3 Det faktiske landskapet
3.1 Innledning
Lovgivningens oppgave er å regulere virkeligheten. For å regulere datakriminalitet må lovgiver ta utgangspunkt i den faktiske situasjonen i samfunnet, og her har det oppstått store endringer på grunn av utviklingen av datateknologien. En kan snakke om en revolusjon som er av like stor betydning som den industrielle revolusjon var i sin tid. Datateknologien har skapt mange nye muligheter, men også nye farer og trusler. Informasjons- og kommunikasjonsteknologien (IKT) er i dag blant samfunnets viktigste infrastrukturer. Oppstår det alvorlige problemer på denne sektoren, kan også vitale samfunnsinteresser bli skadelidende. Det er derfor viktig med en straffelovgivning som gjenspeiler dagens trusler. Men siden utviklingen er av svært dynamisk karakter, er det uansett vanskelig å sørge for at lovgivningen holder tritt med samfunnsutviklingen. Det antas derfor å være behov for et jevnlig ettersyn med straffelovgivningen på dette området.
Trusselbeskrivelsen nedenfor, sammen med de rettslige utgangpunktene i kapittel 4, danner bakteppet for de lovforslag som utvalget fremmer.
3.2 Teknologi og samfunnsutvikling
3.2.1 Internett og utfordringene ved å regulere internett ved lovgivning
Fremveksten av internett har hatt stor betydning i samfunnet. Internett har gitt nesten ubegrensede muligheter til kommunikasjon og informasjonsformidling. Dette har igjen åpnet for en utvikling i samfunnet som for noen tiår siden var utenkelig. Enorme mengder informasjon kan publiseres ett sted i verden, for å være tilgjengelig et helt annet sted i løpet av sekunder. Internett brukes daglig av folk over hele verden.
Det foreligger betydelige utfordringer tilknyttet straffeforfølgning på tvers av landegrenser for forbrytelser foretatt ved bruk av internett. Det er ofte vanskelig å identifisere forbryterne, og dersom man klarer det, vil de ofte forsvare seg med at handlingene er utført i at annet land der serveren stod, eller at de befinner seg i et land hvor de ikke kan forfølges eller som ikke vil utlevere vedkommende til et annet land. Gjennom internetts relativt korte historie har det likevel vist seg at kontroll av internett og forfølgning av lovbrytere på nettet er mulig.
Samfunnsliv og økonomi er avhengig av velfungerende teknologiske løsninger. Sikker og effektiv bruk av datateknologi har betydning på alle plan i samfunnet, privat, i næringslivet, i den offentlige forvaltning og for å sikre statens interesser i et internasjonalt perspektiv. Teknologiutviklingen er en drivkraft i den såkalte globaliseringsprosessen, og medfører at aktører på alle plan i samfunnet kan kommunisere og samhandle internasjonalt.
Utviklingen i globale nett åpner opp for nye forretningsmuligheter, markeder og bedriftskonstellasjoner. Internett som global arena gir historisk sett unike utfoldelsesmuligheter for aktørene.
Norge har som et velstående og modernisert samfunn lagt stor vekt på å bygge ut og tilgjengeliggjøre elektroniske kommunikasjonstjenester. Regjeringen har i den såkalte Soria Moria-erklæringen en uttalt ambisjon om å sikre alle husstander, private og offentlige virksomheter et bredbåndstilbud i løpet av 2007.
3.2.2 Utbredelse og bruk av datamaskiner og internett
Kilden for de tall og beregninger det er vist til i det følgende er «Nøkkeltall for informasjonssamfunnet 2005» av Statistisk Sentralbyrå (SSB), med mindre annet er angitt.
Blant private
Privatpersoners bruk av datamaskin og internettbaserte tjenester har økt markant de siste årene. Tall viser at Norge ligger helt i europatoppen både når det gjelder handel, bruk av finansielle tjenester og tilegnelse av aviser eller nyheter på internett.
Av landets husstander har 64 prosent internettilkobling, og to tredjedeler av disse er bredbånd. En stor andel av de som ikke har datamaskin eller internettilkobling i egen husstand, oppgir at de har tilgang til internett andre steder.
Handelen på internett øker. I 2005 foretok 55 prosent av befolkningen handel på internett. Det er mest populært å handle varer og tjenester som reiser, innkvartering, billetter og bøker. Det skjer også en stadig økende omsetning av film, musikk, klær, sportsartikler, elektronisk utstyr, datamaskiner og programvare på denne måten.
77 prosent av brukerne som har benyttet internett i løpet av en periode på tre måneder, har benyttet dette til finansielle tjenester som nettbank. Tall fra Norges Banks årsrapport for betalingssystemer 2005, viser at det foreligger omlag 3,1 millioner nettbankavtaler Norge.
86 prosent av internettbrukerne bruker e-post. 75 prosent leser aviser og lignende på internett.
Bruken av direkte kommunikasjon over nettet er tiltagende. Det er populært, særlig blant yngre, å kommunisere gjennom ulike pratekanaler og gjennom programmer som gjør det mulig å skrive direktemeldinger til hverandre. (Yahoo Messenger og MSN er eksempler på slike tjenester.) Ved slik kommunikasjon er det også vanlig å opptre under pseudonym (se mer om pseudonymbruk i kapittel 5.3.5). Med programmer som Skype, MSN og lignende, kan man også snakke sammen (lydsamtale) kostnadsfritt, dersom man har mikrofon og høyttaler. Med et webkamera kan man se den man kommuniserer med. Til enhver tid er det millioner av brukere over hele verden på slike tjenester.
I næringslivet
Bedriftenes verdiskaping er i stadig større grad støttet av databaserte systemer. Mer enn 90 prosent av norske foretak med flere enn ti sysselsatte har internettilkobling. Dessuten tas stadig flere forskjellige online-tjenester i bruk i næringslivet.
I 2004 hadde en femtedel av foretakene omsetning via internett. Total verdi av denne omsetningen var på 59 milliarder kroner, dersom man ser bort fra bank- og finansnæringens omsetning. Til tross for at det er vanskelig å fastslå slike tall med sikkerhet, er det klart at det har skjedd en stor økning i omsetning via internett.
For større globale foretak med installasjoner og avdelinger i forskjellige deler av verden har internett ført til en vesentlig kostnadsbesparing. Tidligere gikk ofte kommunikasjon mellom de ulike avdelingene og installasjonene innad i foretaket gjennom linjer/kabler som foretaket disponerte. Nå foregår det alt vesentlige av slik kommunikasjon over internett, dvs. på en infrastruktur som ikke er kontrollert av selskapene selv. Det har også vanlig at medarbeidere som har hjemmekontor eller er på reise, kobler seg opp mot bedriftens datasystemer via internett. Den økte konnektiviteten har store fordeler, men også ulemper i form av økt risiko for at uvedkommende kan få tilgang til bedriftens datasystemer.
Internett har også medført større grad av sentralisering av datasystemene i større bedrifter. Ved bruk av internett kan instruksjoner gis fra en sentral og utføres av personale andre steder. Det er også mulig med en fullstendig automatisering, slik at store produksjonsmaskiner styres fullstendig fra en sentral uten menneskelig involvering på selve produksjonsanlegget. Med stadig større båndbredde og raskere overføring er det få begrensninger i hvilke instruksjoner som kan gis i form av tekst, bilder, lyd, video osv. Dataoverføring knyttet til styrings- og produksjonssystemer skjer gjennom såkalte virtuelle private nettverk (VPN), som er et kryptert samband over internett.
Dette utviklingstrekket er omtalt i utredningen NOU 2006:6 «Når sikkerheten er viktigst» på side 45:
«Innenfor kritiske samfunnsfunksjoner vokser også utfordringene etter hvert som prosesser som tidligere ble kontrollert innenfor lukkede systemer, i økende grad kobles til Internett. Et eksempel er styrings- og prosessystemer som blir koblet opp mot administrative systemer, som igjen blir koblet opp mot Internett for å imøtekomme publikums behov for informasjon. Det er også økende bruk av teknologiske løsninger hvor eksempelvis driftspersonale plassert utenfor eget nettverk har behov for å knytte seg direkte opp mot egne prosessystemer, og hvor Internett er koblingen mellom bruker og det interne nettverket. Denne utviklingen kommer hovedsakelig som et resultat av krav til økt effektivitet og fleksibilitet.»
Næringslivets bruk av elektroniske tjenester i kontakt med offentlige myndigheter har økt. Siden 2003 har andelen foretak som benytter internett til å rapportere opplysninger til det offentlige økt med over 150 prosent. Omtrent 60 prosent av alle foretak benytter nå elektronisk rapportering til det offentlige.
Man kan skaffe seg tilgang til datasystemer over nett, for eksempel over internett eller ved direkte fysisk pålogging (man sitter ved maskinen som man skaffer seg tilgang til). Ikke bare sikkerhetstiltak i nettet og på datasystemene, men også fysisk skjerming av maskinparken, er viktig for datasikkerheten. Selv om en bedrifts datasystem ikke er tilknyttet internett på noen måte, er det sårbart for uønsket atferd siden det kan være mulig å ta seg inn til de fysiske maskinene. Det vises til fremstillingen i kapittel 3.5.11.
I det offentlige
Det er et mål fra sentrale myndigheter at mer av kommunikasjonen med det offentlige skal foretas elektronisk. Regjeringen har skissert den ønskede fremdriften på dette området i planen «eNorge 2009 – Det digitale spranget», som blant annet inneholder planer om at alle relevante tjenester skal være tilgjengelige over internett i portalen «Altinn» innen utløpet av 2008. Også prosjektet MinSide, som skal være en personlig sikkerhetsportal for myndige borgere, er en del av myndighetenes satsing på dette området. Målet er at tjenester som søknad om barnehage, byggetillatelse, skattekort, dagpenger m.v. skal være tilgjengelige via denne portalen. Statistiske opplysninger viser at halvparten av befolkningen i en periode på tre måneder har benyttet internett ved kontakt med det offentlige.
I likhet med de fleste private bedrifter, har nesten alle offentlige etater egne nettsider. Her informeres publikum om etatenes tjenester, kontaktinformasjon og tilknyttet regelverk. Nesten alle kommuner og fylkeskommuner benytter seg av elektronisk baserte informasjons- og journalsystemer. Et flertall har elektronisk saksbehandling, og for en rekke av disse sakene er papirdokumenter fullstendig utelatt. Innen alle deler av den offentlige virksomhet viser tallene en økende bruk av elektronisk baserte tjenester og internett.
Den rettslige reguleringen ligger i dag i forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) av 25. juni 2004 nr. 988. Forskriften er gitt med hjemmel i forvaltningsloven og esignaturloven (se kapittel 3.2.5 i underkapitlet om elektronisk signatur og elektronisk sertifikat). Forskriftens formål er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen.
3.2.3 Nærmere om mobiltelefonbruk
Også bruken av mobiltelefon har økt de siste årene. Ved utgangen av 3. kvartal 2006 var det ca. 4,966 millioner mobilabonnenter i Norge. Dette medfører at det er flere mobilabonnementer enn personer i Norge, med 106 abonnementer per 100 innbyggere (Tall fra Post- og teletilsynet: «Det norske telemarkedet 3. kvartal 2006»). I underkant av 93 prosent av husholdningene har mobiltelefon. I 3. kvartal 2006 snakket mobilkundene gjennomsnittlig 134 minutter per måned, sendte 87 sms (tekstmeldinger) og 2 mms (multimediameldinger).
Tallene gjenspeiler at mobiltelefonen ikke lenger bare benyttes til taletelefoni. Nyere mobiltelefoner er et godt eksempel på at digitaliseringen og den tekniske utviklingen har ført til en sammensmelting av telekommunikasjon, informasjonsteknologi og kringkasting (konvergens). Mobiltelefonen har fått en rekke nye bruksområder og kan for eksempel brukes til sending av sms/mms, som kamera, den gir tilgang til internett, kan brukes som mp3-spiller, radio, mobil-tv og til å betale regninger. Videre arbeides det med løsninger hvor SIM-kortet i mobiltelefonen skal brukes som identifikator for elektronisk signatur (se kapittel 3.2.5). Med slik utvidet bruk av mobiltelefonen blir sikkerhetsaspektet av stadig større betydning.
3.2.4 Bruk av betalingskort og elektroniske banktjenester
Betaling ved bruk av betalingskort har økt markant de siste årene. Stadig flere aktører tilbyr sine kunder å betale for varer ved bruk av slike kort uten å belaste gebyr.
Ifølge tall fra Norges Bank, var det ved utgangen av 2005 utstedt hele 7,9 millioner betalingskort i Norge. 3 millioner av disse er rene kreditt-/faktureringskort som Diners, MasterCard o.l., 4,8 millioner er såkalt kombinerte kort som inneholder flere ulike tjenester (det vanligste er en debet-del, BankAxept, og et internasjonalt betalingskort, eksempelvis VISA). Det finnes også omlag 100 000 rene BankAxept-kort. Totalt sett er det utstedt i overkant av 12,7 millioner slike betalingsfunksjoner på betalingkort i Norge.
Det ble totalt registrert 864 millioner korttransaksjoner i 2005. Det var en økning fra året før på ti prosent. Verdien av disse transaksjonene var samlet på 485,8 milliarder kroner. Det kan nevnes at andelen av kontantuttak over skranke sank i 2005, hvilket kan sees i sammenheng med den økende betalingsformidlingen ved bruk av ulike betalingskort.
Ved utgangen av 2005 var det 2184 minibanker i Norge. Antallet minibanker var stigende frem til 2003, men har etter dette vært relativt stabilt. Det ble i 2005 registrert 98,7 millioner kontantuttak i minibank i Norge med en total verdi på 112 milliarder kroner.
Det var ved utgangen av 2005 registrert 105 482 betalingsterminaler i Norge, dvs. slike som anvendes i butikker m.v. for å kunne betale med kort. Det ble registrert over 722,3 millioner transaksjoner via disse terminalene, til en samlet verdi av 327 milliarder kroner. I disse tallene ligger også kontantuttak i forbindelse med varekjøp. Det ble foretatt 135,9 millioner slike kontantuttak til en samlet verdi av 49,4 milliarder kroner i 2005.
3.2.5 Elektronisk identifikasjon
Innledning
Skal man ta ut penger på postkontoret, må man identifisere seg med gyldig legitimasjon, for eksempel pass eller bankkort. Også i den elektroniske verden er identifikasjon mange ganger nødvendig. Det er mange måter å identifisere seg på elektronisk. Eksempler på dette er pinkoder og passord. Normalt må man oppgi både brukernavn og passord for å logge seg inn på datasystemet til en virksomhet. Dersom påloggingen for eksempel skjer fra hjemmekontor over internett, kan identifiseringsprosedyrene være mer omfattende.
For å logge inn på betalingstjenester eller andre tilgangskontrollerte tjenester på internett benytter man et brukernavn og passord som man har fått tildelt. Dette gjelder for eksempel abonnementstjenester som en nettavis eller Lovdata. Skal man ta ut penger i en minibank, bruker man bankkortet kombinert med en pinkode for identifikasjon. Ved bruk av nettbank identifiserer man seg ved brukernavn og passord. I dag opereres det både med faste passord og passord som skiftes ut for hver gang det er brukt (engangspassord). En moderne måte å identifisere seg på er ved hjelp av elektronisk signatur. Dette er meget nyttig ved avtaleinngåelser som skjer elektronisk, og beskrives i neste avsnitt.
Kriminelle vil ofte misbruke andres elektroniske identitet, for eksempel brukernavn og passord for å komme inn på et datasystem, eller kredittkortnummer og sikkerhetskode ved nettbaserte transaksjoner. Det er grunn til å forvente at kriminell aktivitet på dette området vil øke.
Elektronisk signatur og elektronisk sertifikat
Elektronisk signatur er data som påføres en elektronisk melding eller et dokument, og som entydig identifiserer den som har laget meldingen/dokumentet. Metoden er basert på asymmetrisk kryptering (se neste avsnitt) kombinert med et elektronisk sertifikat. Det elektroniske sertifikatet er utstedt av en tredjepart (såkalt tiltrodd tredjepart (TTP)) som innestår for identiteten til innehaveren av sertifikatet. Sertifikatet bidrar til at en mottaker kan stole på at en melding med elektronisk signatur virkelig er fra den som utgir seg for å være avsender. Elektronisk signatur kan derfor benyttes som autentiseringsmetode (bekrefte at en melding kommer fra en bestemt avsender).
Elektronisk signatur er i utgangspunktet en ren teknisk løsning, men i lov om elektronisk signatur (esignaturloven) av 15. juni 2001 nr. 81 er det gitt lovregler som støtter bruken av slik signatur med sikte på å likestille rettsvirkningene med bruken av en alminnelig håndskreven signatur. Esignaturloven er basert på direktiv 1999/93EF av 13. desember 1999 om et rammeverk for elektronisk signatur. Loven skiller mellom kvalifisert elektronisk signatur og annen elektronisk signatur. Ifølge esignaturloven § 6 har en kvalifisert elektronisk signatur samme rettsvirkning som en alminnelig underskrift. Det bestemmes videre at også vanlig elektronisk signatur kan ha slik rettsvirkning.
