Hvordan kan Internett overvåkes?



Like dokumenter
Merknad om forelesningens tittel. Nærmere om begrepet overvåkning. Interception (ark 2) Første metodeperspektiv: Interception

Nærmere om begrepet overvåkning. Første metodeperspektiv: Interception. Interception (ark 3) Interception (ark 2) Sensur og overvåkning av Internett

Informasjonsrett, grunnleggende

Personvern og sikkerhet

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Policy vedrørende informasjonskapsler og annen tilsvarende teknologi

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

PERSONVERNERKLÆRING 1. BEHANDLINGENS FORMÅL OG GRUNNLAG

Hvordan og hvilke personopplysninger samler vi inn, og til hvilket formål?

Personvernerklæring for Webstep AS

Personvernerklæring. Sist oppdatert

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Personvernerklæring. Hvilke regler gjelder for håndtering av personopplysninger?

Kristiansand Avis policy for personvern

DIN DIGITALE PARTNER

Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.

Sikkerhet i Pindena Påmeldingssystem

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

NASJONAL SIKKERHETSMYNDIGHET

PERSONVERNERKLÆRING FACTLINES AS OPPDATERT 25. JUNI 2018 GENERELT OM BEHANDLING AV PERSONOPPLYSNINGER PÅ

BEHANDLING AV PERSONOPPLYSNINGER

Om informasjonskapsler (cookies) på nettsidene til Stendi

City Nords Personvernerklæring

Dersom du har spørsmål eller kommentarer til denne erklæringen eller hvordan vi behandler personopplysninger kan du kontakte oss på

1. Ansvar Den Norske Opera & Ballett AS, ved Administrerende Direktør, er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

PERSONVERNERKLÆRING BARNEVAKTNETT

Denne personvernerklæringen forteller hvordan Pelimoo.no samler inn og behandler personopplysninger.

Personvernerklæring for Clemco Norge AS

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

GDPR HVA ER VIKTIG FOR HR- DATA

PERSONVERN ERKLÆRI NG ROYSW EBDESI GN.NO

Personvernerklæring. Nettbasert behandling av personopplysninger

Innledende Analyse Del 1: Prosjektbeskrivelse (versjon 2)

Lantmännens personvernpolicy og informasjon om informasjonskapsler (cookies)

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

PERSONVERNERKLÆRING- LINIO.NO

Brukerveiledning digital eksamen via WISEflow

Lydopptak og personopplysningsloven

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Sikkerhet i Pindena Påmeldingssystem

Benytter du dine rettigheter?

PERSONVERNERKLÆRING: Lactalis Scandinavia

Personvernerklæring. Nettbasert behandling av personopplysninger

SAMTYKKE. Frokostseminar OMG 12. mars 2014 Hanne Pernille Gulbrandsen daglig leder i NORDMA

PERSONVERNERKLÆRING FOR POLITIHØGSKOLEN

Vi tar godt vare på personopplysningene dine knyttet til våre eventer.personvern for Mestring & Event AS

Personvernerklæring. Nettbasert behandling av personopplysninger

Generelle regler om behandling av personopplysninger i Eika Forsikring AS

Månedsrapport oktober 2004

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNERKLÆRING. Adresse: IntegrasjonsPartner BITS AS. Hassingveien FREDRIKSTAD Organisasjonsnr:

PERSONVERN - THERMOCONNECT Gyldig fra 25. mai 2018.

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Norsk Motor Import personvernerklæring

PERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR?

BERGEN BRUKERKONTOER I ELEVNETTET KOMMUNE. 1 Fagavdeling barnehage og skole

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Hva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger

Sikkerhet og internett

Personvernerklæring for Bird

Personvernerklæring for Fagpersonweb

Tilsynsrapport. Tilsyn etter Lov om elektronisk kommunikasjon. 2-7 b. Bruk av informasjonskapsler/cookies

Elektroniske spor. Senioringeniør Atle Årnes Radisson SAS Scandinavia Hotel, Holbergsgate 30

Komplette og detaljerte tekniske opplysninger om informasjonskapsler

Kort innføring i personopplysningsloven

BRUKERHÅNDBOK FOR NETTVERKET

Personvernerklæring for DLR

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, "Digitale ferdigheter"

3. Databehandleravtale

Regler og informasjon til foresatte om bruk av datautstyr for trinn

Brukerveiledning for nedlastning og installasjon av Office Av Roar Nubdal, fagprøve IKT-servicefag, juni 2014

1. Tillit til ulike virksomheters behandling av personopplysninger

Personvernerklæring. for nettstedet MyLyconet. Versjon: 3.00 ( ) Lyoness Group AG Gürtelturmplatz Graz

Personvern i offentlig forvaltning DRI1010

PERSONVERNERKLÆRING FACE.NO

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Trusler, trender og tiltak 2009

