DATAKRIM: Tingenes internett skaper en ny arena også for kriminelle, som de kommer til å utnytte. (Foto: BERTRAND BECHARD)

KOMMENTAR: Juss & tingenes internett

Datakriminelle trives i tingenes internett

KOMMENTAR: Internettilknyttede ting åpner ikke bare opp hjemmene, bilene og privatlivene våre.

Tingene vil bli stadig viktigere i kraftbransjen, all type kommunikasjon, helsetjenester, finansielle tjenester og annen kritisk infrastruktur. Dette gir datakriminelle verden nye muligheter som de griper begjærlig.

Hvem har ansvaret og hva kan du gjøre?

Et lite kjent faktum er at tradisjonell, fysisk kriminalitet faller verden over. I stedet dreier kriminaliteten over til nettet – såkalt kyberkriminalitet. Center for Strategic and International Studies anslår i sin 2014-rapport at årlige kostnader knyttet til datakriminalitet overstiger 400 milliarder dollar. 

Nasjonal sikkerhetsmyndighet (NSM) rapporterer om stadig flere sikkerhetshendelser på nett. I NSMs 2014-rapport om sikkerhetstilstanden fremgår det at Norge i 2013 opplevde 15.815 sikkerhetshendelser som NSM fanget opp. 50 av hendelsene ble ansett som alvorlige. I 2011 var til sammenligning tallet 23.

Angrepene kan omfatte alt fra spionasje og innbrudd i nettbanker til tjenestenektangrep (denial of service, DoS) mot næringsvirksomheter og myndigheter, slik de har gjort i lengre tid.

Med fremveksten av tingenes internett, må vi være forberedt på at angrepene vil bre seg videre til terroranslag mot infrastruktur, utpressing og overvåking.

Ressurssterke angripere

NSM rapporterer om angrep utført av alt fra «statlige etterretnings- og sikkerhetstjenester, via tradisjonelle militære motstandere, globale næringsbedrifter, terrorist- og ekstremistgrupper, til organiserte hacker-grupper.»

Det har allerede skjedd at fremmede har fått tilgang til private hjem som følge av en sikkerhetsmangel i en løsning for IP-kameraer (TrendNet-saken). Det er også blitt velkjent hvordan Samsungs nye smarte tv-er gjør det mulig å overvåke private samtaler i rommet der tv-en står.

Denne informasjonen kan brukes til flere ting.

Utroskap fanget på video kan gi muligheter til utpressing, ikke bare av penger med også til å røpe forretningshemmeligheter.

Tilgang til fortrolige samtaler om industrihemmeligheter, forhandlingsposisjoner, militære eller politiske forhold kan skaffes. Kameraer i boliger kan avsløre passord, finansiell informasjon og andre private forhold. 

Et til nå lite kjent eksempel på kyberkrim, er datainnbruddet i et tysk smelteverk. Datainnbruddet førte til at en smelteovn ikke kunne slås av. Betydelige skader oppsto.

Hva risikerer de kriminelle?

Kripos deler datakriminalitet inn i følgende grupper, med tilhørende maksimal fengselsstraff (strafferamme):

  • ulovlig bruk av datakraft (3 år)
  • piratkopiering (3 år)
  • databedrageri (3 år)
  • datainnbrudd (2 år)
  • informasjonsheleri (2 år)
  • skadeverk (6 år, 10 år for sabotasje)
  • beskyttelsesbrudd TV-dekodere (1 år)
  • dokumentfalsk (2 år)

Særlig informasjonsheleri og skadeverk er aktualisert ved tingens internett.

Hvem er ansvarlig?

Naturligvis vil de kriminelle selv være ansvarlig. Men ofte vil ikke politiet etterforske datakriminalitet, primært fordi etterforskningen er ressurs- og kompetansekrevende. Skulle politiet etterforske og få den ansvarlige dømt, vil domfelte ikke nødvendigvis ha midler til å betale erstatning.

Dersom data blir avslørt eller skadet som følge av manglende informasjonssikkerhet, vil mangelen typisk rammes av ytterligere to regelsett; personvernregler og avtale.

Personopplysningslovens (pol.) sanksjonsbestemmelser omfatter overtredelsesgebyr, tvangsmulkt og straff (pol. kap. VIII ). Datatilsynets praksis har imidlertid ikke vært særlig aggressiv. Dette medfører at behandlingsansvarlig i praksis risikerer lite fra Datatilsynet.

Erstatningsansvar?

Den kanskje mest effektive sanksjonen skadelidte da står igjen med, er behandlingsansvarliges plikt til å betale erstatning. Kravet oppstår om behandlingsansvarlig ikke kan bevise at han ikke har vært uaktsom (pol. § 49). Det vil si omvendt bevisbyrde.

Uaktsomhetsansvar vil ofte kunne følge også av avtale: Mellom sluttkunden og tjenesteleverandøren (behandlingsansvarlig) og/eller, mellom tjenesteleverandør og underleverandøren av datatjenestene (databehandler).

Spørsmålet om uaktsomhet foreligger, må vurderes konkret. Generelt sett kan vi imidlertid si at det skal lite til for å bli ansett uaktsom i profesjonelle forhold, særlig der konsekvensene av feil kan bli store.

I en del avtaler er det avtalt et såkalt kontrollansvar. Grovt sagt betyr det at tjenesteyter blir ansvarlig med mindre han kan vise til at skadeårsaken lå utenfor det han hadde rimelig herredømme over. Det vil si et tilnærmet objektivt ansvar.

Skadelidte må også kunne dokumentere et økonomisk tap.

Hva er påregnelig?

Dersom ansvarsgrunnlag foreligger, blir det neste spørsmålet om tapet var påregnelig. Det vil at man må ha kunne forutsett tapet. Tapet kan heller ikke være for fjernt og avledet. 

Ofte vil kontrakten selv begrense ansvar for følgefeil, og dermed på et vis bestemme at slike feil ikke skal anses påregnelige. Slik avgrenses ansvaret for leverandøren.

I de tilfellene kontrakten ikke har sterke ansvarsbegrensninger, eller disse ikke kommer til anvendelse, enten fordi grov uaktsomhet foreligger eller fordi sluttkunden er en forbruker, blir spørsmålet likevel hvilket tap som var påregnelig.

Vi må da spørre oss om følgene av en kriminell handling kan være påregnelige. Eventuelt hvilke kriminelle handlinger?

Hva med følgene av terror? Er terror blitt noe vi må regne med, slik at følgene av sikkerhetsfeil utnyttet i terrorøyemed i større grad fører til tap som må anses som påregnelige? 

Hvordan beskytte seg?

Det er flere måter å beskytte seg på.

For det første, sørg for best mulig sikkerhet i tingene du leverer eller får levert. Ofte betyr det kryptering, og to-stegs autentisering. Undersøk leverandørens holdning til sikkerhet, f.eks. ved å lese personvernerklæringen på nettsiden. Spør gjerne hva slags overvåkings- og beredskapssystem leverandøren benytter for å avdekke og håndtere sikkerhetsbrudd.

For det andre, være nøye med avtalen du inngår. I den bør sikkerhetsaspektene nevnt over reguleres. Videre bør du regulere ansvaret dersom feil sikkerhetsmangel leder til et tap.

Sørg også for at leverandøren din har både ansvarsforsikring og datakrimforsikring, for det kan bli dyrt å rydde opp.

For det tredje, om du er leverandør, sørg for god informasjon til kundene dine. Kundenes eventuelle krav mot deg kan påvirkes av hva kunden hadde grunn til å regne med av sikkerhet. Redegjør også for eventuelle foranstaltninger kunden må stå for.

For det fjerde, tegn din egen kyberkrimforsikringer. Disse tilbys i dag av en rekke forsikringsselskaper, og er en lav pris å betale for god nattesøvn. Kombiner evt. med en ansvarsforsikring, om virksomheten din ikke allerede har tegnet en slik.   

Selv om konsekvensene kan bli betydelige for den enkelte bedrift, organ eller person, er det langt fra sikkert at disse på individuelt nivå vil ha nødvendige incentiver til å sikre seg. Tidvis vil det være umulig å sikre seg uten samarbeid.

Dette betyr at ytterligere regulering og samarbeid kan bli nødvendig. Her vil myndigheter og bransjeorganisasjoner måtte spille en rolle.

Det eneste som vil bli dyrere enn å sikre seg, vil være å ikke sikre seg.

 

Advokat Kristian Foss har skrevet en serie kommentarer om tingenes internett (Internet of Things) og mulige uhelige virkninger for deg og samfunnet. Se også disse:

  1. Forsikringstrøbbel med IoT
  2. Uvitende stjerne i ditt eget live video show?
  3. Hvem eier dataene?

 

Til toppen