6 Spam og ondartet programvare
6.1 Kort om lovforslaget
Departementet har vurdert spam og ondartet programvare (tidligere også omtalt som skadelig kode) opp mot behovet for endringer i ekomlovgivningen. Departementet foreslår en mindre presisering i ekomloven § 2-3 for å sikre at det kommer klart frem at myndigheten gjennom enkeltvedtak og forskrift kan kreve at tilbyder skal gjennomføre tiltak som begrenser mengden av spam og ondartet programvare. Departementet foreslår ikke på det nåværende tidspunkt forskriftsendring på dette punkt, men vil i samarbeid med Post- og teletilsynet følge utviklingen nøye, og fortløpende vurdere behovet for slik regulering.
6.2 Bakgrunn for lovforslaget
Fremveksten av Internett og e-post har gitt svært store positive samfunnsmessige virkninger både for næringsliv, forbrukere og myndigheter. I kjølvannet av den positive utviklingen har det imidlertid oppstått negative fenomener i form av spam og ondartet programvare, som er med på å hemme en fortsatt god utvikling. Spam er en betegnelse som i dagligtale ofte blir brukt om uønsket og masseutsendt e-post. Betegnelsen er ikke tidligere anvendt i lovgivning, og det finnes per i dag ikke noen legaldefinisjon av spam. Det samme gjør seg gjeldende med begrepet ondartet programvare, som blir brukt om uønskede programmerte instruksjoner på en datamaskin.
Boks 6.1
Hva er Spam og ondartet programvare?
Spam har blitt en internasjonal betegnelse på et globalt fenomen innenfor elektronisk kommunikasjon. Karakteristiske trekk ved spam er:
Elektronisk melding : Spammeldinger overføres elektronisk. Til nå har e-post vært den største kanalen, men fenomenet er i ferd med å spre seg til nye kanaler for elektronisk kommunikasjon.
Stort volum : Blir sendt til mange mottakere på en gang.
Uønsket : Mottakeren har ikke etterspurt meldingen, eller gitt forhåndssamtykke til å motta den.
Kommersiell : Spam gjelder ofte markedsføring av en vare eller tjeneste. Mange land regner imidlertid også meldinger av ikke-kommersiell natur som spam, som for eksempel e-post som inneholder ondartet programvare, ulovlig innhold eller politisk innhold.
Ulovlig innsamlede adresser : Benytter seg ofte av elektroniske kommunikasjonsadresser som er innsamlet i strid med personvernbestemmelser.
Vilkårlig utsendelse : Avsender har som regel lite eller ingen kunnskap om mottakeren utover dens elektroniske kommunikasjonsadresse.
Ulovlig og støtende innhold : Spam blir ofte brukt i bedragerisammenheng eller til å spre ulovlig og støtende innhold.
Anonym/skjult avsender : Falsk avsenderadresse og tittellinje benyttes ofte. Avsender benytter seg ofte av uautorisert tilgang til en tredjeparts e-postserver.
Ondartet programvare er et samlebegrep for små dataprogrammer som er egnet til å gjøre noe uautorisert eller på annen måte uønsket med datamaskinen. Det finnes flere typer ondartet programvare. De vanligste er datavirus, ormer og spionprogrammer. I tillegg finnes det ondartet programvare som kombinerer disse forskjellige typene. Ondartet programvare utgjør et betydelig problem for forbrukere og bedrifter.
Stort omfang av spam medfører at servere og nett kan overbelastes slik at tilgjengeligheten til og kvaliteten på tjenester og nett reduseres. Spam kan også inneholde ondartet programvare som igjen skaper mer spam og følgelig enda større overbelastning av nettet. Selv hvor omfanget av spam er moderat og ikke medfører overbelastning av nett og servere vil tjenestekvaliteten for brukerne forringes.
Omfanget av virksomheter som rammes av ondartet programvare ble kartlagt gjennom Mørketallsundersøkelsen om datakriminalitet og IT-sikkerhet for 2006 og viste at 36 % av norske virksomheter dette året ble utsatt for ulike typer datavirushendelser. I tillegg kommer andre uønskede IT-hendelser som for eksempel DoS-angrep og datainnbrudd. Virusangrep og andre uønskede IT-hendelser mot privatpersoner er ikke omfattet av undersøkelsen.
6.3 Beskrivelse av gjeldende rett
Ekomloven er relevant i forhold til spam ettersom loven gir hjemmel for myndigheten til å stille krav til nett, tjeneste, tilhørende utstyr og installasjoner, jf. ekomloven § 2-3. Krav kan blant annet stilles for å sikre et minimumsnivå på tjenestene som tilbys over nettet. I den grad spam og ondartet programvare medfører belastning på servere og nett slik at tilgjengelighet til og kvalitet på tjenester og nett reduseres, vil myndighetene kunne anvende nevnte hjemmel. Ekomloven pålegger videre alle tilbydere av elektronisk kommunikasjonsnett og –tjenester å tilby nødvendig sikkerhet for brukerne, jf. § 2-10. Bestemmelsen gir myndighetene hjemmel til å pålegge tilbyderne å innføre bestemte sikkerhets- og beredskapstiltak. Foreløpig er imidlertid sikkerhets- og beredskapsforpliktelsene begrenset til de tilbydere som leverer elektronisk kommunikasjonstjeneste, overføringskapasitet eller samtrafikk til bruker med samfunnskritisk funksjon, jf. ekomforskriften § 8-1.
Når det skal vurderes hvorvidt det bør foretas endringer eller utformes nye bestemmelser i ekomlovgivningen, må dette sees i sammenheng med effekten av annen relevant lovgivning og andre former for tiltak mot spam og ondartet programvare. Annen relevant lovgivning er markedsføringsloven, eHandelsloven, personopplysningsloven og straffeloven. Andre former for tiltak mot spam og ondartet programvare er bevisstgjøringstiltak, tekniske løsninger, selvregulering og internasjonalt samarbeid.
Forbrukerombudet mener at markedsføringsloven fungerer bra med hensyn til spam i form av markedsføringshenvendelser sendt fra norsk næringsliv til mottakere i Norge. Hovedproblemet er spam som sendes fra utlandet til Norge, hvor økt grad av internasjonalt samarbeid om regelverksharmonisering og håndhevelse er nødvendig. Norsk deltakelse i internasjonalt samarbeid på området i regi av EU og OECD må derfor fortsette. Nasjonale reguleringstiltak kan i seg selv ikke bøte på disse grunnleggende problemene. Eventuelle behov for straffebestemmelser mot spam inngår i utredningen som som er gjort av Datakrimutvalget i NOU 2007:2. Utvalget foreslår et eget straffebud mot spam. Utvalgsforslaget til nytt straffebud retter seg mot «ulovlig masseutsendelse» og omfatter «elektroniske meldinger som ledd i masseutsendelse til mottakere som ikke har samtykket».
