Copy Link
Add to Bookmark
Report
Den Svenska Rapporten accepterar Nr. 13
____________________________________________________________________________
DEN SVENSKA RAPPORTEN
Nyheter inom Datasäkerhet och Informationsfrihet
Nr. 13/02
Februari 28, 1993
Innehåll:
Ledare.......................Del A
Brott........................Del B
Säkerhet.....................Del C
Månadens Datainspektion......Del D
Tele och Transmission........Del E
Piratkopiering...............Del F
Virus och Trojanska Hästar...Del G
Blandat samt Icke-Relaterat..Del H
Gamla Glömda.................Del I
Kontakta DSR!................Del J
____________________________________________________________________________
DEL A LEDARE DEL A
____________________________________________________________________________
Den Svenska Rapporten (DSR) är en oberoende elektronisk publikation som
främst rapporterar nyheter täckande följande områden: Datasäkerhet,
Tryckfrihet, Informationsfrihet, Personlig Integritet, Databrott och
näraliggande brott. Även nyheter inom Tele och Transmission / relaterade
brott rapporteras.
Ett index över alla artiklar publicerade i DSR, samt nycklar till källa,
nummer, sida, del, artikel-författare och datum finns även tillgängliga.
Den Svenska Rapporten accepterar utomstående informations-lämnare. Vem
som helst kan skriva för/lämna information till DSR. Skribenten/lämnaren
blir adderad som informations-lämnare, eller författare till artikeln (om
det är ett eget verk). Full diskretion om författaren/lämnaren så önskar.
Artiklar/information kan lämnas på de system som finns listade i slutet
av varje nummer av DSR samt även skickas till vår internet-adress.
Ett slutligt påpekande är att DSR inte fungerar som rättande instans,
och därför är alla artiklar oförändrade och i sitt ursprungsutförande.
Fel, stavningsfel eller rena faktafel står artikel-författaren själv för.
TC, DSR Chefred.
_____________________________________________________________________________
DSR 13/02 NYHETSINDEX DSR 13/02
_____________________________________________________________________________
B: BROTT
.............................................................................
Dataintrång Så Inåt Hälsingland..................................CS110406TT..
Polis Anmäld För Databrott.......................................CS110406TT..
Rånare Fick Hjälp Av Polis.......................................CS110406TT..
Sabotageplan Av Datortjuvar......................................CS110506TT..
Sabotageplan Av Datortjuvar......................................CS110606TT..
Fängelsestraff För Den Som Sprider Datavirus.....................CS110608AI..
Norska Hackare Kan Knäcka Bankomatkod............................CS110610AN..
Datorerna Stals Direkt...........................................CS110706TT..
Datortjuv Fick Tre År............................................CS110706TT..
.............................................................................
C: SÄKERHET
.............................................................................
Högteknologisk Terror............................................FR0293......*
Om Det Blir Krig - Känsliga Register Förstörs Eller Göms.........CS110407TZ..
Rättelse Om Datasäkerhetschefer..................................CS110408CS..
Hemliga Data Hotas Av Nya Exportregler...........................CS110410AN..
Skydda Macen Med AME 2.1.........................................CS110425TZ..
Kurserna Som Lär Dig Hantera Datavirus...........................CS110622AU..
Svenskt Datorstöldskydd..........................................CS110719CS..
Osäkert I Södertälje.............................................CS110804CS..
.............................................................................
D: MÅNADENS DATAINSPEKTION
.............................................................................
Rotation På Inspektionen.........................................CS110408CS..
Olaga Register I Nässjö..........................................CS110504CS..
AMS Får Inte Lagra Känslig Information...........................CS110504RB..
Slopa Personnummer Dyrt För Kommunerna...........................CS110604RBTZ
Kritik Mot Polisens Adresser.....................................CS110706RB..
Fritt Fram För Känsliga Personregister...........................CS110804TZ..
.............................................................................
E: TELE OCH TRANSMISSION
.............................................................................
Tele2 Vidgar Sina Nät............................................CS110624CS..
AT&T Ökar Vinsten Mer Än 50 Procent..............................CS1106-208TT
.............................................................................
F: PIRATKOPIERING
.............................................................................
