Ville overvåke nettet — skapte paradis for id-tyver

Restriksjoner i nettdebatten er problematisk for mer enn ytringsfriheten. Etter flere personvernskandaler vurderer nå verdens mest oppkoblede land å gå bort fra forbud mot anonymitet på internett.

I juli i fjor opp­lev­de Sør-Korea sin største sik­ker­hets­brist på nett noen­sin­ne, da per­son­lig infor­ma­sjon fra 35 mil­lio­ner nett­bru­ke­re ble stjå­let i et hack­eran­grep mot to av lan­dets største nett­por­ta­ler.

70 pro­sent av lan­dets befolk­ning mis­tet kon­trol­len over opp­lys­nin­ger om navn, tele­fon­num­mer, adres­se og per­son­num­mer. Angre­pet var det største i en leng­re rek­ke av data­inn­brudd.

For å let­te­re kun­ne over­vå­ke og mode­re­re kri­tikk av myn­dig­he­te­ne, ble det i 2004 inn­ført restrik­sjo­ner mot ano­ny­mi­tet på net­tet. Sys­te­met kre­ver lag­ring av fullt navn og per­son­num­mer fra alle bru­ke­re som øns­ker å skri­ve inn­legg eller pub­li­se­re mate­ria­le på popu­læ­re nett­ste­der, og har gjort Sør-Korea til et fris­ten­de mål for inter­nett­kri­mi­na­li­tet.

I 2007 ble «real name»-reglene stram­met inn, og for­bu­det mot ano­ny­mi­tet gjel­der nå alle nett­por­ta­ler med mer enn 100.000 dag­li­ge bru­ke­re, i første rek­ke sosia­le medi­er og nett­avi­ser.

Prioriterer overvåkning foran personvern

Pro­fes­sor i retts­vi­ten­skap ved Korea Uni­ver­sity i Seoul Park Kyung-sin for­tel­ler at sør­korea­ner­ne er red­de etter angre­pet, som ram­met de popu­læ­re sosia­le nett­verks­si­de­ne Nate og Cyworld.

Nett­verks­tje­nes­ten Nate (skjerm­bil­de).


— Tusen­vis har gått til sak og vil ha nye per­son­num­re. Ikke alle ofre­ne ser sam­men­hen­gen mel­lom «real name»-systemet og hack­in­gen, men nes­ten alle lan­dets eks­per­ter er eni­ge om at sys­te­met gir for sto­re sik­ker­hets­pro­ble­mer og må avvik­les, sier Park Kyung-sin til Vox Pub­li­ca.

Etter hen­del­sen i som­mer og andre lik­nen­de angrep mot både offent­li­ge nett­si­der og pri­va­te sel­ska­per, så det ut til at for­bu­det mot ano­ny­mi­tet vil­le bli opp­he­vet av sik­ker­hets­hen­syn. Det­te har imid­ler­tid ikke skjedd ennå, men myn­dig­he­te­ne kom­mer høy­st sann­syn­lig til å fjer­ne kra­vet om regist­re­ring med per­son­num­mer.

For sør­kore­ans­ke nett­por­ta­ler ser en fore­lø­pig løs­ning på sik­ker­hets­pro­ble­me­ne ut til å bli bru­ker­iden­ti­fi­se­ring via kreditt­kort og mobil­te­le­fo­ner. Prak­sis­end­rin­gen ble annon­sert i julen, og reg­nes å være en direk­te kon­se­kvens av data­inn­brud­de­ne.

Nye metoder trenger ikke bety liberalisering

Park Kyung-sin mener at den senes­te utvik­lin­gen vit­ner om end­ring av meto­der hel­ler enn end­ring av hold­nin­ger.

— Skan­da­le­ne har ikke for­and­ret sør­kore­ans­ke myn­dig­he­ters hold­ning til ano­ny­mi­tet på inter­nett. Myn­dig­he­te­ne har stor inter­es­se av å behol­de «real name»-systemet, for­di de øns­ker å kon­trol­le­re fore­koms­ten av oppo­si­sjo­nel­le ytrin­ger. Der­som bru­ke­re av sosia­le medi­er og nett­avi­ser kan være ano­ny­me igjen, kan ikke myn­dig­he­te­ne over­vå­ke enkelt­in­di­vi­der slik som i dag, sier han.

Han for­kla­rer at over­våk­ning av net­tet i dag er svært enkelt, etter­som myn­dig­he­te­ne har krav på å få utle­vert infor­ma­sjon om hvem som står bak pub­li­se­rin­ger uten å gå gjen­nom retts­sys­te­met eller si ifra til bru­ke­ren det gjel­der.

Der­som det inn­føres et for­bud mot å benyt­te per­son­num­mer til bru­ker­re­gist­re­ring på nett­ste­der, er det sann­syn­lig at en alter­na­tiv ord­ning med spe­si­el­le «i-PIN»-numre som kun kan bru­kes på net­tet vil bli inn­ført i ste­det.

Sør-Korea har len­ge vært kjent som ver­dens mest nett-opp­kob­le­de land. En stor andel av befolk­nin­gen har til­gang til høy­has­tig­hets bred­bånds­for­bin­del­se.

Markedsføres som internetts redning

Sør­korea­ne­re flest ser, iføl­ge Park Kyung-sin, hver­ken sam­men­hen­gen mel­lom sys­te­met som kre­ver opp­be­va­ring av sto­re meng­der per­son­data og data­inn­brud­de­ne, eller mel­lom sys­te­met og myn­dig­he­te­nes øns­ke om å over­vå­ke.

«Real-name»-systemet had­de stor støt­te i befolk­nin­gen da det ble inn­ført (selv om noen blog­ge­re var kri­tis­ke til tal­le­ne), og er blitt mar­keds­ført som en meto­de for å hol­de inter­nett rent, seriøst og fritt for kri­mi­na­li­tet.

Da for­bu­det først ble for­søkt lan­sert i 2003, lød leder­tit­le­ne i aviser som Korea Joon­gAng Dai­ly, en engelsk­språk­lig avis som blir solgt sam­men med Inter­na­tio­nal Herald Tri­bu­ne, typisk «War on Inter­net misu­se» og «Kee­ping Net free of trash». For­bry­te­re utnyt­tet ano­ny­mi­te­ten på nett, het det i en lede­ar­tik­kel:

(…) per­pe­tra­tors hide behind the Internet’s ano­ny­mity. (…) We com­mend the govern­ment for its deci­sion to requi­re Inter­net users in the pri­va­te and pub­lic sec­tors to use their real names when lea­ving mes­sa­ges on Inter­net bul­le­tin boards.

Få medi­er tok opp myn­dig­he­te­nes nyvun­ne evne til å over­vå­ke inter­nett­bruk, eller begrens­nin­ge­ne i ytrings­fri­he­ten for­bu­det mot ano­ny­mi­tet med­fø­rer. Det er i dag enig­het blant men­neske­ret­tig­hets­or­ga­ni­sa­sjo­ner om at sys­te­met fører til for­hånds­sen­sur og kneb­ler offent­lig debatt og opi­nion (se rap­port fra orga­ni­sa­sjo­nen Free­dom House – pdf).

Ingen tegn til ønsket effekt

Da for­bu­det ble stram­met inn i 2007 ved «The Act on the Pro­mo­tion of Infor­ma­tion and Com­mu­ni­ca­tions Network Uti­liza­tion and User Pro­tec­tion» var fle­re medi­er kri­tis­ke enn i 2003, men fort­satt får myn­dig­he­te­ne mye spalte­plass til å for­kla­re at til­ta­ke­ne blir gjort for å beskyt­te bru­ke­re mot nett­kri­mi­na­li­tet.

Park Kyung-sin mener imid­ler­tid at til­ta­ke­ne ikke har hatt noen posi­tiv effekt.

— Myn­dig­he­te­ne tror at de vil redu­se­re uøns­ket eller kri­mi­nell akti­vi­tet, men det har vist seg å ikke stem­me. Per­soner som vil pub­li­se­re uøns­ket inn­hold vil fort­set­te under falsk iden­ti­tet uan­sett. Det enes­te som skjer er at folk uten sli­ke hen­sik­ter får en høy­ere ters­kel for å del­ta i dis­ku­sjo­ner, sier han.

Iføl­ge pro­fes­so­ren viser kore­ans­ke stu­di­er at for­bu­det mot ano­ny­mi­tet har ført til høy­ere andel uøns­ket inn­hold på net­tet, etter­som total nett­ak­ti­vi­tet har gått ned mens uøns­ket nett­ak­ti­vi­tet for­blir på sam­me nivå.

Dagens ord­ning er også lett å omgå, og det­te skal være en av grun­ne­ne til at kore­ans­ke myn­dig­he­ter nå revur­de­rer sys­te­met. Siden reg­le­ne bare gjel­der kore­ans­ke por­ta­ler, blir sys­te­met også kri­ti­sert for å dis­kri­mi­ne­re kore­ans­ke sel­ska­per.

Kina i Sør-Koreas fotspor

Kina går imid­ler­tid i mot­satt ret­ning, og inn­før­te i desem­ber et lik­nen­de iden­ti­fi­ka­sjons­sys­tem for mikro­blog­ging, noe bl.a. kom­mu­nist­par­ti­ets organ Fol­kets Dag­blad kal­ler et «steg i rik­tig ret­ning». Argu­men­te­ne er svært like dem som blir brukt i Sør-Korea. Avi­sen skri­ver at ano­nym mikro­blog­ging resul­ter­te i:

(…) wide­spre­ad irre­spon­s­ib­le remarks, served as soil and air for rumors and encoura­ged fake onli­ne per­son­as who mani­pu­lated Web opi­nions. (…) The new rules could chan­ge  the onli­ne  world  from  a bathroom  wall to a chann­el for ratio­nal expres­sion of  opi­nion.

Til­ta­ke­ne blir alt­så også i det­te lan­det fram­stilt som for­søk på å iva­re­ta den «legi­ti­me ytrings­fri­he­ten». Fra 1. januar 2012 ble reg­le­ne inn­ført også for man­ge beta­lings­sys­te­mer, bl.a. for kjøp av tog­bil­let­ter.

Man­ge blog­ge­re og hacke­re har den sis­te måne­den pro­te­stert mot de nye reg­le­ne, bl.a. ved å utfø­re angrep lik­nen­de dem som ble sett i Sør-Korea (se video). Håpet er at også kine­sis­ke myn­dig­he­ter skal se sik­ker­hets­pro­ble­me­ne sys­te­mer som kre­ver opp­be­va­ring av per­son­opp­lys­nin­ger med­fø­rer.

Kina kom­mer mye dår­li­ge­re ut enn demo­kra­ti­et Sør-Korea i Free­dom House sine vur­de­rin­ger av inter­nett­fri­het, og blir i 2011 beteg­net som «ikke fritt» (se rap­port om Kina – pdf ). Sør-Korea har til sam­men­lik­ning sta­tus som «del­vis fritt».

Bekymret for datasikkerhet i norske nettaviser

Fle­re nors­ke nett­avi­ser har den sis­te tiden inn­ført restrik­sjo­ner når det gjel­der ano­ny­me inn­legg i sine nett­de­bat­ter. Et av alter­na­ti­ve­ne som har vært dis­ku­tert, er å kre­ve at debat­tan­ter opp­gir hvem de er over­for redak­sjo­nen, men fram­står med pseu­do­nym utad.

Selv om ikke bru­ke­re vil måt­te opp­gi per­son­num­mer for å del­ta i nors­ke nett­avi­sers kom­men­tar­felt, vil end­rin­ge­ne like­vel føre til økt lag­ring av per­son­data hos nors­ke nett­avi­ser og deres sam­ar­beids­part­ne­re.

Tor­geir Water­house, direk­tør for inter­nett og nye medi­er i IKT-Nor­ge, mener at nett­avi­ser og lik­nen­de fora kan være inter­es­san­te mål for hacke­re.

— Det vil all­tid fin­nes aktø­rer som har inter­es­se av å vite hvem debatt­del­ta­ker­ne er, og som kan utnyt­te even­tu­el­le sik­ker­hets­bris­ter, sier han.

Water­house mener at der­som pres­sens kilde­vern skal gjel­de for de ytrin­ge­ne som skjer i kom­men­tar­felt og debatt­fora, er det natur­lig at også ansva­ret for det tek­nis­ke kilde­ver­net lig­ger hos redak­tø­re­ne.

— Der­som nett­de­batt skal sees på som en redak­sjo­nell tje­nes­te, så har redak­sjo­nen ansvar for å sik­re at dine data ikke kom­mer på avveie. Jeg blir ikke over­ras­ket der­som nors­ke redak­tø­rer ikke har reflek­tert sær­lig mye rundt den tek­nis­ke sik­ker­he­ten når de inn­fø­rer sli­ke ord­nin­ger, sier han.

Water­house under­stre­ker at han ikke sit­ter med detalj­kunn­skap om hvor­dan nors­ke nett­avi­ser og debatt­por­ta­ler opp­be­va­rer per­son­opp­lys­nin­ger, men han mener at pro­blem­stil­lin­gen bur­de dis­ku­te­res.

— Jeg er bekym­ret for at sik­ker­hets­ni­vå­et for sli­ke tje­nes­ter i dag nok er mer til­fel­dig enn det bur­de være, sier han.

TEMA

P

ersonve
rn

21 ARTIKLER FRA VOX PUBLICA

FLERE KILDER - FAKTA - KONTEKST

INGEN KOMMENTARER

KOMMENTÉR

Skriv en kommentar

Bidra til god debatt - skriv under fullt navn. Se våre kommentarregler.

Abonner på kommentarer
til toppen