I Norge har noen få private aktører tatt i bruk teknologien for inngåelse av finansieringsavtaler med mer. Bruken må forventes å være i sterk vekst. Utviklingen på dette området vil medføre at samhandel vil skje mer lettvint, hurtigere, sikrere og mer effektivt.
For nærmere informasjon om elektronisk signatur vises det til Jansen og Wiese Schartun: «Informasjonssikkerhet», Fagbokforlaget 2005 side 87-93 og 149-171, Inger Marie Sunde «Lov og rett i cyberspace» Fagbokforlaget 2006 kapittel 2.2.3.5 og Ot.prp. nr. 82 (1999-2000).
Offentlig nøkkel kryptering (PKI)
Elektronisk signatur er som nevnt basert på bruk av asymmetrisk kryptering, også kalt offentlig nøkkelkryptering. Den teknologi som tilrettelegger for bruken kalles PKI («Public Key Infrastructure»). Asymmetrisk kryptering går ut på at brukerne har et dobbelt sett nøkler, dvs. en offentlig og en privat nøkkel. Disse nøklene er innbyrdes korresponderende. Den private nøkkelen er hemmelig og beholdes av innehaveren, mens den offentlige er tilgjengelig for den annen part. Metoden kan benyttes til å bekrefte identiteten til avsender. Esignaturloven støtter og regulerer bruk av offentlig nøkkel kryptering.
PKI er utførlig omtalt blant annet i Adams og Lloyd: «Understanding PKI», Atreya, Hammond, Paine, Starrett og Wu: «Digital Signatures», og Feghhi og Williams: «Digital Certificates».
BankID og BuyPass er de to største aktørene på dette området i Norge. De leverer teknologi for elektroniske signaturer og utsteder ulike elektroniske sertifikater. Antall BankID-sertifikater steg fra 4 566 i 2004 til 405 608 i 2005. BuyPass eies av Posten (gjennom Ergo Group) og Norsk Tipping. På selskapets nettsider fremgår det høsten 2006 at man forventer to millioner brukere av BuyPass-kort ved utgangen av 2006. I dette tallet er spillerkort fra Norsk Tipping inkludert.
Esignaturloven inneholder en straffebestemmelse i § 21. Denne gjelder overtredelse av regler som er vesentlige for å utøve et effektivt tilsyn med at loven etterleves, dvs. regler som sikrer PKI. Utvalget finner derfor ingen grunn til å gå nærmere inn på straffebestemmelser om dette. Bestemmelsene gjelder imidlertid ikke falske eller forfalskede elektroniske signaturer eller elektroniske sertifikater. Dette behandles i forbindelse med reglene om dokumentfalsk i kapittel 5.9. Her behandles også forfalskning av elektroniske dokumenter med elektronisk signatur. Esignaturloven inneholder heller ingen bestemmelser om bruk av en annens elektroniske signatur som også kan anses som en form for identitetstyveri.
3.3 Utviklingen av datakriminalitet
3.3.1 Innledning
Utviklingen som er skissert i de foregående avsnitt viser at Norge er avhengig av en velfungerende elektronisk infrastruktur. Denne avhengigheten som vil fortsette å øke, har medført økt oppmerksomhet om betydningen av å sikre mot feilfunksjoner, misbruk, kriminelle anslag, og terror. Sårbarhetsutvalgets utredning NOU 2002: 24 «Et sårbart samfunn», fulgt opp i Innst. S. nr. 9 (2002-2003), har gått inn på denne problemstillingen. Arbeidet er blant annet videreført i utredningen NOU 2006: 6 «Når sikkerheten er viktigst».
Det er vanskelig å uttrykke den delen av kriminalitetsutviklingen som har sammenheng med teknologiutviklingen i form av troverdig statistikk. Dette har flere årsaker. For det første foreligger et registreringsproblem. Antall anmeldelser av straffbare forhold rettet mot datasystemer og infrastruktur er trolig svært lite i forhold til det antall kriminelle handlinger som faktisk begås. Dette kan skyldes at tilfeller av datakriminalitet ikke blir oppdaget, at de ikke blir gjenkjent som datakriminalitet eller at man av ulike årsaker ikke ønsker å anmelde forholdene. I mørketallsundersøkelser utført av Næringslivets sikkerhetsråd, Økokrim og Senter for informasjonssikring for 2001 og 2003, ble forekomsten av datakriminalitet i norske virksomheter kartlagt. Ved bruk av et spørreskjema sendt et antall bedrifter, ble virksomhetene bedt om å rapportere antall tilfeller av datakriminalitet i henholdsvis 2001 og 2003. Begge undersøkelsene konkluderte med at antall tilfeller som ble anmeldt var svært lite i forhold til antall tilfeller som virksomhetene faktisk hadde oppdaget. Årsakene varierte; blant annet gjaldt de at virksomheten ikke trodde forholdet var straffbart, at man fryktet dårlig omdømme som følge av at saken kunne bli kjent på grunn av straffeforfølgningen og at man mente at politiet hadde for liten kompetanse til å behandle denne type saker.
Mørketallsundersøkelsene foretok også en sammenligning av nivået av datasikkerhetstiltak som var gjennomført i virksomhetene og antall hendelser som ble oppdaget. Denne sammenligningen viste (både i 2001 og 2003) at sammenhengen mellom sikkerhetstiltak og oppdagede hendelser var proporsjonal: Virksomhetene som hadde sterke sikkerhetstiltak rapporterte flere hendelser enn virksomhetene som ikke hadde så sterke sikkerhetstiltak. Undersøkelsene konkluderer med at det neppe kan være tilfelle at virksomheter med høyt datasikkerhetsnivå i utgangspunktet utsettes for flere datasikkerhetshendelser. I stedet peker man på at virksomheter med høyt sikkerhetsnivå vil ha bedre muligheter til å oppdage datasikkerhetshendelser som faktisk finner sted. Hovedkonklusjonen i mørketallsundersøkelsene er således at det sannsynligvis finner sted mange hendelser som aldri blir oppdaget.
I forhold til tradisjonell kriminalitet har datakriminalitet en forholdsmessig stor andel kriminalitetsformer som etter sin art er vanskelig å oppdage. Tyveri av en gjenstand er for eksempel lett å oppdage, ved at gjenstanden er borte. Datatyveri ved kopiering av data er derimot et forhold som bare blir oppdaget dersom man foretar nøye undersøkelser av datasystemet, eller eventuelt oppdager at datamaterialet er på tyvens hånd. Tilsvarende gjelder det for andre former for datakriminalitet, slik som datainnbrudd, datamodifikasjon, dataavlytting og informasjonstyveri at gjerningen i utgangspunktet kan være svært vanskelig å oppdage. Mange av disse kriminalitetsformene vil bare bli oppdaget dersom man leter aktivt etter dem, og det på en innsiktsfull måte.
Det er derfor sannsynlig at en stor andel av den datakriminalitet som begås, skjer i det skjulte. Trolig er det slik at de mest alvorlige forholdene er de som er mest profesjonelt utført. Disse forholdene vil også være vanskeligst å oppdage, ettersom gjerningspersoner med høyere grad av profesjonalitet vil ha lettere for å gjennomføre handlingen på en slik måte at den blir vanskelig å oppdage. Det er derfor svært vanskelig å gi et tallfestet bilde av kriminalitetsutviklingen innenfor datakriminalitet, ut over å peke på at teknologiene som er utsatt for datakriminalitet er blitt mye mer alminnelig i bruk i løpet av de siste tiårene.
3.3.2 Typetilfeller av motiv
Ut fra avdekkede tilfeller av datakriminalitet, samt tilgjengelig informasjon fra miljøene de tilhører, er det mulig å fremstille en oversikt over typetilfeller av motiv og å si noe om hvem som er gjerningspersonene. Man bør imidlertid utvise forsiktighet med å tillegge type gjerningsperson for stor vekt. Når datakriminalitet avdekkes er det som regel ved at det oppdages på stedet der gjerningen har skjedd. Et datainnbrudd vil for eksempel som regel oppdages hos den fornærmede ved at man oppdager at uvedkommende har skaffet seg adgang til systemet. I et slikt tilfelle kan man ikke vite noe mer om gjerningspersonen enn hva man finner ved analyse av den angrepne maskinen. Det kan riktignok avdekkes informasjon om gjerningspersonens fremgangsmåte, hvilke verktøy som er benyttet og liknende, men dette sier ikke nødvendigvis noe om gjerningspersonens intensjoner. Det er bare i tilfeller hvor man faktisk klarer å spore handlingen tilbake til en gjerningsperson at man kan avgjøre hva gjerningspersonens intensjon egentlig har vært. Dette er viktig å ha i bakhodet ved en analyse av hvem som vanligvis begår datakriminalitet. Det er ikke sikkert at den gjerningspersonstypen som dominerer i avdekkede saker er den det er størst grunn til å frykte.
3.3.3 Spenning
Den type motiv som har vært avdekket i flest datakrimsaker til nå gjelder ønsket om spenning. Gjerningspersonene har til felles at de i utgangspunktet ikke har noe motiv om profitt, hevn eller andre personlige motiv for sin virksomhet. Virksomheten starter gjerne med at man ønsker å finne ut hva som er mulig, hvor lett det er å gjennomføre datakriminalitet som for eksempel datainnbrudd. Når man så opplever spenningen som følger med det å fritt kunne undersøke andres datasystemer, lese andres e-post og filer, får man lyst å oppleve mer spenning og utforske andre datasystemer.
I slike saker starter gjerningspersonen gjerne med å utforske hva som kan oppnås ved hjelp av verktøy og metoder han leser om på internett. Kartlegging og datainnbrudd er derfor typisk de innledende handlingene i slike tilfeller. I starten innehar vedkommende gjerne ikke kompetanse til annet enn å laste ned bestemte typer skannere og exploits (se kapittel 3.4.1 og 3.4.2), samt å kjøre disse mot sårbare systemer på internett. Fordi denne typen gjerningspersoner ofte er unge (gjerne gutter), er en vanlig betegnelse på dem «script-kiddies». «Script» er en form for dataprogram. Betegnelsen speiler at personen ikke er i stand til å lage dataprogrammer selv, men bruker programmer som er lastet ned fra andre. Virksomhet av denne typen har en bratt læringskurve og man skal ikke holde på med det lenge før man selv er i stand til å gjennomføre mer avanserte aktiviteter som for eksempel å lage skannere og ormer.
Status er et viktig element i disse sakene. Ikke sjelden hører gjerningspersonen til et miljø der det finnes flere personer som begår samme type handlinger. I tilfelle vedkommende startet på egen hånd, vil det uansett ikke ta lang tid før han finner likesinnede. Ofte finner kontakten sted via internett. I denne sammenhengen har chattesystemet Internet Relay Chat (IRC) spilt en sentral rolle gjennom de siste 15 årene. Systemet ser ut til å fortsatt være det foretrukne systemet i dette miljøet. Status i miljøet kan komme til uttrykk på mange måter. Har man for eksempel skaffet seg tilgang til en exploit (se kapittel 3.4.1) som ingen andre har, vil dette gi spesiell status. Spesiell kunnskap gir også status i miljøet. Den som kan besvare andres spørsmål om metoder og teknikker vil raskt få en spesiell posisjon. Videre kan man få status som følge av hvilke datamaskiner man har skaffet seg tilgang til. Således vil selve maskinnavnet vedkommende opererer med på IRC kunne gi spesiell status. Det finnes eksempler på at norske gjerningspersoner har opptrådt på IRC fra datamaskiner med vertsnavn som slutter på «.gov» og «.mil». Dette har åpenbart gitt spesiell status i miljøet, idet slike datamaskiner tilhører henholdsvis USAs administrasjon (.gov) og USAs forsvarsorganisasjon (.mil).
Videre er det en fordel for personer som tilhører et miljø på IRC å kontrollere flest mulig datamaskiner. Årsaken til dette er at kanaler på IRC kontrolleres av dataprogrammer (bot) som ved å være koblet til forskjellige IRC-tjenere kobler seg til en bestemt kanal og kontrollerer denne. Botene er koblet sammen i et nettverk. Siden det kan være nødvendig med mange boter for å kontrollere en IRC-kanal, er den som setter opp botnettverket som regel avhengig av å begå datainnbrudd på mange maskiner for å skaffe seg tilgang til maskiner der botene kan kjøres. Den som kontrollerer en kanal kan bestemme hvem som får lov til å oppholde seg på kanalen og hvem som får lov å skrive ting til kanalen. Den som kontrollerer kanalen kan således blant annet kaste ut dem han ikke liker, og bestemme at de ikke får lov å komme inn igjen. Det er åpenbart et mål for personer i dette miljøet å kontrollere IRC-kanaler. I tilfelle man selv ikke kontrollerer noen kanal, kan man forsøke å overta andres IRC-kanaler ved å begå datainnbrudd på maskinene som kontrollerer kanalen, eventuelt å hindre dem fra å faktisk kontrollere kanalen ved å organisere tjenestenektangrep mot dem (se kapittel 3.4.9). Både for å holde på egne kanaler, og for å kunne gjennomføre angrep med siktemål å ta over andres kanaler, er det en fordel å kontrollere flest mulig datamaskiner. Dette har motivert deltakerne i disse miljøene til å gjøre datainnbrudd på flest mulig datamaskiner. Hvilke datamaskiner man gjør datainnbrudd på spiller ikke så stor rolle. Hovedsaken er at man kan kjøre programmer der som kobler seg til en IRC-kanal eller som angriper andre programmer med samme formål.
Siden deltakere i IRC-kanaler etterhvert blir kjent med hverandre og i større grad identifiserer seg med hverandre, blir det etter hvert dannet grupperinger i form av nettverk av deltakere som har kontakt. Slike grupperinger kan være mer eller mindre faste og kan bestå av forskjellige personer i forskjellig alder bosatt i forskjellige land, som ikke har noe annet til felles enn tilknytningen til den bestemte IRC-kanalen. Likevel kan identifiseringen med grupperingen bli sterk nok til at det noen ganger oppstår konflikter mellom forskjellige grupperinger. Slike konflikter kan utarte til en slags krig der grupperingene forsøker å overta hverandres kanaler for å ødelegge for hverandre. Siden våpnene i en slik «krig» består i å angripe hverandres botnettverk, er det mange uskyldige parter som blir rammet. Botene kjører jo på datamaskiner som gjerningspersonene tidligere har gjort datainnbrudd på og som tilhører organisasjoner eller personer som ikke har noe med IRC-krigen å gjøre. Som følge av angrepene kan alle disse innehaverne av datamaskinene få blokkert sin tilknytning til internett fordi den fylles av data som er en del av den pågående «krigen». Det finnes nok mange slike tilfeller der offeret har opplevd at internettforbindelsen har blitt ubrukelig for kortere eller lengre tid uten at man noen gang fant ut hva som traff dem.
Selv om gjerningspersonene i denne kategorien som regel ikke ønsker å ødelegge for innehaverne av datamaskinene, er det klart at det kan bli følgen likevel. Videre kan det i seg selv være ødeleggende at gjerningspersoner i denne kategorien har lav kunnskap om datasystemets rettmessige bruk. Gjerningspersonen kan for eksempel slette data han ikke skjønte betydningen av i forsøk på å fjerne spor etter datainnbruddet. En slik hendelse kan få betydelige konsekvenser for innehaveren av datamaskinen.
3.3.4 Hevn
Som ved tradisjonell kriminalitet, kan hevn være et motiv ved datakriminalitet. Selv om hevn til dels kan sies å være motiv i forbindelse med «krigene» som er omtalt i forrige avsnitt, er nok hevnmotiv mer utbredt i forbindelse med personlige relasjoner og relasjoner i arbeidsforhold. Ønske om hevn kan gi seg utslag i at man publiserer eller sprer ufordelaktig informasjon om andre på internett. Men også ren datakriminalitet som for eksempel datainnbrudd, tjenestenektangrep og selvspredende progammer kan være motivert av ønske om hevn. Dette kan ramme gjerningspersonens tidligere arbeidsgiver eller andre som gjerningspersonen føler seg forulempet av.
3.3.5 Profitt
Profitt er som ved all annen kriminalitet også et mulig motiv ved datakriminalitet. Det er lett å tenke seg hvordan man kan oppnå profitt ved å begå datainnbrudd på andres datamaskiner for å stjele informasjonen som ligger lagret der. Slik informasjon kan benyttes til å oppnå profitt. For eksempel kan informasjonen som er lagret på datasystemet være bedriftshemmeligheter som konkurrenter kan utnytte til å oppnå profitt. Eksempler på slik informasjon kan være produktbeskrivelser, regnskapstall og ikke minst markedsstrategier og konkurrentanalyser. Det finnes imidlertid ennå ikke mange kjente eksempler på at dette har skjedd. Det kan dog tenkes at dette er en type kriminalitet som ikke er så lett å avdekke.
Gjennom etableringen av et stort og i utgangspunktet legalt marked for informasjonsmegling, er det skapt en mekanisme for prissetting av informasjon slik at den økonomiske verdien kommer konkret til uttrykk. En bivirkning er at det gir et incitament for omsetning av informasjon skaffet til veie på ulovlig måte. Datakriminelle metoder kan være meget aktuelle både for å skaffe til veie slik informasjon og for å begå informasjonsheleri.
Det finnes mange eksempler på forsøk på å profitere på andres data/informasjon ved at ansatte har tatt med seg informasjonen ut av virksomheten. Det typiske tilfellet er at en ansatt kopierer med seg data fra virksomheten før vedkommende slutter. Dataene kan senere benyttes som forretningsgrunnlag ved oppstart av egen virksomhet eller i forbindelse med at vedkommende blir ansatt i en annen konkurrerende virksomhet. Slike hendelser har meget stort skadepotensiale for den virksomhet som blir offer for dette.
Tilfeller av datakriminalitet hvor profitt er motivet inkluderer også mange tilfeller av tradisjonell kriminalitet hvor dataverktøy er benyttet. Internettbedragerier er klassiske tilfeller av dette. Man bestiller for eksempel varer i falskt navn, benytter falskt kredittkortnummer eller sender ut e-post som skal lure andre til å sende penger. Denne typen datakriminalitet ser ut til å øke betydelig i omfang. For ytterligere omtale av slike tilfeller vises det til drøftelsen i kapittel 3.5.
3.3.6 Propaganda
I en del tilfeller har det vist seg at datakriminalitet har vært motivert av gjerningspersonens politiske ståsted. Målet med handlingen kan være å få frem et politisk budskap. Frem til nå har det vist seg at personene som utfører dette som regel har røtter i miljøet som er omtalt under kapittel 3.3.3. Det kan være at personen tilhører et miljø som forfekter et spesielt politisk synspunkt og ønsker å få frem budskapet til et bredere publikum. Metodebruken er den samme som det er redgjort for tidligere.
Det typiske eksempelet på spredning av politisk propaganda ved hjelp av datakriminalitet er såkalt «defacement». Gjerningspersonen foretar her datainnbrudd på en datamaskin som inneholder en webtjener. Deretter byttes forsiden på webtjeneren ut med en ny side som inneholder et budskap som gjerningspersonen ønsker å få frem. Hensikten med dette er å få frem budskapet til flere og til andre grupper enn det ellers ville nådd frem til. Det er også en demonstrasjon av at gjerningspersonen har klart å trenge seg inn på dataserveren, noe som skal vise styrken til grupperingen som forfekter det syn budskapet inneholder.
En annen type handling som også gjerne forbindes med slikt motiv, er tjenestenektangrep mot datamaskiner tilhørende politiske motstandere. Som diskutert i kapittel 3.4.9, er slike angrep svært vanskelige å spore eller stoppe. Det er derfor et yndet verktøy for å skape vanskeligheter for politiske motstandere, særlig blant mer militante grupperinger. Også i slike tilfeller synes det å være typisk at det er personer tilhørende miljøet omtalt i kapittel 3.3.3 som faktisk gjennomfører angrepene.
Fra det overnevnte kan en gå videre til å oppstille en hypotese om at terrorister vil benytte tjenestenektangrep i stor utstrekning for å nå sine mål. Det er på det rene at det foreligger potensiale for slik utnyttelse i terrorvirksomhet. Derimot foreligger det ikke pålitelig informasjon om at det skjer i dag. Det er på det rene at terrorister har utnyttet internett i sin virksomhet, men da først og fremst som en kanal for informasjon og kommunikasjon. Fra NOU 2006: 6 «Når sikkerheten er viktigst», hitsettes følgende betraktninger fra side 45:
«Det har hittil ikke vært påvist noe koordinert eller vidtrekkende nettverksangrep som har truet samfunnets funksjonsdyktighet. Likevel kan det ikke avvises at det økende antall av tilsynelatende tilfeldige nettverksangrep i noen tilfeller er initiert av terrorgrupper.
[...]
Uoppdagede sårbarheter vil til enhver tid utgjøre en trussel, avhengig av hvem som oppdager sårbarhetene og dermed muligheten til å utnytte dem. Man kan tenke seg en meget alvorlig situasjon dersom noen finner en alvorlig sårbarhet og i tillegg gjør en grundig planlegging av hvordan den skal utnyttes før den oppdages og korrigeres (Et såkalt Zero-Day Attack).
[...]
Det har så langt vært vanskelig å forestille seg at kritiske samfunnsfunksjoner som vannforsyning, strømforsyning, kraftforsyning og lignende kan rammes katastrofalt på grunn av terror i form av logisk angrep fra utsiden alene, uten at det også er etablert noen form for støttespillere på innsiden. På grunn av den allerede innebygde sikkerheten, er et fullstendig fjernstyrt terrorangrep med katastrofale konsekvenser mindre sannsynlig. Ikke desto mindre skal man være oppmerksom på de stadig sterkere koblingene som skjer mellom prosessystemer og Internett.
Det er i prinsippet mulig å trenge seg ulovlig inn i IT-systemer som fjernstyrer kritisk infrastruktur og kritiske samfunnsfunksjoner, men det er ikke uten videre enkelt å skulle overta styringen uten at dette oppdages av det ordinære driftspersonellet. Det er en utbredt oppfatning at det er enklere å bruke eksplosiver for å skade kritisk infrastruktur og kritiske samfunnsfunksjoner, enn å ta kontrollen over et datastyringssystem.»
3.3.7 Etterretning
Selv om det ikke foreligger noen bekreftede hendelser der informasjonskrigere har spilt en rolle, er det klart at også slike utgjør en mulig trussel. Informasjonskrigere er grupper som er organisert av en fremmed stat for å kunne utføre informasjonskrigføring, herunder angrep/etterretning via datanettverk. Angrepene kan rette seg mot militære installasjoner, samfunnets infrastruktur eller mot private bedrifter som er viktige for samfunnet.
Det skal være bekreftet at flere land har etablert evne til å offensivt utføre dataangrep mot andre land (Sunde 2006 «Lov og rett i cyberspace» kapittel 2.3.3). Hvorvidt slike angrep kun vil spille en rolle i eventuelle fremtidige kriger, eller om slike metoder også vil benyttes i fredstid, gjenstår å se. Fremmede staters eventuelt organiserte offensive dataangrepsvirksomhet vil trolig skille seg vesentlig fra mange av de andre aktørene med tanke på evne til å opptre med lav oppdagelsesrisiko og lav grad av sporbarhet. Dersom bare en liten del av de datasikkerhetshendelsene som skjer blir avdekket (jf. mørketallsundersøkelsene, se kapittel 3.3.1), er det svært lite sannsynlig at angrep fra fremmede stater vil være blant disse. Trolig er det derfor slik at dersom fremmede stater benytter dataangrep mot oss, er aktiv etterretning vår eneste sjanse til å avdekke dette.
3.4 Trusler mot datasystemer
3.4.1 Inntrengning i datasystemer
Inntrengning i datasystemer kalles vanligvis for datainnbrudd. Dette er en handling som innebærer at gjerningspersonen skaffer seg adgang til et datasystem hvor vedkommende ikke har rettmessig adgang. Adgangen innebærer at vedkommende får tilgang til data som er lagret på datasystemet, og vanligvis også tilgang til å kjøre programmer på systemet. Slike programmer kan eventuelt modifisere på dataene som er lagret på systemet. Et datainnbrudd innbærer altså en urettmessig tilgang som kan ramme datasystemets innehaver både ved at dataene som er lagret på systemet blir kjent for uvedkommende (konfidensialitet), ved at dataene som er lagret på systemet blir endret urettmessig (integritet) og at systemet som sådan kan bli belastet slik at det blir mindre brukbart for den rettmessige innehaveren (tilgjenglighet). Datainnbruddet er handlingen som gir gjerningspersonen tilgang til å foreta slike ytterligere handlinger på datasystemet. Et datainnbrudd har derfor ofte karakter av en handling som på en eller annen måte bryter sperrer som er satt til å verne om systemet. I det følgende behandles ulike former for datainnbrudd. Gjennomgangen er ikke uttømmende. I kapittel 5.6.2 drøfter utvalget lovtiltak mot datainnbrudd. Datainnbrudd etterfølges ofte av informasjonstyveri eller datatyveri og/eller at inntrengeren beskadiger målmaskinen ved å endre data på denne. Lovtiltak mot dette drøftes i kapittel 5.5.2 og 5.6.3.
Passordinnbrudd
En vanlig form for datainnbrudd er passordinnbrudd. I slike tilfeller har gjerningspersonen skaffet seg brukernavn og passord, eller andre tilsvarende tilgangsdata til en bruker som har rett til å bruke systemet. Disse opplysningene kan være skaffet på urettmessig vis, for eksempel ved dataavlytting eller passordknekking, se kapittel 3.4.6 og 3.4.7, men det kan også tenkes at opplysningene i seg selv er skaffet på rettmessig vis, likevel slik at gjerningspersonen ikke er berettiget til å bruke dem. Det kan for eksempel tenkes at en annen person har gitt opplysningene uoppfordret, se også kapittel 5.3.3.
Selve datainnbruddsgjerningen er ved passordinnbrudd karakterisert ved at gjerningspersonen logger seg på datasystemet med tilgangsdataene. Dermed får han samme tilgang til datasystemet som den rettmessige brukeren hadde, og kan kjøre programmer, lese, slette og endre filer på datasystemet. Påloggingen kan skje lokalt, ved at gjerningspersonen bruker tastatur og skjerm som er koblet til det aktuelle datasystemet. Det er også mulig å koble seg til datamaskinen ved hjelp av datanettverk og logge seg på med brukernavn og passord, for eksempel ved bruk av systemer for fjernpålogging, slik som Telnet, Secure Shell, Remote Desktop og liknende. Slik pålogging kan utføres fra alle andre datamaskiner som er tilknyttet samme datanettverk. For datamaskiner som er tilknyttet internett er det altså mulig å koble seg til maskinen fra alle andre datamaskiner som er tilknyttet internett, med mindre det er foretatt spesielle tiltak for å beskytte mot dette (brannmur eller tilsvarende). Slike beskyttelsestiltak ville i så fall også sperre mot rettmessig bruk av fjerninnlogging på systemet.
Passordinnbrudd ved fjernpålogging er en meget vanlig form for datainnbrudd. Det er velkjent at det i visse miljøer utveksles brukernavn/passord og andre tilgangsdata som man har skaffet seg. Har man først skaffet seg adgang til et datasystem, kan denne adgangen utnyttes til å fremskaffe brukernavn og passord til dette og andre datasystemer (se om bakdør, sniffing og passordknekking i kapittel 3.4.3, 3.4.6 og 3.4.7). Disse tilgangene kan selvsagt benyttes til nye datainnbrudd, men de kan også benyttes til å utveksle informasjon med andre som driver med det samme. På den måten kan man skaffe seg tilgangsdata til helt andre maskiner enn man hadde fra før og kan benytte disse til nye datainnbrudd.
Sårbarhetsinnbrudd
Alle dataprogrammer inneholder feil som ikke var tilsiktet fra programmereren. Det er ikke mulig å lage et fullstendig feilfritt dataprogram, like lite som det er mulig å skrive en bok som ikke inneholder noen typografiske, syntaktiske eller faktiske feil. Slike feil kalles gjerne «bugs». En bug omtales som en sårbarhet dersom den utløser en feilfunksjon som kan utnyttes bevisst til å fremkalle en utilsiktet virkning i dataprogrammet. Å utnytte sårbarheten bevisst til å fremkalle den utilsiktede virkningen kalles «exploit», etter engelsk «to exploit» – å utnytte. Slike sårbarheter oppstår vanligvis i dataprogrammer som forventer inndata fra brukeren. Dersom programmet ikke sjekker inndataene godt nok, kan det være mulig å fremkalle en utilsiktet virkning i programmet ved å sende bestemte inndata som programmet ikke forventer. Hvis inndataene er laget på en spesiell måte, kan den utilsiktede virkningen være at vedkommende som sender inndataene får urettmessig tilgang på datasystemet.
Den mest vanlige formen for sårbarhetsinnbrudd er utnyttelse av overflytssårbarheter. Denne type sårbarheter oppstår i programmer hvor et minneområde med begrenset størrelse er satt av til å håndtere inndataene og programmet ikke sjekker inndataenes lengde. Dersom brukeren av programmet tilfører mer inndata enn det som får plass i det avsatte minneområdet, vil dataområdene i minnet etter det avsatte området bli overskrevet av inndataene. Dette kan utnyttes ved at inndataene kan inneholde programkode som gir brukeren tilgang på datasystemet med samme rettigheter som det utnyttede dataprogrammet.
Utnyttelse av en sårbarhet i et dataprogram er i utgangspunktet en avansert operasjon som krever at man nøye analyserer målprogrammets virkemåte og beregner nøyaktig hvilke inndata som må gis for å oppnå den tilsiktede effekten. Resultatet er en metode som bare vil virke mot ett bestemt målprogram, og som regel bare en versjon av dette. Det vanlige er at man lager et nytt dataprogram som inneholder de dataene som må sendes til målprogrammet for å utnytte sårbarheten. Et slikt program kalles en «exploit». Som det fremgår, benyttes uttrykket «exploit» både om metoden og programmet som anvendes. Etter at exploiten er laget, vil man ved å kjøre exploiten mot et målprogram kunne utnytte sårbarhetene i dette uten å måtte bry seg med hvilke data som faktisk sendes.
Det skilles mellom lokale exploits og fjernexploits. Forskjellen mellom disse er hvilke programmer som rammes av exploiten. Lokale exploits kan i prinsippet utnytte sårbarheter som finnes i hvilket som helst lokalt program på et datasystem. Det er imidlertid lite hensiktsmessig å utnytte sårbarheter i et dataprogram uten at man på den måten skaffer seg privilegier på systemet som man ikke hadde fra før. Det vanlige ved bruk av lokale exploits er derfor at man utnytter sårbarheter i lokale systemtjenester som har privilegier tilsvarende systembrukeren. Ved å kjøre en slik exploit kan en lokal bruker som i utgangspunktet ikke har tilgang til andre brukeres programmer og data, skaffe seg fullstendige systemprivilegier og få full kontroll over hva som foregår på datasystemet, herunder lese og endre andres data.
Fjernexploits kjøres mot tjenester på andre datamaskiner som er tilknyttet samme datanettverk. Hvis FTP-tjenerprogramvaren på maskin A for eksempel inneholder en bestemt sårbarhet, kan en bruker på maskin B kjøre en exploit mot denne. Utvekslingen av data mellom exploiten og målprogrammet foregår i dette tilfellet over nettverket som knytter de to datamaskinene sammen. På denne måten kan vedkommende som kjører exploiten, få full tilgang til alle data og systemressurser på maskin A, noe han i utgangspunktet ikke var berettiget til.
Bruk av fjernexploits mot andres datasystemer er en meget vanlig metode for å begå datainnbrudd. Datamaskiner som er tilkoblet internett som tilbyr tjenester, er meget utsatt for dette. Ved å foreta skanning (se kapittel 3.4.2) kan en gjerningsperson avdekke hvilke programmer (med versjonsnummer) som kjører på en målmaskin tilknyttet internett. Dersom han har en exploit som virker mot denne programversjonen, kan han kjøre denne og straks få kontroll over målmaskinen. Både kartleggingen og selve kjøringen av exploiten kan som regel skje fra en hvilken som helst annen datamaskin tilknyttet internett.
En av årsakene til at sårbarhetsinnbrudd er vanlig, er at det finnes offentlig tilgjengelige databaser over kjente sårbarheter og tilhørende exploits. Dette gjør det mye lettere å utføre datainnbrudd for personer som ikke innehar den nødvendige kompetansen til å lage exploits selv. Det eneste man må gjøre er å finne ut hvilken programvare som kjører på målmaskinen, og om det finnes noen offentlig tilgjengelig exploit for den. Dersom dette finnes, kan man bare laste den ned til sin egen maskin og deretter kjøre den for å begå datainnbruddet.
Man kan så spørre hvorfor slike databaser finnes, idet de åpenbart bidrar til økt datainnbruddsvirksomhet. Den vanligste årsaken som oppgis av operatørene av databasene er at exploits også er viktige sikkerhetsverktøy. Den eneste måten å avdekke om en sårbarhet virkelig eksisterer, er å kjøre en exploit mot den. Ved å kjøre alle kjente exploits mot sine egne systemer, kan systemoperatører sikre seg at det ikke finnes kjente sårbarheter som gjør at man vil bli utsatt for datainnbrudd. Dessuten kan leverandører av dataprogrammer distribuere oppdateringer av programvaren som hindrer utnyttelsen av vedkommende exploit, og sikkerhetsprogrammene kan oppdateres tilsvarende. Databasene over exploits er således en kilde til informasjon om hvilke sårbarheter som finnes på systemer. Det er en utbredt oppfatning at eksistensen av databaser over exploits er en del av et «økosystem» på internett som gjør det lettere å sikre datasystemer som virkelig trenger å være sikre. En bieffekt er imidlertid at exploits blir lettere tilgjengelig for dem som ønsker å gjøre datainnbrudd i andre systemer. Straffetrusselen for datainnbrudd representerer en nødvendig motvekt til «fristelsen» som exploits-databasene utgjør for potensielle gjerningspersoner. Den strafferettslige tilnærming til befatning med exploits som sådan, er drøftet i kapittel 5.7.5.
Trojaner
Metoden for datainnbrudd som er beskrevet under avsnittet om sårbarhetsinnbrudd, er en teknisk metode for å få målmaskinen til å kjøre programkode som er skrevet av angriperen. En alternativ metode for å gjennomføre dette er å forlede en rettmessig bruker av maskinen til å kjøre programkode som er skrevet av angriperen. Dette kan gjennomføres ved å lage et program som gir seg ut for å være et nyttig program, men som i tillegg til (eller i stedet for) nyttige funksjoner inneholder programkode som gir gjerningspersonen tilgang til datamaskinen. Et slikt program kalles en trojansk hest, eller en trojaner. En vanlig virkemåte er at programmet når det blir kjørt av offeret, åpner en tilgang til målmaskinen som ikke var der fra før. Dette kalles en «bakdør» (se kapittel 3.4.3). Denne tilgangen kan angriperen så benytte for å skaffe seg tilgang til maskinen.
Opphavet til begrepet trojansk hest finnes i Homers Illiaden, hvor grekerne overvant byen Troja ved hjelp av list. Etter lengre tids beleiring av Troja, trakk grekerne seg tilbake. Etter dem stod det igjen en stor trehest. Trojanerne var naturlig nok nysgjerrig på hesten og trillet den inn i byen. Om natten kom greske krigere som hadde gjemt seg inne i hesten ut og åpnet portene slik at den greske hæren kunne innta byen.
På internett finnes det ferdige trojanere som man kan laste ned, konfigurere og koble sammen med nyttige programmer som man kan sende til et utvalgt offer, for eksempel via e-post. De mest avanserte av disse (for eksempel Back Orifice og SubSeven) inneholder funksjonalitet som lar angriperen utføre en rekke funksjoner på offerets datamaskin, for eksempel lese filer, overvåke skjermbildet, avlytte rommet med datamaskinens mikrofon eller hente frem pornografi i en nettleser.
3.4.2 Elektronisk kartlegging i form av skanning
I forkant av et datainnbrudd foregår det som regel en kartlegging i den hensikt å finne sårbarheter som kan utnyttes. Slik kartlegging kalles gjerne «skanning». Målet med skanningen er å finne sårbarheter som kan utnyttes til å begå datainnbrudd. Man kan skille mellom «breddeskanning» og «målskanning» etter formålet med kartleggingen.
Ved breddeskanning tar gjerningspersonen for seg et område av nettadresser og sjekker alle for en bestemt sårbarhet. Dette gjøres ved å la et dataprogram (en skanner) kontakte alle adresser og undersøke om den bestemte programvaren som innholder en sårbarhet finnes på de aktuelle maskinene. Dette er en aktuell fremgangsmåte dersom man har skaffet seg en exploit som utnytter en bestemt sårbarhet, og ønsker å benytte denne til å skaffe seg uberettiget tilgang til et datasystem uten at det spiller så stor rolle hvilket datasystem man utnytter. Ønsket om tilgang kan skyldes behovet for lagringssted, for eksempel for piratvare, bruk av systemet som springbrett for videre skanning/datainnbrudd, eller rett og slett å undersøke om det finnes noe spennende på datasystemet. På internett er det i praksis uproblematisk å foreta breddeskanning av titusener av andre maskiner i løpet av relativt kort tid, noe som ofte vil gi resultat i form av at man finner en eller flere maskiner som man kan gjøre datainnbrudd på. Dette er derfor en relativt vanlig fremgangsmåte.
Ved målskanning tar gjerningspersonen for seg en bestemt adresse og sjekker hvilke tjenester som kjører på denne, i håp om å finne en eller flere tjenester som inneholder sårbarheter. Portskanning er en form for målskanning. Ved portskanning tar skanneren kontakt med alle 65536 inngangene (portene) på en måldatamaskin, for å undersøke om det finnes noen tjenester. Resultatet er en liste over alle tjenester som kjører på datamaskinen. Etter at portskanning er gjennomført kan man foreta ytterligere undersøkelser for å finne ut om noen av tjenestene som kjører på maskinen inneholder sårbarheter.
Det finnes også mellomformer mellom breddeskanning og målskanning. Man kan for eksempel tenke seg at gjerningspersonen har valgt ut en organisasjon som han vil angripe. Det er da naturlig å starte med en breddeskanning av alle maskiner i organisasjonen for å finne den letteste veien inn. Dersom det viser seg at en maskin er mye lettere å komme inn på enn de andre, vil det være naturlig å gjøre datainnbrudd på denne først. Ofte vil man få tilgang til en del informasjon på en slik maskin som gjør det lettere å gjøre ytterligere datainnbrudd.
3.4.3 Tekniske endringer på et målsystem
Når en gjerningsperson har gjort datainnbrudd på en datamaskin, kan det være ønskelig å gjennomføre en del endringer på systemet for å unngå å bli oppdaget, og for å sikre tilgangen. Siden man ved datainnbruddet har skaffet seg full kontroll over målmaskinen, er det fullt mulig å endre dens virkemåte ved å bytte ut programvare eller på annen måte modifisere data for å nå disse målene.
Et relativt vanlig tiltak er å bytte ut systemets egen programvare for overvåkning av aktiviteter på maskiner, med modifiserte versjoner som skjuler gjerningspersonens egen aktivitet. Et slik sett med modifisert systemprogramvare kalles et «rootkit». Når et effektivt rootkit er på plass, vil det ikke lenger være mulig for maskinens rette innehaver å se hvilke programmer (prosesser) som kjøres av inntrengeren, og forbindelser til nettverket som skyldes inntrengeren vil heller ikke vises. Det er også mulig for et rootkit å filtrere systemets logging slik at aktiviteter som skyldes inntrengeren ikke blir loggført i systemloggene.
Videre er det nokså vanlig å lage en ny tilgang til systemet som ikke var der fra før. Dette kalles en «bakdør», fordi det er en inngang til systemet som den rettmessige innehaveren ikke kjenner til. En bakdør kan opprettes på flere måter. Den enkleste måten (som også har høyest oppdagelsesrisiko) er rett og slett å legge til nye brukere på maskinen. Gjerningspersonen kan da skaffe seg tilgang ved normal fjerninnlogging som beskrevet under avsnittet om passordinnbrudd. En annen mye brukt metode er å legge til ny systemprogramvare som åpner en tjeneste (port) mot internett som ikke ble tilbudt tidligere. Den nye tjenesten kan kreve passord av den som prøver å koble seg til, eller den kan slippe andre rett inn uten passordbeskyttelse. Det er også mulig å modifisere eksisterende systemprogramvare slik at de gir tilganger på måter de ikke har gjort før. For eksempel kan man tenke seg å modifisere innloggingsprogrammet slik at det slipper inn hvem som helst som oppgir brukernavn «sesamsesam». En slik endring vil være svært vanskelig å oppdage for den rettmessige innehaveren av systemet.
Det er vanlig ved datainnbrudd at bakdører opprettes for å sikre videre tilgang til datamaskinen for det tilfelle at den rettmessige innehaveren skulle oppdage og fjerne sårbarheten. Faktisk er det også relativt vanlig at gjerningspersonen fjerner selv sårbarheten som gjorde at han opprinnelig fikk tilgang. Dette tjener to formål. For det første blir det mindre risiko for å bli oppdaget; hvis en systemadministrator oppdaget en sårbarhet kunne det også tenkes at han foretok undersøkelser for å avdekke om noen hadde utnyttet den. For det annet hindrer det at andre får urettmessig tilgang til den samme maskinen, noe som ville medføre økt oppdagelsesrisiko og mindre eksklusivitet.
At det er relativt vanlig ved datainnbrudd å foreta endringer som nevnt over, har betydning for hvordan man bør forholde seg hvis man oppdager datainnbrudd. Det er ikke tilstrekkelig å fjerne den opprinnelige sårbarheten, for det er sannsynlig at det kan finnes andre bakdører til systemet. Å oppdage slike bakdører er en vanskelig oppgave. Det er svært mye systemprogramvare på dagens operativsystem, og å finne ut hvilket program som er endret, kan være som å lete etter nålen i høystakken. Dette kan innebære mye arbeid. Datainnbrudd kan derfor få betydelige konsekvenser for den som er angrepet selv om gjerningspersonen ikke har slettet noen data eller gjort andre skadelige endringer i dataene som er lagret på maskinen.
3.4.4 Innholdsendringer av data
En berettiget frykt i forbindelse med datainnbrudd er at gjerningspersonen foretar innholdsendringer i dataene som er lagret på datasystemet. Teknisk sett er ikke dette forskjellig fra endringene som er behandlet under forrige avsnitt, både dataprogrammer og andre data er lagret på lagringsmediet på datamaskinen og kan fritt endres av den som har fått urettmessig tilgang.
Det hevdes iblant at det mest alvorlige som kan skje ved et datainnbrudd er at alle data blir slettet. Ved bruk av sikkerhetskopi er det imidlertid mulig å sikre seg mot slik datatap, som jo kan forårsakes av andre grunner også, for eksempel diskkrasj. Det kan være vel så alvorlig om data blir endret eller lagt til, men i så lite omfang at det ikke blir oppdaget. Dersom heller ikke datainnbruddet blir oppdaget, er det sannsynlig at den endrede informasjonen vil inngå som en del av informasjonsgrunnlaget, og også etter hvert bli en del av sikkerhetskopien av systemet. Selv dersom datainnbruddet blir oppdaget, er det ikke sikkert at dataendringen blir oppdaget i opprydningsprosessen.
Mørketallsundersøkelsen 2003 hadde som hovedresultat at kun en mindre andel tilfeller av datakriminalitet ble avdekket, og videre at kun en mindre andel av disse ble anmeldt. Dette gir grunn til å frykte at det kun er tilfellene hvor gjerningspersonene gjør større endringer som blir oppdaget. Tilfeller hvor gjerningspersoner bare har gjort subtile endringer er etter all sannsynlighet ikke oppdaget, selv om dette kan ha svært store konsekvenser. Det kan for eksempel være tale om manipulering med regnskapstall som kan gi feil beslutningsgrunnlag og føre til endringer i aksjekursene i børsnoterte selskap.
Det er her grunn til å legge til at det ikke bare er personer som har skaffet seg adgang ved datainnbrudd som kan foreta urettmessige innholdsendringer på et datasystem. Slike handlinger kan også foretas av personer som har rettmessig tilgang til dataene, for eksempel ansatte.
De lovgivningsmessige konsekvensene av situasjonen som er behandlet i kapittel 3.4.3 og 3.4.4, drøftes i kapittel 5.6.3.
3.4.5 Tyveri av data
Når det har vært begått datainnbrudd, frykter man også at gjerningspersonen har kopiert konfidensielle data som er lagret på datasystemet, og bruker dem til egne formål. Kopiering av data kan også gjøres urettmessig av noen som har fysisk tilgang til vedkommende datasystem.
Urettmessig kopiering av data representerer en alvorlig trussel. Ettersom kopiering ikke medfører noen endring av dataene slik de ligger lagret på originalsystemet, er kopiering i seg selv en handling som medfører liten oppdagelsesrisiko. Dataene, og informasjonen de representerer, kan imidlertid ha stor verdi, og urettmessig utnyttelse kan få store konsekvenser. Man kan for eksempel tjene betydelige beløp på å kjenne til regnskapstall i børsnoterte selskaper før de foreligger offentlig. Informasjon om politiske beslutninger, for eksempel et statsbudsjett, er også eksempel på informasjon som potensielt har meget stor verdi før den er offentliggjort.
Det vises til den videre behandlingen i kapittel 5.5.2.
3.4.6 Dataavlytting
Mange datatekniske hjelpemidler kan anvendes til å foreta avlytting. En datamaskin har til en viss grad mulighet til å fange opp det som skjer i dens omgivelser. Slik avlytting kan utføres av den som har tilgang til å kjøre programmer på en datamaskin. Dette gjelder altså både en datamaskins rettmessige innehaver og andre som måtte ha skaffet seg tilgang til datamaskinen via datainnbrudd.
Det er fullt mulig å kjøre programmer som avlytter rommet datamaskinen står i, dersom en mikrofon er tilkoblet datamaskinen (noe som er relativt vanlig på laptop-maskiner). Videre kan rommet videoovervåkes dersom maskinen er tilknyttet et kamera. Det er også mulig å kjøre et program som fanger opp og lagrer alle tastetrykkene på en datamaskin (såkalt «tastetrykksregistrator», eller på engelsk «key stroke logger»). Dette kan forøvrig også utføres ved å plassere en fysisk enhet på kabelen mellom tastaturet og selve maskinen. Sistnevnte metode kan ikke anvendes på maskiner hvor tastaturet er integrert i maskinen.
Datakrimutvalget finner ikke grunn til å foreslå egne bestemmelser om romavlytting og avlytting av samtaler utendørs i datakrimkapitlet. Det er selve handlingen som her er det vesentlige, og ikke den tekniske fremgangsmåten som benyttes. Slike forhold bør reguleres av teknologinøytrale avlyttingsbestemmelser, som § 145 a nr. 2 i straffeloven.
Uberettiget avlytting i datanettverk er imidlertid datakriminalitet. Ved å kjøre et spesielt program på en datamaskin kan den fange opp trafikk på datanettverket som den er tilknyttet. Eksempelvis er det i trådløse nettverk mulig å fange opp all kommunikasjon mellom basestasjonen og andre maskiner som er tilknyttet samme basestasjon.
Slik avlytting har vist seg å være effektivt i forbindelse med datainnbrudd. Man kan etter et datainnbrudd fange opp nyttetrafikk og tilgangsinformasjon for å gjøre ytterligere datainnbrudd. Således er det nokså vanlig at gjerningspersonen etter han har gjort datainnbrudd på en maskin setter opp et program som avlytter nettverkstrafikken (såkalt sniffer) og lagrer denne til en fil på datamaskinen. På denne måten kan gjerningspersonen fange opp alt som sendes over datanettverket, for eksempel e-post. Siden brukernavn og passord ofte sendes i klartekst over datanettverket vil man også fange opp brukernavn og passord på denne måten, noe som selvsagt er interessant dersom man ønsker å begå nye datainnbrudd. Slike tilgangsdata kan benyttes til å begå nye datainnbrudd, eller man kan bruke dem til å bytte til seg ytterligere tilgangsdata som beskrevet i avsnittet om passordinnbrudd.
Når det gjelder avlytting av data under kommunikasjon, finner Datakrimutvalget det naturlig at dette reguleres av datakrimkapitlet. Dette gjelder enten dataene er i form av tekst, lyd eller bilder (inkludert bevegelige bilder). Dette innebærer at også uberettiget nedtak av radio- og fjernsynssendinger må karakteriseres som avlytting. Det samme gjelder avlytting av telefonsamtaler uavhengig av hvilken teknologi som benyttes.
Noen tilfeller er av en litt spesiell art. Dette gjelder avlytting i form av stråling. Stråling fra en dataskjerm eller et display på en mobiltelefon kan gi grunnlag for rekonstruksjon av skjermbildet ved tekniske hjelpemidler. Det vises til Sunde 2006 «Lov og rett i cyberspace» side 136-137.
3.4.7 Kryptering, dekryptering og passordknekking
Kryptering er mye benyttet som en sikkerhetsmekanisme. Ved kryptering blir en datamengde (klarteksten) forvandlet til en annen datamengde (kryptoteksten) ved hjelp av en kryptoalgoritme og en nøkkel. Kryptoteksten gir ingen mening, og kan bare forvandles tilbake til klarteksten ved hjelp av den samme kryptoalgoritmen og den samme eller en korresponderende nøkkel. Nøkkel er i denne sammenheng en datamengde som fungerer som inngangsdata i kryptoalgoritmen. Nøkkelen er som regel vesentlig kortere enn selve teksten. Et passord er et eksempel på en kryptonøkkel, men det er også kryptonøkler som bare er representert ved en digitalt lagret datamengde uten noe passord. Det bemerkes at bruken av ordet tekst i denne sammenheng ikke må misforstås. Kryptering kan benyttes på en hvilken som helst datamengde slik som tekst, bilder, film, fjernsynssendinger, musikk og annet.
Det skilles mellom symmetrisk og asymmetrisk kryptering. Ved symmetrisk kryptering er nøkkelen for kryptering og dekryptering den samme. Ved asymmetrisk kryptering er det to forskjellige nøkler: En privat nøkkel og en offentlig nøkkel. Asymmetrisk kryptering er meget praktisk for kryptering av meldinger som sendes elektronisk. Skal man sende en kryptert melding, foretar avsenderen kryptering med mottakerens offentlige nøkkel, og mottakeren dekrypterer med sin private nøkkel.