Svart Marknad För Dataspel.......................................P3N93.......*
Förbjudet Kopiera För Hembruk....................................CS110608AN..
Varför Har Ni Inte Fått Fast Någon Piratkopierare?...............CS110708AS..
.............................................................................
G: VIRUS OCH TROJANSKA HÄSTAR
.............................................................................
Antivirus För Netware Och DOS....................................CS110728KJ..
.............................................................................
H: BLANDAT SAMT ICKE-RELATERAT
.............................................................................
Datarätt 93......................................................FOLDER......
.............................................................................
I: GAMLA GLÖMDA
.............................................................................
.............................................................................
_____________________________________________________________
av TC, Chefredaktör för Den Svenska Rapporten
förrutom de markerade med '*' vilka är inskickade
av informations-lämnare och rapportörer för DSR.
_____________________________________________________________
____________________________________________________________________________
DEL B BROTT DEL B
____________________________________________________________________________
DATAINTRÅNG SÅ INÅT HÄLSINGLAND: DSR (1/93)
Vaktbolagets avancerade och hemliga kamera avslöjade en person som
olovligen tog sig in i datasystemet hos ett företag i Söderhamn. Den avslöjade
var en 53-årig väktare - anställd av vaktbolaget. Företagets personal upptäckte
att någon olovligen tog sig in i datasystemet. Vaktbolaget fick i uppgift att
med en kamera avslöja intränglingen, uppger Hälsinge-Kuriren. Filmen visar att
53-åringen ägnade närmare trekvart åt datorn. Polisen har dock inte kunnat
förmå mannen att tala om varför han gjorde intrånget.
____________________________________________________________________________
____________________________________________________________________________
POLIS ANMÄLD FÖR DATABROTT: DSR (1/93)
En polisman i Norrbotten anklagas för att ha använt polisens dataregister
för att kontrollera personer som anställts i hans företag. Chefsjustitie-
ombudsmannen Claes Eklundh har nu beslutat att anmäla honom.
-Om uppgifterna är sanna är detta allvarligt. Därför anser vi att det ska
utredas, säger Birgitta Trädgårdh, som handlagt ärendet, till TT. Polismannen
är en av fem delägare i företaget. En tidigare VD hävdade förra året i en
JO-anmälan att denne gång på gång använt polisens dataregister för kontrollera
om de som anställdes hade haft något otalt med rättvisan.
-Han har själv på ett styrelsemöte berättat att han kollat upp två
personer som är medlemmar i styrelsen, skrev den tidigare VDn i sin JO-anmälan.
Han har också öppet berättat att han kontrollerat personer, som varit anställda
i företaget, hette det vidare. Anmälaren lämnar namn på två personer, som han
hävdar kan styrka anklagelserna. JO har skickat anmälan till regionåklagaren
i Luleå.
____________________________________________________________________________
____________________________________________________________________________
RÅNARE FICK HJÄLP AV POLIS: DSR (1/93)
En 31-årig polisassistent i Stockholm åtalas för dataintrång, sekretess-
brott och tjänstefel. Polismannen har gjort datasökningar i flera polisregister
på minst fem personer med anknytning till det så kallade Gorby-rånet mot S-E-
Banken vid Odenplan för två år sedan. Datasökningarna misstänks vara ett
beställningsjobb från kretsen kring rånarna. För dessa är det självfallet en
fördel att få veta om polisen är dem på spåren. I förhör har polismannen
pressats på om han fått betalt för uppgifterna för att kunna sanera sin
ekonomi. Han har tidigare haft en kontokortsskuld på närmare 40 000 kronor.
Polismannens sökningar har loggats av datorsystemet. Ställd inför detta
faktum har han tvingats medge att han slagit på namn som inte haft något med
hans tjänst att göra, vilket är förbjudet.
____________________________________________________________________________
____________________________________________________________________________
SABOTAGEPLAN AV DATORTJUVAR: DSR (2/93)
När polisen i Jönköping slog till mot en stöldliga hittade de inte bara
stulna datorer, utan också redskap för betydligt allvarligare brott än stöld.
En av de inblandade männen hade i sin lägenhet, förrutom stulna datorer,
sprängmedel, rånarluvor och en handbok i sabotage.
-Efter omfattande datorstölder dick vi till slut tips om den här lägen-
heten, säger Hans Rudin vid Jönköpingspolisen.
____________________________________________________________________________
____________________________________________________________________________
SABOTAGEPLAN AV DATORTJUVAR: DSR (2/93)
När polisen i Jönköping slog till mot en stöldliga hittade de inte bara
stulna datorer, utan också redskap för betydligt allvarligare brott än stöld.
En av de inblandade männen hade i sin lägenhet, förrutom stulna datorer,
sprängmedel, rånarluvor och en handbok i sabotage.
-Efter omfattande datorstölder dick vi till slut tips om den här lägen-
heten, säger Hans Rudin vid Jönköpingspolisen.
Sabotageförberedelserna nämndes det dock inget om i tipset.
____________________________________________________________________________
____________________________________________________________________________
FÄNGELSESTRAFF FÖR DEN SOM SPRIDER DATAVIRUS: DSR (2/93)
Straffen kommer sannolikt att skärpas betydligt för olika datarelaterade
brott. Att sabotera datasystemet som styr 90 000-numret kan faktiskt ge
livstids fängelse. Utredningen har valt att utgå från de brott som idag
gäller för fysiska föremål. Det finns bestämmelser i datalagen som förbjuder
dataintrång. Denna regel överförs till brottsbalken och moderniseras. Att
"bereda sig tillgång till data för automatisk databehandling" ska betecknas
som informationsintrång och kan ge böter eller fängelse upp till två år.
Om hackaren går ett steg till och förstör eller förändrar data blir det
i stället fråga om skadegörelse. Tidigare har det varit osäkert om brottet
har kunnat avse något annat än fysiska föremål. Brottet beskrivs som att
utplåna, ändra eller undertrycka data för automatisk informationsbehandling.
Det krävs inte att data eller medium faktiskt raderas eller förstörs. Att
flytta information eller ändra en pekare är tillräckligt.
Fängelse för sabotage
Riktar sig skadegörelsen mot mycket viktiga system, till exempel försvar,
folkförsörjning, system av betydelse för rikets säkerhet och liknande kan
brottet i stället rubriceras som sabotage. Straffet kan bli fängelse upp till
fyra år. Är det mycket allvarligt, till exempel i form av angrepp på viktiga
försvarssystem, 90 000-numret och liknande, kan det även vara grovt sabotage.
Straffet kan faktiskt bli livstids fängelse. En helt ny reglering gäller så
kallad RÖS-strålning (till exempel från bildskärmar). Det finns en lucka
i lagen vad gäller avlyssning av RÖS. Etern är i princip fri enligt radio-
lagstiftningen. Nu ska den som tar del av RÖS-signaler kunna dömas för
informationsintrång.
Virusspridning straffbart
Det föreslås bli brottsligt att framställa eller sprida virus. Lagtexten
tas in i samma avsnitt som regleringen av till exempel spridande av gift och
smitta. Utredningen ser således allvarligt på virusproblemet. Skyddet är
mycket vitt och gäller till exempel om någon för in virusinfekterade program
på en elektronisk anslagstavla (BBS) eller om någon distribuerar disketter
som innehåller virus. Även spridning på grund av vårdslöshet är straffbart.
En avställd som, trots arbetsgivarens förbud, installerar ett smittat program
från en BBS i en dator på arbetsplatsen kan alltså straffas för detta. Det har
länge förts en debatt om huruvida elektroniska dokument ska anses vara lik-
värdiga med traditionella pappersdokument. Det straffrättsenliga skyddet för
elektroniska dokument är en väsentlig del av en sådan acceptans. Hittills har
det bara funnits lagstiftning som skyddar pappersdokument mot förfalskning,
det vill säga att dokumentets utställare är en annan än vad som anges. Som
exempel kan nämnas förfalskningar av checkar eller pass.
