handdator

Visa fullständig version : Dataintrång


SM5POR
2006-06-10, 11:48
I nyhetstråden om en intervju med Håkan Roswall (https://www.piratpartiet.se/forum/Topic33061-15-1.aspx) kom vi in på fallet med Intentia, som häromåret polisanmälde Reuters för dataintrång sedan en journalist därstädes kommit över Intentias kvartalsrapport genom att gissa var den låg några timmar innan den fick offentliggöras. Den nuvarande bestämmelsen om dataintrång återfinns i 4 kap. 9 c § brottsbalken (http://www.notisum.se/rnp/sls/lag/19620700.htm#K4P9_c) och lyder som följer:



Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning döms för dataintrång till böter eller fängelse i högst två år. Med upptagning avses härvid även uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas för automatisk databehandling.

Håkan Roswall blev alltså den åklagare som beslutade om förundersökning i detta ärende, en förundersökning som sedan lades ned på grund av att Intentia bara hade meddelat ett ungefärligt klockslag när kvartalsrapporten skulle släppas. Jag tyckte det var synd att saken skulle falla på en sådan teknikalitet, för jag hade gärna sett att den här innebörden av dataintrångsbestämmelsen prövades ordentligt.



Joakim Holgersson (2006-Jun-10)Den lades direkt på deras WEB-server, som är mer likt offentligt om du använder vanlig web-läsare. intrång kan man knappast kalla det.

Dataintrångsparagrafen skrevs på 1970-talet, när det knappt fanns olika stordatorer för offentliga respektive sekretessbelagda data, än mindre någon webbläsare. Den riktar sig mot personer som botaniserar i databaser de inte fått lov att titta i, oavsett eventuellt nät eller fungerande behörighetssystem för att begränsa åtkomsten. Det blir inte tillåtet att läsa varenda fil bara för att maskinen har ett allmänt känt domännamn och är ansluten till Internet.



Bestämmelsen infördes ursprungligen 1973 som 21 § datalagen (http://www.notisum.se/rnp/sls/lag/19730289.htm#P21) för att hantera situationen när det finns regler för vilka som får göra vad med ett givet personregister, men dessa regler åsidosätts av någon som redan har eller skaffar sig åtkomst till registret. Även om datalagen bara var avsedd att reglera just personregister, så kom denna paragraf att bli tillämplig på alla slags data som lagrades på datorer (filer, eller upptagningar för automatisk databehandling som det heter i lagtexten). Det är samma straffbestämmelse vare sig man olovligen läser, ändrar, raderar eller lägger till data i registret.



Paragrafen ändrades 1986 och 1990, senaste gången med anledning av en hänvisning till den nya lagen om skydd för företagshemligheter (http://www.notisum.se/rnp/sls/lag/19900409.htm). 1998 ersattes datalagen av personuppgiftslagen (http://www.notisum.se/rnp/sls/lag/19980204.htm), varvid dataintrångsbestämmelsen fördes över till sin nuvarande plats i brottsbalken, där den gör sällskap med andra bestämmelser rörande brott mot frihet och frid (människorov, människohandel, olaga frihetsberövande, olaga tvång, frids- och kvinnofridskränkning, olaga hot, hemfridsbrott, olaga intrång, ofredande, brytande av post- eller telehemlighet, intrång i förvar samt olovlig avlyssning).



Det är en vanligt förekommande uppfattning att dataintrång alltid handlar om att någon forcerat ett behörighetssystem, knäckt en kod, kommit över andras lösenord eller liknande. Det finns dock ingen sådan skrivning i lagtexten, utan den är precis lika tillämplig när någon går fram till en terminal som redan är inloggad och börjar botanisera bland filer och databaser som bara en utvald skara personer har rätt att titta i under vissa förutsättningar. Det är precis som med hemfridsbrott; det är inte lagligt att kliva in i någon annans bostad och se sig omkring bara för att dörren står på vid gavel.



Det är inte bara utomstående som riskerar att begå dataintrång när de undersöker en myndighets eller ett företags databaser, utan även en anställd vid myndigheten eller företaget som överskrider sina befogenheter kan åtalas för dataintrång. Exempel från verkligheten har handlat om sjuksköterskor som av nyfikenhet har läst kända personers sjukjournaler, eller poliser som har gjort sökningar i brottsregistret för sina vänners räkning. De har själva varit skyldiga att hålla reda på när de får titta i registren; det finns inga tekniska behörighetssystem som kan avgöra sådant (däremot loggas ju all användning, och det är sådana loggar som senare kan utgöra bevis på att brott har begåtts).



Jag har själv suttit med i rättssalen när en sextonåring åtalats för intrång på universitetets datanät. Åklagarens bevisning var fruktansvärt dålig; vi hade loggar som visade precis vilka servrar och användarnamn som sextonåringen hade utnyttjat, men inget av detta framkom i rätten. I stället fälldes han i praktiken på sitt eget erkännande, och på att vi hade ertappat honom på bar gärning när han satt i universitetets lokaler och använde Internet - via en PC utan behörighetskontroll! En eloge åt hans försvarare, som gjorde sitt bästa för att avfärda intrånget som den lek det faktiskt var, låt vara att leken hade förorsakat oss en hel del merarbete.



Journalisten Anders R Olsson har nämnt dataintrångsbestämmelsen i någon av sina böcker, och spekulerat i att den skulle kunna användas mot någon som hittar en diskett på bussen, tar hem den och stoppar den i datorn bara för att se vad den innehåller. Som jämförelse kan sägas att det inte är olagligt att läsa sekretessbelagda pappershandlingar som en slarvig statstjänsteman råkat glömma på samma buss; det krävs betydligt mer än så för att det skall kunna bli fråga om obehörig befattning med hemlig uppgift (http://www.notisum.se/rnp/sls/lag/19620700.htm#K19P7) eller liknande.



Så, jag tycker inte alls att Roswall är ute och cyklar när han överväger huruvida någon som hittar en ej offentligt utannonserad fil på ett privat företags webbserver kan ha gjort sig skyldig till dataintrång. Den intressanta frågan är i stället huruvida lagen är genomtänkt och korrekt skriven med tanke på sådana här situationer.



Någon delstat i USA lär ha (eller ha haft) en liknande lagbestämmelse som rakt av förbjuder varje läsning, ändring, radering eller tillägg av data. Jag skulle inte vilja använda en dator i den delstaten... :w00t:

Petrograd
2006-06-10, 12:34
Din poäng är alltså att det förmodligen är olagligt, men att det är ganska orimligt?



I så fall håller jag med dig, för mig är det samma sak att ha en fil gjord tillgänglig som i detta fall, och att lämna känsliga papper framme.

SM5POR
2006-06-10, 16:15
Petrograd (2006-Jun-10)Din poäng är alltså att det förmodligen är olagligt, men att det är ganska orimligt?

Ungefär så, ja. Jag har dock ingen aning om hur en domstol skulle döma; ett sådant fall har mig veterligen aldrig prövats. Det är möjligt att domstolen också skulle se det orimliga i en fällande dom, men då blir det intressant hur domstolen väljer att göra i stället - tolka lagen på något helt oväntat sätt, eller leta reda på en grundlagsbestämmelse som sätter den ur spel?



När webben var ny funderade polismyndigheterna över vad det innebar att "patrullera Internet". En polisman hävdade i en tidningsintervju att han knappast kunde ge sig ut och surfa på folks hemsidor i tjänsten, för om han hamnade någonstans där han inte var välkommen så kunde det ses som en otillåten husrannsakan, och om hemsidan dessutom låg i utlandet kunde det resultera i diplomatiska förvecklingar!



I så fall håller jag med dig, för mig är det samma sak att ha en fil gjord tillgänglig som i detta fall, och att lämna känsliga papper framme.

Jo, och den analogin skulle förmodligen också domstolen göra, om det inte funnes en särskild lag för just digitala data... eller vad den nu omfattar. Även det finner jag oklart. Om jag får läsa hemliga papper men inte en hemlig CD, hur gör vi då med hemliga hålkort? Eller måste det finnas en aktiv dator med i spelet innan bestämmelsen ens blir tillämplig?



