' 
 
 
 
 

Ville overvåke nettet — skapte paradis for id-tyver

Restriksjoner i nettdebatten er problematisk for mer enn ytringsfriheten. Etter flere personvernskandaler vurderer nå verdens mest oppkoblede land å gå bort fra forbud mot anonymitet på internett.

I juli i fjor opp­levde Sør-Korea sin største sik­ker­hets­brist på nett noen­sinne, da per­son­lig infor­ma­sjon fra 35 mil­lio­ner nett­bru­kere ble stjå­let i et hack­eran­grep mot to av lan­dets største nettportaler.

70 pro­sent av lan­dets befolk­ning mis­tet kon­trol­len over opp­lys­nin­ger om navn, tele­fon­num­mer, adresse og per­son­num­mer. Angre­pet var det største i en lengre rekke av datainnbrudd.

For å let­tere kunne over­våke og mode­rere kri­tikk av myn­dig­he­tene, ble det i 2004 inn­ført restrik­sjo­ner mot ano­ny­mi­tet på net­tet. Sys­te­met kre­ver lag­ring av fullt navn og per­son­num­mer fra alle bru­kere som øns­ker å skrive inn­legg eller pub­li­sere mate­riale på popu­lære nett­ste­der, og har gjort Sør-Korea til et fris­tende mål for internettkriminalitet.

I 2007 ble «real name»-reglene stram­met inn, og for­bu­det mot ano­ny­mi­tet gjel­der nå alle nett­por­ta­ler med mer enn 100.000 dag­lige bru­kere, i første rekke sosiale medier og nettaviser.

Prio­ri­te­rer over­våk­ning foran personvern

Pro­fes­sor i retts­vi­ten­skap ved Korea Uni­ver­sity i Seoul Park Kyung-sin for­tel­ler at sør­korea­nerne er redde etter angre­pet, som ram­met de popu­lære sosiale nett­verks­si­dene Nate og Cyworld.

Nett­verks­tje­nes­ten Nate (skjermbilde).


— Tusen­vis har gått til sak og vil ha nye per­son­numre. Ikke alle ofrene ser sam­men­hen­gen mel­lom «real name»-systemet og hack­in­gen, men nes­ten alle lan­dets eks­per­ter er enige om at sys­te­met gir for store sik­ker­hets­pro­ble­mer og må avvik­les, sier Park Kyung-sin til Vox Publica.

Etter hen­del­sen i som­mer og andre lik­nende angrep mot både offent­lige nett­si­der og pri­vate sel­ska­per, så det ut til at for­bu­det mot ano­ny­mi­tet ville bli opp­he­vet av sik­ker­hets­hen­syn. Dette har imid­ler­tid ikke skjedd ennå, men myn­dig­he­tene kom­mer høyst sann­syn­lig til å fjerne kra­vet om regist­re­ring med personnummer.

For sør­kore­anske nett­por­ta­ler ser en fore­lø­pig løs­ning på sik­ker­hets­pro­ble­mene ut til å bli bru­ker­iden­ti­fi­se­ring via kre­ditt­kort og mobil­te­le­fo­ner. Prak­sis­end­rin­gen ble annon­sert i julen, og reg­nes å være en direkte kon­se­kvens av datainnbruddene.

Nye meto­der tren­ger ikke bety liberalisering

Park Kyung-sin mener at den seneste utvik­lin­gen vit­ner om end­ring av meto­der hel­ler enn end­ring av holdninger.

— Skan­da­lene har ikke for­and­ret sør­kore­anske myn­dig­he­ters hold­ning til ano­ny­mi­tet på inter­nett. Myn­dig­he­tene har stor inter­esse av å beholde «real name»-systemet, fordi de øns­ker å kon­trol­lere fore­koms­ten av oppo­si­sjo­nelle ytrin­ger. Der­som bru­kere av sosiale medier og nett­avi­ser kan være ano­nyme igjen, kan ikke myn­dig­he­tene over­våke enkelt­in­di­vi­der slik som i dag, sier han.

Han for­kla­rer at over­våk­ning av net­tet i dag er svært enkelt, etter­som myn­dig­he­tene har krav på å få utle­vert infor­ma­sjon om hvem som står bak pub­li­se­rin­ger uten å gå gjen­nom retts­sys­te­met eller si ifra til bru­ke­ren det gjelder.

Der­som det inn­fø­res et for­bud mot å benytte per­son­num­mer til bru­ker­re­gist­re­ring på nett­ste­der, er det sann­syn­lig at en alter­na­tiv ord­ning med spe­si­elle «i-PIN»-numre som kun kan bru­kes på net­tet vil bli inn­ført i stedet.

Sør-Korea har lenge vært kjent som ver­dens mest nett-oppkoblede land. En stor andel av befolk­nin­gen har til­gang til høy­has­tig­hets bredbåndsforbindelse.

Mar­keds­fø­res som inter­netts redning

Sør­korea­nere flest ser, ifølge Park Kyung-sin, hver­ken sam­men­hen­gen mel­lom sys­te­met som kre­ver opp­be­va­ring av store meng­der per­son­data og data­inn­brud­dene, eller mel­lom sys­te­met og myn­dig­he­te­nes ønske om å over­våke.

«Real-name»-systemet hadde stor støtte i befolk­nin­gen da det ble inn­ført (selv om noen blog­gere var kri­tiske til tal­lene), og er blitt mar­keds­ført som en metode for å holde inter­nett rent, seriøst og fritt for kriminalitet.

Da for­bu­det først ble for­søkt lan­sert i 2003, lød leder­tit­lene i aviser som Korea Joon­gAng Daily, en engelsk­språk­lig avis som blir solgt sam­men med Inter­na­tio­nal Herald Tri­bune, typisk «War on Inter­net misuse» og «Kee­ping Net free of trash». For­bry­tere utnyt­tet ano­ny­mi­te­ten på nett, het det i en ledeartikkel:

(…) per­pe­tra­tors hide behind the Internet’s ano­ny­mity. (…) We com­mend the govern­ment for its deci­sion to require Inter­net users in the pri­vate and pub­lic sec­tors to use their real names when lea­ving mes­sa­ges on Inter­net bul­le­tin boards.

Få medier tok opp myn­dig­he­te­nes nyvunne evne til å over­våke inter­nett­bruk, eller begrens­nin­gene i ytrings­fri­he­ten for­bu­det mot ano­ny­mi­tet med­fø­rer. Det er i dag enig­het blant men­neske­ret­tig­hets­or­ga­ni­sa­sjo­ner om at sys­te­met fører til for­hånds­sen­sur og kneb­ler offent­lig debatt og opi­nion (se rap­port fra orga­ni­sa­sjo­nen Free­dom House — pdf).

Ingen tegn til øns­ket effekt

Da for­bu­det ble stram­met inn i 2007 ved «The Act on the Pro­mo­tion of Infor­ma­tion and Com­mu­ni­ca­tions Network Uti­liza­tion and User Pro­tec­tion» var flere medier kri­tiske enn i 2003, men fort­satt får myn­dig­he­tene mye spalte­plass til å for­klare at til­ta­kene blir gjort for å beskytte bru­kere mot nettkriminalitet.

Park Kyung-sin mener imid­ler­tid at til­ta­kene ikke har hatt noen posi­tiv effekt.

— Myn­dig­he­tene tror at de vil redu­sere uøns­ket eller kri­mi­nell akti­vi­tet, men det har vist seg å ikke stemme. Per­soner som vil pub­li­sere uøns­ket inn­hold vil fort­sette under falsk iden­ti­tet uan­sett. Det eneste som skjer er at folk uten slike hen­sik­ter får en høy­ere ters­kel for å delta i dis­ku­sjo­ner, sier han.

Ifølge pro­fes­so­ren viser kore­anske stu­dier at for­bu­det mot ano­ny­mi­tet har ført til høy­ere andel uøns­ket inn­hold på net­tet, etter­som total nett­ak­ti­vi­tet har gått ned mens uøns­ket nett­ak­ti­vi­tet for­blir på samme nivå.

Dagens ord­ning er også lett å omgå, og dette skal være en av grun­nene til at kore­anske myn­dig­he­ter nå revur­de­rer sys­te­met. Siden reg­lene bare gjel­der kore­anske por­ta­ler, blir sys­te­met også kri­ti­sert for å dis­kri­mi­nere kore­anske sel­ska­per.