Äkthetskontroll
Förfalskningsbestämmelserna ska utvidgas så att de omfattar även
meddelanden i form av data eller automatisk informationsbehandling. För
det krävs att det elektroniska dokumentet ska ge möjlighet till kontroll
av att det faktiskt är äkta. Det ska framgå vem som avsände och står för
dokumentet. Precis som i till exempel tulldatasystemet innebär detta att
man måste använda en teknik som "låser" informationen i dokumentet till
en viss avsändare. Till exempel kan olika tekniker och programvaror för
digital signatur användas. Så länge en sådan teknik används är det lika
straffbart att förfalska datorlagrad information som att förfalska en
check. För dokumentförfalskning riskerar gärningsmannen fängelse upp till
två år. Utredningen innebär också att elektroniska dokument ska kunna
gälla civilrättsligt som avtal. Detta är viktigt för de företag och myndig-
heter som idag använder EDI och som frågar sig om deras system är juridiskt
accepterade.
Att tillverka ett datavirus:
----------------------------
Straff idag: Enligt utredningens förslag:
Inget alls. Såvida det inte går Böter eller fängelse i upp till
styrka att handlingen utgör en två år. Om brottet anses grovt
förberedelse för brott. kan det bli fängelse från sex
månader upp till sex år.
Att sprida datavirus:
---------------------
Kan ev. anses som skadegörelse, Fängelse i upp till två år. Om
som kan ge upp till sex månaders brottet anses grovt kan det bli
fängelse. Rättsläget är dock oklart. ända upp till sex års fängelse.
Att olovligen bryta sig in i ett datasystem:
--------------------------------------------
Upp till två års fängelse, enligt Upp till två års fängelse. Skillna-
datalagens 21 paragraf. den är att gärningen flyttas in
under brottsbalkens paragrafer.
Dataintrång där information förstörs:
-------------------------------------
Dataintrång och skadegörelse som kan Upp till två års fängelse för data-
ge upp till två års fängelse. skadegörelse. I extremfallet, om
brottet anses mycket grovt, kan det
bli fråga om livstids fängelse.
Att avlyssna RÖS-signaler:
--------------------------
Inget alls. RÖS-avlyssning ska kunna betraktas
som informationsintrång, vilket kan
ge två års fängelse.
Att göra husrannsakan i en BBS:
-------------------------------
Åklagare kan i vissa fall besluta om Åklagarna ska få möjlighet att
husrannsakan i den lokal där BBSen besluta om husrannsakan i en BBS
finns. också via telenätet.
Att inneha ett "lösenordknäckarprogram":
----------------------------------------
Inget. Ska kunna betraktas som förberedelse
till informationsintrång, som kan ge
fängelse i upp till två år.
____________________________________________________________________________
____________________________________________________________________________
NORSKA HACKARE KAN KNÄCKA BANKOMATKOD: DSR (2/93)
För att knäcka en uttagsautomat behöver man bara ha tillgång till själva
kortet, hävdar tidningen Computerworld Norge. Men när tidningen ville demon-
strera knepet hotade norska banker med polisanmälan. En vecka senare tog
norska hackers ut pengar i en uttagsautomat med ett förfalskat kort.
-Om Computerworld så mycket som kopierar ett kort kommer jag att anmäla
er, hotade Tom Nilsen, säkerhetschef på norska banken DnB. I sista minuten
stoppades ett försök att demonstrera hur man knäcker den personliga koden,
PIN-koden, till ett uttagsautomatkort enbart med hjälp av en kortläsare.
Slaktad bankomat
Sakkunskapen skulle tillhandahållas av en grupp norska hackers, som för en
förvånad reporter från vår norska brodertidning visade upp hela innanmätet till
en norsk uttagsautomat. Hur de hade fått tag i den vägrade hackarna att tala
om, men de hävdade att Eprom-korten i automaten innehåller tillräcklig infor-
mation för att kortkoder ska kunna avslöjas. Tidningen övertalade norska banker
att ställa upp på en demonstration av hur man gör, men i sista minuten in-
ställdes försöket. Banken DnB vägrade att låna ut erfoderlig utrustning till
Computerworld Norge, och hotade dessutom med polisanmälan. Norska polisen var
oförstående inför bankens reaktion:
-Så länge som avsikten är att avslöja en säkerhetsrisk kan jag inte se
något tokigt i att man gör försök med ett kort. Bankerna borde själva ha
intresse av detta. säher Lars Oftedal Broch, chef för ekoroteln i Oslo.
En representant för Secret Service, den myndighet i USA som utreder denna
typ av brott, kritiserar i norska Computerworld bankerna för att sticka
huvudet i busken.
"Oansvarigt"
-Deras hållning är oansvarig och drabbar de norska korthavarna, säger
Robert Degen, som samtidigt medger att norska bankomatkort är knepigare att
knäcka än exempelvis kontokort. Bankernas officiella inställning är emellertid
att bankomatkoden inte kan knäckas alls. Om en tjuv lyckas ta ut pengar med
ett stulet uttagsautomatkort utgår bankerna, liksom i Sverige, från att ägaren
har slarvat med koden. Norska "bankklagenemnden" vägrar ta upp klagomål från
bestulna kunder som förnekar att de slarvat med koden, utan hänvisar dem till
domstol.
-Vi vet inte om det är tekniskt möjligt att avslöja koden med hjälp av
programvara, säger Finn Tveter på nämnden. Det anser emellertid norska
Computerworld. I slutet av januari skedde, enligt tidningen, ett uttag med
ett kopierat kort i en uttagsautomat i Oslo. Originalkortet var ett "smart"
kort med inbyggt mikrochips. Kopian saknade mikrochips, men innehöll samma
information som originalkortet på magnetremsan. Uttagsautomaten saknade inte
chipset, utan betalade ut pengarna.
"Det kan inte hända här"
-Den fyrsiffriga koden finns bara i en databas någonstans, säger Sture
Bråsjö på svenska Bankomatcentralen. Det finns ingen information på kortet
som kan avslöja den. Samma gäller för Sparbankernas Minuten-kort. Det är
givetvis Stur Bråsjös jobb att förneka möjligheter till missbruk. Men det
finns ingen anledning att tvivla på hans ord. Norska uttagsautomater är inte
som svenska (eller danska). I Norge finns koden på kortet, i Sverige lagras
de i en central databas. De fall som anmäls av oförklarliga uttag från
bankautomater har naturliga förklaringar, säger C-G Bratt på finansinspek-
tionen. Det kan vara någon i kortinnehavarens närhet som på något sätt kommit
över koden.
____________________________________________________________________________
____________________________________________________________________________
DATORERNA STALS DIREKT: DSR (2/93)
Bara en dag hann eleverna vid Vasagymnasiet i Arboga använda de nya
datorerna. Sedan stals de. Vid ett inbrott under helgen 6-7 februari försvann
samtliga åtta nya datorer, värda cirka 100 000 kronor. Kvar i salen fanns
bara skrivmaskiner och datorer av äldre modell.
____________________________________________________________________________
____________________________________________________________________________
DATORTJUV FICK TRE ÅR: DSR (2/93)
Tre års fängelse för grov stöld blev domen för en man som stulit datorer
för miljonbelopp i Jönköping. Hans medbrottsling dömdes till skyddstillsyn.
Tillsammans dömdes de båda också att betala skadestånd. Tingsrätten friade
mannen från åtalspunkten förberedelser till grovt sabotage.
____________________________________________________________________________
DEL C SÄKERHET DEL C
____________________________________________________________________________
HÖGTEKNOLOGISK TERROR: DSR (1/93)
Bild: Man vid dator med oidentifierat instrument och en skrivare.
Bildtext: Högteknologisk terror: Omedvetet kan den som är behörig
datoranvändare sprida datavirus om viruset har placerats i
systemet.
Spridandet av datavirus måste kriminaliseras. Maximistraffet bör vara sex
års fängelse. Det föreslår datastraffrättsutredningen.
Hovrättslagmannen Bengt Malmström fick 1989 den förra regeringens uppdrag
att utreda rätts- och myndighetsfrågor med anknytnig till data- och tele-
teknikens utveckling (kommittédirektiv 1989:54; R&D 1990:2). Utredaren
konstaterar att virusspridning tidigare "betraktades mera som utslag av okynne
än allvarlig skadegörelseavsikt". Men undan för undan har datavirusen blivit
allt svårare att värja sig mot. I ett fall i USA angreps mer än än 6000
datorer.