När all information lagras och överförs digitalt med hjälp av elektronik, vad är då egentligen en "upptagning för automatisk databehandling"? Räknas ljudinspelningarna på en musik-CD?



Behöver vi någon dataintrångsbestämmelse överhuvudtaget?

Joakim Holgersson
2006-06-10, 16:47
det vore som jag skulle gnälla på en som ladda ner något på min WEB-server, där routern pekar mot den maskinen på port 80

skulle jag vara så dum får jag skylla mig själv, är en annan sak om folk kommet åt matrial som låg på web-server som inte är tillgänglig utanför brandväggen/routern

jag gör en kvallificerad gissning att det kanske är olämpligt de spred vidare ett ej publicerat matrial än, det får man ändå respektera att avvakta med. men itne är det olagligt (och skulle det vara så är det på hög tid defniera om lagarna)

SM5POR
2006-06-10, 18:51
Joakim Holgersson (2006-Jun-10)det vore som jag skulle gnälla på en som ladda ner något på min WEB-server, där routern pekar mot den maskinen på port 80

Menar du att det skulle göra någon skillnad om nedladdningen skett via port 5713 i stället för port 80?



skulle jag vara så dum får jag skylla mig själv, är en annan sak om folk kommet åt matrial som låg på web-server som inte är tillgänglig utanför brandväggen/routern

Och hur skulle någon komma åt det, om det inte varit fel på brandväggen och de kunnat vandra rakt in?



jag gör en kvallificerad gissning att det kanske är olämpligt de spred vidare ett ej publicerat matrial än, det får man ändå respektera att avvakta med. men itne är det olagligt (och skulle det vara så är det på hög tid defniera om lagarna)

Det olämpliga var att Intentia (det börsnoterade företaget) i strid med börsens bestämmelser lämnade ut kvartalsrapporten till Reuters innan den var tänkt att offentliggöras. Exakt när offentliggörandet skedde spelar mindre roll; det viktiga är att samtliga börshandlare får tillgång till informationen samtidigt (om de alls är intresserade av den, vill säga).



Kvartalsrapporten utgör underlag för aktiemäklarnas värdering av företagets aktier, och om somliga mäklare kommer över sådan information innan andra ens vet att den finns tillgänglig kan de dra fördel av detta och köpa eller sälja aktier baserat på vad som i praktiken blir insider-information.



Nu skedde utlämnandet till Reuters tydligen av misstag från Intentias sida, men de fick likafullt kritik av Börsinspektionen för det inträffade. Journalisten från Reuters kan inte, och skall inte, lastas för fel begågna av Intentia, utan han förväntas föra vidare allt han får veta som nyheter till läsarna, i det ögonblick han får veta det.



Man kan inte lägga ut en nytryckt bok i bokhandelsdiskarna och dagen därpå dra in den med hänvisning till att den formellt sett inte är "publicerad" än; man kan möjligen få bokhandlarna att sluta sälja den, men man kan inte kräva tillbaka de exemplar som redan är sålda eller förbjuda köparna att avslöja innehållet under en vecka. Om publiceringen redan är ett faktum, så kan den inte ogöras. Motsvarande sak bör gälla på Internet.

Bo Leuf
2006-06-10, 19:47
SM5POR (2006-Jun-10)Om publiceringen redan är ett faktum, så kan den inte ogöras. Motsvarande sak bör gälla på Internet.



Mmm, en del har försökt. USA (vår favorit när det gäller föregångsland här) har på senare tid kört 'unpublishing' i varianten ny hemlighetsstämplande av tidigare frisläppt (historiskt) material. England har också emellanåt skum retrotillämpning av sin sekretesslagstiftning på annars kan man tycka oskyldigt material som redan funnits publicerat.



Man får klart intryck att den dag minnesradering på människor blir möjlig....

SM5POR
2006-06-10, 21:37
Bo Leuf (2006-Jun-10)England har också emellanåt skum retrotillämpning av sin sekretesslagstiftning på annars kan man tycka oskyldigt material som redan funnits publicerat.

Om det bara handlar om att sådant som tidigare varit offentlig handling vid en myndighet blir belagt med sekretess, då tillämpar vi samma sak i Sverige, antingen genom en uttrycklig skärpning av sekretesslagen, eller genom att en myndighet från gång till annan fattar olika beslut vid begäran om utlämning av en och samma handling beroende på andra omständigheter, såsom den sökandes identitet.



Varje begäran skall prövas för sig; myndigheten kan inte kategoriskt neka att lämna ut en handling enbart med hänvisning till att den förste sökanden fick avslag (men om det är samma handläggare så går det kanske fort att pröva frågan varje gång).



En svensk myndighet kan däremot inte hindra den som lagligen har fått ut en handling utan särskilt förbehåll från att sprida den vidare vart han vill, även om sekretesslagen ändras så att inte kan få ut fler handlingar av samma slag. Det är möjligt att England och USA kan belägga tidigare utlämnade exemplar av handlingar med sekretess; det känner jag i så fall inte närmare till.



I Sverige har vi fått en liten försmak av detta genom personuppgiftslagen (PUL), eftersom den reglerar all behandling av personuppgifter, såväl enskildas behandling som den som utförs av det allmänna. Det gör att när en myndighet med hänvisning till 7 kap. 16 § sekretesslagen (http://www.notisum.se/rnp/sls/lag/19800100.htm#K7P16) och PUL nekar att lämna ut allmänna handlingar innehållande uppgifter om fysiska personer, så kan samma bestämmelse i PUL i princip användas mot den enskilde som vill sprida samma slags uppgifter privat. Jag finner det dock mycket tveksamt att alls tillämpa PUL på det viset.



Jag undrar dock fortfarande: Finns det någon situation när det är önskvärt att man kan åtala för dataintrång, alltså när ingen annan, vassare lag står till buds?

inoxia
2006-06-11, 01:18
En anledning till att behålla lagen är om den kan fungera i nått slags normbyggande syfte. Gränsdragningen mellan vad som är offentligt och privat är i det icke digitala livet oftast tydlig. Det finns sociala koder som reglerar vad som är offentligt tillgängliga resurser och vad som är ett övertramp in den privata sfären.



Jag ser det som en självklarhet att jag kan gå in i ett köpcentrum, men skulle inte drömma om att valsa in genom en öppen altandörr i en främmande privatbostad. Här är de sociala koderna i många fall striktare än lagen. Utan ett ärende skulle jag dra mig för att gå in på ett företags kontor bara för att titta lite på hur andra människor ser ut när de jobbar. De skulle förmodligen fråga mig vem jag sökte, och betrakta mig med skepsis när jag svarar -Nej jag tittar bara.

Ur juridisk synpunkt är mitt beteende rimligtvis oklanderligt, men trots det upplever jag i exemplet att jag har gjort ett övertramp in i en privat sfär.



I den digitala delen av vardagen är ofta normerna långt ifrån lika tydliga. Man utsätts för situationer där det inte finns någon given referens för vad som är ok och inte. Är det ok att använda ett trådlöst nätverk bara för att det är okrypterat?, Om nån har glömt att låsa mitt ftp-konto till min katalog, är det ok att tjuvkika lite på vad andra leverantörer laddar upp? Om jag kan logga in som guest och utan lösenord på ett internetpublicerat lan, ska de klantiga adminstratörerna få skylla sig själva eller borde jag insett att den här informationen inte var avsedd för mig?



I tveksamma situationer som uppstår i den icke digitala vardagen får jag ofta en direkt återkoppling från andra människor, jag ser på andra människors reaktioner att i bilprovningens omkädningsrum har jag minsann inget att göra. -Trots att dörren var öppen. I den digitala världen saknas oftast den här återkopplingen. Jag tror att återkopplingen har en väldigt viktig del i att forma normer för vårat beteende. Det skulle kunna vara en anledning till att det behövs en lag som reglerar gränsdragningen mellan offentligt och icke offentligt för digital information.



