stigFromOslo.com

Til de fleste risikofylte aktiviteter – fra bilkjøring til dykking – kreves både kurs, opplæring og sertifikat før man får lov til å drive på uten kompetent tilsyn. I Norge har det til og med vært snakk om førerkort for hundeeiere, både fordi hunder kan være farlige og fordi de kan lide hvis de ikke blir tatt vare på på en god og riktig måte. De siste årenes rivende teknologiske utvikling har også vist at PCer og Internet kan være farlige greier, som hvis de brukes på feil måte kan skade både brukeren selv og andre. Likevel er det ikke knyttet andre krav til ivaretakelsen av sikkerheten i cyberspace enn de kravene den enkelte PCeier og bedrift stiller selv. Dette gjør cyberspace til et farlig og ukontrollert sted å være. Men hva hvis det ble stilt formelle krav til sikkerhet for PCer som kobler seg til Internet? Er det mulig å forestille seg en ordning der alle pcer som skal knytte seg til den store verdensveven må bevise at de er sikre?

Å sikre en PC er i stor grad synonymt med å oppdatere den med de siste sikkerhetsoppdateringene til operativsystemet og programmene, installere og kjøre en programpakke som hindrer, finner og fjerner ondsinnet kode, samt å sperre for uautorisert nettverkstrafikk til og fra maskinen. Mange av dagens PC-brukere har i det minste hørt om ett eller flere av disse tiltakene og har en viss ide om hva de innebærer. Men dessverre er det alt for få som følger opp tiltakene ofte nok – enten fordi de ikke vet hvordan, eller fordi de ikke har tid eller ork til å laste ned de siste oppdateringene eller fullføre hele virussøket. Denne uvitenheten og giddaløsheten spiller en stor rolle når hele Internet skal sikres.

En ordning der alle PCer som knytter seg til Internet må verifiseres som “sikre” før forbindelsen til resten av verden åpnes, kan både hindre at sårbare maskiner utsettes for fare, og at infiserte maskiner sprer ondsinnet kode videre til andre – bevisst eller ubevist. Ordningen vil også medføre en høyere bevissthet og generell kompetanse om farer og sikkerhet i cyberspace, og at alle PCeiere blir nødt til å holde orden i egen maskin.

Spørsmålet er ikke om dette lar seg gjøre rent teknisk. Teknologien som trengs for å få på plass en slik ordning eksisterer allerede i dag. Spørsmålet er om det er riktig måte å løse problemet på? Er vi komfortable med at loven strekker seg enda lenger inn i vår mer eller mindre private cyber-sfære? Hvem skal kontrollere og utøve denne myndigheten? Og hvordan kan vi være sikre på at det vil fungere?

Bare gjennom politisk debatt kan vi håpe på å få svar på spørsmålene om det er slik vi vil ha det og hvem som eventuelt skal håndheve ordningen. Og siden årets valgkamp har vist at enkelte politiske partier vegrer seg for å i det hele tatt ta stilling til om datalagringsdirektivet er en god ide eller ikke, har jeg mine tvil til at dette tema kommer på den politiske agendaen med det første. Det er tross alt lite sexy å snakke om informasjonssikkerhet og ikke akkurat noe sjakktrekk å snakke om mer kontroll og styring av frihetens siste globale skanse. Men kanskje det kan være rom for en slik debatt på skansen selv?

Og hvor vidt det vil fungere kan vi egentlig bare finne ut av ved å prøve ut løsningen. Diskusjoner og teoretiske akademiske øvelser kan si mye om hvordan løsningen må fungere, men kun gjennom erfaring kan vi se om en dørvakt i cyberspace faktisk vil fungere eller om vi også her vi se en oppblomstring av falsk legitimasjon og “trynefaktor”.

stigFromOslo.com har gleden av å annonsere at Erdal IL Kampsportforumnå er klart. Forumadministrasjonen er i ferd med å gjøre de siste tilpasningene, men forumet er klart for bruk og nye brukere er velkomne til å registrere seg.

Erdal IL Kampsportforum er foreløpig bare tilgjengelig på http://www.stigfromoslo.com/erdalil.

OSI Taekwondo forum er nå oppdatert med siste versjon av forumprogramvaren. Det er også opprettet et eget subdomene for forumet: http://ositkd.stigfromoslo.com/. Brukere av forumet oppfordres til å oppdatere bokmerkene sine til å peke til denne nye adressen, og til å rapportere alle feil per epost til ositkd (at) stigfromoslo.com eller direkte på forumet.

IT-avisen CNet siterer i dag (29.juli) en rapport fra sikkerhetsselskapet PandaLabs som sier at det ved andre kvartal i år er funnet 374,000 falske anti-virusprogrammer installert på folks PCer rundt om i verden. I samme sak siteres en Finjan rapport som avdekker at firmaer som sender ut slike falske sikkerhetsprogrammer kan tjene så mye som $10.000 (NOK 62.000) hver dag. Dette kan bare bety at flere og flere faktisk lar seg skremme av disse falske virus-testene til å betale for å laste ned og installere et program som faktisk ikke er annet en ondsinnet kode. Det er jo som om jeg skulle slått av husalarmen, betalt en ungdomsgjeng for å bryte seg inn i huset mitt, rundstjele og vandalisere det, for så å la bakdøra stå åpen i tilfelle de fikk lyst til å komme tilbake.

De aller fleste PCer som selges til privatpersoner i dag leveres med en eller annen sikkerhetspakke. Det være seg Norton Internet security, ESET NOD32 Anti-Virus, Trend Micro eller hvilket som helst av de andre mer eller mindre anerkjente merkevarene på markedet. Og mange av dagens PC-brukere begynner etter hvert å skjønne at det er lurt å ha en sikkerhetspakke til PCen sin. Litt anti-virus, en brannmur og kanskje litt anti-spam og anti-spyware er alltid kjekt å ha på en regnværsdag. Men når denne pakka så er på plass, og det likevel dukker opp en stor rød skjerm med “Advarsel! Du er infisert med et stort, stygt virus som bare ImRobbingYou AntiVirus Software kan fjerne. Klikk her for å betale med kredittkort og laste ned.”, og folk lar seg lure, er det grunn til rynke på nesa.

Et spørsmål kan jo selvsagt være hvorfor dukker slike ting opp selv når sikkerhetspakken er installert? Burde ikke Symantec og alle de andre klare å fange og stanse slike lurendreierier før de når frem til den intetanende brukers netthinne? Jo, kanskje burde de det. Men det er nå en gang slik at det grovt sett bare er en måte å identifisere ondsinnet kode som virus og spam på: Ved å kjenne det igjen når du ser det. Og det er ikke så lett som det kanskje høres ut som.

Jeg har ikke tenkt å forsøke å forklare hvordan og hvorfor det er så vanskelig. For selv om mye kunne vært unngått hvis sikkerhetsprogramvaren hadde oppdaget alle disse falske advarslene og den ondsinnede koden de bringer med seg på, så hviler det et også aldri så lite ansvar på brukeren selv når slike ting dukker opp på skjermen. Jeg vil heller stille spørsmålet: Stoler du ikke på anti-virus programmet ditt?

De aller fleste virus, trojanere, ormer og andre ondsinnede programmer blir i dag fanget opp av de aller fleste sikkerhetspakkene. Og når det dukker opp nye trusler tar det sjeldent lang tid før sikkerhetsfirmaene  svinger seg og publiserer oppdateringer som utruster sikkerhetspakkene med nye våpen i kampen mot cybertruslene. Så hvorfor ikke bare lene seg tilbake, ignorere hysteriet, og heller bruke pengene på en god kopp kaffe?

Liberalen startet i forrige uke en bloggstafett for personvern, mot datalagringsdirektivet. Siden det ble vedtatt i EU i mars 2006 har datalagringsdirektivet, eller ”Directive on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks” som det egentlig heter, skapt mye debatt og sterke reaksjoner fra så politisk hold som faglige eksperter. Det norske Datatilsynet skriver på sin nettside at “Datatilsynene i Europa uttrykker stor bekymring for datalagringsdirektivet.” Videre sier de at “Direktivet innebærer en plikt til å lagre trafikkdata fra telekommunikasjon for samtlige nordmenn. Det omfatter blant annet bruk av fasttelefon, mobiltelefon, internett og e-post.”

Og Datatilsynet har nok helt rett. Direktivet pålegger denne plikten til å lagre en stor menge informasjon om hvordan innbyggere i Europa kommuniserer, hva de kommuniserer om og hvordan. Men det Datatilsynet og mange andre enten bare nevner med liten skrift eller utelater helt er hva direktivet slår fast i første artikkel, nemlig “å sikre at det er adgang til disse dataene i forbindelse med etterforskning, avsløring og rettsforfølgelse av grov kriminalitet som definert av de enkelte medlemsstater i deres nationale lovgivning.”

Med andre ord, informasjonen skal lagres for å sikre at den er tilgjengelig dersom det avdekkes eller skal etterforskes grov kriminalitet. Informasjonen skal ikke brukes til overvåkning, den skal ikke brukes til å spore mobiltelefoner og andre trådløse enheter, og den skal ikke en gang brukes til å etterforske enkle lovbrudd og forseelser. Det som kanskje gjøre det litt skummelt er at informasjon KAN brukes til alt dette – og mer til. Og når informasjonen først er lagret, hvorfor skal den ikke kunne brukes til det?

Vel, det er en lang diskusjon som har fått mer enn nok oppmerksomhet. Det som derimot er interessant å diskutere ut ifra et juridisk standpunkt er om det er anledning etter gjeldene norsk lov å lagre slike personopplysninger med det formål at informasjonen kanskje kan bli interessant i en mulig fremtidig etterforskning. Spørsmålet om ikke det er det samme som å si at EU eller staten Norge mistenker alle som ringer, surfer på Internet eller generelt bare har med seg en mobiltelefon når de er ute og går, for å være grove lovbrytere. Undertegnede er ingen juridisk ekspert, men mistenker at det kanskje må mer enn en lovendring til for at den begrunnelsen skal passere under jussens alt-seenede øye.

Et annet forhold som fortjener å bli brakt litt mer inn i lyset er hvordan dette praktisk kan løses slik at kun de rette instansene får tilgang til informasjonen når det faktisk er hjemmel for det. Det er nemlig slik at dagens teknologi gjør det mulig å lagre all denne informasjonen på en slik måte at den er utilgjengelig helt til det oppstår et legitimt behov for å låse den opp. Teknologien heter kryptografi og er i daglig bruk verden over. For de som ikke er kjent med hva kryptografi er kan det kort forklares med at dataene kodes på en slik måte at bare den eller de som vet hvordan – har den rette nøkkelen – kan dekode de. Og hvis en slik teknologi anvendes sammen med et sett veldefinerte prosedyrer og voktes over av noen som har den nødvendige kompetansen og myndigheten, kan det sikres at informasjonen kun er tilgjengelig for de som skal ha den, når de skal ha den.

For eksempel kan den nasjonale sikkerhetsmyndigheten ha ansvaret for at systemene som skal lagre all informasjonen gjør dette på rett vis og at kryptoen fungere slik den skal, slik at det ikke er mulig for uvedkommende å tilegne seg informasjonen før den krypteres. Domstolene kan ha myndighet til å si når informasjon skal frigis og til hvem, og Datatilsynet kan tillegges en kontrollerende rolle for å tilse at alt går rett for seg.

Det er med andre ord ikke mangel på muligheter for å løse de utfordringene datalagringsdirektivet stiller til EUs medlemsland og samarbeidspartnere. Det vi i norge trenger er en juridisk og politisk debatt om det rom for og ønskelig med denne typen “forhåndsinnhenting” av bevis. Og kanskje har denne debatten en del til felles med for eksempel debatten rundt DNA-registeret?