6.4 Nærmere om lovforslaget
Når det gjelder sluttbrukernes bevissthetsnivå knyttet til IT-sikkerhet, viser spørreundersøkelser at rundt halvparten har installert spamfiltre, samt at to tredjedeler av ISPene tilbyr slike filtre. Samtidig har en meget høy andel av sluttbrukerne installert antivirusprogram og brannmur, samt at ca. 60 prosent av ISPene tilbyr slike programmer til kundene i sluttbrukermarkedet. Et mulig reguleringstiltak er å pålegge alle ISPer å tilby spam- og virusfiltre til sine kunder. Det er likevel usikkert om dette vil lede til at andelen som faktisk installerer programvaren på sin datamaskin, vil øke. Årsaken til at en andel av brukerne ikke installerer slik programvare kan være mangel på kunnskap om IT-sikkerhet. Departementet mener således at en videre satsning på bevisstgjøringstiltak gjennom årlige nasjonale markeringer og nettstedet www.nettvett.no muligens vil ha vel så god effekt som en lovregulering. Videre går den tekniske utviklingen på området så hurtig at en regulering fort kan bli utdatert. Det understrekes at filterteknologi både har positive og negative sider, og at slik teknologi ikke alene kan løse spam og virusproblemene. Departementet finner det likevel hensiktsmessig å presisere, i ekomloven § 2-3, at myndigheten for å sikre et godt kvalitetsnivå på elektroniske kommunikasjonsnett og -tjeneste kan gi forskrift eller treffe enkeltvedtak om at tilbyder skal gjennomføre nærmere angitte tiltak som begrenser mengden av spam og lignende trusler mot effektiviteten i nettet. Bestemmelsen retter seg ikke mot en bestemt type elektronisk tjeneste eller teknologi men mot elektroniske meldinger som på grunn av omfang eller egenskap fører til en unødvendig og skadelig belastning av nettet. Samtidig retter bestemmelsen seg mot ondartet programvare som er egnet til å gjøre skade på nett eller tjeneste. Bestemmelsen retter seg ikke mot innholdet i den elektroniske meldingen. Myndigheten vil med hjemmel i bestemmelsen blant annet ved forskrift kunne pålegge alle ISPer å tilby for eksempel anti-spam programvare til sine kunder. Alternativt vil bestemmelsen, for det tilfelle at bransjen blir enig om en selvregulering, kunne anvendes til å fatte enkeltvedtak overfor eventuelle ISPer som stiller seg utenfor en hensiktsmessig selvregulering. Ekomloven § 2-10 gir hjemmel til å pålegge ISPer å gjennomføre nærmere angitte tiltak med sikte på bekjempelse ondartet programvare. Dette kan bl.a. omfatte et pålegg overfor alle ISPer om å tilby antivirus-programvare til sine kunder.
En spørreundersøkelse foretatt av Post- og teletilsynet blant norske ISPer viser at ca. 70 prosent av ISPene monitorerer hendelser i eget nett og sjekker e-posttrafikken til egne kunder for innkommende spam. En like høy andel monitorerer hendelser i eget nett for å detektere åpne releér. En noe mindre andel sjekker e-posttrafikken til egne kunder for innkommende skadelig kode. Et mulig reguleringstiltak er å påby ISPene en økt grad av monitorering av hendelser i eget nett. Finske myndigheter innførte en slik regulering i 2004. Spørreundersøkelsen viser imidlertid at ISPene kan være i ferd med å med å ta tak i dette på eget initiativ. Departementet mener at mye taler for å avvente utviklingen av selvregulering gjennom bransjenormer før slike tiltak iverksettes.
Selvregulering gjennom utvikling av bransjenormer for ISPer er kjent fra andre land. I Danmark har for eksempel ISPene etablert en adferdskodeks for håndtering av trusler mot Internett. Kodeksen inneholder retningslinjer for hva som er god skikk med hensyn til nettsikkerhet i bransjen. ISPer som har sluttet seg til kodeksen, forplikter seg til å etterleve disse. Også i Storbritannia har ISPene i regi av sin bransjeorganisasjon inngått et slik samarbeid. Fordelene med etablering av selvreguleringsregimer er at disse er fleksible og raskt kan tilpasses den hurtige tekniske utviklingen. En svakhet vil være at noen ISPer ikke vil være interessert i å delta, og dette er gjerne de minst seriøse aktørene.
Samferdselsdepartementet har oppfordret til at den norske ISP-bransjen med Post- og teletilsynet som pådriver styrker samarbeidet om tiltak mot spam og ondartet programvare gjennom selvregulering på samme måte som man har sett det i andre land.
Post- og teletilsynet tok høsten 2006 initiativ til opprettelse av en nasjonal arbeidsgruppe bestående av representanter fra internettilbyderne med henblikk på å etablere en nasjonal bransjenorm for bekjempelse av spam. Arbeidsgruppens arbeid er i sluttfasen og bransjen forventer at en endelig bransjenorm vil være på plass i løpet av 2007.
Dersom selvregulering likevel ikke fører frem, vil hjemlene i §§ 2-3 og 2-10 kunne tas i bruk. Herunder vil det kunne bli aktuelt å fastsette en rekke krav i forskrift til ISP-bransjen.
6.5 Høringsinstansenes syn
Departementet bad særlig om høringsinstansenes merknader til vurderingen at det ikke på det nåværende tidspunkt skal fastsettes nærmere bestemte krav til tilbyderne gjennom ekomreguleringen. Langt de fleste høringsinstanser støtter departementets vurdering, om at man bør avvente utviklingen i bransjen før det eventuelt fastsettes nærmere bestemte krav til tilbyderne. Flere høringsinstanser har påpekt det viktige ved å oppfordre bransjen til å utarbeide bransjenormer på området. EL &IT har som den eneste av høringsinstansene gitt uttrykk for at selvregulering ikke er tilstrekkelig og at det bør pålegges tilbyderne å levere programvare som beskytter mot spam og spredning av skadelig kode.
Når det gjelder forslaget om å presisere hjemmelen i § 2-3 slik at det kommer tydelig frem at myndigheten for å sikre et godt kvalitetsnivå på elektroniske kommunikasjonsnett og -tjenester, skal kunne gi forskrift eller treffe enkeltvedtak om at tilbyder skal gjennomføre nærmere bestemte tiltak som begrenser mengden av spam, er også her de fleste høringsinstansene positive. Datatilsynet er eneste høringsinstans som ikke støtter forslaget om å presisere forskriftbestemmelsen. Datatilsynet mener blant annet at det er naturlig at begrensningen av spam skjer når kunden selv ønsker det, og ikke etter pålegg fra myndigheten. Blant de som støtter forslaget om å presisere hjemmelen er Post- og teletilsynet, Forbrukerombudet, Telenor, Netcom, NorSIS og EL&IT. Flere av disse høringsinstanser har imidlertid fremhevet viktigheten av å anvende begreper som er teknologinøytrale, herunder peker Telenor på at begrepet spam ikke er entydig og kan by på avgrensningsproblemer i praksis. I tillegg mener flere av høringsinstansene at det bør komme tydeligere frem at bestemmelsen ikke bare retter seg mot det som i dagligtale forstås ved spam men også andre trusler mot nett og tjenester som for eksempel ondartet programvare. Post- og teletilsynet har foreslått at bestemmelsen gjøres mer teknologinøytral og at det tas høyde for nye trusler ved å tilføye «eller lignende». Også NorSIS ønsker å utvide begrepet slik at det tas høyde for andre trusler.
6.6 Departementets vurderinger
Med støtte i høringsinnspillene opprettholder departementet sitt syn om at det ikke på det nåværende tidspunkt er behov for å stille nærmere bestemte krav i ekomlovgivningen til tilbyderne om at det skal gjennomføres tiltak som begrenser mengden av spam og lignende trusler mot elektronisk kommunikasjonsnett og -tjenester. Samtidig finner departementet grunnlag for å presisere lovhjemmelen i ekomloven § 2-3 for å sikre at det kommer klart frem at myndigheten gjennom enkeltvedtak og forskrift kan kreve at tilbyder skal gjennomføre slike tiltak.
Samferdselsdepartementet er enig med de høringsinstansene som har gitt uttrykk for at det er uheldig å anvende en begrepsbruk som for noen kan forekomme uklar og departementet støtter at bestemmelsen bør gjøres så teknologinøytral som mulig og at det bør tas hensyn til fremtidige trusler. Samtidig er departementet av den oppfattning at man i bestemmelsen bør søke å anvende eventuelle dekkende begreper som allerede er definert i annen lovgivning.
Samferdselsdepartementet legger til grunn at begrepet «massedistribuert elektronisk post» vil være dekkende for å ivareta hensynene bak bestemmelsen i § 2-3 når det gjelder spam. I begrepet «massedistribuert» ligger det også et krav om at forsendelsen skjer uoppfordret. Departementet mener videre at det er viktig å presisere at også andre trusler mot nett og tjeneste omfattes og bestemmelsen bør derfor gis tilføyelsen » ondartet programvare og lignende». Dette er i tråd med flere av høringsinstansenes innspill.