Men jag är alldeles för dåligt insatt för att avgöra om det är den lag vi har idag eller om en sådan lag ens är möjlig.



/i



edit: stavfel

SM5POR
2006-06-11, 02:47
inoxia (2006-Jun-11)En anledning till att behålla lagen är om den kan fungera i nått slags normbyggande syfte. Gränsdragningen mellan vad som är offentligt och privat är i det icke digitala livet oftast tydlig. Det finns sociala koder som reglerar vad som är offentligt tillgängliga resurser och vad som är ett övertramp in den privata sfären.

Jag gör samma reflektioner som du, men problemet med den nuvarande lagen är alltså att den inte innehåller någon sådan här normgivande gränsdragning mellan "privata" och "offentliga" data. Gränsen går i stället mellan "lovliga" och "olovliga" data, och exakt vad som är "lovligt" i en värld där vi inte möts ansikte mot ansikte och skriver under avtal innan vi riktar våra webbläsare mot varandras servrar står nog skrivet i stjärnorna. Lagen skrevs vid en tid då datorer stod inlåsta på datacentraler utan kontakt med omvärlden, inte sedan de blivit sammankopplade via Internet.



Sedan är jag inte säker på att gränsen mellan det privata och det offentliga rummet är den bästa metaforen för information som vi hittar via Internet. Jag vill hänvisa till den intervjuade polismannen som jag nämnde tidigare, och den koppling han tycktes göra mellan en "hemsida" och någons privatbostad. Om jag tar några familjefoton, lite bakgrundsmusik (som jag spelar själv) samt mitt släktträd och lägger upp det på något webbhotell, har jag därmed skapat ett virtuellt "hem" åt mig själv på Internet som jag bjuder in andra att besöka, eller har jag i stället "publicerat" ett hemma-hos-reportage i min egen nättidning? Är det "husrannsakan" om polismannen läser hemma-hos-reportaget trots att jag uttryckligen säger att poliser inte är välkomna?



Det kan ju mycket väl vara så att familjefotona är oerhört skarpa, och någon utomstående lyckas urskilja boktitlarna i hyllan som står i bakgrunden, några direkt subversiva (låt oss säga att jag har Mein Kampf i två band). Det hade jag kanske inte räknat med, men nu är bilderna ute på Internet och jag kan inget göra. Eller kan jag det? Riskerar den som gör olovliga delförstoringar av bilden på min bokhylla och sprider dem att stämmas av mig för hemfridsbrott? Det är nog en juridisk möjlighet som jag gärna avstår från, och så får jag lära mig att kontrollera upplösningen på mina bilder själv i stället.



Gränserna i den fysiska världen är påtagliga och intuitiva; gränserna i den virtuella världen är mjuka och godtyckliga. Alla är överens om hur en husvägg ser ut, medan få torde respektera en dialogruta med texten "privat område" mer än en som säger "an error has occurred". Hur många läser "licensavtalet" på skärmen till sista meningen och begrundar innebörden innan de trycker på "Accept"? Är de medvetna om vilka förpliktelser de därmed anses ha iklätt sig (eller sin arbetsgivare)?



Den matematiskt och logiskt lagde inser att det går att producera en kaskad av textsträngar på en kontinuerlig skala mellan "tillträde förbjudet" och "välkommen in" och frågar sig hur felstavad skylten måste vara innan man lugnt kan ignorera den. Och även om den är rättstavad, skulle du respektera en skylt med texten "privat område" som någon har ställt upp mitt på allmän plats utan uppenbar motivering?



Mitt förslag är att vi går tillbaka till förarbetena till 1973 års datalag och försöker utröna vilka konkreta problem man då ansåg sig lösa med 21 §, och så löser vi dem på nytt om de fortfarande är aktuella. Behöver man därefter lösa också ett antal problem som uppstått efter 1973, så får man eventuellt angripa dem separat, och undvika att koppla ihop de olika lösningarna med varandra om det inte är tydligt motiverat att göra så.