Normans frifinnelse i Høyesterett - bakgrunn og konsekvenser

Forrige Innhold Neste Uniforum nr. 4 1999


Selv om advokatene ikke var enige i dommen, var begge krystallklare på at Høyesteretts dom ikke kunne tolkes dit hen at «hacking» heretter måtte sies å være lovlig her i landet, skriverPer Olav Førland, Internet Coordinator ved Norman ASA:

I desember i fjor ble Norman ASA frifunnet i Høyesterett i en mye omtalt sak vedrørende overtredelse av straffelovens § 145 annet ledd (skaffe seg uberettiget adgang til data ved å bryte en beskyttelse) og § 393 (ulovlig bruk av annens løsøregjenstand - datamaskiner i dette tilfellet). Høyesteretts kjennelse vakte internasjonal oppsikt.

På slutten av 1995, som forberedelse til et TV-innslag, analyserte Norman at datamaskiner tilknyttet Internett etterlater seg spor og gir informasjon. Dette kan betraktes som sikkerhetsrisiki for datamaskinene selv og det nettverk de eventuelt er koblet opp i.

Når man «surfer» på Internett, etterlates en IP-adresse på de servere som besøkes. Denne adressen kan blant annet benyttes til å skaffe informasjon om brukeren. Datamaskinen som besøker et nettsted, kan videre kontaktes for å forespørre hva slags tjenester den tilbyr Internett-brukere.

15. desember 1995 benyttet en ansatt hos Norman kommandoer tilgjengelige i standard-protokollene Telnet, SMTP (Simple Mail Transfer Protocol) og Finger. Slike kommandoer gis til datamaskiner tilknyttet Internett bokstavelig talt millioner av ganger per dag. Brukernavnet «Guest» ble brukt i et forsøk på å logge seg på en slik datamaskin. Man fikk ikke tilgang med dette. «Guest» er en standard som benyttes når man skal logge seg på en datamaskin som er åpen for pålogging for hvem-som-helst. Det ble ikke gjort noe forsøk på å gjette andre brukernavn/passord unntatt for slike «åpne» brukernavn. Det ble heller ikke gjort noe forsøk på å få tilgang ved å benytte brukernavnet «Administrator» og forsøke å gjette på dette passordet.

Derimot ble det gjort en såkalt portscan mot enkelte porter på fire datamaskiner. En portscan vil normalt vise hvilke tjenester som går på spesielle porter på en datamaskin. Programmet som ble benyttet, kunne ikke logge responsen fra portene. Det var heller ikke laget for å kommunisere på synlige porter.

2. januar 1996 anmeldte Universitetet i Oslo saken. Statsadvokatene ved Økokrim ga både Norman og den ansatte hos Norman et betydelig forelegg. Dette ble ikke vedtatt, og saken brakt inn for herredsretten.

Norman var tiltalt for to ulike forhold:

  1. Uberettiget tilgang til datalagret informasjon og programutrustning ved å bryte en beskyttelse eller på lignende måte. (Paragrafen som benyttes ved tiltale for «hacking».)
  2. Ulovlig bruk av en annens datautstyr.

Herredsretten dømte både Norman og den person hos Norman som hadde utført handlingene, for begge forhold. Norman anket dommen til lagmannsretten.

Resultatet i lagmannsretten var at Norman ble frifunnet på det mest alvorlige tiltalepunktet (hacking), men også lagmannsretten fant at ulovlig bruk av en annen organisasjons datautstyr hadde funnet sted. Både påtalemyndigheten og Norman anket kjennelsen til Høyesterett.

15. desember i fjor frifant Høyesterett både Norman som selskap og den ansatte i Norman på begge tiltalepunktene. Frifinnelsen for uberettiget tilgang til datalagret informasjon var enstemmig.

Dommernes betraktninger om uberettiget tilgang til informasjon er at de handlinger som ble foretatt, ikke innebar forsøk på å få tilgang til beskyttet datalagret informasjon. Dersom man hadde lyktes i å komme inn på datamaskinen med «Guest» som identifikasjon, hadde dette vært en konsekvens av at informasjonen ikke hadde vært beskyttet.

For portscan-programmet gjelder samme vurdering - det ga ikke tilgang til beskyttet informasjon, og det ble ikke gjort noe forsøk på å få tak i slik.

Frifinnelsen på ulovlig bruk av datautstyr var med tre mot to stemmer.
Dommeren som formulerte flertallets syn uttalte blant annet: «Hvorvidt det kan anses som bruk av en løsøregjenstand å forespørre en datamaskin som er tilkoblet Internett om hvilke opplysninger den har å tilby, tar jeg ikke stilling til. Etter min oppfatning kan dette under enhver omstendighet ikke anses som uberettiget bruk.»

Mulige konsekvenser av denne dommen har blitt grovt feilvurdert av nyhetsbyrå, tidsskrift og andre. Dette gjelder spesielt i andre medier enn de innenlandske. Flere oppslag har hatt som innfallsvinkel at «hacking» nå er slått fast å være lovlig i Norge.

9. februar i år ble det avholdt et åpent møte i Oslo som drøftet Høyesteretts dom og dens konsekvenser. Aktor som representerte påtalemyndigheten i Høyesterett, og Normans forsvarer, fremla sitt syn på dommen. Selv om advokatene (selvsagt?) ikke var enige i synet på dommen, var begge krystallklare på at Høyesteretts dom ikke kunne tolkes dit hen at «hacking» heretter måtte sies å være lovlig her i landet.

Dersom noen for eksempel forsøker å logge seg på en datamaskin ved å benytte brukernavn som ikke er standardnavn og/eller forsøker å gjette seg frem til brukeres passord, er dette en helt annen situasjon enn den som Høyesterett har behandlet i denne omtalte saken. Man kan gjette på at domstolene i Norge ville finne en person/organisasjon skyldig etter straffelovens alvorlige § 145.


Forrige Innhold Neste Uniforum nr. 4 1999

Publisert 11. mars 1999 15:31 - Sist endra 1. sep. 2014 13:47
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere