Search form

Dataintrång är ett brott

Avslöjandena att Sverigedemokraternas folkvalda representanter säger dumma, rasistiska saker på internet kunde göras på grund av dataintrång. Dataintrång är normalt sett brottsligt, och fängelsestraffen för dataintrång är på minst två år, upp till fem år. Dataintrång är också väldigt brett definierat: man behöver inte ha röjt identitetsuppgifter, utan det kan räcka med att ha otillgängliggjort information som någon velat göra tillgänglig (t ex ddos).

Eftersom Anna Troberg redan har gått igenom pressetik  och den allmänna rätten att yttra sig, även på dumma sätt, tänkte jag ta upp en annan aspekt: offren för dataintrång.

Det är nämligen inte Sverigedemokraterna som är brottsoffer enligt lag, utan Disqus. Kanske också Adobe. Enligt vår rådande IT-brottslagstiftning är det Disqus och Adobe som är brottsoffer. Om något av företagen väljer att polisanmäla Researchgruppen finns, så vitt jag förstår, goda förutsättningar för vart och ett av dem att få individerna i Researchgruppen dömda för dataintrång.

När Skatteverket och Kronofogden, och deras IT-tjänstleverantörer, tappade bort stora mängder personuppgifter för några år sedan var situationen liknande. Gottfrid Swartholm Warg avtjänar fängelsestraff för dataintrång inte för att han varit dum mot de svenskar vars personuppgifter kommit på vift, utan för att han har varit dum mot det företag som underhöll databaser åt Skatteverket och Kronofogden. I IT-världen är det aldrig privatpersoner som upplevs vara brottsoffer när de utsätts för negativa konsekvenser till följd av säkerhetsproblem - dataintrångslagstiftningen skyddar företag, myndigheter och ekonomiskt starka aktörer. Privatpersoner, kunder eller medborgare skyddas i stort sett inte alls av IT-brottslagstiftningen.

Det kan kännas underligt för de privatpersoner som drabbas av att deras personuppgifter läcker att det knappt finns några juridiska verktyg för dem att få upprättelse. Om man känner sig kränkt av Skatteverket, Kronofogden eller deras tjänsteleverantörer kan man inte vända sig någonstans - enligt lagen har man inte begåtts någon särskild oförrätt. Varken riksdagen eller regeringen är villig att viga statens resurser åt att hjälpa privatpersoner i IT-världen. Tvärtom kommer Kronofogden med enkelhet undan med ett resonemang som går ut på att de som drabbats av personuppgiftsintrånget inte behöver informeras om att deras personuppgifter är på vift eftersom privatpersonerna blir "oroliga då". När det gäller forumkommentarer har Disqus undvikit alla former av ansvar gentemot privatpersoner genom friskrivningar i sina användaravtal. Alla som använder Disqus, oavsett om de arbetar för romers rättigheter, mot invandrare, för anarkolibertarianismen eller för narkolepsipatienters välmående, får finna sig i att Disqus förvisso inte tycker det är bra att Disqus är drabbat av säkerhetsproblem, men att Disqus lovar att de inte har för avsikt att sådana säkerhetsproblem ska uppdagas och utnyttjas.

Det finns ett enkelt svar på varför det är så: Våra dataintrångslagar och hackinglagar sätter helt och hållet fokus på att skydda den med makt och resurser. Polisens resurser styrs åt att skydda ekonomiskt och tekniskt starka aktörer på ett sätt som inte är särskilt bra för bättre säkerhet. Varken regeringen eller riksdagen har prioriterat att skydda de med tekniskt få resurser, och ekonomiskt få resurser, på nätet. Tvärtom är internet och informationsteknologi i allmänhet ett område där staten lägger stora resurser på att skydda de starka mot de svaga. Maktbalansen är helt fel.

Det kan vara lockande att föreslå att polisen ska skydda de svaga istället. Att polisen t ex ska utreda Researchgruppen å Sverigedemokraternas vägnar istället för på Disqus villkor. Eller att Gottfrid Swartholm Warg ska prövas utifrån den skada han eventuellt orsakat svenska privatpersoner istället för skada han orsakat Skatteverkets tjänsteleverantör. Jag tror personligen inte att det är någon särskilt bra lösning och att den skjuter förbi målet. Polisen bör förmodligen inte alls blandas in i dataintrångsmål och har nästan inga förutsättningar alls att göra nytta i strävan efter bättre IT-säkerhet.

En enklare lösning är istället att se problemet som ett marknadsproblem. Varför har Disqus och Adobe inget ansvar att berätta för sina användare att de är utsatta för säkerhetsrisker och när de är utsatta för säkerhetsrisker, eller hur sådana risker ska åtgärdas? Vi kommer aldrig att få säkra system om vi inte skapar incitament att avslöja osäkerheter och åtgärda osäkerheter. Både Disqus och Adobe behöver också vara ansvariga för att personuppgifter de hanterar faktiskt hanteras på ett säkert sätt. Samma sak gäller Skatteverket och Kronofogden, samt alla företag de köper tjänster ifrån: de behöver vara ansvariga för personuppgifterna hanteras rätt, ha en skyldighet att berätta när det uppstår risker och hur man hanterar sådana risker som privatperson.

EU:s dataskyddsförordning är ett steg i rätt riktning. Den sätter individens integritet och säkerhet i fokus, istället för mäktiga myndigheters och företags resurser. Men den behöver också komplementeras med allmänna regler för informations- och kommunikationssektorn. En förpliktelse att så snart som möjligt berätta för kunder och användare när säkerhetsrisker uppdagats, samt hur man åtgärdar säkerhetsriskerna, bör införas. Polisen kan sedan ägna sig åt att utreda sådana företag och systemtillhandahållare som inte uppfyller transparenskriterierna.

Det har många fördelar att helt tänka om regelverket för dataintrång. Just nu utreder polisen saker som de inte kan göra någonting åt. Om det finns en osäker IT-produkt som inte skyddar personuppgifter har polisen mycket få medel att åtgärda problemet. Det är därför rimligt att utredningen av säkerhetsproblemen landar på privat sektor, som är bättre skickad att åtgärda problemet. Polisen kan istället säkerställa samhället att sådana utredningar blir tillgängliga, och att drabbade privatpersoner får information om hur de skyddar sig. Detta är en enklare, och effektivare, uppgift som gynnar bättre säkerhet. Det skapar också en mycket bättre maktbalans mellan myndigheter, företag och privatpersoner.

3 comments

Ett personligt tillägg: tidningen Arbetaren skriver att Researchgruppens arbete är ett "rätteligen hyllat grävjobb", vilket man förmodligen bör se som att det finns en enorm oförståelse inför maktbalans och ansvarsutkrävande på internet. I den mån grävjobbet är resultatet av att användare och människor knappast har några rättigheter alls i det som nyligen börjat kallas "digital feodalism" är det ju inte alls något bra tecken på jämlikhet och rättvisa.

Det är också av uppenbara skäl så att det som drabbar Sverigedemokraterna också kan drabba andra, t ex Wiseman's Wisdoms (se vidare upprörda kommentarer om detta här, här, och här), vänsteraktivister, företag eller organisationer som jobbar för flyktingbarns välmående.

De stora problem vi har att definiera maktrelationer i informationsteknologi och hur man bäst balanserar makthavare mot varandra är egentligen inte bra för någon, utom de stora, ekonomiskt starka aktörer som inte är i särskilt stort behov av skydd samt de svenska myndigheter som inte upplever att de har något särskilt ansvar gentemot svenska folket.

Jag tycker tyvärr din artikel verkar tyda på en stor okunskap om hur det egentligen gick till när Disqus "hackades". Du hänvisar till dataintrång och konstaterar det självklara att en handling med en brottsrubricering är ett brott, men på inget sätt hur det skulle relatera till Disqus (och Gravatar, som trots allt var attackvektorn).

Gravatar är en centraliserad tjänst för profilbilder där det är tänkt att en användares uppgifter (mailadress i det här fallet) ska kunna användas som unik nyckel för alla webbsajter som vill komplettera sina användarprofiler med en bild på personen utan att behöva implementera en egen bilduppladdning/tvinga användaren att uppdatera sin avatar på flera olika sajter i framtiden.

Nyckeln genereras som en MD5-summa av mailadressen och skickas till Gravatar som svarar med den matchade användaren. MD5 går förstås inte att vända till sin ursprungstext matematiskt, men har man databaser med mailadresser kan man helt sonika generera MD5-nycklar av dem och gör anrop till Gravatar. Allt detta görs via Gravatars egna API och är i själva verket grunden till varför Gravatar blivit så populär eftersom man kan ta sin befintliga användardata och komplettera med profilbilder utan användarens inblandning.

All information som användes i grävandet kom från publika (dåligt designade) API'n, så du får gärna utveckla vilken del av ovanstående som innebär "dataintrång" enligt din och/eller statens mening.

Fast de här grejerna var tidigare dataintrång enligt EU-rätten:

Article 2

Illegal access to information systems

1. Each Member State shall take the necessary measures to ensure that the intentional access without right to the whole or any part of an information system is punishable as a criminal offence, at least for cases which are not minor.

2. Each Member State may decide that the conduct referred to in paragraph 1 is incriminated only where the offence is committed by infringing a security measure.

Article 3

Illegal system interference

Each Member State shall take the necessary measures to ensure that the intentional serious hindering or interruption of the functioning of an information system by inputting, transmitting, damaging, deleting, deteriorating, altering, suppressing or rendering inaccessible computer data is punishable as a criminal offence when committed without right, at least for cases which are not minor.

Article 4

Illegal data interference

Each Member State shall take the necessary measures to ensure that the intentional deletion, damaging, deterioration, alteration, suppression or rendering inaccessible of computer data on an information system is punishable as a criminal offence when committed without right, at least for cases which are not minor.

Article 5

Instigation, aiding and abetting and attempt

1. Each Member State shall ensure that the instigation of aiding and abetting an offence referred to in Articles 2, 3 and 4 is punishable as a criminal offence.

2. Each Member State shall ensure that the attempt to commit the offences referred to in Articles 2, 3 and 4 is punishable as a criminal offence.

3. Each Member State may decide not to apply paragraph 2 for the offences referred to in Article 2.

 

Det här är väldigt breda definitioner, men som jag försökte uttrycka i bloggposten är det i sådana fall Gravatar eller Disqus som är brottsoffren. Det är de som kan anmäla, och det är de som kan uppleva sig kränkta.

De som givit upphov till själva datan som behandlas på det sätt som ovan beskrivs har få eller inga möjligheter till upprättelse. Det var det som var poängen.

Ovanstående ramverksbeslut är numera ett direktiv, men definitionerna lär inte ha gjorts mildare. Jag tror att EU-parlamentet i sin stora klokhet beslutade att också kriminalisera det avsiktliga innehavet av verktyg för att göra ovanstående saker.

Hela den här diskussionen är dock, och bör dock, bortkopplas från till exempel vad vi ska göra åt att människor säger dumma saker - IT-brottslagstiftningen har inget att göra med att människor förvisso stundtals är väldigt elaka mot varandra på nätet. Den skyddar nämligen inte människor, utan företag.

Add new comment