Sökformulär

Åter till vem som egentligen är förövaren vid dataintrång

Jag har tidigare hävdat att Researchgruppen är en kriminell enhet. Detta har bestridits av Researchgruppen, uppskattats av Sverigedemokrater men min drivande tes är - så klart - att Sverigedemokraterna har väldigt lite att glädjas åt, då det inte är de som har begåtts en oförrätt av Researchgruppen utan Disqus, ett företag till vilka enskilda medlemmar i Sverigedemokraterna har varit kunder. Sverigedemokraterna är de facto inte alls offer för någonting alls, i lagens mening, utom yttrandefrihet, och den utövades inte av Researchgruppen utan av Expressen.

Sammanfattning: Sverigedemokraterna har utsatts för Expressens utövande av grundläggande demokratiska rättigheter. Detta får man förvänta sig i ett demokratiskt samhälle och bör man inte beklaga över. Disqus är eventuellt offer för grov brottslighet, eller i alla fall brottslighet. Researchgruppen är förövare med avseende på Disqus, i den mån Disqus har utsatts för brottslighet.

Jag skrev i valkampanjen om detta i Kvällsposten. Jag har också skrivit om det förra vintern, och hävdat att i stort sett alla IT-brottslagar är ett sätt att skydda ekonomiska aktörer mot enskilda individer - det vill säga en sorts statlig subvention för de starka, på de svagas bekostnad. Bloggaren CTail gav flera intressanta förtydliganden av begreppen uppsåt och handlingarnas effekt. Han sammanfattar så här:

Dataintrång? Självklart inte! utbrister datanörden. Man tog ju bara öppet tillgängliga data och matchade ihop dem, utan att tränga in någonstans. Men så behöver det inte se ut med juristens glasögon. Hashvärdena var de facto ett slags lösenord för kommunikation mellan Disqus och profilbildstjänsten Gravatar. Dessa lösenord knäckte Researchgruppen, och intervenerade alltså mellan de två tjänsterna för att uppsåtligen skaffa sig tillgång till information som systemet sammantaget var byggt för att undanhålla. Det är inte självklart att detta juridiskt skulle kunna betraktas som dataintrång, men motsatsen är inte heller självklar. Föreställ er till exempel att punkten man angripit inte tillhört en webbdiskussionstjänst, utan en myndighet, en bank, eller ett multinationellt företag. Vad hade hänt då? (Ta nu bara inte detta som att jag säger att Researchgruppen gjorde fel! Det är en annan diskussion.)

Vän av ordning, och som följer internationell IT-rättsutveckling, kommer vara medveten om att situationen CTail sammanfattar i slutet av sitt blogginlägg faktiskt uppstått och prövats i en amerikansk domstol. Den amerikanske säkerhetsexperten weev tog del av AT&T:s öppet tillgängliga uppgifter om iPad-användares e-postkonton. AT&T hade skapar webblänkar till var och en av användarens privata uppgifter som gick att komma åt genom att besöka länken. Weev dömdes till 41 månader i fängelse för att ha tagit del av de öppet tillgängliga uppgifterna (webblänkarna var i och för sig krångliga, men vi har alla erfarenhet av att ha besökt en lång webbadress, t ex när vi använder internetbank eller betalmedel på nätet). 12 månader senare bestämde en annan amerikansk domstol vid överklagan att weev skulle frisläppas.

Jag vill understryka att det är AT&T som är det presumtiva offret för weevs handlingar. Weev satt inte i fängelse i över ett år för att han varit dum mot iPad-användare, han satt i fängelse för att han varit dum mot AT&T. AT&T har kanske, eller kanske inte, förbättrat rutinerna kring hur de behandlar iPad-användare efter weevs handlingar - juridiskt har de inga skyldigheter att göra det, eller att uppmärksamma iPad-användare på att weev finns och har gjort det här och att det går att undvika. iPad-användarna, i egenskap av AT&T:s kunder, är rättslösa om inte AT&T:s juristavdelning klantat sig vid formuleringen av standardavtalet.

En seger för rimligheten, tyckte många, att AT&T inte blir brottsoffer bara för att deras rutiner hånar konsumenternas intressen, tyckte många. I följande CNBC-inslag, minut 03:53, får man dock en annan bild. Weev har inte frikänts för att AT&T inte var ett offer för användningen av öppet tillgängliga data, utan för att rättegången skett i fel delstat. Det gör att vi fortfarande, i USA, inte på tydlig grund kan säga att varken weev eller Researchgruppen inte är farliga brottslingar som uppsåtligt skadar väna och spröda aktörer som Disqus och AT&T.

Andra jämförbara rättsfall på området finns däremot i Baltikum. Min tidigare kollega Krišjānis KARIŅŠ berättade för mig om ett fall där en lettisk eller etnisk IT-tekniker berett sig tillgång till information om andra medborgares interaktioner med myndigheter och privata aktörer genom att besöka webblänkar till deras e-legitimationsgränssnitt. Jag har inte lyckats spåra nyhetsrapportering om detta på engelska, och kan inte själv söka lokalpressen på grund av bristande språkkunskaper. Jag får därför i det följande be läsaren utgå ifrån att min kollega inte ljög för mig.

I Estland och Lettland har man nämligen e-legitimationer för i stort sett allt, och varje medborgare kan logga in på en hemsida där de kan se vad de använt e-legitimationen till. Informationen för varje e-legitimation ligger också öppet tillgänglig på en webblänk som är ganska lång och krånglig, men som går att komma åt utan att logga in. Denna tekniker hade besökt länkarna i tur och ordning, och för e-legitimationer som inte var henoms egen, och därefter ställts inför rätta. Den etniska eller lettiska domstolen tyckte inte att man kunde prata om ett dataintrång eller hackingbrott om länkarna ändå varit öppet tillgängliga. Detta är ett enligt mig helt rimligt förhållningssätt, men det har kritiserats eftersom det ju var människor som blev kränkta. Jag vill fortfarande också understryka att medborgarna bara skyddas i den utsträckning de är en manifestation av staten, som är det juridiskt definierade offret. Varje enskild medborgare som lidit av att staten inte orkade kravspecificera en autenticeringsmekanism har inga rättigheter mot staten.

I fallet med Researchgruppen är alltså frågan hur en svensk domstol skulle förhålla sig till att Disqus driver process med dem. Kommer de luta åt det baltiska hållet, eller åt det första amerikanska avgörandet?

Det enda sättet att veta är domstolsprövning, men då under risk att den svenska domstolen, precis som den amerikanska överinstansen, fegar ur och otydligt avfärdar fallet på någon annan grund än sakfrågan som sådan. En sådan domstolsprövning kan initieras av Disqus, men jag frågar mig också om t ex Avpixlat kan dra Researchgruppen inför rätta.

Dataintrång faller under allmänt åtal. Polisen har en skyldighet att utreda oavsett vem som anmäler. Däremot kommer polisen inte orka bry sig om det innebär merarbete, och det är egentligen bara intellektuellt tillfredsställande att tvinga en domstol ta ställning till ovanstående spörsmål.

I direktiv 2013/140/EU definieras informationssystem så här: "en apparat eller en grupp av sammankopplade apparater eller apparater som hör samman med varandra, av vilka en eller flera genom ett program automatiskt behandlar datorbehandlingsbara uppgifter, samt datorbehandlingsbara uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av en apparat eller en grupp av apparater för att de ska kunna drivas, användas, skyddas och underhållas,"

Förutsättningen för att Avpixlat ska kunna driva ett sånt här mål är alltså att någon av den öppna data som Researchgruppen använt kan anses ha fallit under ett sådant informationssystem under Avpixlats kontroll som anges ovan. Den svenska implementationen verkar vara Brottsbalken 4 kap, §8-9c:

8 § Den som olovligen bereder sig tillgång till ett meddelande, som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller i ett elektroniskt kommunikationsnät, döms för brytande av post- eller telehemlighet till böter eller fängelse i högst två år. Lag (2012:280).

