Sökformulär

En till kommentar om brottsliga dataintrång

IT-brottslighet är ett område som orsakar mig tilltagande irritation. Aftonbladet skrev för ett par dagar sedan om massiva hackattacker mot storspelen. Läget är så allvarligt att polisen besökt  spelaren Phantoml0rds bostad. Av vilken anledning polisen besökt Phantoml0rd är oklart.

Det som har hänt verkar vara att vissa av spelföretaget EA Games servrar utsatts för överbelastningsattacker. Att genomföra överbelastningsattacker är brottsrubricerat i Sverige. Men det är inte Phantoml0rd som är offer för överbelastningsattacken utan EA Games, tillhandahållare av storspel. Phantoml0rds aktiviteter har eventuellt störts av attackerna, men han är inte brottsoffer.

Artikeln avslutas med att "[t]otalt har ”Dota 2”, ”League of legends”, Club Penguin och Battle.net drabbats av attackerna." Med detta har Aftonbladet identifierat sex aktörer som påverkats negativt av överbelastningen: dels EA Games, så klart, men också spelaren Phantoml0rd och olika lag som spelar tillsammans.

Bara EA Games är i ställning att på något sätt begära hjälp av polisen med obehagliga konsekvenser. Det är nämligen deras servrar, inte spelarnas, som drabbats av störningar. Störningar av internettjänster kan bestraffas med mellan två och fem år i fängelse enligt gällande EU-rätt.  EA Games väljer själva om de vill anmäla attackerna till polisen. Polisen skulle i sådana fall behöva spåra upp de som skickat för många datapaket till servrarna. Övriga fem drabbade, det vill säga EA Games kunder, har inte utsatts för någon oförrätt enligt lagen. De har köpt en kass tjänst, och får skylla sig själva.

Jag återkommer, precis som i mitt  förra inlägg om Researchgruppens aktion mot Sverigedemokraterna, till  att IT-brottslagstiftningen är skriven på fel sätt. Det är uppenbart att polisen ska utreda brott, men vad är det som är ett brott? IT-brottslagstiftningen misslyckas på något sätt med att definiera vad ett brott är, vem som ska vara brottsoffer, och vilka åtgärder som ska sättas in för att komma till bukt med problemen.

  • Vår nuvarande IT-brottslagstiftning gör så att skattepengar och polisens resurser används för att skydda internationella storföretag. EA  Games kan bespara sig investeringar i bättre rustad infrastruktur och  istället få skattemedel tillägnade förföljelse av tramsiga  privatpersoner. Phantoml0rd, Dota 2, et al får istället nöja sig med en fortsatt sårbar och undermålig plattform av spela på.

  • Den enda politiska lösningen som t ex Kaspersky eller Toomas Ilves (Estlands president) lyckas kläcka ur sig är total identifiering av användare. En sorts internetpass. En sådan åtgärd skulle samtidigt lyckas gynna storföretag som tillhandahåller e-legitimation, och samtidigt bespara andra storföretag, som EA Games, investeringar i bättre rustad infrastruktur. Istället för att uppmuntra bättre säkerhet, får vi alltså flera parallella system som vart och ett kan drabbas av osäkerheter, som inte åtgärdar, och leder till ännu fler problem för användare och privatpersoner.

Jag förutsätter att varken Phantoml0rd eller någon annan spelare vill ha polisen omkringspringandes i sina bostäder. De vill ha fungerande internettjänster som låter dem spela datorspel. De upplever förmodligen inte att staten behöver utöva kontroll över deras spelande medelst legitimation. Och framför allt vill de inte behöva genomlida en massa trassel för att ägna sig åt sånt de tycker om att ägna sig åt, nämligen dataspelande. Tyvärr tar lagen inte alls hänsyn till vad användare och privatpersoner vill, utan är en sorts statlig subventionsplan för företag som inte vill förbättra sin teknik och andra företag som vill kränga nya produkter.

Det är orimligt att man ska kalla på polis så fort man misslyckas med att leverera utlovade tjänster till sina användare. Det blir en konstig statlig subvention av teknisk lathet.

7 kommentarer

Är det inte idé att ta i med lite mera tydlighet om Kasperskys och Toomas Ilves förslag? Om jag inte visste bättre skulle jag tro att du ställde dig likgiltig till förslaget, kanske till och med svagt positiv.

Jag tror, tyvärr, att sådana "internetpass" är framtiden om E-ID blir enkelt och effektivt.

Vad ska vi göra för att förhindra en sådan framtid?

Det där är ju en lång och komplex historia så klart.

Jag tror att Toomas Ilves är i situationen att hans regeringstjänstemän har utvecklat ett bra system som estländarna gillar. Nu vill Ilves begåva alla världsmedborgare med detta system, trots att det system som utvecklats är helt orelaterat till de nätverkssäkerhetsproblem som Estland hade 2007. Han har alltså hittat en lösning han vill applicera, och letar efter rätt problem.

I Estland har man haft väldigt lite övervägningar om privatliv, integritet och olänkbarhet i sitt e-legitimationssystem (precis som i Sverige). Det tror jag har sociokulturella anledningar: dels är det väl tekniskt enklare att bygga ett system som länkar ihop allting hela tiden, det är också administrativt enklare för regeringen. Men Estland är också ett litet land med liten befolkning som har ett starkt behov av en starkare gruppidentitet - inte minst för att de var en del av Sovjet under lång tid. Sättet man bygger gruppidentiteter (känslan av att tillhöra ett sammanhang, ungefär som en familj, eller vilken social krets man nu vill anse sig tillhöra) är att selektivt riva ner vissa integritets- eller privatlivsmurar mellan individerna i gruppen.

Jag tror personligen inte att Estlands system skalar upp särskilt väl - hela deras offentlig IT-lösning bygger på en plats med Estlands kulturella bakgrund och Estlands kulturella behov, samt Estlands nuvarande storlek. Jag är inte heller säker på att Ilves egentligen tänkt igenom, och det nämner han ju själv att han inte är expert på, de tekniska konsekvenserna (eller de uteblivna tekniska konsekvenser) som följer av hans strävan.

I Kasperskys fall finns inte så mycket att säga. Han letar nog bara efter en ny produktmarknad, och behöver skapa efterfrågan för det han vill sälja.

Tror du inte att det blir så att politiker kommer att kräva ett sådant system när tekniken blir mogen? Jag vet ärligt talat inte om jag bara målar fan på väggen, eller belyser ett underskattat problem. Men OM de skulle kräva det, är jag helt säker på att det i alla fall i Sverige skulle accepteras utan att blinka. För vad skulle man kunna göra egentligen, om man bara kommer till en sida där det står "Du måste identifiera dig för att kunna fortsätta ut på internet"? Skriva klagobrev? Demonstrera? Sidan släpper inte ut en på nätet för det. Och när alla använder det, ses det som accepterat.

Nej. Jag tror att det finns många politiker som både uppskattar och förstår anonymitet som en viktig drivkraft för vissa samhällsfenomen och som vi också behöver bevara. Det är klart, dock, att en nationalstat har många inbördes delar som drar åt olika håll - polisen är en typisk myndighet som ogillar anonymitet i många fall, också SÄPO. Däremot utrikesdepartementet eller SIDA ogillar inte nödvändigtvis anonymitet. PTS skulle gilla anonymitet om det fanns åtminstone ett framgångsrikt svenskt företag som jobbade med anonymitet på nätet - tyvärr brukar sådana tjänster göras olagliga av Justitiedepartementet.

Osv.

Demokratiministern borde gilla anonymitet. Anonymitet och den tillhörande rätten att fritt uttrycka sin identitet eller sina åsikter, partiellt eller komplett, är ju rättigheter moderna västeuropeiska länder etablerat för att de anses som grundvillkor för demokrati.

Men det finns också en del exempel på mer eller mindre lyckade legitimationsprojekt på nätet: Sydkorea, Kina, han journalisten i Sverige som oroade sig för näthat, osv.

Det finns svenska företag som jobbar med anonymitet på nätet. Relakks, Mullvad, Anonine...

Att tjänsterna kan göras olagliga skulle väl snarast vara ett tecken på att det är väldigt sannolikt att krav på ID kommer? Om man kan stifta lagar som olagligförklarar sådana tjänster, kan man väl stifta lagar som kräver nät-ID?

Vad som borde vara är inte alltid det som är. FN, med sin deklaration av mänskliga rättigheter, borde väl vara för möjligheten till anonymitet? Tänk igen: https://www.flashback.org/t772134

Läs igenom trådstarten och skumma gärna hela tråden. Den tiden tror jag att du tycker att det är värt.

Politiker kan besluta allt.

Så du har givetvis rätt i att de kan bestämma att vi måste ha nät-ID, och de kan också bestämma sig för att förbjuda anonymitet på nätet. De kan bestämma vilka företag som är lagliga och vilka som är olagliga. De bestämmer hur vi löser konflikter och precis allt annat också.

Politiker har jättemycket makt. Jag har skrivit om det ironiska i att politiker DOCK ofta samtidigt överskattar och underskattar sin egen maktställning.

Det jag menade var dock att politiker i just frågan om anonymitet inte per definition kommer att besluta "fel" sak (vilket jag tror att vi är överens om att det vore att förbjuda anonymitet). :-)

Företagen jag skrev om var ett svar på att du skrev att "PTS skulle gilla anonymitet om det fanns åtminstone ett framgångsrikt svenskt företag som jobbade med anonymitet på nätet - tyvärr brukar sådana tjänster göras olagliga av Justitiedepartementet."

Vilka tjänster har gjorts olagliga av Justitiedepartementet?

Ja, att förbjuda anonymitet vore sannerligen fel, det är vi överens om. Det jag menade var inte att fråga vilken makt politiker har, ursäkta om jag uttryckte mig slarvigt, jag menade såhär: Om Justitiedepartementet gjort anonymitetstjänster olagliga, är det väl troligt att de har viljan att göra all anonymitet olaglig? Eller är jag ute och cyklar?

Lägg till ny kommentar