Smyga in en sprängladdning
Vissa virus kan till och med omedvetet spridas av behöriga datoranvändare
när de väl inplanterats i ett system.
-Alldeles omöjligt är det inte att härvidlag jämföra med det fallet att
gärningsmannen smyger in en sprängladdning i det bagage som en oskyldig
flygplanspassagerare bär ombord, skriver utredaren och framhåller att
datavirus "till och med beskrivits som ett slags högteknologisk terrorism".
Datavirusen motverkar den nya informationsteknologins utbredning, bland
annat genom att omfattande resurser måste investeras i antivirusprogram och
genom att myndigheter av rädsla för virussmitta kan tänkas göra hittills
öppna datasystem slutna, anser utredaren. För normalfallet av spridande av
datavirus bör straffet vara böter eller fängelse i högst två år. I grova fall
föreslås lägst sex månaders och högst sex års fängelse. Vidare bör maximi-
straffet för dataintrång höjas från två till fyra år, föreslår utredaren.
Maximistraffet ska kunna utdömas för skadegörelse på data som "medfört
betydande ekonomiska förluster".
Livstids fängelse
Utredaren förordar dessutom en språklig justering i brottsbalken så att
fler typer av datasabotage mot rikets säkerhet straffbeläggs enligt brotts-
balken 13:5. Grovt datasabotage mot rikets säkerhet kan redan idag ge livstids
fängelsestraff. Det rättsliga skyddet mot förfalskning av datadokument föreslås
bli knutet till den i näringslivet redan vanliga metoden att ge färdiga
dokument "datalås" som reagerar vid manpulering. Därmed kan fall av urkunds-
förfalskning lätt upptäckas.
Avmonopoliseringen av televerkets verksamhet föranleder en anpassning av
bestämmelserna om hemlig telefonavlyssning och teleövervakning. Husrannsakan
bör få utföras för att komma åt digitala anslagstavlor, som ger avancerad
information om hur man går tillväga vid brott.
Åberopa datahandling
Utredaren anser också att domstolar, när handlingar som varit föremål för
databehandling åberopas som bevismaterial, måste "beakta om något fel kan
antas ha förekommit i samband med informationsbehandlingen". Begreppet
"skriftlig handling" i rättegångsbalken föreslås ersatt med "handling". Detta
för att begreppet ska inrymma alla typer av handlingar som kan framställas med
hjälp av den nya informationsteknologin. En lag som förbjuder tillverkning,
import, överlåtelse och installation av piratdekodrar föreslås också. Maximi-
straffet för brott mot lagen blir sex månaders fängelse. Enbart innehav av en
piratdekoder som tar emot kodade TV-sändningar blir dock inte straffbart,
enligt förslaget.
Tillfredställande kontroll
I aktiebolagslagen bör införas bestämmelser om att styrelsen har ansvaret
för att den automatiska informationsbehandlingen kontrolleras på ett tillfreds-
ställande sätt. Slutligen anser utredaren att en tidsbegränsad lag bör införas
som tvingar flygbolag att lämna ut uppgifter ur ADB-baserade kundregister.
Begäran om uppgifterna får beslutas av domstol i syfte att avslöja brott som är
belagt med minst tvåårigt fängelsestraff. I ett särskilt yttrande motsätter sig
experten tillika hovrättsassessorn Ingela Halvorsen att polisen och tullen på
detta sätt ska kunna få tillgång till flygbolagens passagerarlistor. Hon anser
att det för passagerarna utgör ett "allvarligt integritetsintrång och hör inte
hemma i ett öppet och demokratiskt samhälle."
:::: Information Lämnad av Anonym ::::
____________________________________________________________________________
____________________________________________________________________________
OM DET BLIR KRIG - KÄNSLIGA REGISTER FÖRSTÖRS ELLER GÖMS: (DSR 1/93)
Flera stora dataregister ska förstöras eller gömmas på hemlig plats
om Sverige ockuperas av främmande makt. Det är innebörden av en ny lag som
börjar gälla i sommar. Om det blir krig ska "den brända jordens taktik" inte
bara tillämpas på broar och järnvägar, utan även på dataregister.
