Svensk skandale om nettsikkerhet og rettssikkerhet

Svensk skandale om nettsikkerhet og rettssikkerhet

Kommersiell tjeneste la ut persondata for alle som hadde hatt kontakt med rettsvesenet.

Avisa Dagens Nyheter i Sverige avslørte onsdag at det svenske nettstedet Lexbase ikke hadde sikret sensitive persondata på serverne side. Sikkerheten var så fraværende at vår søsteravis i Sverige, Computer Sweden, allerede dagen etter kunne avsløre at et enkelt datakodesett, et skript, kunne hente ut alle dokumenter i over tusen saker på en halvtime. Det hadde tatt en halvtime å skrive koden.

Ingen røyk uten ild?

Forretningsideen til Lexbase var at alle kunne søke på personer man kjente eller som bodde i nærheten for å få vite om de hadde vært i retten for en straffesak. Om man fikk et treff, måtte man betale for å få vite mer om saken. Det viste seg at det ikke bare har gitt tilgang til domsslutningen. Også underdokumenter, bilag og andre saksdokumenter har vært åpent tilgjengelig.

Opplysningene gjaldt heller ikke bare for den som var dømt skyldig i en sak, men også den som var frikjent var listet og tilgjengelig i basen.

Isolert sett kan man se flere fordeler med en slik søkbarhet for den som har saklig grunn. Men dette ble brukt til mer.

Problemet var ikke at sensitive persondata som kan identifisere personer og bosted har vært enkelt å få tak i. Ifølge kilder vi i Computerworld har vært i kontakt med, så er det også et problem med datakvaliteten – slik at feil person og feil adresser skal ha gitt noen heller triste episoder.

Likt og ulikt Norge-Sverige 1-1

Starten av saken var dermed en sikkerhetsskandale som rammer midt i kjernen av personvern, offentlighet om myndighetsdokumenter og ytringsfrihet. Sammenlignet med norske regler for offentlighet går svenske prinsipper lenger – det er mer dokumenter som er offentlig når det kommer myndighetene i hende, og grunner myndigheter skal ha for å unnta saker fra offentlighet er strengere enn i Norge.

På den andre siden har de gjerne hatt strengere vern av sensitive persondata, inkludert bildebruk i straffesaker, enn Norge.

Men det stoppet ikke der.

Vern av tredjepart

Saken tok en ny vending når serverleverandøren Bahnhof kort og godt dro ut kabelen til tjenesten torsdag. Grunnen var hensynet til tredjepart. Servertjenestelevarandøren Bahnhof var også vert for Pirate Bay i sin tid. Den gang nektet de å stenge av tilgangen, og ironien har ikke gått kommentatorene forbi.

Diskusjonen har dermed også fått en fløy der ansvaret for tjenesteleverandører på Internett er blitt høyaktuell. Fravær av datasikkerhet er ikke isolert sett kriminelt i Sverige, så Lexbase hadde ikke gjort noe galt. Hvor langt vernet av tredjepart gjelder, og i hvilken grad det er opp til en tjenesteleverandør å gripe inn i frimodige ytringer leverandøren ikke liker er andre aspekter i denne delen av debatten.

Også en tredje utfordring vokser fram. Spørsmålet som reiser seg er hvem som har oppdaget det samme sikkerhetsfraværet hos Lexbase før det ble avslørt i svenske DN. Når det har vært så enkelt, er det ikke usannsynlig at noen har hentet dette ut i fred og ro. Dermed er det tvilsomt om disse dataene bare er i Sverige. De kan bli brukt både til tyverier, svindel, bedrag og utpressing. For å nevne noen mulige følger.

Bare kaos, med andre ord. Og siste ord er ikke sagt.