9 § Den som, utan att fall är för handen som i 8 § sägs, olovligen bryter brev eller telegram eller eljest bereder sig tillgång till något som förvaras förseglat eller under lås eller eljest tillslutet, dömes för
intrång i förvar till böter eller fängelse i högst två år.

9 a § [orelevant]

9 b § [orelevant]

9 c § Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Lag (2014:302).

Frågan för Avpixlat är alltså: har meddelandet eller uppgiften till vilken till olovliga tillgången beretts befunnit sig under deras kontroll på något sätt? Om ja, borde Avpixlat kunna driva ett så kallat testfall i egenskap av offer för Resarchgruppen. Avpixlat borde behöva vara ansvariga eller involverade i den automatiserade behandling eller själva disponera över det elektroniska kommunikationsnätet. Till skillnad från både estniska staten och AT&T har Avpixlat färre resurser. Brottsoffrets relativt mindre bemedlande talar alltså emot - ju svagare offret är, desto mindre risk att förövaren utsätts för prövning (bara detta borde i sig se som rättsvidrigt med IT-brottslagstiftningen).

Jag besitter inte personligen tillräcklig teknisk fantasi eller kännedom för att bedöma om Avpixlat kan tänkas ha haft sådant ansvar eller involvering. Jag kan också konstatera att man nog ändå behöver hitta dels en villig åklagare, och en skicklig jurist. Eftersom åklagarmyndigheten torde ha mindre incitament att skydda svaga brottsoffer än starka brottsoffer talar det emot att ovanstående övning får sin lösning. Det är oerhört synd, och någonting de som är ansvariga för rättsstaten och dess formation borde bekymra sig över.

2 kommentarer

Jag är nog inne på att den baltiska tolkningen är den korrekta här. Dock är det det en annan dataskyddsfråga som också är intressant här: Begår inte Reseachgruppen ett uppenbart brott mot datalagringsförordningen genom att upprätta ett register på politiska motståndare. Det vre intressant att höra dina åsikter om det?

Så vitt jag förstår har Bisnode begått ett brott genom att utdela till tredje part (Seppukumedia) känsliga uppgifter om privatpersoner utan att först få samtycke från dessa (enligt dataskyddsförordningen). Detta eftersom kreditupplysningar normalt bara ska genomföras när det finns lagstöd för detta, men även under dataskyddsförordningen skulle man behöva pröva i domstol om t ex journalistisk verksamhet kan räknas som ett tillräckligt motiverat intresse (det här beror på hur man skrivit svensk kreditupplysningslag, faktiskt).

Men även Skatteverket och andra myndigheter har i allmänhet (under dataskyddsförordningen) begått brott mot privatpersoner genom att överlämna ovillkorat känsliga personuppgifter till privata aktörer. Det vill säga, myndigheterna får under dataskyddsförordningen betydligt högre krav på sig att säkerställa sig om att upphandlingsavtal för registerhanteringstjänster faktiskt rimligen kan uppfylla kraven i dataskyddsförordningen - företagen kommer också erhålla höga böter om de inte bidrar till en sådan process, så det blir bättre incitament för framför allt företag att se till att offentliga institutioner inte missköter sig.

Researchgruppens register kan anses vara journalistiskt motiverat, och är därför inte nödvändigtvis olagligt under dataskyddsförordningen. Även här behöver man kanske egentligen testa var gränsen för "allmänintresse" i journalistisk verksamhet går, när det gäller åsiktsregistrering. En tumregel som jag personligen fann bra var att de som är folkvalda får finna sig i att bli registrerade - är man en offentlig person måste man vara beredd att offentligt stå för sina åsikter och sin karaktär, och allmänheten har också ett befogat intresse av att få reda på hur man är och ebter sig - medan de som inte är folkvalda inte ska behöva finna sig i samma granskning.

Jag tror inte man ska se dataskyddsförordningen som ett sätt att hindra kontroversiell rapportering om varken höger- eller vänsterextremister, men att den däremot stärker samtliga individers rättigheter mot framför allt företag och myndigheter som i hemlighet eller under falsk marknadsföring hanterar stora mängder personuppgifter på ett automatiserat sätt.

Lägg till ny kommentar