Innbruddsforsøk på nettet lovlig

Innhold Neste Uniforum nr. 1 1999


HACKERE FRAM I LYSET: Det skader ikke å prøve alle åpne «dører», etter at Høyesterett i desember gav Norman Data Defense Systems AS medhold i at det ikke er ulovlig å forsøke å bryte seg inn på universitetets dataanlegg. (Illustrasjonsfoto: Ståle Skogstad)

IT-direktør Arne Laukholm.
(Foto: Ståle Skogstad)

En høyesterettsdom som vekker oppsikt internasjonalt, kan gjøre Norge til et fristed for hackere som vil selge informasjon til profesjonelle kriminelle.
Det mener IT-direktør, Arne Laukholm, etter at UiO tapte saken mot Norman Data Defense Systems AS.

Av Marit Schulstok

- Dommen betyr faktisk det samme som om en innbruddstyv som forsøker å bryte opp dørene i en boligblokk, ikke kan straffeforfølges før det lyktes ham å bryte seg inn, hevder Laukholm.

Foreldet lovgivning

I forbindelse med en nyhetssending på NRK forsøkte en ansatt i Norman Data Defense Systems AS i desember 1995 å bryte seg inn på Universitetet i Oslos (UiO) dataanlegg. Dette ble gjort for å demonstrere hvor dårlig datasikkerheten ved universitetene i Norge var, men den ansatte "hackeren" mislyktes i forsøket med å komme forbi UiOs sikkerhetsporter.

En måned senere anmeldte UiO forholdet til Økokrim. De utferdiget et forelegg på 100 000 kroner mot Norman Data, som til slutt også ble domfellelse i Asker og Bærum herredsrett. Saken ble anket til Borgarting lagmannsrett, som reduserte erstatningskravet til 100 00. Da saken kom opp i Høyesterett den 15. desember i fjor, ble firmaet frifunnet.

- Dette viser at norsk lovgivning er foreldet med tanke på å regulere atferd i datanettverk. Straffelovens paragraf 145 er sist oppdatert i 1987 og er allerede seks datamaskingenerasjoner for gammel, hevder Laukholm. En «datamaskingenerasjon» varer 18 måneder, og WWW (World Wide Web) slik vi kjenner det nå, er mindre enn seks år gammelt.

Men ingen lovendringer innen feltet er på trappene.

Oppsikt internasjonalt

Dommen vekker voldsom oppsikt internasjonalt. USA Today har omtalt Norge som et «haven for hackers (fristed for hackere)», telegrambyrået Reuters har skrevet en artikkel som har versert i flere andre medier, og Laukholm ble sist oppringt av en riksdekkende japansk avis som ville omtale saken.

Lovgivningen er svært streng i de fleste andre land der saker har blitt utprøvd for en domstol, men Laukholm tror at norske myndigheter og norske medier ikke har innsett hvor alvorlige følgene av datakriminalitet kan bli. Hackere rammes av sine lands respektive lover, uavhengig av hvor i verden de prøver å bryte seg inn.

- Det er en reell fare for at organiserte kriminelle vil legge første fase til Norge. Det vil si at norske innbyggere, uten fare for straffeforfølgelse, kan saumfare et dataanlegg hvor som helst i verden etter svakheter. Informasjonen de får, kan de selge til andre hackere som kan stå for selve innbruddet. Dommen gjør det internasjonale sikkerhetsarbeidet vanskeligere, hevder Laukholm.

To - tre i uka

- Vi valgte å anmelde firmaet for å få en prinsipiell kjennelse på dette området. Det kostet oss masse energi å gå gjennom systemet for å sjekke om den ansatte ved Norman Data virkelig hadde brutt seg inn noen steder, sier IT-direktøren.

Ved USIT oppdager man to - tre tilfeller i uka av irregulær virksomhet, enten fra noen som prøver å bryte seg inn på universitetets område eller brukere fra universitetet som forsøker seg andre steder. Laukholm kan fortelle om tilfeller der studenter ved UiO har forsøkt å bryte seg inn på dataanleggene til norske sykehus.

Laukholm mener universitetets sikkerhetsrutiner er så gode at UiO er mindre sårbar enn andre. Likevel er for eksempel eksamensoppgaver, etter en sak fra 1996, ikke lov å lagre på nettet. Laukholm kjenner ikke til tilfeller av noen som har brutt seg inn i karakterregisteret ved UiO.

- Vi har et problem når vi oppdager noen som tester ut systemene våre. Etter denne høyesterettsdommen kan vi ikke anmelde dem. Vi må holde dem under oppsikt, og bruke masse ressurser på å etterspore bevegelsene deres. Høyesterettskjennelsen kan også tolkes dit hen, at man først kan straffes når man ikke bare har innhentet informasjon, men også har gjort skade på systemet.

- I forhold til universitetets egne brukere, både studenter og ansatte, har vi heldigvis bedre virkemidler, fordi det her er vårt eget IT-reglement som gjelder. Vi kommer til å fremme forslag om en oppdatering av dette i vårsemesteret, for å få et mer presist grunnlag for å gripe inn overfor uønsket atferd på nettet.

- Det er nok mest spenning og eventyrlyst som driver hackerne i dag, men veien ligger åpen for profesjonelle kriminelle, tror Laukholm.

Mer informasjon om dommen kan du få på http://www.lovdata.no/hr/hot-98-00083b.html


Innhold Neste Uniforum nr. 1 1999

Publisert 23. feb. 1999 14:40 - Sist endra 1. sep. 2014 13:50
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere