Spørsmål om datainbrudd, varsling og straffeforfølgelse

[Nedward]

Hvis jeg hypotetisk oppdaget et ubeskyttet industrianlegg som var tilkoblet et datanettverk (les: internett) og koblet meg til det slik at jeg kan verifisere at det faktisk var et ubeskyttet industrianlegg, hvordan stiller dette seg i forhold til straffeforfølgelse om jeg bestemmer meg for å være den gode samaritanen og varsle eier om at industrianlegget deres er åpent tilgjengelig på internett og eieren bestemmer seg for at de vil straffeforfølge meg av ulike årsaker.
Har dem da en sak?

Endret 22. november 2014 av Nedward

[krikkert]

Det kommer an på hva du legger i "koblet meg til det". Generelt sett unngår du lovens straff for datainnbrudd så lenge du holder deg unna passordbeskyttelser og andre autentiseringsbeskyttelser.

[Horrorbyte]

Jeg kjenner kun til én aktuell sak som har skapt presedens, og det er den såkalte Norman-saken. Basert på frifinnelsen i den saken, vil jeg påstå at både portskanning generelt, og det å aksessere tilgjengelig materiale (som ikke sikret), er lovlig. Det siste bør være relativt åpenbart, fordi det i de fleste tilfeller må tolkes som at det er tilgjengeliggjort med vilje – og strl. § 145 andre ledd krever at tilgangen må være uberettiget for at den skal være straffbar . Men om du forsøker å komme forbi det som åpenbart er et sikringstiltak, som f.eks. passord, vil saken være en helt annen. Generelt bør du nok unngå å trykke på ting om du oppdager industrielle styringssystemer (ICS), da det kan få uheldige konsekvenser og muligens rammes av andre paragrafer.

 

Dagbladets reportasjeserie Null CTRL er et eksempel på hvor langt man med stor sikkerhet kan gå. Det første de gjorde da de ble gjort kjent med hvilke muligheter som lå foran dem, var å få en solid juridisk vurdering på hvor grensen lå. De satte, i samråd med deres advokater, grensen ved nettopp det å aldri skrive inn passord.

 

 

Endret 22. november 2014 av Horrorbyte

[Nedward]

Det er snakk om hypotetiske systemer som ikke krever mer enn at man skriver inn en IP-adresse i en dialogboks i programvaren som kreves for å arbeide med utstyret. Altså den programvaren som produsenten av utstyret selv distribuerer. Man trenger altså ikke brukernavn og/eller passord.

 

Selvsagt har jeg ikke planer om å "trykke på ting" i åpne industrielle kontrollsystemer jeg hypotetisk oppdager.

Jeg fant straffeloven §145 etter at jeg hadde skrevet innlegget og tolket det også slik at det ikke er ulovlig om det er åpnet med for almenheten, men jeg fant også dette:

http://www.regjeringen.no/nb/dep/jd/dok/nouer/2007/nou-2007-2/10/2.html?id=449921

 

Jeg forstår det slik at det bare er et lovforslag og således ikke anvendbart. Men her åpnes det for straff ved kartlegging.

[Horrorbyte]

Norman-saken er gammel, men jeg har ikke fått med meg at det har blitt ulovlig å drive med portskanning. De fleste nettleverandører forbyr imidlertid slik aktivitet, så det er en gylden regel at man bør forhøre seg med nettleverandøren om man ønsker å drive med slikt i forskningssammenheng. Folka bak Nmap brukte sitt eget program til å skanne (nesten) alle IPv4-adresser, og ble da kontaktet av sin nettleverandør. Det er også vanlig at forskere setter opp en nettside på maskinen(e) som skanner, så man ser hvem de er og hvorfor de gjør det.

 

Det er verdt å nevne at NSM, i forbindelse med deres nye prosjekt som omfatter blant annet portskanning, skal ha uttalt at det trengs en lovendring for å kunne skanne systemene til virksomheter de ikke har en skriftlig avtale med.