stigFromOslo.com

IT-avisen CNet siterer i dag (29.juli) en rapport fra sikkerhetsselskapet PandaLabs som sier at det ved andre kvartal i år er funnet 374,000 falske anti-virusprogrammer installert på folks PCer rundt om i verden. I samme sak siteres en Finjan rapport som avdekker at firmaer som sender ut slike falske sikkerhetsprogrammer kan tjene så mye som $10.000 (NOK 62.000) hver dag. Dette kan bare bety at flere og flere faktisk lar seg skremme av disse falske virus-testene til å betale for å laste ned og installere et program som faktisk ikke er annet en ondsinnet kode. Det er jo som om jeg skulle slått av husalarmen, betalt en ungdomsgjeng for å bryte seg inn i huset mitt, rundstjele og vandalisere det, for så å la bakdøra stå åpen i tilfelle de fikk lyst til å komme tilbake.

De aller fleste PCer som selges til privatpersoner i dag leveres med en eller annen sikkerhetspakke. Det være seg Norton Internet security, ESET NOD32 Anti-Virus, Trend Micro eller hvilket som helst av de andre mer eller mindre anerkjente merkevarene på markedet. Og mange av dagens PC-brukere begynner etter hvert å skjønne at det er lurt å ha en sikkerhetspakke til PCen sin. Litt anti-virus, en brannmur og kanskje litt anti-spam og anti-spyware er alltid kjekt å ha på en regnværsdag. Men når denne pakka så er på plass, og det likevel dukker opp en stor rød skjerm med “Advarsel! Du er infisert med et stort, stygt virus som bare ImRobbingYou AntiVirus Software kan fjerne. Klikk her for å betale med kredittkort og laste ned.”, og folk lar seg lure, er det grunn til rynke på nesa.

Et spørsmål kan jo selvsagt være hvorfor dukker slike ting opp selv når sikkerhetspakken er installert? Burde ikke Symantec og alle de andre klare å fange og stanse slike lurendreierier før de når frem til den intetanende brukers netthinne? Jo, kanskje burde de det. Men det er nå en gang slik at det grovt sett bare er en måte å identifisere ondsinnet kode som virus og spam på: Ved å kjenne det igjen når du ser det. Og det er ikke så lett som det kanskje høres ut som.

Jeg har ikke tenkt å forsøke å forklare hvordan og hvorfor det er så vanskelig. For selv om mye kunne vært unngått hvis sikkerhetsprogramvaren hadde oppdaget alle disse falske advarslene og den ondsinnede koden de bringer med seg på, så hviler det et også aldri så lite ansvar på brukeren selv når slike ting dukker opp på skjermen. Jeg vil heller stille spørsmålet: Stoler du ikke på anti-virus programmet ditt?

De aller fleste virus, trojanere, ormer og andre ondsinnede programmer blir i dag fanget opp av de aller fleste sikkerhetspakkene. Og når det dukker opp nye trusler tar det sjeldent lang tid før sikkerhetsfirmaene  svinger seg og publiserer oppdateringer som utruster sikkerhetspakkene med nye våpen i kampen mot cybertruslene. Så hvorfor ikke bare lene seg tilbake, ignorere hysteriet, og heller bruke pengene på en god kopp kaffe?

Liberalen startet i forrige uke en bloggstafett for personvern, mot datalagringsdirektivet. Siden det ble vedtatt i EU i mars 2006 har datalagringsdirektivet, eller ”Directive on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks” som det egentlig heter, skapt mye debatt og sterke reaksjoner fra så politisk hold som faglige eksperter. Det norske Datatilsynet skriver på sin nettside at “Datatilsynene i Europa uttrykker stor bekymring for datalagringsdirektivet.” Videre sier de at “Direktivet innebærer en plikt til å lagre trafikkdata fra telekommunikasjon for samtlige nordmenn. Det omfatter blant annet bruk av fasttelefon, mobiltelefon, internett og e-post.”

Og Datatilsynet har nok helt rett. Direktivet pålegger denne plikten til å lagre en stor menge informasjon om hvordan innbyggere i Europa kommuniserer, hva de kommuniserer om og hvordan. Men det Datatilsynet og mange andre enten bare nevner med liten skrift eller utelater helt er hva direktivet slår fast i første artikkel, nemlig “å sikre at det er adgang til disse dataene i forbindelse med etterforskning, avsløring og rettsforfølgelse av grov kriminalitet som definert av de enkelte medlemsstater i deres nationale lovgivning.”

Med andre ord, informasjonen skal lagres for å sikre at den er tilgjengelig dersom det avdekkes eller skal etterforskes grov kriminalitet. Informasjonen skal ikke brukes til overvåkning, den skal ikke brukes til å spore mobiltelefoner og andre trådløse enheter, og den skal ikke en gang brukes til å etterforske enkle lovbrudd og forseelser. Det som kanskje gjøre det litt skummelt er at informasjon KAN brukes til alt dette – og mer til. Og når informasjonen først er lagret, hvorfor skal den ikke kunne brukes til det?

Vel, det er en lang diskusjon som har fått mer enn nok oppmerksomhet. Det som derimot er interessant å diskutere ut ifra et juridisk standpunkt er om det er anledning etter gjeldene norsk lov å lagre slike personopplysninger med det formål at informasjonen kanskje kan bli interessant i en mulig fremtidig etterforskning. Spørsmålet om ikke det er det samme som å si at EU eller staten Norge mistenker alle som ringer, surfer på Internet eller generelt bare har med seg en mobiltelefon når de er ute og går, for å være grove lovbrytere. Undertegnede er ingen juridisk ekspert, men mistenker at det kanskje må mer enn en lovendring til for at den begrunnelsen skal passere under jussens alt-seenede øye.

Et annet forhold som fortjener å bli brakt litt mer inn i lyset er hvordan dette praktisk kan løses slik at kun de rette instansene får tilgang til informasjonen når det faktisk er hjemmel for det. Det er nemlig slik at dagens teknologi gjør det mulig å lagre all denne informasjonen på en slik måte at den er utilgjengelig helt til det oppstår et legitimt behov for å låse den opp. Teknologien heter kryptografi og er i daglig bruk verden over. For de som ikke er kjent med hva kryptografi er kan det kort forklares med at dataene kodes på en slik måte at bare den eller de som vet hvordan – har den rette nøkkelen – kan dekode de. Og hvis en slik teknologi anvendes sammen med et sett veldefinerte prosedyrer og voktes over av noen som har den nødvendige kompetansen og myndigheten, kan det sikres at informasjonen kun er tilgjengelig for de som skal ha den, når de skal ha den.

For eksempel kan den nasjonale sikkerhetsmyndigheten ha ansvaret for at systemene som skal lagre all informasjonen gjør dette på rett vis og at kryptoen fungere slik den skal, slik at det ikke er mulig for uvedkommende å tilegne seg informasjonen før den krypteres. Domstolene kan ha myndighet til å si når informasjon skal frigis og til hvem, og Datatilsynet kan tillegges en kontrollerende rolle for å tilse at alt går rett for seg.

Det er med andre ord ikke mangel på muligheter for å løse de utfordringene datalagringsdirektivet stiller til EUs medlemsland og samarbeidspartnere. Det vi i norge trenger er en juridisk og politisk debatt om det rom for og ønskelig med denne typen “forhåndsinnhenting” av bevis. Og kanskje har denne debatten en del til felles med for eksempel debatten rundt DNA-registeret?