Ved hjelp av datateknologi kan en liten datakyndig gruppe i dag utføre kriminelle handlinger av store dimensjoner. (Illustrasjonsfoto: Colourbox)
Ved hjelp av datateknologi kan en liten datakyndig gruppe i dag utføre kriminelle handlinger av store dimensjoner. (Illustrasjonsfoto: Colourbox)

Forskere skjerper kampen mot nettkriminelle

Har du blitt spurt av en «bank» om å verifisere kontonummeret og passordet ditt via e-post? Da er du et av mange tusen potensielle ofre for datakriminelle.

Publisert

Om prosjektet

Professor Lee Bygrave leder prosjektet «Signal – Security in Internet Governance and Networks: Analysis of the Law»

Prosjektet har følgende hovedproblemstillinger:

  1. Er gjeldende regelverk tilstrekkelig robust til å møte forventet utvikling av internett?
  2. I hvilken grad er internasjonale organisasjoner i ferd med å få økt innflytelse på styringen av kritisk internettinfrastruktur?
  3. I hvilken grad fører sikkerhetskrav til en fragmentering av internett? («splinternet»-problemet)

Prosjektet startet 1. januar 2016 og vil gå over fire år.

Det fins knapt et område i samfunnet eller i våre sosiale liv som er fri for datateknologi. En tilværelse uten internett er blitt et historisk kapittel – ingen som er født etter begynnelsen av 1990-årene har opplevd en verden uten internett. 

Men datateknologi er også en teknologi som hjelper kriminelle å begå forbrytelser. De kan stjele identiteten din, lure deg til å utlevere følsom informasjon og spre informasjon og bilder om barna dine.

Disse forbrytelsene er i prinsippet de samme som de «klassiske», som tyveri, forfalskning, bedrageri og ulovlig gambling. Men skurkene er ikke lenger maskerte pistolmenn, men organisasjoner av usynlige og anonyme datakyndige som opererer i «cyberspace».

Og etterforskeren, nåtidens Sherlock Holmes, er ikke en mann med jernlogikk og usedvanlig deduksjonstalent, men et nettverk av datasystemer og høyt kvalifiserte teknologer.

Hvem vinner kappløpet?

Det er to steile fronter som står mot hverandre: avanserte organisasjoner av kyndige datakriminelle på den ene siden. Internasjonale institusjoner med høyt kompetente forskere, deriblant jurister og teknologer, på den andre.

Teknologien er det samme, men det er bruken og misbruken av den som skiller det gode fra den onde.

Etterforskning av datakriminalitet er en krevende prosess, der datakyndige jakter på andre datakyndige. Jakten er svært ressurskrevende, og selv med kompetente etterforskere kan politiet komme til kort, av ressursmessige årsaker. Det er ikke godt å si hvordan og når kappløpet ender, men det øker både i fart og dimensjoner.

Fristed for kriminelle

– Det finnes en rekke rettslige utfordringer når datakriminalitet skal bekjempes, sier jussprofessor Lee Bygrave ved Universitetet i Oslo.

– Det kan for eksempel være vanskelig å anvende eksisterende rettsregler på datakriminalitet, fordi reglenes begrepsbruk ikke følger raskt nok teknologiutviklingen, sier han.

Bygrave leder et forskningsprosjekt som skal «undersøke endringer i rettslige rammer for nettsikkerhet ved å fokusere på etablerte, nye og foreslåtte sikkerhetskrav rettet mot kritisk internettinfrastruktur og skytjenester»

Ny tid, nye dimensjoner

Datatidens kriminelle vet godt hvordan de kan utnytte fordeler av en verden der fysiske og virtuelle grenser er mye mer diffuse enn før. Ved hjelp av datateknologi kan en liten datakyndig gruppe utføre kriminelle handlinger av virkelig store dimensjoner.

De kan true et lands sikkerhet, forårsake økonomisk kaos, organisere terrorvirksomhet eller lamme viktige nasjonale nettverk. Men selv forbrytelser av mindre format, som identitetstyveri, mobbing og spredning av barnepornografi, er svært skadelig.

Lee Bygrave. (Foto: UiO)
Lee Bygrave. (Foto: UiO)

– Omfanget av datakriminalitet kan man bare gjette; det er nemlig store mørketall på området, sier Bygrave.

Ifølge en undersøkelse utført av Næringslivets Sikkerhetsråd ble det i 2010 begått 23 500 datainnbrudd, uautorisert endring eller sletting av data.

– Men antall anmeldelser for samme periode og i de samme kategoriene var kun 218, forteller Bygrave.

Fiskere på tur

Et eksempel på databedrageri er nettbankbedragerier som blir gjennomført ved hjelp av avanserte dataprogrammer. Handlingen utføres av grupper, der medlemmene er spesialisert på ulike deler av operasjonen. Noen utvikler og oppdaterer skadevare, noen sørger for infisering og distribusjon av den og andre har ansvar for rekruttering av pengeinnkrevere.

Et annet eksempel som de fleste av oss kan utsettes for, er identitetstyverier. Kjernen av disse handlingene er at noen utgir seg å være noen andre. Det er ikke sjeldent å se e-post hvor avsenderen tilsynelatende er en velrenommert bank som har behov for å verifisere kundenes personopplysninger. 

På dataspråk heter teknikken «phishing», og det er slett ikke sjelden at kriminelle får fisket opp opplysninger de er ute etter. Og slik kan de opptre med falsk identitet og disponere offerets bankkonti.  

Slipper unna straffeforfølgning

En viktig utfordring er ulikheter mellom nasjonale regelsett om datakriminalitet. Til tross for økende harmonisering av forskjellige lands lovgivning på området, finnes det på global basis fortsatt betydelige forskjeller. Da er det ikke lett å slå ned på handlinger som foregår over landegrenser.

Det er blitt stadig vanligere at kriminelle flytter virksomheten sin til land der lovgivning er mindre streng og der det er lettere å unnslippe straffeforfølgning. Lov mot datakriminalitet er svært svak. Den er nesten fraværende for eksempel på Filippinene.

Her kan kriminelle operere ustraffet, for selv om de blir avslørt, blir de ikke utlevert til land med strengere lovgivning.

Jussens rolle i bekjempelsen

Jussen regulerer hvilke handlinger som skal regnes som datakriminalitet, hvordan slike handlinger skal etterforskes og hvordan handlingene skal straffes. Internasjonale konvensjoner og andre mellomstatlige avtaler er en viktig måte å samordne ulike regelverk.

De er også vesentlige for å lette samarbeid mellom politiet og påtalemyndighetene i forskjellige land.

Den viktigste internasjonale konvensjonen på området er Europarådets konvensjon om nettkriminalitet fra 2001. Konvensjonen etablerer et omfattende sett av regler for utforming av nasjonal politikk om datakriminalitet.

– Men i dagens internettalder er konvensjonen nå blitt «gammel», og det stilles stadig spørsmål om den er levedyktig i forhold til den teknologiske utviklingen.

– Det er dessuten reist spørsmål om konvensjonen opprettholder en hensiktsmessig balanse mellom interessen i bekjempelse av datakriminalitet på den ene siden og beskyttelse av grunnleggende menneskerettigheter og friheter på den andre siden, forteller Bygrave.