Kina i Sør-Koreas fotspor

Kina går imid­ler­tid i mot­satt ret­ning, og inn­førte i desem­ber et lik­nende iden­ti­fi­ka­sjons­sys­tem for mikro­blog­ging, noe bl.a. kom­mu­nist­par­ti­ets organ Fol­kets Dag­blad kal­ler et «steg i rik­tig ret­ning». Argu­men­tene er svært like dem som blir brukt i Sør-Korea. Avi­sen skri­ver at ano­nym mikro­blog­ging resul­terte i:

(…) wide­spread irre­spon­s­ible remarks, served as soil and air for rumors and encoura­ged fake online per­sonas who mani­pu­lated Web opi­nions. (…) The new rules could change  the online  world  from  a bathroom  wall to a channel for ratio­nal expres­sion of  opinion.

Til­ta­kene blir altså også i dette lan­det fram­stilt som for­søk på å iva­reta den «legi­time ytrings­fri­he­ten». Fra 1. januar 2012 ble reg­lene inn­ført også for mange beta­lings­sys­te­mer, bl.a. for kjøp av togbilletter.

Mange blog­gere og hackere har den siste måne­den pro­te­stert mot de nye reg­lene, bl.a. ved å utføre angrep lik­nende dem som ble sett i Sør-Korea (se video). Håpet er at også kine­siske myn­dig­he­ter skal se sik­ker­hets­pro­ble­mene sys­te­mer som kre­ver opp­be­va­ring av per­son­opp­lys­nin­ger medfører.

Kina kom­mer mye dår­li­gere ut enn demo­kra­tiet Sør-Korea i Free­dom House sine vur­de­rin­ger av inter­nett­fri­het, og blir i 2011 beteg­net som «ikke fritt» (se rap­port om Kina — pdf ). Sør-Korea har til sam­men­lik­ning sta­tus som «del­vis fritt».

Bekym­ret for data­sik­ker­het i norske nettaviser

Flere norske nett­avi­ser har den siste tiden inn­ført restrik­sjo­ner når det gjel­der ano­nyme inn­legg i sine nett­de­bat­ter. Et av alter­na­ti­vene som har vært dis­ku­tert, er å kreve at debat­tan­ter opp­gir hvem de er over­for redak­sjo­nen, men fram­står med pseu­do­nym utad.

Selv om ikke bru­kere vil måtte oppgi per­son­num­mer for å delta i norske nett­avi­sers kom­men­tar­felt, vil end­rin­gene like­vel føre til økt lag­ring av per­son­data hos norske nett­avi­ser og deres samarbeidspartnere.

Tor­geir Water­house, direk­tør for inter­nett og nye medier i IKT-Norge, mener at nett­avi­ser og lik­nende fora kan være inter­es­sante mål for hackere.

— Det vil all­tid fin­nes aktø­rer som har inter­esse av å vite hvem debatt­del­ta­kerne er, og som kan utnytte even­tu­elle sik­ker­hets­bris­ter, sier han.

Water­house mener at der­som pres­sens kilde­vern skal gjelde for de ytrin­gene som skjer i kom­men­tar­felt og debatt­fora, er det natur­lig at også ansva­ret for det tek­niske kilde­ver­net lig­ger hos redaktørene.

— Der­som nett­de­batt skal sees på som en redak­sjo­nell tje­neste, så har redak­sjo­nen ansvar for å sikre at dine data ikke kom­mer på avveie. Jeg blir ikke over­ras­ket der­som norske redak­tø­rer ikke har reflek­tert sær­lig mye rundt den tek­niske sik­ker­he­ten når de inn­fø­rer slike ord­nin­ger, sier han.

Water­house under­stre­ker at han ikke sit­ter med detalj­kunn­skap om hvor­dan norske nett­avi­ser og debatt­por­ta­ler opp­be­va­rer per­son­opp­lys­nin­ger, men han mener at pro­blem­stil­lin­gen burde diskuteres.

— Jeg er bekym­ret for at sik­ker­hets­ni­vået for slike tje­nes­ter i dag nok er mer til­fel­dig enn det burde være, sier han.

INGEN KOMMENTARER

KOMMENTÉR

Skriv en kommentar

Bidra til god debatt - skriv under fullt navn. Se våre kommentarregler.

Abonner på kommentarer
til toppen