Teorien ved kryptering er at bare den som kjenner nøkkelen skal kunne åpne kryptoteksten. Likevel kan det tenkes måter der uvedkommende klarer å åpne krypterte data. For det første kan det tenkes at kryptoalgoritmen som benyttes inneholder svakheter. I slike tilfeller kan det ved å analysere kryptoalgoritmen og/eller utføre statistisk analyse på kryptoteksten være mulig å frembringe klarteksten uten å kjenne til nøkkelen overhodet. Videre kan det tenkes at uvedkommende på samme måte som brukernavn/passord (se kapittel 3.4.1) har fått tak i kryptonøkkelen. Dersom kryptoalgoritmen er kjent, kan nøkkelen benyttes til å dekryptere datainnholdet.
Dersom en angriper verken har nøkkel eller mulighet for å knekke krypteringen ved kryptoanalyse, gjenstår bare en mulighet: gjette nøkkelen. Dette trenger ikke være umulig om man tar en datamaskin til hjelp. Man kan kort og godt programmere en datamaskin til å prøve ut forskjellige passord og se om den finner ett som gir fornuftig resultat. Et slikt program kan bruke forskjellige strategier. En mulig strategi er rett og slett å prøve alle muligheter. En slik strategi kalles «brute-force». Hvis nøkkelen er et passord på fem tegn går denne strategien ut på å starte med «aaaaa», deretter prøve «aaaab», «aaaac», «aaaad» og så videre. Etter en tid med prøving og feiling vil man nødvendigvis før eller siden finne det riktige svaret. Hvor lang tid det tar avhenger av lengden på nøkkelen. Med et passord på fem bokstaver vil en vanlig datamaskin vanligvis finne det rette svare i løpet av noen timer. Med et passord på åtte bokstaver kan det derimot ta titalls år, og i tilfeller med lengre nøkler kan tiden for å søke gjennom hele nøkkelrommet være lenger enn solsystemets levetid.
En annen mulig strategi er å basere søket etter korrekte nøkler på kjente ord og uttrykk. Hvis man for eksempel tror at passordet er et ord som finnes i norsk, reduserer dette problemet til å prøve alle ord som finnes i en ordliste, noe som på dagens datamaskiner kan gjennomføres på kort tid. Det er denne siste strategien som vanligvis benyttes ved passordknekking.
Mange datasystemer lagrer brukernes passord som en data beregnet ved en enveisfunksjon (hash). Det er ikke mulig å komme direkte fra hashen tilbake til passordet, men dette er heller ikke nødvendig for datasystemets autentiseringsprosedyre, siden denne bare lager en hash av det inntastede passordet og sammenligner denne med hashen som er lagret. Dette systemet ble tidligere ansett som så sikkert at passordfilen på de fleste systemer var lagret slik at den var åpent tilgjengelig for alle brukerne på systemet. Man regnet med at systemet med enveisfunksjon gjorde det umulig å få tak i passordene. Dette viste seg imidlertid å være feil. Ved hjelp av spesielle programmer, passordknekkere, ble det i stor stil foretatt knekking av passord ved hjelp av ordlistemetoden. Dette ble særlig populært ved utdanningsinstitusjoner hvor det er datasystemer med flere titalls tusen brukere. Hvis man har en passordfil med tjue tusen brukere er det sannsynlig at minst en av dem har et passord som står i en ordliste.
Selv om mange datasystemer i dag lagrer passordfilen på en slik måte at det bare er systembrukeren som kan lese passordhashen, er passordknekking fortsatt en aktuell metode. En av årsakene til dette er at brukere ofte benytter det samme passordet på forskjellige datamaskiner hvor de har tilgang. Å knekke en brukers passord kan derfor gi tilgang på mange forskjellige datamaskiner, muligens også maskiner hvor man ikke hadde mulighet til å skaffe seg tilgang på annen måte.
Kryptering vil være særlig aktuelt ved lagring eller forsendelse av sensitiv informasjon. Dette kan gjelde informasjon som er undergitt taushetsplikt, for eksempel informasjon som er undergitt taushetsplikt for leger eller advokater. Andre eksempler er lagring av informasjon om kunders kredittkort og passord hos nettbutikker, og lagring av personopplysninger hos forvaltningen. Anvendelse av kryptering sikrer dataenes konfidensialitet.
En form for kryptering som har vært vanlig i mange år ved netthandel er den såkalte SSL-protokollen. Denne benyttes ved overføring av betalingsdata (kredittkortdetaljer m.v.) fra kunden til nettbutikken. Krypteringsløsningen er innebygget i kundens nettleser. De aller fleste som har handlet på nettet har stiftet bekjentskap med denne teknologien, men for manges vedkommende sikkert uten å legge merke til det.
Det er åpenbart at det er et mål for kriminelle å skaffe seg kjennskap til innholdet av krypterte data.
3.4.8 Selvspredende programmer
Ovenfor er forskjellige typer programmer som kan være skadelige omhandlet; exploits, trojanere, rootkit, skannere, sniffere og passordknekkere. Disse programmene har til felles at de for å volde skade på en datamaskin må være kjørt av en gjerningsperson mot den aktuelle målmaskinen. Etter omstendighetene kan det ut fra disse programmenes funksjon og virkemåte neppe være tvilsomt hva intensjonen til gjerningspersonen har vært. Programmene rammer etter sin art bare et begrenset utvalg datamaskiner, nemlig det utvalget som gjerningspersonen har bestemt. Skadepotensialet til disse programmene er derfor begrenset til det mål gjerningspersonen velger seg ut når han kjører dem.
Selvspredende programmer skiller seg vesentlig fra programmer som er behandlet over. Selvspredende dataprogrammer er programmer som ved å utnytte de metoder som er beskrevet tidligere i dette kapitlet, kopierer seg selv og derved sprer seg selv videre til andre datamaskiner. Ved å spre seg selv til stadig nye datamaskiner, kan slike programmer oppnå en rask spredning til svært mange datamaskiner, og potensielt utrette skade på disse. Skaden kan bestå i konkrete funksjoner som er lagt inn i programmet, for eksempel sletting av filer. Men selv om programmet ikke er programmert til å utføre en bestemt skade, så representerer det at programmet kopierer seg selv til andre datamaskiner en skade i seg selv. Siden innehaveren av datamaskinen som er infisert ikke kan kjenne alle egenskapene programmet har, må maskinen i utgangspunktet behandles som om den var utsatt for datainnbrudd, jf. diskusjonen under kapittel 3.4.3.
Selvspredende dataprogrammer finnes i mange forskjellige former og har tradisjonelt fått forskjellig navn alt etter formen. Virus har tradisjonelt vært ansett som et program som ved hjelp av å hekte seg selv på et annet dataprogram blir aktivert når det andre dataprogrammet blir kjørt. Denne formen for virus dukket opp allerede på 1980-tallet, og var velkjent både på datamaskinplattformen og på andre plattformer som for eksempel Commodore og Amiga. Når slike virus blir aktivert, blir kopier av viruset lagt til forskjellige eksekverbare programmer som allerede finnes på datamaskinen. Mange tidlige virus fokuserte spesielt på programmer som var lagret på diskett, siden dette var måten de kunne spre seg til andre datamaskiner. (På denne tiden var det uvanlig at datamaskiner var tilknyttet nettverk.)
I de senere år har imidlertid virusbegrepet tildels fått en annen betydning. Begrepet brukes i dag mest om selvspredende programvare som bruker e-post som spredningsmekanisme. Viruset kopierer da seg selv til et e-postvedlegg. Denne e-posten sendes så til alle e-postadresser som viruset kjenner til, vanligvis alle e-postadresser som den rettmessige brukeren av den infiserte maskinen regelmessig kommuniserer med. For å få mottakeren til å åpne e-posten og kjøre virusprogrammet, benyttes metoder som minner om metoder som vanligvis benyttes for å få en mottaker til å kjøre en trojaner, jf. kapittel 3.4.1. Jo flere mottakere viruset klarer å lure til å åpne vedlegget, jo mer vil viruset bli spredt. Således er kanskje det best kjente eksemplet på e-postvirus viruset ILOVEYOU , som fikk enorm spredning i april-mai 2000. Dette viruset kamuflerte seg selv som et kjærlighetsbrev som vedlegg til e-post, en metode for sosial manipulering som viste seg meget effektiv for å spre viruset mest mulig. ILOVEYOU-viruset skal ha infisert minst 45 millioner datamaskiner over hele verden.
I litteraturen omtales selvspredende programmer som sprer seg selv via datanettverk, oftest som ormer. En orm er et program som gjør datainnbrudd på andre datamaskiner ved hjelp av metodene beskrevet under 3.4.1 og 3.4.2. De fleste ormer utnytter en bestemt sårbarhet. Så snart ormen er startet på en maskin starter den breddeskanning etter andre datamaskiner som har sårbarheten ormen utnytter, jamfør beskrivelsen i 3.4.2. Når den har funnet en maskin som har denne sårbarheten, utnyttes denne med en exploit som er innebygget i ormen. Dette gir ormen tilgang til å kjøre programmer på den andre datamaskinen. Dette utnytter ormen til å kopiere seg selv og starte seg selv på den nye datamaskinen. Dermed er også denne maskinen infisert av ormen og prosessen starter på nytt. På denne måten kan en orm spre seg til et meget stort antall maskiner på relativt kort tid. Spredningstakten avhenger av flere forhold, hvor det ser ut til at andelen av datamaskiner på internett som har den bestemte sårbarheten er det viktigste parameter.
Det beste eksempel på rask spredningstakt av en orm finnes kanskje ved ormen «Slammer». Denne ormen startet spredningen den 25. januar 2003 klokken 06:30 norsk tid. I løpet av det første minuttet den kjørte, doblet populasjonen seg hvert 8. sekund. Etter tre minutter nådde ormen den høyeste totale skan-raten, på dette tidspunkt skannet ormen totalt over 55 millioner IP-adresser per sekund. Etter bare ti minutter nådde ormen sin maksimale populasjon; over 75000 datamaskiner var da infisert. Slammer-ormen utnyttet en sårbarhet i programmet Microsoft SQL-server. Dette er et program som bare brukes på servere og er relativt uvanlig. Dersom ormen istedet hadde utnyttet en sårbarhet på vanlige brukermaskiner, er det sannsynlig at populasjonen hadde blitt langt større. Heldigvis inneholdt ikke Slammer destruktiv programkode ut over selve spredningen, men den raske spredningstakten beviste at det er mulig å lage en orm som gjør stor skade på flere millioner datamaskiner over hele internett. Med så rask spredningstakt som Slammer hadde er det nemlig ikke mulig å iverksette effektive mottiltak for å hindre spredningen. Hvis noen kjenner til en nyoppdaget sårbarhet, vil det være mulig for dem å lage en orm som sprer seg til flere millioner datamaskiner over hele internett i løpet av 10-15 minutter. Ormen kan så slette alle data på alle disse datamaskinene, eller starte massive tjenestenektangrep som vil føre til at infrastrukturen internett er bygget på bryter sammen. En slik potensiell orm kalles en Warhol-orm, etter Andy Warhols utsagn «In the future, everyone will have 15 minutes of fame».
Det skulle derfor være klart at selvspredende dataprogrammer kan være meget farlige, og har betydelig skadepotensial. Skaden oppstår idet programmet starter å spre seg selv. Etter at dette tidspunktet er passert er det ikke lenger mulig for opphavsmannen til programmet å kontrollere det. Programmet lever etter dette så og si sitt eget liv. Det finnes eksempler på at selvspredende programmer har sluppet ut uten bevisste handlinger fra opphavsmannen. Dersom man eksperimenterer med selvspredende programmer kan det fort skje at programmet «slipper ut», og starter å spre seg selv utenfor opphavsmannens kontroll. Hvorvidt programmet er sluppet ut bevisst eller ubevisst har dog mindre betydning for konsekvensene av selvspredende kode, siden den samme skaden vil skje uansett.
De juridiske sider ved denne typen programmer behandles i kapittel 5.7.6.
3.4.9 Tjenestenektangrep
Tjenestenektangrep (eller DoS-angrep etter den engelske betegnelse «Denial-of-Service») er en angrepsform som utelukkende rammer et datasystems tilgjengelighet. Ved denne angrepsformen angripes et datasystem på en slik måte at det ikke kan brukes slik det var ment – for eksempel at det ikke er mulig å bruke internett fra datasystemet.
Tjenestenektangrep kan deles inn i to hovedkategorier; tjenestenekt som utnytter sårbarheter og tjenestenekt ved overbelastning. Førstnevnte minner om datainnbrudd ved å utnytte sårbarheter i datasystemer. Men isteden for at målet er å trenge seg inn og skaffe seg uberettiget adgang til datasystemet, er målet bare at det skal oppstå en situasjon der datasystemet ikke kan benyttes som normalt. Et klassisk eksempel på dette er «Ping of Death». Dette angrepet var mulig mot tidligere versjoner av Windows-operativsystemet, fordi disse versjonene ikke sjekket lengden på innkommende datatrafikk i ICMP-protokollen som benyttes av nettverksverktøyet Ping. Hvis det kom inn datapakker som var større enn den tillatte størrelsen, ville operativsystemet låse seg eller eventuelt krasje. Med programmet Ping of Death, som nettopp laget slike store pakker, var det derfor mulig for hvem som helst å få andres datamaskiner til å krasje ved å kjøre dette programmet mot dem. Dersom slike sårbarheter er kjent, er det mulig for innehavere av datasystemer å forhindre at dette skjer. Det vises til drøftelsen under avsnittet om sårbarhetsinnbrudd i kapittel 3.4.1.
Tjenestenekt ved overbelastning er betydelig vanskeligere å forhindre. Den vanligste formen for slik tjenestenekt er at man forhindrer et datasystem i å kommunisere med internett ved å sende så store mengder med meningsløse data mot systemet at internettforbindelsen blir fylt opp. I slike tilfeller vil det være svært vanskelig eller umulig å gjennomføre fornuftig kommunikasjon med målsystemet. For å gjennomføre et slikt angrep kan det være nødvendig å gå gjennom en forberedelsesprosess. Man kan nemlig vanligvis ikke produsere store nok datamengder til å blokkere et datasystem fra en enkelt maskin. Det er nødvendig å ha kontroll over mange maskiner for å gjennomføre et koordinert angrep. Det er vanlig at man bruker teknikkene som er beskrevet tidligere i dette kapitlet for å gjennomføre datainnbrudd på et større antall datamaskiner. På disse maskinene installerer man så et dataprogram, kalt agent, som fjernstyres til å sende store datamengder mot en bestemt adresse. Angrepene kan startes og stoppes ved å sende kommandoer til alle agentene om hvilke adresser de skal angripe. Hvor effektivt det resulterende angrepet blir avhenger av hvor mange agenter man fjernstyrer, samt hvor mye data hver agent klarer å sende. Sistnevnte avhenger både av maskinkapasitet på agentmaskinen, og størrelse på internettforbindelsen.
Tjenestenektangrep ved overbelastning av internettlinjen er i praksis svært vanskelig å forhindre eller stoppe. Årsaken er både at avsenderadressen på datatrafikken kan være forfalsket, og at det er svært mange mellomledd som må undersøkes for å spore angrepet tilbake til opprinnelsen. Med dagens teknologi er det i praksis nærmest utelukket å finne ut hvem som står bak et angrep ved å spore angrepet. I de fleste tilfeller er man derfor henvist til å stoppe angrepet ved å forsøke å filtrere angrepstrafikken hos internettleverandørene som leverer forbindelsen til datasystemet som blir angrepet. Det har i de senere år forekommet flere tilfeller av utpresning hvor en gjerningsperson har startet tjenestenektangrep mot virksomheter som er avhengig av sin internettforbindelse og deretter krevd betaling for å stoppe angrepet. Ifølge rapporter fra det føderale amerikanske politiet FBI velger mange å betale utpresserne heller enn å gjøre forsøk på å finne ut hvem som står bak og stoppe angrepene, fordi man vet hvor vanskelig dette er.
Det er også mulig å fremkalle en tjenestenektsituasjon ved å kjøre programmer på en datamaskin som spiser opp alle ressursene på maskinen. En måte å konsumere ekstra mye ressurser på er å lage et program som starter seg selv mange ganger. Et slikt program kalles av og til en bakterie.
Ved tjenestenektangrep er det mulig å stoppe datasystemer som kan være av vital betydning. Det er også mulig å forårsake store økonomiske tap, for eksempel ved at en nettbutikk med stor omsetning settes ut av drift over lengre tid. Datakrimutvalget anser derfor denne typen angrep som svært alvorlig. Nærmere omtale av de juridiske sidene finnes i kapittel 5.6.4.
3.5 Gamle trusler i moderne utgave
Den store utviklingen i datateknologien og konnektiviteten blant annet via internett, fører til at også de kriminelle følger etter og tar i bruk datatekniske hjelpemidler for å begå tradisjonell kriminalitet. Denne kriminaliteten begås der folk gjør sine transaksjoner, for eksempel ved netthandel og betalingstransaksjoner. Verken vanlige fysiske butikker eller nettbutikker får være i fred for anslag fra kriminelle.
Pengefalsk er en gammel form for kriminalitet. Falske penger kan lett fremstilles ved hjelp av datautstyr. Pengesedler skannes for eksempel inn på en datamaskin, og falske pengesedler kan skrives ut ved hjelp av moderne fargeskrivere. Denne formen for kriminalitet er det imidlertid ikke naturlig å betegne som datakriminalitet, og den behandles ikke nærmere i utvalgets innstilling. Det samme gjelder fysisk tyveri av datamaskiner og fysisk skadeverk på datamaskiner. Dette må normalt anses som tradisjonelle former for tyveri og skadeverk.
Det vil ofte ikke være noe skarpt skille mellom gammel kriminalitet på nye måter, som er behandlet i dette kapitlet, og moderne former for datakriminalitet som er behandlet i de foregående kapitler. Sondringen har imidlertid ikke noen rettslig betydning. Kriminalitet i elektroniske miljøer er blitt gitt en del nye karateristikker. Disse begrepene, som man i stor utstrekning kan finne i avisene hver dag, har ikke noe entydig definert innhold. Når de likevel er benyttet i denne fremstillingen, er det fordi de kan være nyttige ved de assosiasjoner de vil vekke.
3.5.1 Omsetning av tyvegods
Salg av tyvegods og andre gjenstander selgeren ikke har lovlig adgang til, er vanlige tradisjonelle former for kriminalitet. Nettauksjoner og annonser på tekst-tv er nye kanaler som tas i bruk for dette formål. Her kan selgerne operere diskret og anonymt overfor et stort publikum av potensielle kjøpere. Omsetning av brukte gjenstander er vanlig på slike markedsplasser, og det er derfor ikke like lett å fatte mistanke som hvis salget foregår i en mørk bakgate. Selgeren kan etter omstendighetene straffes for tyveri eller heleri. Er kjøperen klar over at han kjøper tyvegods eller handler uaktsomt, kan han straffes for heleri. Utvalget bemerker at det ikke i seg selv kan være uaktsomt å handle for eksempel på nettauksjon, men prisen på varen og andre omstendigheter kan tilsi at det foreligger straffbar uaktsomhet, jf. straffeloven § 317 syvende ledd (uaktsomt heleri). Utvalget har ikke gått nærmere inn på disse problemstillingene i lovforslaget.
3.5.2 Levering av gjenstander som ikke oppfyller kjøpers rimelige forventninger ved netthandel
Ved netthandel og nettauksjoner forekommer det ikke sjelden at den varen kunden får tilsendt – og som han som regel ikke får se før etter at han har betalt – ikke svarer til bestillingen. Det har hendt at en kjøper har bestilt for eksempel en datamaskin, men i stedet ligger det en murstein i pakken. Andre eksempler kan være at datamaskinen er mye dårligere enn de spesifikasjonene som ble angitt på nettstedet som kunden bestilte fra. Leveransen kan også bestå i piratkopier av merkevarer eller brukte varer istedenfor nye. Det kan endog hende at levering av varen totalt uteblir. De tilfeller som her er nevnt, må normalt anses som bedragerier, jf. straffeloven § 270 første ledd nr. 1, og de fordrer ingen særskilte bestemmelser i datakrimkapitlet. Det må imidlertid sondres mellom kjøpsrettslige mangler og bedragerier. Det skal betydelig mer til for at det skal foreligge et bedrageri enn en kjøpsrettslig mangel som gir grunnlag for sivilrettslige beføyelser. For øvrig vises det til forrige kapittel om omsetning av tyvegods.
3.5.3 Bedragerier m.v. på internett
Mange kjente og gamle konsepter for bedrageri benyttes over internett. For eksempel distribueres såkalte «Nigeriabrev» ved e-post, i tillegg til ved papirbasert post.
En tilsvarende og velkjent form for bedrageri eller bedrageriforsøk, er at man mottar melding om å ha vunnet en stor gevinst i et pengelotteri (hvor man ikke en gang har kjøpt lodd). For å få utbetalt gevinsten, må man oppgi kredittkortnummeret for trekk av et mindre administrasjonsgebyr. De som gjør dette ser imidlertid ikke noe til gevinsten. Den kontoinformasjon som er avgitt kan også misbrukes.
Det finnes utallige former for slik ulovlig virksomhet. Svindlerne benytter seg både av falske nettsider og e-post hvor spredningsmetoden ofte er spam (se kapittel 3.6). De tar også direkte kontakt med potensielle ofre via kontaktfora på internett. Internett gir store muligheter for å operere internasjonalt og under falsk identitet. Ut over bruken av spam, skiller ikke fremgangsmåtene seg fra det man er vant til fra tidligere. Det er neppe nødvendig å foreslå nye bestemmelser annet enn for spam, for å ha hjemmel for straff i slike tilfeller. På grunn av sakenes internasjonale karakter kan det uansett være vanskelig å få gjennomført strafforfølgning rent praktisk.
3.5.4 Anslag mot minibanker
Fysisk anslag mot minibanker har forekommet. Dette anses som tradisjonelle tyverier og skadeverk og behandles ikke her.
Minibankautomater kan også være gjenstand for anslag på mange andre måter. Det kan bli gjort uttak med falske, tapte eller stjålne bank- eller kredittkort. Uttakene kan også bli gjort i større utstrekning enn kortinnehaveren har rett til, for eksempel fordi det ikke er penger til å dekke uttaket på et debetkort. For de juridiske implikasjonene av dette vises det til kapittel 5.8.
Et anslag mot en minibank kan også ha et indirekte formål. Kriminelle kan feste såkalte skimmere til en minibankautomat slik at dataene på kundenes kort blir kopiert uten at kunden merker dette. Skimmeren sitter i en falsk front som monteres utenpå minibanken der kortet settes inn. Dataene som er kopiert i skimmeren danner grunnlag for etterfølgende produksjon av falske kort.
Bruk av skimmer er gjerne kombinert med at det er festet et lite videokamera på minibanken som filmer tastaturet. Filmen overføres til en liten bærbar datamaskin i nærheten. På den måten kan gjerningsmannen se hvilken pinkode kunden taster.
Etter dette har gjerningspersonen skaffet seg både pinkoden og kopi av dataene i kortet. Kunden vil på sin side ikke ha merket noe. Dataene og informasjonen kan overføres elektronisk til et produksjonssted som produserer falske kort, og det falske kortet blir ofte benyttet i en annen del av verden kort tid etter at anslaget fant sted.
En annen metode er en såkalt «libanesisk slynge» («Lebanese loop»). Etter denne metoden fester man en anordning, en slynge, til en minibank, som fanger opp kortet slik at det ikke kommer ut av bankautomaten igjen. Når kunden har forlatt stedet, fisker gjerningspersonen ut slyngen som inneholder kortet, og vedkommende har på den måten klart å tilegne seg kortet.
«Venezuelansk skrutrekker» («Venezuelan Screwdriver») er en annen metode. Ved fysisk påvirkning på minibanken hindres registrering av en utbetaling som faktisk har funnet sted. Det kan derved tas ut mer penger på kortet enn det er dekning for.
Bankene arbeider med bedre sikkerhetssystemer for å motvirke slike former for anslag. På den annen side tar også de kriminelle i bruk stadig nye metoder. Den strafferettslige tilnærming til disse formene for anslag er behandlet i kapittel 5.4.3, 5.7.4 og 5.8.
3.5.5 Andre måter å fange opp kortinformasjon
Skimming av kort som nevnt ovenfor, skjer oftest på brukerstedet. Det er også mulig å kopiere informasjon om betalingskort og sikkerhetskoder fra den datastrøm som overføres mellom brukersted og kortutsteder (tapping av data under overføring). Dataene kan også kopieres i forbindelse med et innbrudd i en kredittkortdatabase.
3.5.6 Falske kort
Ovenfor er det vist til flere muligheter for å skaffe data og informasjon som kan benyttes til å fremstille falske betalingskort. Hva som kreves av et falsk kort, er avhengig av hvilken bruk som er påtenkt. I noen tilfeller kan det produseres nytt plastkort som er påsatt falsk bilde og falsk underskriftsprøve. Dette er nødvendig i situasjoner hvor kortet skal brukes på steder de kontrolleres av mennesker. I andre situasjoner skal kortet brukes i forhold til maskiner, og da er det andre ting som er viktige, nemlig data i magnetstripe og/eller smartkort, ofte kombinert med pinkoder. Noen situasjoner innebærer både maskinell bruk og kontroll fra mennesker, for eksempel betaling med kredittkort på spisesteder som sjekker kortet online. Produksjon og bruk av falske kort er behandlet i kapittel 5.8 og 5.9.
3.5.7 Misbruk av kortinformasjon
Ved netthandel er det som regel ikke nødvendig å ha kortet som skal brukes til betalingen fysisk tilgjengelig. Det er tilstrekkelig at man har kortnummeret og kortets utløpsdata. I noen tilfeller er også brukerens navn og adresse nødvendig, avhengig av hvor omfattende selgerens kontrollrutiner er. Ofte kreves i tillegg et verifikasjonsnummer som ligger i CVV-nummeret på kortet (Card Verification Value (CVV)). Disse opplysningene representerer kortet i situasjoner hvor det ikke lar seg presentere rent fysisk, for eksempel ved betalingstransaksjoner over internett. Det betyr at en kriminell kan begå såkalt «kredittkortbedrageri» ved å avgi denne kortinformasjonen som vedkommende har skaffet seg, uten å ha selve kortet i hende.
Sikkerheten blir imidlertid stadig bedre, og nettbutikkene tar etter hvert i bruk sikrere løsninger i samarbeid med kortleverandørene. Dette innebærer blant annet at man benytter ny sikkerhetskode for hver gang kortet brukes (engangspassord) og elektronisk signatur.
3.5.8 Andre elektroniske betalingsmidler
I tillegg til debet- og kredittkort er det utviklet en rekke andre tjenester for betaling på internett. Man kan ha midler knyttet til for eksempel en konto hos PayEx, PayPal eller BuyPass. Disse midlene kan benyttes til elektronisk betaling ved belastning av kontoen. Det er ofte mindre beløp som det er praktisk å betale ved slike transaksjoner. I tillegg er det på forsøksstadiet utviklet magnetbrikker og smartkort som inneholder pengebeløp og kan belastes ved avlesning på salgsstedet.
Lov om e-pengeforetak av 13. desember 2002 nr. 74 inneholder rammebetingelser for dem som utsteder betalingsmidler i form av elektroniske penger. Rettslig betyr elektroniske penger en pengeverdi kunden har som fordring mot utstederen, som er lagret på elektronisk medium og som er utstedt etter mottak av midler fra kunden.
Også konti av denne typen kan være gjenstand for misbruk, og representasjonene de eventuelt er knyttet til kan være gjenstand for forfalskning eller fremstilling av falske representasjonsenheter. Det vises til kapittel 5.8 og 5.9.
3.5.9 Reisekort, elektroniske billetter m.v.
Rettigheter til å ta ut tjenester knyttes ofte til elektroniske reisekort, elektroniske billetter, bombrikker, ringekort, kodekort for betalings-tv osv. Adgangskort fremstilles elektronisk og trer istedenfor nøkler til tradisjonelle låser. Ofte benyttes adgangskortene sammen med brukers pinkode.
Kriminelle kan fremstille falske eksemplarer av alle disse representasjonene. Representasjonene kan også bli stjålet og misbrukes av tyven. Det vises til behandlingen i kapittel 5.8 og 5.9.
3.5.10 Elektronisk prising
I butikker hentes nå nesten all informasjon om vareidentitet og varepris fra strekkoder som avleses maskinelt. Falske strekkoder, som for eksempel limes over de ekte strekkodene, kan derved påvirke den prisen kunden betaler for varen. Det vises her til kapittel 5.8 og 5.9.
3.5.11 Bistand til å skaffe ulovlig adgang til datasystemer
Hjelp fra innsiden
For kriminelle som ønsker å skaffe seg tilgang til et datasystem, vil det være nærliggende å søke hjelp hos personer som besitter nødvendige tilgangsdata som for eksempel brukernavn og passord. Det er heller ikke utenkelig at kriminelle bestikker ansatte for å få slike opplysninger. Videre kan det tenkes at ansatte eller andre som besitter slike data, trues eller presses til å gi kriminelle opplysningene. Misfornøyde eller tidligere ansatte kan også tenkes å ha et hevnmotiv overfor vedkommende arbeidsgiver. Personer med tilknytning til bedriften kan også hjelpe kriminelle til å komme inn i lokalene for å få fysisk tilgang til datasystemene.
Etter omstendighetene vil hjelperen på innsiden kunne holdes strafferettslig ansvarlig som medvirker til det lovbruddet som den kriminelle hovedmann begår. Det kan også være aktuelt med straff for økonomisk utroskap, jf. straffeloven § 275, og eventuelt for bestikkelse, jf. straffeloven § 276a og 276b.
Sosial manipulering
En fremgangsmåte som særlig er kjent fra utlandet, er at kriminelle søker å forlede ansatte til å gi fra seg opplysninger om tilgangsdata. Dette er betegnet som «Social Engineering», og kan utvikles til en hel vitenskap. I boken «The Art of Deception» gir Kevin D. Mitnick en tankevekkende oversikt fylt med eksempler på hvordan dette kan gjøres.
Et typisk eksempel kan være at en ansatt får en telefon fra for eksempel Tom i «brukerstøtte». Han høres meget troverdig ut og opplyser at det har vært et datakrasj i bedriften (noe som brukeren for øvrig selv har kunnet konstatere, men uvitende om at det er Tom selv som nettopp har forårsaket krasjet for å gjøre henvendelsen troverdig). Han sier at han trenger den ansattes brukernavn og passord for å gjenopprette dataene. Brukeren, som er stresset for ikke å bli ferdig med en presserende jobb og dessuten nervøs for datatap, oppgir i farten brukernavnet og passordet. Og straks er forbryteren inne i systemet.
Et annet eksempel er at det dukker opp en person i kjeledress som sier han skal bytte et modem. Oppdraget påstår han å ha fått av systemadministrator, som han på forhånd vet ikke er til stede når han kommer. Han virker troverdig, blant annet fordi han kjører en firmabil som tilhører en kjent dataleverandør og også har denne leverandørens logo på kjeledressen. De ansatte slipper ham inn i datarommet og lar ham bli igjen alene der. Han har da tilgang til datasystemene og kan for eksempel legge inn en «bakdør» slik at han har fremtidig tilgang til systemet fra utsiden.
3.5.12 Misbruk av identitet
Innledning
Misbruk av identitet innebærer at noen på en eller annen måte urettmessig benytter en annens identitet. Ofte kalles dette «identitetstyveri». Det kan skilles mellom økonomisk identitetstyveri og annet misbruk av identitet.
Vanlige eksempler på økonomisk identitetstyveri er at man benytter falsk legitimasjon i skranken i banken i forbindelse med uttak fra en annens konto, eller urettmessig belastning av en annens konto ved handel på internett. Det samme gjelder ved uttak av penger fra en minibank ved hjelp av stjålet eller falskt bankkort. Identitetstyverier består her rent konkret i misbruket av pinkoden, som er en opplysning som nettopp skal verifisere at det er rette innehaver av kortet som benytter det.
Det kan også kalles identitetstyveri dersom en person sender ut e-post, tekstmeldinger, post eller lignende som utgir seg for å komme fra en annen enn avsenderen. Handlingen kan være økonomisk motivert eller skyldes andre grunner. Formålet kan for eksempel være å komme i kontakt med barn eller ungdom med tanke på senere seksuell omgang. Atter en annen variant er at det opprettes en webside på internett som ledd i phishing, se neste avsnitt. Selve metoden er basert på at det kriminelle foretaket søkes forvekslet med et lovlig, dvs. en integritetskrenkelse.
Noen ganger vil formålet med identitetstyveriet være å overta en bestemt persons identitet – for eksempel for å benytte vedkommendes bankkort eller gode omdømme. Andre ganger vil formålet være å skjule sin egen identitet, og det vil da være tilfeldig hvilke identiteter som misbrukes.
Både enkeltpersoner og juridiske personer kan bli utsatt for identitetstyveri. Identitetstyveriet kan også knytte seg til et alias, for eksempel et kallenavn som benyttes på en chattekanal, eller en e-postadresse som ikke er umiddelbart identifiserbar i forhold til noen person.
Et eksempel på et identitetstyveri er at det opprettes en webside på internett som utgir seg for å tilhøre en bedrift, men som ikke tilhører denne bedriften. Dette kan for eksempel være en falsk nettside som utgir seg for å tilhøre en kjent bank. Når kunder forledes til denne og oppgir brukernavn og passord m.v., kan denne informasjonen misbrukes av kriminelle i forhold til den rette nettbanken.
Phishing
I de senere årene er det opptått en ny form for svindel på internett som populært kalles «phishing», som på norsk gjerne kan betegnes som «fisking». Metoden baserer seg på identitetstyveri. Den vanligste formen går ut på å sende e-post til et stort antall mottakere ved bruk av spamteknologi (se kapittel 3.6). E-posten utgir seg for å komme fra en velrenommert kilde, for eksempel en bank eller et kredittkortselskap. Det «informeres» ofte om at det har oppstått en feil i bankens datasystem, og at kunden må verifisere sine kontoopplysninger for at kontoen fortsatt skal være operativ. E-posten inneholder gjerne bankens logo, og kunden blir bedt om å gå til bankens nettside for å verifisere kontoopplysningene. E-posten inneholder tilsynelatende en lenke til bankens nettside.
Når kunden klikker på lenken, kommer han til en nettside som er til forveksling lik bankens nettside. Nettsiden er imidlertid falsk – det vil si at den tilhører dem som står bak «phishinghandlingen». Kunden blir bedt om å logge seg inn på nettsiden ved hjelp av sitt brukernavn og passord (alle brukernavn og passord aksepteres naturligvis), og kommer deretter til et skjema han må fylle ut. Der skal han oppgi kontonummer, sikkerhetskoder, personopplysninger, pinkode m.v. for å verifisere kontoen. De innsendte opplysningene kan deretter danne grunnlag for forskjellige former for misbruk, herunder produksjon av falske betalingskort, eller til å tømme kundens konto ved kontantuttak eller ved urettmessige belastninger. Informasjonen kan også omsettes i det kriminelle miljøet (informasjonsheleri).
En grundig og innsiktsfull oversikt over phishing er gitt av Lininger og Vines i boken «Phishing. Cutting the Identity Theft Line».
Falsk avsenderangivelse og falske nettsider
Også bruk av falsk avsenderangivelse på elektroniske meldinger og falske nettsider kan representere identitetstyveri. En variant er at gjerningspersonen sender en e-post eller tekstmelding som fremstår som sendt fra en annen enn den virkelige avsender. Typisk vil «phishing-mail» som tidligere nevnt fremstå som om den er sendt fra en bank eller et kredittkortselskap. En tekstmelding kan fremstå som om den er sendt fra en venn. Det finnes også metoder for å forfalske en nettside, slik at den fremstår som om den har en annen internettadresse (URL) enn den virkelige. Ved phishing er det for eksempel viktig at kunden tror at han befinner seg på bankens nettside når han «logger inn» og «verifiserer» sine kontoopplysninger. Det fører for langt å komme nærmere inn på alle disse teknikkene her.
3.5.13 Angrep mot navnetjenersystemet
Internett er organisert i et navnetjenersystem (Domaine Name System) der hver nettside har sitt domenenavn. For å finne en side må man skrive domenenavnet inn i adressefeltet på nettleseren. De såkalte navnetjenerne «oversetter» domenenavnet til den IP-adressen hvor vedkommende side er lokalisert. E-postadresser er også knyttet til domenenavn, og identifikasjonen fungerer her på samme måte.
Ved å sørge for at trafikken til for eksempel en nettbutikk blir dirigert til en falsk nettbutikk av navnetjenerne, gis kriminelle mulighet til å få påloggings- og betalingsdata. I tillegg kan den falske nettbutikken overta omsetningen fra den ekte. Ved å skaffe seg ulovlig tilgang til en navnetjener og endre informasjonsfilene kan man overta kontrollen med et domene. Det finnes også noen andre varianter av angrep mot teknisk utstyr som kan gi denne virkningen. Slike angrep er også kalt «pharming». Handlingene vil etter utvalgets forslag kunne straffes som ulovlig tilgang til datasystem og som datamodifikasjon, se kapittel 5.6.2 og kapittel 5.6.3.
Angrep på navnetjenersystemet rammer internetts infrastruktur fordi det medfører at brukere som oppsøker adressen til et bestemt nettsted i stedet blir sendt til en annen nettside. Dette åpner for misbruk og svindel som brukeren vanskelig kan beskytte seg mot.
En annen metode er å sende inn en falsk endringsmelding via en registrar. Det hender ofte at en nettside bytter ISP-leverandør, og oppdatering i navnetjenersystemet må skje i denne forbindelse. Ved hjelp av falske meldinger kan det være mulig å overta kontrollen med et domene. Slike forhold må bedømmes som bedrageri eller forsøk på bedrageri, og krever ingen lovendring.
Brukere kan også ledes til falske nettsteder ved at en angriper endrer lokale filer på den enkelte brukers datasystem. Dette kan skje gjennom ulovlig inntrengning, og det må også etter utvalgets lovforslag vurderes som uberettiget tilgang til datasystem og datamodifikasjon, jf. kapittel 5.6.2 og 5.6.3.
3.5.14 Uønskede kontakter via internett
Internett benyttes i stor grad til kommunikasjon. Folk som ikke kjenner hverandre fra tidligere, kan komme i kontakt. Dette skjer i en rekke kanaler, for eksempel i egne internettsamfunn, åpne og lukkede chattekanaler, nettbaserte spill osv. Mulighetene er utallige. I et moderne samfunn kan det skje en betydelig nettverksbygging over internett, og dette er i utgangspunktet positivt. Imidlertid er ikke alle kontakter positive.
Kommunikasjon over internett gir ubegrensede muligheter til å opptre under falsk identitet. En som utgir seg for å være en 13 år gammel jente, kan i virkeligheten godt være en mann på 60 år. Dette innebærer blant annet at det kan skje en kontaktbygging over internett hvor voksne forbereder møter for å begå seksuelle overgrep mot mindreårige. Den mindreårige tror kanskje at hun eller han chatter med en ungdom som er kjent som idrettsstjerne, mens de i virkeligheten har kontakt med en voksen potensiell overgriper. Vedkommende kan søke å avtale møter med den mindreårige under falske foregivender, for eksempel med tanke på å begå seksuelle overgrep. I denne anledning har Justisdepartementet foreslått regler om såkalt «grooming», jf. Ot.prp. nr. 18 (2006-2007). Groomingbestemmelsene er behandlet som en separat sak i forhold til datakrimbestemmelsene.
Man kan også få kontakter over internett som senere viser seg å bli plagsomme. Det kommer blant annet e-post av trakasserende art. Dette er internasjonalt kjent under betegnelsen «Cyberstalking». Utvalget har foreslått en endring i nåværende straffelov § 390 a i denne anledning, og det vises til kapittel 5.14.
3.5.15 Krenkelser av opphavsrett
Åndsverkloven § 2 gir som hovedregel den som har opphavsretten til et åndsverk enerett til å tilgjengeliggjøre verket for allmennheten eller til å fremstille eksemplarer av åndsverket. Opphavsretten kan overdras. Det er vanlig at opphavsretten til bøker, musikk osv. er overdratt til forlag, plateselskaper og lignende. Det er derfor i stor grad kapitalsterke medieselskaper som innehar opphavsrettigheter i dag.
Vern av opphavsrett og nærstående rettigheter er forøvrig regulert av datakrimkonvensjonen artikkel 10. I Datakrimutvalgets delutredning I (NOU 2003: 27), er forholdet til denne bestemmelsen behandlet på sidene 26-30. Det ble konkludert med at det ikke var behov for endringer i norsk rett for å implementere artikkel 10.
Utgangspunktet for det meste av musikk og film er at det er åndsverk som er vernet av åndsverkloven. Denne gir opphavsmannen eller den opphavsretten er overdratt til en enerett til å fremstille eksemplarer og gjøre det tilgjengelig for allmennheten. I prinsippet betyr dette at en som skaper et åndsverk har enhver rett til å utnytte sitt verk. Dette inkluderer retten til å tilgjengeliggjøre verket på internett og selge det.
Det finnes likevel noen viktige unntak i åndsverkloven. Et av disse er unntaket i forhold til regelen om eksemplarfremstilling til privat bruk. Etter denne regelen er det lovlig å fremstille kopier av verk som er offentliggjort av rettighetshaveren (eksempelvis ved utgivelse av en cd, eller tilgjengeliggjøring på internett av musikk, film o.l.), til privat bruk. Dette følger av åndsverkloven § 12.
Uttrykket «privat bruk» er et skjønnsmessig og dynamisk uttrykk. Det vil i tillegg til den som selv har den rettmessige tilgangen til verket, omfatte familie og nære venner. Hva som ligger i dette, må fastlegges konkret i den enkelte sak. Helt klart er det at tilgjengeliggjøring til allmennheten ved bruk av internett er ulovlig dersom det ikke foreligger tillatelse fra rettighetshaveren til dette. Dette betyr i praksis at spredning av opphavsbeskyttede verk ved hjelp av fildelingstjenester (som «peer-to-peer») er ulovlig. Dersom man laster ned musikk eller annet opphavsbeskyttet materiale fra nettet som man vet er ulovlig delt, vil også dette være ulovlig etter åndsverkloven.
Det eksisterer utstrakte muligheter for å kopiere åndsverk som er lagret ved hjelp av datateknologi. Dette kan skje ved kopiering av dvd-er eller cd-er, opptak av radio- og fjernsynssendinger osv. En form for kopiering er at eksemplar av åndsverket konverteres til nytt format, for eksempel når musikk kopieres fra cd til mp3-format. Når kopiering skjer minskes rettighetshaverens mulighet til å selge eksemplarer av åndsverket til mottakeren av kopien vesentlig. Det samme gjelder salg av eksemplarer på nye media, for eksempel salg av mp3-utgave av en musikkfil til dem som tidligere har kjøpt musikken på cd.
En undersøkelse foretatt av MMI for Norwaco i 2005, viser at 922.000 nordmenn i løpet av de siste syv dager før undersøkelsen ble foretatt hadde kopiert musikk. Totalt på denne uken ble det kopiert 35,4 millioner låter/musikkstykker, hvorav 21,6 millioner var ulovlig kopiert eller lastet ned.
For å forhindre kopiering eller konvertering fra blant annet dvd-er og cd-er der innehaver av opphavsretten ikke ønsker det, har medieprodusentene utstyrt sine produkter med såkalt DRM – Digital Rights Management. Dette er et teknisk system som er ment å begrense brukerens utnyttelse av innholdet, blant annet ved å hindre kopiering og konvertering.
Det har blitt opprettet nettbutikker som selger musikk for nedlasting i digitalt format. Dette er nettbutikker som opererer etter avtale med rettighetsinnehaverne, og som derved er lovlige. Enkelte av disse anvender DRM for å begrense mulighetene brukerne har til å anvende avspillingsutstyr som ikke er knyttet opp mot musikkleverandørens systemer.
Det er også et antall nettsteder som tilbyr musikk uten å ha avtale med rettighetshaveren og uten at rettighetshaveren får betaling. Lovstridig distribusjon av åndsverk i digital form og bruk av digitale åndsverk ved brudd på DRM, er sentrale områder innenfor datakriminalitet i dag. Det ligger imidlertid utenfor Datakrimutvalgets mandat å gå inn på de materielle reglene i åndsverksloven. Siden loven nylig er revidert og er basert på internasjonale regler antas det i hovedsak heller ikke å være noe stort behov for dette, selv om det hersker uenighet om rekkevidden av enkelte av bestemmelsene. Det vises til avgrensningene i kapittel 4.3 nedenfor. Datakrimutvalget har imidlertid vurdert om det bør foretas en samordning av enkelte bestemmelser i åndsverkloven med bestemmelser i straffeloven for så vidt gjelder vern av databasert informasjon, data og datasystemer. Dette harmoniseringsspørsmålet er belyst i kapittel 5.1.2 med videre henvisninger.
3.6 Spam
For at elektronisk kommunikasjon skal virke etter hensikten, er det viktig at kommunikasjonen er sikker, effektiv og til å stole på. I dag trues e-post og andre elektroniske kommunikasjonstjenester gjennom masseutsendelse av elektroniske meldinger som er uønskede for mottakeren. Den internasjonale betegnelsen på slik masseutsendelse er «spam». På norsk kalles det iblant «søppelpost».
Spam er meldinger som overføres via elektronisk kommunikasjon og til nå har e-posttjenesten vært den største kanalen for spam. Spamforsendelser utgjør stort volum idet hver melding blir sendt til mange mottakere på en gang. Meldingene kan sies å være uønsket siden mottakeren verken har bedt om eller gitt forhåndssamtykke til å motta dem. Utsending av meldinger er gjerne basert på adresselister hvor opplysningene er innsamlet i strid med personvernlovgivningen, og iblant også på annet ulovlig eller straffbart vis. Dessuten skjer utsendingen ofte ved at spamavsenderen misbruker en tredjeparts e-postserver (teknisk avsender). Dermed unngår spamavsender å belaste sitt eget datasystem med de automatiske bekreftelsene som sendes fra mottakernes datasystemer. Det store antallet bekreftelser kan i seg selv utgjøre så stor belastning at det kan gå ut over tilgjengeligheten på den tekniske avsenders datasystem. Ofte benyttes falsk avsenderadresse og tittellinje. Formålet er å omgå spamfiltre. En stor andel spam sendes som ledd i kommersiell markedsføring, men mye spam kan også knyttes til ulovlig virksomhet som bedragerier og piratomsetning av programvare, film og musikk. Spam kan også være bærer av skadelig dataprogram av forskjellig slag. Spam kan således være bærer av dataprogrammer med egenskaper som orm eller virus (se kapittel 3.4.8 om disse begrepene) som trenger inn på adressatenes datasystemer og skaper uautoriserte nett (botnet) eller annen skade, eller av program som skaper mer spam og genererer ytterligere stor belastning i nettet.
Spam utgjør et stort problem både med tanke på belastningen i kommunikasjonsnettene og for påliteligheten og tilliten til elektroniske kommunikasjonstjenester. Spam representerer også en stor økonomisk kostnad. Mange undersøkelser viser dette selv om det vanskelig kan foretas eksakte beregninger av omfanget. Det kan blant annet vises til at sikkerhetsfirmaene Symantec og MessageLabs har anslått at spam utgjør mellom 54 og 85 prosent av all e-post som sendes. OECD har i en rapport kalt «Anti-Spam Toolkit of Recommended Policies and Measures» av 13. april 2006, anslått at ca. 80 prosent av all e-post kan klassifiseres som spam. I 2005 vurderte Ferris Research kostnadene ved spam til 39 milliarder euro på verdensbasis, mens Computer Economic sitt anslag var at kostnadene ved spam og skadelig kode utgjorde ca. 11 milliarder euro på verdensbasis. Innenfor det Europeiske fellesskapet er bekjempelse av spam en prioritert sak.
I 2000 ble volumet av spam beregnet til 10 prosent av den totale e-post trafikken. De ovennevnte opplysninger viser således at det har skjedd en stor økning i problemets omfang de senere år. Årsaken er i stor grad at e-posttjenesten er et av de mest kostnadseffektive verktøy innenfor direkte markedsføring. Kostnadene er lave selv for et stort volum av utsendelser, og øker minimalt ved gjentatte henvendelser til samme mottaker. Bruk av spam er derfor lønnsomt selv om bare en liten andel av mottakerne faktisk blir reelle kunder. Kostnadene påvirkes heller ikke av avstander. Det kommer ut på ett om man sender e-post innenlands eller til en annen kant av verden. I tillegg er spam en effektiv metode for å spre skadelig dataprogram som nevnt ovenfor.
Det antas at spamproblemet vil bre seg til flere kommunikasjonstjenester dersom prisene på bruken faller slik at det blir økonomisk lønnsomt. For eksempel kan man tenke seg spam i tekstmeldinger over mobilnettet. Uansett er spam et problem ikke bare for e-post i dag, men også for news-grupper og telefaks, og det er et økende problem overfor nettsteder med interaktive funksjoner som blir benyttet som plattform for reklame (spam), som ikke er relatert til nettstedet selv (det er for eksempel en blogg).
Ulempene ved spam kan oppsummeres som følger:
Spam kan utgjøre en så stor belastning i de elektroniske kommunikasjonsnettene at nettenes integritet blir truet, at overføringene går tregere og tilgjengeligheten til nett og tjenester blir redusert.
Tilliten til e-post som tjeneste svekkes. For å bekjempe spam er det nødvendig å ta i bruk filtre (spamfilter), men slike filtre fungerer ikke med tilstrekkelig presisjon og stanser derfor også i en viss utstrekning legitime meldinger som skulle vært sluppet gjennom. Avsender kan derfor ikke nødvendigvis regne med at en e-post er kommet frem. Dette problemet anses å være i ferd med å ødelegge e-post som kommunikasjonstjeneste.
Tiltak mot spam medfører kostnader for mottakerne, både for bedrifter og private.
Spam hemmer effektiviteten i næringslivet og blir en tidstyv i privatlivet.
Spam kan også anses som en krenkelse av privatlivets fred.
Det er bred internasjonal enighet om at spam må bekjempes ved en kombinasjon av tiltak, det vil si ved bruk av lovregulering, bevisstgjøring av brukerne, tekniske løsninger, selvregulering og internasjonalt samarbeid. I den nevnte OECD-rapporten om tiltak mot spam, er effektive sanksjoner fremhevet som et nødvendig virkemiddel. Lovgivningen må altså utvikles med sikte på å oppnå dette. Den strafferettslige tilnærming til problemet er drøftet i kapittel 5.6.6.
3.7 Uønsket innhold på internett
3.7.1 Innledning
Internetts funksjonalitet innebærer en tilvekst i måten man kan formidle ytringer og tjenester av alle slag til alle verdenshjørner på. Enhver kan publisere ytringer uten tilgang på kapital, trykkefasiliteter og øvrig distribusjonsnett. Den senkede publiseringsterskelen, som er en konsekvens av dette, innebærer imidlertid også at useriøse aktører har vid tilgang til publisering.
Bruk av internett innebærer ofte grenseoverskridende handlinger. Ulik lovgivning i ulike geografiske områder er med andre ord ofte knyttet til samme publiseringshandling. Gjerningspersonene setter gjerne opp sine tjenester eller publiserer sine meninger via tjenesteytere i land hvor det er mindre sannsynlig at man blir straffeforfulgt eller hvor den aktuelle handlingen ikke anses som ulovlig. Det vises til redegjørelsen i kapittel 8.
I det følgende omtales noen av de viktigste og mest velkjente typer av uønsket innhold på internett.
3.7.2 Seksualiserte skildringer av barn
Ved lovendring av 20. juni 2005 nr. 29 ble seksualiserte skildringer av barn skilt ut i en egen bestemmelse i straffeloven § 204a. Stortinget fremhevet også i den forbindelse at seksualiserte skildringer av barn ikke er alminnelig pornografi, men en skildring av overgrep mot barn. Den nye bestemmelsen rammer videre enn § 204, som er rettet mot den «alminnelige pornografi».
I enkelte miljøer av overgripere fungerer slikt materiale som valuta som gir adgang til tjenester, eller som kan benyttes som byttemiddel for å erverve ytterligere materiale.
En vanlig fremgangsmåte for profittmotiverte tilbydere av seksualiserte skildringer av barn, er å tilgjengeliggjøre materialet på webservere hvor brukere kan logge seg på mot betaling for å få tilgang.
En effektiv måte å spre og skaffe seg ulovlig materiale på, er gjennom ulike fildelingstjenester. Såkalte nyhetstjenester er eksempler på dette. Dette tilbys av tjenesteytere. Brukere kan poste «nyheter» i ulike nyhetsfora. Disse nyhetene kan inneholde bilder, eller lenker til ressurser på nettet osv. En annen type fildeling som skiller seg fra nyhetstjenestene, er peer-to-peer-tjenester. Slike tjenester er programmer som gjør det mulig å søke gjennom innhold på andre brukeres datamaskiner, og å laste ned materiale som deles av andre brukere direkte fra deres maskiner. Tjenestene er ikke lagt opp til å identifisere brukerne. Tvert i mot er programmene under tiden lagt opp med funksjoner som er ment å skjule brukernes identitet.
I tillegg finnes det også en rekke forskjellige chattetjenester med egne kanaler dedikert til pornografi og/eller seksualiserte skildringer av barn. Her kan man bytte bilder, filmer, informere andre om lenker til steder med det aktuelle materialet osv. For å få tilgang til enkelte av disse kanalene må man ha et passord eller bli invitert av andre brukere. Som nevnt ovenfor kan da egen samling av pornografisk materiale fungere som betalingsmiddel for å få tilgang til slike kanaler.
I 2004 opprettet Kripos i samarbeid med Telenor et filter for å fange opp seksualiserte skildringer av barn på nettet. Dette er en frivillig ordning som de ulike internettleverandørene kan være med på. Kripos oppdaterer fortløpende en liste over ulike nettsteder som inneholder seksualiserte skildringer av barn. Listen distribueres til internettleverandørene, som på grunnlag av denne hindrer tilgang for sine brukere til de aktuelle sidene. Filteret er lagt opp slik at det bare er effektivt mot websider. Det hindrer ikke spredning av denne typen skildringer gjennom for eksempel chattekanaler (IRC), fildeling (peer-to-peer) eller nyhetstjenester. Selv om filteret er frivillig, har norske internettilbydere blitt med på ordningen, som av den grunn er forholdsvis effektiv. Likevel er det fortsatt muligheter for å få tilgang fra Norge til mange sider med seksualiserte skildringer av barn. Det kommer stadig til nye sider, og det tar noe tid før disse blir fanget opp og kommer inn på listene til Kripos. Det er nok også slik at ikke alle sidene blir oppdaget, og dermed heller ikke kommer med på listen. Dessuten fanger ikke filteret opp distribusjon via e-post og liknende.
Seksualiserte skildringer av barn er forøvrig regulert i datakrimkonvensjonens artikkel 9. I Datakrimutvalgets delutredning I (NOU 2003: 27) er forholdet til denne bestemmelsen behandlet på sidene 24-25.
Utvalget har valgt å avgrense mot videre behandling av dette problemområdet i den videre fremstillingen, og viser til kapittel 4.3.2. I kapittel 5.13 drøftes hvorvidt det foreligger et behov for generelle regler om filtrering.
3.7.3 Ærekrenkelser på nett
De norske straffebestemmelsene om ærekrenkelse finnes i nåværende straffelov §§ 246 flg. Anvendelsesområdet for disse reglene må ses i sammenheng med det grunnleggende prinsipp om ytringsfrihet i norsk rett. Disse prinsippene kommer til uttrykk i Grunnloven § 100 og EMK artikkel 10. Bestemmelsene om ærekrenkelse er medienøytrale, og ærekrenkelser bedømmes ikke annerledes om de fremsettes på internett eller i andre fora. Utvalget går derfor ikke nærmere inn på dette i utredningen.
3.7.4 Personbilder på nett
Grunnet stadig bedre og billigere teknologi er det nå svært mange som har det nødvendige utstyr for enkelt å publisere bilder på internett. En stor del av befolkningen har mobiltelefoner med kamera tilgjengelig. Dermed er det stadig lettere å fotografere situasjoner, mennesker og annet som man kommer over tilfeldig.
Publisering av personbilder, også på internett, er beskyttet av den alminnelige ytringsfriheten, jf. Grunnloven § 100 og EMK artikkel 10. Norsk rett oppstiller dog begrensninger i retten både til å ta, og særlig til å publisere bilder av personer. Bestemmelser som kan tenkes anvendt i denne sammenheng er blant annet straffeloven §§ 204, 204a, 390 a og bestemmelsene om ærekrenkelse i straffeloven §§ 246 flg. Andre lover er personopplysningslovens bestemmelser og bestemmelsen i domstolloven § 131a.
En sentral bestemmelse, som vil ha særlig aktualitet når det gjelder publisering på internett, er åndsverkloven § 45c. Det er særlig reglene i første ledd bokstav a-c som er av interesse. Disse lyder slik:
Fotografi som avbilder en person kan ikke gjengis eller vises offentlig uten samtykke av den avbildede, unntatt når
avbildningen har aktuell og allmenn interesse,
avbildningen av personen er mindre viktig enn hovedinnholdet i bildet,
bildet gjengir forsamlinger, folketog i friluft eller forhold eller hendelser som har allmenn interesse.»
Omfanget av bilder som kan være ulovlig publisert på internett er stort. Ved bruk av søkeord som «fest», «bilder», «party» og lignende, får man i de fleste søkemotorer enkelt adgang til tusentalls sider der det finnes bilder av personer som fremstår som overstadig berusede, befinner seg i mer eller mindre private situasjoner, sovende osv. Ofte er personene på bildet navngitt. Det er nok ikke tvilsomt at for en rekke av disse bildene, er det ikke gitt samtykke av den som er avbildet. Dette er heller ikke bilder av allmenn interesse, eller bilder som på annen måte faller inn under unntakene i åndsverkloven § 45c.
Et annet problem er at mindreårige ofte laster opp bilder av seg selv, mange ganger i dristige settinger, uten samtykke fra sine foresatte. Det må antas at personer under 15 år i hvert fall må ha samtykke fra foresatte, jf. barneloven kapittel 5 og retningslinjer på Datatilsynets nettsider.
Dersom den som er avbildet ønsker å få bildet sitt fjernet fra nettet, vil man kunne pålegge den som først publiserte dette å fjerne det fra sin webside. Det samme kan man med andre nettsteder hvor det er kjent at bildet er. Innen dette blir gjort, er det dog en stor sjanse for at bildet er sett av tusenvis av nettbrukere, kanskje lastet ned og lagret steder det er nærmest umulig å finne frem til, og skaden har da allerede skjedd. Slike bilder kan dukke opp igjen lang tid etter de ble tatt, og være svært plagsomt for den eller de som er avbildet.
Utvalget følger ikke opp disse problemstillingene i denne delutredningen. Utvalget har vurdert egne paragrafer i straffeloven som gjelder publisering på internett, men tiden har ikke tillatt å fullføre utredningen av dette. Det foreligger dessuten mange regler om dette i spesiallovgivningen. Det vises for øvrig til avgrensningene som er gjort i kapittel 4.3.3.
3.7.5 Personopplysninger på nett
Så vel næringsdrivende som offentlige myndigheter benytter i økende grad internett til å innhente og ta i bruk personopplysninger fra publikum/forbrukere. Slik behandling av personopplysninger er en naturlig og selvfølgelig del av den virksomhet disse driver. Dette innebærer en risiko både for misbruk fra dem som mottar opplysningene, og for at noen uten legitim interesse får tak i slike opplysninger som er lagret eller overføres elektronisk. Personopplysninger på avveie kan lett benyttes som middel i identitetstyverier, som igjen kan åpne for en rekke andre kriminelle handlinger som blant annet bedrageri. I Norge er tilegnelsen og bruken av personopplysninger regulert i flere forskjellige lovbestemmelser, særlig i personopplysningsloven.
Personopplysningsloven har i mange sammenhenger stor betydning for reguleringen av hva det er adgang til å publisere på internett. Blant annet må det, etter at EU-domstolen behandlet den såkalte Lindquist-saken fra Sverige, antas at publisering av personopplysninger på internett, også på private hjemmesider, ikke kan gjøres uten samtykke fra de involverte. I den nevnte saken hadde en person på en nettside tilhørende en menighet lagt ut opplysninger om navn, arbeidsoppgaver, fritidsinteresser, helsetilstand m.v. hos medarbeidere i menigheten. Dette ble ansett for å være i strid med den svenske personopplysningsloven, som tilsvarer den norske.
Som nevnt under 3.7.3, har Datakrimutvalget vurdert å foreslå egne bestemmelser i straffeloven som gir en samlet regulering av publisering på internett, men ikke funnet tid til å utarbeide et slikt forslag. Det avgrenses derfor også på dette punktet mot videre behandling av spørsmålet.
3.7.6 Pengespill på internett
Norsk spillepolitikk er tuftet på en forsiktighetslinje hvor det er lagt stor vekt på en sosialpolitisk forsvarlig utforming av det samlede spilletilbudet.
Når det gjelder lykkespill på internett er det fra Kultur- og Kirkedepartementet i Ot.prp. nr. 44 (2002-2003) side 45 uttalt:
«Etter norsk lovgivning er det forbudt å avholde lotterier og pengespill uten tillatelse eller særskilt hjemmel i lov. Rekkevidden av norsk lov er som hovedregel begrenset til norsk territorium. Utenlandske lotteri er dermed ulovlige etter norsk rett i den grad de avholdes på norsk territorium. Også lotteri som avholdes i Norge via Internett vil være avhengig av norsk tillatelse for å være lovlig i Norge. Det vil imidlertid ikke være ulovlig å delta i lotteriet fra terminal i Norge selv om lotteriet ikke har norsk tillatelse.
Et sentralt spørsmål er imidlertid om selve framsendelsen av lotteri og pengespill fra server i utlandet kan sies å være ulovlig avholdelse av lotteri og pengespill i Norge. Etter departementets vurdering foreligger det ikke en entydig internasjonal oppfatning av de nasjonale rettsreglenes rekkevidde i forhold til pengespilltilbud som framsendes via Internett fra utenlandske spilltilbydere. Den svensk utredningen Från tombola till Internett - översyn av lotterilagsstiftningen (SOU 2000:50) konkluderer med at svensk rett ikke forbyr framsendelse av lotteritilbud på Internett fra utlandet til Sverige. Gjeldende svenske regler tilsvarer de norske på dette området. På den annen side har det danske Skatteministeriets utredning Spil i fremtiden - overveielser om en samlet spillelovgivning fra april 2001 konkludert med at et utenlandske spilletilbud omfattes av det danske straffbelagte forbud mot spilletilbud uten tillatelse, dersom tilbudet kan sies å ha virkning i Danmark. Utgangspunktet for den danske konklusjonen er det såkalte virkningsprinsippet i dansk strafferett. Prinsippet innebærer at en straffbar handling, hvor straffbarheten avhenger eller påvirkes av en inntrådt eller tilsiktet følge, anses begått også der hvor handlingen er inntrådt eller tilsiktes å inntre. Et identisk prinsipp gjelder i norsk strafferett etter straffeloven § 12 annet ledd. Departementet er imidlertid ikke kjent med at nasjonale forbudsbestemmelser er håndhevet overfor utenlandske pengespill ut fra den betraktning at Internettilbudet i seg selv må anses å ha virkning i mottakerlandet.»
Det er særlig pokerspill på nettet som har hatt en kraftig oppblomstring de siste årene. Når det gjelder poker generelt, har Lotteri- og Stiftelsestilsynet uttalt at det oppfyller kriteriene for tilfeldighet, som er nødvendig for å anses som lotteri i lovens forstand. Dersom det koster noe å delta og man har en mulighet for gevinst, er pokeraktiviteten ulovlig selv om det er i privat regi.
Nordmenn over 18 år brukte ifølge tall fra Lotteri- og Stiftelsestilsynet 4,7 milliarder kroner til pengespill over internett i 2005. Vel 700 millioner av dette ble brukt på Rikstotos og Norsk Tippings online-spill, og dermed er estimatet på utenlandske, uregulerte og ikke-tillatte spill på ca. 4 milliarder kroner i 2005. Totaltallet for nordmenns bruk på regulerte pengespill på og utenfor internett var 41,7 milliarder kroner i 2005.
Straffeloven §§ 298 og 299 inneholder straffebestemmelser angående lykkespill (spill om penger og veddemål). I tillegg har vi straffeloven § 383. Disse bestemmelsene er ikke foreslått videreført i den nye straffeloven. Det vises til NOU 2002: 4 side 412 og side 423. Straffelovkommisjonen mener at disse spørsmålene bør reguleres av lotteriloven (lov av 24. februar 1995) og pengespilloven (lov av 28. august 1992 nr. 103). Datakrimutvalget er enig i dette, og har derfor avgrenset mot videre utredning av denne problematikken i denne delinnstillingen.
3.7.7 Seksualiserte, voldelige og øvrige uønskede dataspill
Dataspill spilles på håndholdte enheter som mobiltelefoner, på hjemmedatamaskiner, og på spesiallagede spillmaskiner. Alle disse systemene kan kobles sammen i nettverk, slik at man kan spille mot andre i lukkede nettverk eller over internett.
Omsetning av dataspill er i dag ikke spesifikt regulert av norsk lov når det gjelder forhåndssensur eller absolutte aldersgrenser. Innholdet i enkelte dataspill kan stride mot alminnelige samfunnsnormer. Som i bildemediene generelt gjelder dette spesielt fremstillinger av vold og sex, samt moralsk tvilsomme handlinger. Hensynet til beskyttelse av barn og unge tilsier at dette må tas på alvor.
Dataspill omfattes av straffeloven § 382 som retter seg mot den som «utgir eller frambyr til salg eller leie eller på annen måte søker å utbre» dataspill «hvor det i underholdningsøyemed er gjort utilbørlig bruk av grove voldsskildringer». Straffeloven § 382 er av straffelovkommisjonen foreslått videreført som § 21-8 i ny straffelov.
Datakrimutvalget har ikke fremmet noe lovforslag som retter seg spesifikt mot slike dataspill. Emnet ligger utenfor kjerneområdet av det utvalget har konsentrert seg om i denne delutredningen, og tiden har ikke tillatt å gå nærmere inn på denne problematikken.
3.7.8 Forbudte ytringer på internett
I Norge hører ytringsfriheten med blant de grunnleggende prinsipper i konstitusjonen. Ytringsfriheten står også sentralt i den europeiske menneskerettskonvensjonen. Det er likevel grenser for ytringsfriheten, som blant annet kommer til uttrykk i straffeloven § 135 a.
Utgangspunktet er at rammene for ytringsfrihet er den samme på internett som ellers. Dette kompliseres imidlertid av internetts internasjonale karakter.
Tilleggsprotokoll av 28. januar 2003 til datakrimkonvensjonen inneholder regler som medfører begrensninger i ytringsfriheten der ytringene foretas ved hjelp av datasystem. Protokollen gjelder rasistiske eller fremmedfiendtlige handlinger. Forholdet mellom denne protokollen og norsk rett drøftes nærmere i kapittel 7.
Et annet problemområde er når norsk lov får anvendelse og når saker kan fremmes for norske domstoler for så vidt gjelder ytringer fremsatt over internett. Problemstillingen knytter seg særlig til ytringer nordmenn har fremsatt ved bruk av servere som er plassert utenfor Norge og til ytringer som er fremsatt av utlendinger, men som er tilgjengelig i Norge. Utvalget behandler disse aspektene i kapittel 8.
Selv om gjerningspersonen befinner seg utenfor norsk jurisdiksjon, kan man tenke seg straffesanksjonert medvirkeransvar mot personer som befinner seg innenfor norsk jurisdiksjon. Dette behandles i kapittel 5.11. Tiltak som filtrering kan også brukes for å skjerme norsk sektor mot uønsket innhold; se kapittel 5.13.