Sikkerhet ved PC-basert eksamen

Personvernerklæring for MOOC

Personvernerklæring for Søknadsweb

4.1. Kravspesifikasjon

på nett med PC, nettbrett eller

Big data i offentlig sektor - og personvern

Har du spørsmål om hvordan Hausta ivaretar ditt personvern, kan du kontakte oss på

Personvernerklæring for Brage

PERSONVERNERKLÆRING Behandling av personopplysninger i Revisjonskompaniet Midt-Norge AS

Personvernerklæring for Søknadsweb

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Transkript:

Hvordan kan Internett overvåkes? Seminar på DRI 1002, torsdag 9. mars Herbjørn Andresen, stipendiat ved Avdeling for forvaltningsinformatikk Om begrepet overvåkning Ulike betydninger: Etterretning kartlegge potensielt skadelig virksomhet/personer Etterforskning finne ut av noe som faktisk har skjedd Sensur avskjære/redusere noens menings- og handlefrihet Samfunnskontroll påse at folk er lovlydige (betaler skatt og barnebidrag, ikke mottar uberettiget trygd, ikke kjører for fort ) Monitorering følge med på tekniske spor fra bruk av systemer, om man skaffer (berettiget eller uberettiget) tilgang til opplysninger osv. Det er en betydning som brukes her. Monitorering kan også brukes om bl.a. kameraovervåkning og bompengepasseringer osv. Betydningene er ulike, men beslektet Alle betydningene er i større eller mindre grad relevante for spørsmålet hvordan kan Internett overvåkes DRI 1002, halvdagsseminar 9. mars 2006 2

Ulike metodiske tilnærminger (Lagring og bruk av) trafikkdata (Lagring og bruk av) paradata Drift og Pakkesniffing, og annen oppsnapping av kommunikasjon ( interception ) Avstenging eller avskjæring av nettsteder eller enkelte opplysninger (sensur eller selvsensur ) Logging, skrives til fil hos nettleverandør Typisk informasjon om brukerens maskin, besøkt adresse og tidspunkt Logging, skrives til fil hos nettstedeier, ofte i kombinasjon med cookies. Typisk hvilken nettside man klikket seg inn fra, hvilke søkeord man har brukt osv. Logging, monitorere ulike typer angrepsforsøk. Og særlig aktuelt når et nettsted gir tilgang til funksjoner bakenfor nettstedet: Cookies brukt i kombinasjon med mer spesifikke sfunksjoner for pålogging etc. DRI 1002, halvdagsseminar 9. mars 2006 3 annen målrettet etterforskning Målrettet aktivitet, man vet en del på forhånd om hvilke handlinger og/eller personer man skal skaffe opplysninger om Økt oppmerksomhet om (og aksept for?) etter terrorepisoder tidlig på 2000-tallet Det meste av dette er basert på tradisjonelle metoder, det er sannsynligvis ikke spesielt utbredt å rette denne typen overvåkning spesielt mot Internett. Finnes likevel eksempler, for eksempel Carnivore og det er en voksende bransje å utvikle såkalt policeware Denne delen av overvåkningen av Internett er omgitt av mange myter og gjetninger, lite håndfast informasjon Artig eksempel: Finnes Echelon? DRI 1002, halvdagsseminar 9. mars 2006 4

I hvilken grad må/kan/vil/bør vi/de/man/noen forhindre eller ikke forhindre fæle greier på nettet? Stort og komplisert område, noen stikkord: Lovforbud mot noen typer innhold, vs. alminnelig folkeskikk Forhåndskontroll vs. etterhåndskontroll Kontroll ved hjelp av tekniske metoder Kontroll ved manuell gjennomlesning Styrt av offentlige myndigheter vs. styrt av private Arbeidsgiver Foreldre Nettsteds- eller kommunikasjonsleverandør eller eventuelt styrt av brukeren selv DRI 1002, halvdagsseminar 9. mars 2006 5 Trafikkdata Krav om at leverandøren av nettjeneste skal logge trafikkdata, og ta vare på dem en viss tid Også krav om at de skal slettes etter en viss tid Logger brukes også til andre formål enn overvåkning, men det er for å støtte etterforskningsformål at det nå har kommet krav til lagringstid Trafikkdata kan som regel avdekke følgende: IP-adresse (brukerens datamaskin-identifikasjon) Tidspunkt Hvilken brukerkonto (hos leverandør av nettjenester) som er pålogget med den identifiserte datamaskinen på dette tidspunktet Hvilke nettsider som er besøkt DRI 1002, halvdagsseminar 9. mars 2006 6

Paradata, kunnskap om brukerens adferd Kan til dels bruke noe av den samme typen logging som trafikkdata, men: Det er (normalt) nettstedets behandlingsansvarlige, og ikke sluttbrukerens kommunikasjonsleverandør, som logger Nettstedet vet ikke hvem som egentlig er abonnenten bak et kontonavn Kan i tillegg plassere cookies (små tekstfiler) på brukerens datamaskin Ikke konkret skadepotensiale, men et visst inngrep å plassere informasjon ubedt på andres maskin Brukeren kan selv velge å ikke ta imot dem men det kan i visse tilfeller redusere funksjonalitet Ofte er det ikke nettstedet selv, men noen de har solgt annonseplass til, som skriver og leser cookies Slemmere varianter såkalt spyware DRI 1002, halvdagsseminar 9. mars 2006 7 Drift og 1: Monitorere angrep Virksomheter (firmaer, offentlige etater, universiteter osv.) legger oftest opp stiltak i sitt driftsmiljø: Viruskontroll, hindre skadelig programvare Brannmurer, og IDS ( Intrusion detection system ) Spamfiltrering, hindre uønsket/meningsløst innhold Passiv beskyttelse, for eksempel herding av driftsmiljø For en virksomhet som det er attraktivt å angripe, er dette ganske omfattende og krevende aktiviteter: Logging av informasjon, aktive valg om å utestenge enkelte avsendere, kontakte nettleverandører for å fortelle at de gir husly til en hissig angriper osv. Nasjonal smyndighets VDI ( Varslingssystem for digital infrastruktur ) Frivillig ordning, en del store firmaer og etater som deltar Offentliggjør månedlige, anonymiserte rapporter (se nsm.stat.no) DRI 1002, halvdagsseminar 9. mars 2006 8

Drift og 2: Tilgangsstyring Man bruker ofte en nettleser, med html-dokumenter, som port inn til andre tjenester: Nettbank, nettbokhandel, samordna opptak osv. med en form for pålogging En nettleser er tilstandsløs, og ikke egentlig varig på det systemet det snakker med Etter pålogging til nettjenesten, når man navigerer videre innover i samme tjeneste, må man fortsette åfortelle for hvert klikk at man stadig er samme påloggete bruker: Dette gjøres som oftest ved hjelp av cookies Omtales gjerne som session cookie, den har begrenset varighet og slettes etter avlogging En god del teknisk monitorering er helt nødvendig for at nettjenester med innlogging i det hele tatt skal fungere DRI 1002, halvdagsseminar 9. mars 2006 9 To ulike eksempler på bruk av cookies Eks 1: Odin (Regjeringens web) Filnavn på min maskin: herbjora@odin.dep[1].txt Filens innhold: odinskake129.240.178.96.64251140426605983odin.dep.no/1 536390665536029840590289694416029767165* Eks 2: Feide (Uninetts felles innloggingstjeneste for en rekke nettsteder Single Sign On) Filnavn på min maskin: herbjora@moria2[2].txt Filens innhold: MoriaDenySSOCookiefalselogin.feide.no/moria2/153614314 1952029770255224800835229770188*MoriaUserOrganizationC ookieuio.nologin.feide.no/moria2/153618802755842977159 6224810835229770188* DRI 1002, halvdagsseminar 9. mars 2006 10

Noen rettslige stikkord Trafikkdata Paradata Drift og Straffeprosess krav til at det foreligger (tilstrekkelig alvorlig) mistanke Ytringsfriheten, og dens grenser offentlighetsprinsippet styringsrett (i arbeidsgiverforhold etc.) Ekomloven fra 2003 (+ straffeprosess) Utgangspunkt i EU-direktiver ( ekompakken en håndfull ulike direktiver) Pol 21 (om personprofiler) Også mer generelt er bestemmelser i pol relevante Ulike regler om Svært ofte vil Pol 13, med forskriftens kapittel 2, være mest relevant (Sikkerhetsloven med forskrift, for forhold som gjelder rikets ) DRI 1002, halvdagsseminar 9. mars 2006 11 Noe om typiske aktører Trafikkdata Paradata Drift og Hvem overvåker? Politiet, sivil og militær + hackere? Lite åpne regimer +? + foreldre? + arbeidsgivere? Leverandører av nett. Utlev. til politi i etterforskn. Systemeier/ ansvarlig for tjenesten Annonsører Systemeier/ ansvarlig for tjenesten + NSM for VDI Hvem overvåkes Konkret mistenkt for noe alvorlig Kan variere: - Alle? - Mistenkelige? - sarte sjeler? Alle! Alle (men særlig kunder og ofte tilbakevendende brukere) Bruker/kunde Mulige hackere Hvem kan være typisk bad guy? Terrormistenkte Organiserte kriminelle Oppviglere Moralsk fordervede Kriminelle Kriminelle Annonsører o.l. (hvis de tar for lite hensyn til personvernet ) Hackere DRI 1002, halvdagsseminar 9. mars 2006 12

Noen sterkt forenklede skalabetraktninger Trafikkdata Paradata Drift og Inngrep i brukers personvern Brukerens viten om at overvåkning skjer Har spesifikk sammenheng med Internetteknologi Høy Høy Middels Middels Lav Lav Høy Lav Lav Middels Lav Middels Middels Høy Høy DRI 1002, halvdagsseminar 9. mars 2006 13 Alternativ fremstilling: Drift og Paradata Trafikkdata DRI 1002, halvdagsseminar 9. mars 2006 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding