Informasjonstyveri Sikkerhetskonferansen 27. og 28. September 2006 Erik Moestue, politiadvokat Den nasjonale enhet for bekjempelse av organisert og annen alvorlig kriminalitet
Agenda Presentasjon av Datakrimavdelingen, Kripos Kjerneverdier Trusler Rettslig vurdering av informasjonstyveri Sivilrettslig bevissikring Forebyggende tiltak Politianmeldelse
Datakrimavdelingen, Kripos Etablering ØKOKRIM Nye Kripos Kripos Datakrimavdelingen, Kripos Tverrfaglig kompetanse Egne saker Bistandsfunksjoner / Teknisk bistand ved sikring og analyse Nasjonal kommunikasjonskontroll Utvikle etterforskningsverktøy og nye etterforskningsmetoder til bruk for/i politiet Nasjonalt og internasjonalt kontaktpunkt elektroniske spor
Hovedoppgaver Kripos er Den nasjonale enhet for bekjempelse av organisert og annen alvorlig kriminalitet Organisert kriminalitet (narkotika, ran, menneskesmugling, etc) Internasjonal kriminalitet (krigsforbrytelser, forbrytelser mot menneskeenheten) Datakriminalitet Bistand til politidistriktene teknisk og taktisk Andre oppgaver, etterretning, identifikasjon, internasjonal politisamarbeid, sentrale politidatabaser
Saksinntak Kripos er ikke forpliktet til å starte etterforskning av alle anmeldte saker. Overordnet myndighet har pålagt oss å følge følgende kriterier: Om saken er alvorlig reiser prinsippielle spørsmål involverer flere politidistrikt krever internasjonalt politisamarbeid krever særskilt kompetanse og teknologi Den nasjonale enhet for bekjempelse av organisert kriminalitet..."
De viktigste former for datakriminalitet er: dataangrep / datainnbrudd databedrageri informasjonsheleri (f.eks. besittelse av stjålne passord eller kreditkortnumre) (uautorisert) endring og sletting av data (skadeverk) (uautorisert bruk) av datasystemer dokumentfalsk piratkopiering Informasjonstyveri datakriminalitet - økonomisk kriminalitet?
Informasjonstyveri i vid forstand: Skimming Phishing Botnet Datainnbrudd med tyveri av informasjon Med mer
Skimming
29146 bot er
Informasjonstyveri i denne presentasjon: tyveri av informasjon i bedrifter og tilstøtende temaer
Informasjonstyveri - straffesak, sivil tvist Aktuelle problemstillinger Straffesak Sivil tvist Begge deler
Kjerneverdier for virksomheten Informasjon kan være bedriftens gull! Oppetid Renommé Informasjon om priser, produkter, fremgangsmåter, teknologi, kunder, salg, omsetning, fortjeneste, anbud, kontrakter, opplæring, mv Tilgang til data og ressurser Badwill og dårlig omdømme er svært skadelig Vern av forretningskritiske data Tap av data og data på avveie kan få katastrofale følger
Trusler Interne Utro tjenere/interne ansatte Overgang til konkurrerende virksomhet Spredning av tilgangsdata (passord o.l) Eksterne Sikkerhetshull/sårbarheter (trådløst/fast nettverk) Tilgangsdata i omløp Mørketall antas å foreligge - bedriften er ikke klar over forholdet - bedriften kan ikke påvise handlingen / ønsker ikke saken etterforsket - Se for øvrig Mørketallsundersøkelsen
Begrepet informasjonstyveri Begrepet informasjonstyveri bør presiseres Begrepet tyveri er bare en rettslig karakteristikk for overtredelse av straffeloven 257 som retter seg mot det å bortta en gjenstand som tilhører en annen Man bør tilnærme seg temaet i et større perspektiv Hva som er gjenstand for rettslig vern Hva som er den rettsstridige handling
Informasjon og data Informasjon er lite håndgripelig. Data er mer håndgripelig. Informasjon oppstår først i et menneskes bevissthet når data blir brakt innenfor rekkevidden av sanseapparatet. Data er bærere av informasjon Data kan være bokstaver, streker, farger, lyd, lys, elektromagnetiske impulser og spor i et elektronisk lagringsmedium. Data er alt som dersom man bare har de riktige innretninger for å skape sanseinntrykk kan føre til at et menneske får en bestemt, tilsiktet informasjon. se Knut S. Selmer i Lov og Rett 1995 s. 149-150.
Informasjon og data Hva som er gjenstand for vern Hva som er gjenstand for vern Data, informasjon eller begge deler? Ulike rettslige bevistemaer i dagens lovbestemmelser; valg av lovbestemmelse kan ha store praktiske konsekvenser for hva som må bevises Eksempler: gjenstand, løsøregjenstand, bedriftshemmeligheter, åndsverk, databaser, patent, kretsmønster osv.
Informasjon og data Hva som er den rettstridige handling Dagens lovbestemmelser har mange ulike beskrivelser for den rettstridige handling: Kopiere Tilgjengeliggjøre Utnytte Skaffe seg adgang Gjøre bruk av Åpenbare Skaffe seg kunnskap Skaffe seg rådighet over Bortta Handle mot den annens tarv Osv.
Nærmere om tyveri av data, jf straffeloven 257 og 258 Informasjon er ikke gjenstand, og kan vanskelig borttas, jf. straffeloven 257 om tyveri. Dersom informasjonsbæreren (skriften på papiret eller digitale data) anses som gjenstand, vil borttagelse av denne kunne straffes som tyveri. Vernet blir således løsrevet fra lagringsmediet og innholdet (innholdsmessige kriterier).
Nærmere om tyveri av data, jf straffeloven 257 og 258 Er data for svevende og udefinerbart til å nyte rettslig vern som sådan; uavhengig av lagringsmediet og innholdet? All lagrede data har en fysisk adresse på lagringsmediet, uavhengig av om dataene er slettet eller ikke. Også data under overføring har en identitet. Dataene må alltid ha en adresse for at de skal komme til rett mottaker. I tillegg til den grunnleggende identifiseringen av data, kan data ha masse tilleggsinformasjon, for eksempel filnavn, størrelse (i bytes), tidsstempler, forfatter og signaturer. Alt dette innebærer at man kan gi en presis beskrivelse av data som bli lagret, brukt, skadet eller slettet, på samme måte som for fysisk gjenstand.
Nærmere om tyveri av data, jf straffeloven 257 og 258 Beskrivelsen for den straffbare handling. Hva er borttagelse? Fysisk besittelsesforrykking vs kopiering. Mange uttalelser fra lovgiver fra 1985 til 2002 om at data ikke er gjenstand som ikke kan borttas. Problemet er at lovgiver ikke har foretatt en fornyet vurdering, men har bygget på utredningen i NOU 1985:31. Lovgiver har først i senere tid erkjent at informasjonstyverier er et samfunnsproblem Departementet har understreket behovet for at Datakrimutvalget vurderer dette nærmere, se Ot prp nr 40 (2004-2005). Stortingskomiteen fjernet beskyttelseskravet i straffeloven 145 annet ledd om datainnbrudd pga dette, se Innst O nr 53 (2004-2005).
Nærmere om tyveri av data Datakrimutvalget I Cyber Crime Convention endring av norsk lovgivning Datakrimutvalget II gjennomgang av materielle rett endringer i straffeloven
Nærmere om tyveri av data alternative lovbestemmelser Inntil videre må vi vurdere andre lovbestemmelser enn straffeloven 257 og 258 om tyveri
Nærmere om tyveri av data alternative lovbestemmelser Straffeloven 275 og 276 om utroskap kan være effektiv mot en utro tjener som kopierer data, men forutsetter selvstendig stilling (arbeids- eller oppdragsforhold). Oslo tingretts dom datert 10. mars 2005, utroskap og åndsverklov mv Borgarting lagmannsrett dom 21. Juni 2006, utroskap og åndsverklov (anke til Høyesterett)
Nærmere om tyveri av data alternative lovbestemmelser Straffeloven 405a om bedriftshemmeligheter er formulert vidt og rammer selve tyverihandlingen.. den som på urimelig måte skaffer seg eller søke å skaffe seg kunnskap om eller rådighet over en bedriftshemmelighet Det er bare en forseelse med lav strafferamme på 3 måneder, men kan fungere som en nyttig sikkerhetsventil. Bestemmelsen er gammel. Kværner saken, Rt 2003/ 825
Nærmere om tyveri av data alternative lovbestemmelser Spesiallovgivning om immaterialrettigheter (opphavsrettigheter, nærstående rettigheter, patenter, design, kretsmønstre, varemerker, firmanavn) kan være svært viktig mot kopiering og utnyttelse; men dette krever ofte vanskelige rettslige og faktiske vurderinger Straffeloven 145 annet ledd om datainnbrudd rammer det å uberettiget skaffe seg adgang til data - altså selve adgangshandlingen (ikke lenger krav om beskyttelsesbrudd). Asker og Bærum tingrett dom 29. September 2006 (SAS Braathens) Frifinnelse ikke rettskraftig Ny straffelov 145b om ulovlig spredning av tilgangsdata (passord o.l) kan være nyttig.
Nærmere om tyveri av data alternative lovbestemmelser Besittelse av stjålne passord, se straffeloven 317. Nedre Romerike Tingrett dom 25. November 2003 Heleri av minst 650 000 brukernavn og passord tilhørende selskapet Tele2
Nærmere om tyveri av data alternative lovbestemmelser Dersom man kan påvise bruk/utnyttelse/salg av informasjon eller avtale om dette, åpner andre muligheter seg, se straffeloven 294, 276a, 276b, 276c og markedsføringsloven 7 og 17. Asker og Bærum tingrett dom 29. September 2006 (SAS Braathens) Frifinnelse SAS Braathens 294, 1. ledd nr 3 Domfellelse markedsføringsloven 7 (SAS/Braathens og salgssjef) Dersom man kan påvise at data er endret eller slettet, foreligger det muligheter i straffeloven 291, 292, 391 og 151b. Dagens vern mot skadeverk på digitale data retter seg ikke mot dataene som sådan, men lagringsmediet etter en funksjonell begrunnelse. Dersom man kan påvise misbruk av datasystemer/nettverksressurser kan straffeloven 261 og 393 være aktuelle. Dersom man kan påvise avlytting av samtaler kan straffeloven 145a være aktuell.
Sivilrettslig bevissikring Det er mulig å foreta sivilrettslig bevissikring gjennom namsmannen, jf. tvistemålsloven kapittel 20 om bevissikring utenfor rettssak. Se kjennelse fra Oslo tingrett datert 13. september 2004 om tvml. 271a som gjelder en sak om informasjonstyveri, og senere kjennelse fra Høyesterett 23. mai 2006 Kjennelsen tillot speilkopiering av bedriftsservere og arbeidsstasjoner uten varsel til motparten av hensyn til frykt for bevisforspillelse. Bevissikringen ble gjennomført av namsmannen 17. September 2004, som benyttet ekstern sivil hjelp.
Forebyggende tiltak i virksomheten Den eksterne trusselen kan man i stor grad beskytte seg mot i form av relativt enkle sikkerhetsmessige tiltak og fysiske håndgrep. Den interne trusselen trusselen er langt mer komplisert å beskytte seg mot. Her kreves det i tillegg til fysiske tiltak, god etikk og moral blant de ansatte. Dette kan bare etablerers gjennom summen av flere tiltak og klare retningslinjer.
Forebyggende tiltak i virksomheten Systemsikkerhet Brannmur / IDS Antivirus Patching Begrenset tilgang på datasystemene Rutiner ved personellavgang Fysisk adgang til lokalene Adgang til datasystemer Tilbakelevering av utstyr Oppsigelsestid, hvordan skal arbeidstaker forholde seg? Gode rapporteringsrutiner for avvik Hva gjør vi ved en gitt hendelse? Kontaktpersoner, sikre spor, politianmeldelse?
Forebyggende tiltak i virksomheten Skriftlige ansettelseskontrakter Arkivering Eierskap til immaterielle rettigheter (programmer, databaser m.v.) Konkurranseklausuler Klare stillingsinstrukser Oversikt over arbeidsinnsats Hvem har gjort hva Dokumentering av hva som er blitt utviklet og av hvem Dokumentering/verdfesting av tekniske, økonomiske og menneskelige investeringer
Forebyggende tiltak i virksomheten Skriftlige databrukeravtaler Bestemmelser må etterleves Må omfatte alle ledd i informasjonsflyten, oppbevaring av data og annen informasjon, hjemmearbeid, kryptering, tilkobling av eksterne enheter for synkronisering m.v. Holdningsskapende arbeid i organisasjonen For å etterleve skriftige avtaler må man ha den rette innstillingen Medarbeidersamtaler Bevisstgjøring
When the shit hits the fan You`re in big trouble!!!
Åstedet/ Bevissikring Fri bevisførsel i Norge Logger, logger og atter logger Kontakt politiet så snart som mulig Den største feilen kan være å ikke gjøre noe som helst Vær varsom tenk før du handler
Momenter i forbindelse med politianmeldelse En politianmeldelse skal gi en kortfattet, men samtidig dekkende beskrivelse av det straffbare forholdet. Skal/bør inneholde: Selskapsform/sammensetning Konkurransesituasjonen (aktører/produkter/anbudsprosess m.v.) Beskrivelse av datasystemene (skisse) Tidspunkt for det straffbare forhold Gjerningsbeskrivelse Involverte personer Dokumentasjon av arbeidsavtaler, stillingsinstrukser, retningslinjer m.v Loggmateriale (gjerne som elektroniske vedlegg) Erstatningskrav (strenge krav til dokumentasjon) Påtalebegjæring Kontaktpersoner
Takk for oppmerksomheten Erik Moestue Politiadvokat, KRIPOS erik.moestue@politiet.no