar är säkra från yttre hot. Däremot kan det ligga inom en politikers uppgift att se till att den industri som tillhandahåller de här systemen inte kommer undan med att lämna säkerhetsläckor i tekniken.

Det är politiker oftast väldigt usla på att göra.

Eftersom vi som yrkesgrupp är rätt mediakänsliga, agerar vi ofta på vad Schneier refererar till som "funktioner av mediarapportering" snarare än faktiska behov.

Dessutom tycker jag mig märka en oro inför att industrin, i det här fallet säkerhetsindustrin eller till och med hårdvaruindustrin, skulle kunna bli överreglerad. När man oroar sig för att industrin ska överregleras är det naturligtvis lättare att stifta en lag sådan att ansvaret för att någonting gått fel läggs på offentliga institutioner, i det här fallet domstolsväsendet och landets fängelser (eftersom man har kriminaliserat olika typer av dataintrång).

Den här skiftningen av ansvar från de aktörer som egentligen har makten att verka förebyggande, till offentliga institutioner som egentligen bara kan verka efter att någonting egentligen har hänt (såvida de inte tar över vissa delar av också den kommersiella produktionen, vilket man naturligtvis kan tänka sig att de bör eller kan göra) sker inte bara i säkerhetsindustrin. Överlag är det, precis som jag skrev om PNR här om dagen, ganska lätt för vilken industri att helt enkelt skjuta upp vidtagande av adekvata åtgärder tills dess att offentliga institutioner känner sig nödgade att ta över det som i slutändan alltid är ett ekonomiskt ansvar för att se till att rätt åtgärder faktiskt hamnar på plats.

1 comment

Varför känns det alltid som politiker nästan uteslutande söker den enklaste lösningen på problem? Högre straff som ska vara avskräckande. Om inte piskan biter bra längre, piskar hårdare och oftare. Kan dom inte se lite längre, och jobba med orsakerna istället?

Add new comment