Idag finns ingen lagparagraf som reglerar vad som ska hända med alla
stora dataregister om det skulle bli krig eller om Sverige ockuperas. Den
nya lagen om "undanförsel och förstöring", som riksdagen nyligen beslutat
om, är tänkt att fylla det tomrummet. Bakgrunden är ett betänkande från
Sårbarhetsutredningen från 1983. Där påpekades det borde finnas en särskild
lag som garanterar att känsliga dataregister inte hamnar i en eventuell
ockupationsmakts händer. Nu, drygt tio år senare, har lagen manglats färdigt
i det byråkratiska maskineriet.
-Men trots att vi nu får den här lagen, så återstår ändå massor av arbete.
Vi får sätta igång att anpassa de föreskrifter som redan finns till den här
nya lagtexten, säger Marianne Ahlström, chef för den avdelning inom Över-
styrelsen för civil beredskap, ÖCB, som arbetar med samhällets ADB-säkerhet.
ÖCB är den myndighet som i förarbetena till den nya lagen anges som den
myndighet som får ett övergripande ansvar för att planera och förbereda
förstörandet av dataregistren.
Vilka register förstörs?
Det finns inte någon som vet exakt vilka dataregister som ska förstöras
eller gömmas om det blir krig. Den nya förstörelselagen ger inte mycket väg-
ledning på den punkten. Det talas bara allmänt om dataregister som "om de
faller i en angripares hand skulle underlätta dennes krigsansträngningar".
Sårbarhetsutredningen gör i sitt betänkande från 1983 en ganska bred av-
gränsning av vilka dataregister som bör omfattas av förstörelselagen och anger
tre olika huvudkategorier:
* Dataregister som berör rikets försvar och säkerhet.
* Dataregister som rör rikets ekonomi och ekonomiska försvar.
* Dataregister som berör enskilda individers personliga säkerhet.
Frågan om ansvarsfördelning är inte heller särskilt tydlig i den nya
lagen, menar Marianne Ahlström på ÖCB. Är det den enskilda myndigheten som
ansvarig för att besluta om vilka dataregister som ska förstöras? Eller är
det ÖCB eller någon annan myndighet som ingår i civilförsvarsorganisationen.
-Våra förhoppningar på lagen var kanske lite högre ställda när det gäller
precisering av ansvarsfrågan, säger Marianne Ahlström. Sårbarhetsutredningen
går igenom möjligheterna att undvika att viktiga dataregister hamnar i en
ockupationsmakts händer. Att gömma dataregistren blir kanske inte alltid så
lätt, menar utredarna. Höga säkerhetskrav måste ställas på trabsporter och
på de mottagningslokaler där de känsliga datamedierna ska hållas gömda. Bland
annat diskuteras radering och kryptering. Men, sammanfattar utredarna, "fysisk
förstöring är den avgjort tillförlitligaste och mest realistiska metoden".
____________________________________________________________________________
____________________________________________________________________________
RÄTTELSE OM DATASÄKERHETSCHEFER: DSR (1/93)
I en artikel i förra numret berättade vi om en kartläggning av data-
säkerhetschefers arbetsuppgifter som Stockholms universitet genomför. På
ett ställe stod felaktigt att rikspolisstyrelsen och SIC-Security engagerats
för att garantera anonymiteten i en enkät till datasäkerhetscheferna.
Anonymiteten garanteras i stället genom att enkäten består av kryssfrågor
som inte kan kopplas ihop med individer eller företag. Förtryckta svars-
kuvert bifogas för att garantera att avsändaradressen inte ska kunna
identifieras.
____________________________________________________________________________
____________________________________________________________________________
HEMLIGA DATA HOTAS AV NYA EXPORTREGLER: DSR (1/93)
Krypterade data är inte längre säkra. På några timmar knäcker man den
vanligaste kryptometoden i USA. Bush-administrationen tvingade nämligen
tillverkarna av krypteringshårdvara att begränsa nycklarnas längd.
-Jag är hemligare än dej, som Gösta Ekman sa i kön till de hemliga
agenternas lunchrum. Hemligast av alla är USAs regering, som inte vill ge
andra länder tillgång till de mest svårforcerade krypteringsmetoderna -
det skulle nämligen göra det omöjligt för FBI att avlyssna kommunikationer
mellan narkotikahandlare och andra skummisar. Men Bush-administrationens
åtgärder för att begränsa hemlighetsmakeri i andra länder har slagit tillbaka
på USA. Nu protesterar USAs datasäkerhetsråd, ett samarbetsorgan för stat
och industri.
65 000 gånger enklare
Det avtal som USAs regering slöt i juli 1992 med Software Publishers
Association, SPA, om begränsningar i exporten av krypteringsteknik för
allmänt bruk begränsade bland annat längden på nycklarna till 40 bitar,
mot tidigare 56 bitar. Varje bit som tas bort i nyckeln halverar i princip
forceringstiden, så grovt räknat innebär de kortare nycklarna att man kan
dekryptera ett meddelande på en 65 000-del av tiden. Skillnaden blir dock
mindre om man arbetar med mer avancerade dekrypteringsprogram. Banker och
företag fruktar nu att deras affärshemligheter blir alltför lätt åtkomliga
för industrispioner och crackers. För inhemskt amerikanskt bruk är det
visserligen fortfarande tillåtet med 56-bits nycklar, men i datasäkerhets-
rådet räknar med att 40-bitars nycklar blir standard, eftersom företagen
inte vill utveckla två versioner av samma system. Och ett meddelande som
krypteras med en 40-bitars nyckel kan knäckas på cirka tre timmar. Den
bedömningen gör Stephen Walker, VD för Trusted Information Systems i
Glenwood i Maryland. Erfoderlig utrustning är ett system med hundra mikro-
processorer, som kan anskaffas för cirka 300 000 kronor. Digital har ett
chips under utveckling som kan göra samma jobb på 18 minuter.
-Jag blev ganska rädd när jag började undersöka det här, kommenterar
Walker. Med 56-bitars nyckel, däremot, räknar Walker med att hans 100-
processormaskin behöver 23 år för att bryta koden. Mjukvaruföretag som
Novell och Microsoft tillbakavisar Walkers analys, och hävdar att han
underskattar svårigheterna. De påpekar också att hans bedömning möjligen
kan gälla krypteringsstandarden sedan 15 år, DES, men inte för de snabbt
växande nya RSA-algoritmerna RC2 och RC4, som ännu inte finns som hårdvara.
Men kryptoteknikern Ragnar Eriksson på rikspolisstyrelsens säkerhetsavdelning
gör delvis samma bedömning som Walker.
-En 40-bitars nyckel bör man kunna knäcka på tre timmar. De krypterings-
algoritmer som jag själv utvecklat har aldrig haft kortare nycklar än 128
bitar.
Företagen bekymrade
Ragnar Eriksson gör dock reservationen att detta gäller för DES, inte för
RSA-algoritmerna. Han påpekar också att 40-bitars-beräkningen bara gäller
krypteringschips.
-Specifikationerna för DES är offentliga. Med hjälp av dem kan man skriva
sin egen DES-algoritm i C, och då kan man göra nyckeln så lång som man själv
vill. Oavsett om Walker har räknat rätt är många företag bekymrade.
-Det handlar inte om huruvida han har rätt eller fel, kommenterar Alan
Eldridge, som utvecklar säkerhetsfunktioner på Iris Associates, företaget
som tog fram Lotus Notes åt Lotus. Användarna gör liknande beräkningar och
får liknande resultat. Vi har fått många klagomål. Bush-regeringen vägrade
lyssna, och 40-bitarsgränsen gäller än.
FAKTA: Kryptering, Standard i 128 bitar
* DES, Data Encryption Standard, är amerikansk standard för kryptering
sedan 15 år. Den utvecklades för försvaret och hade ursprungligen en
nyckel på 64 bitar, numera 128 bitar. Specifikationerna för DES är
offentliga, så varje programmerare kan skriva en egen DES-algoritm
med valfri nyckellängd.
* DES används bland annat i bankvärlden, då med 56-bitars nyckel.
Algoritmen bygger på att avsändare och mottagare har samma hemliga
nyckel.
* De nya RSA-algoritmerna har däremot på en så kallad offentlig
nyckel, alltså inte hemlig. Man kan inte forcera det krypterade
meddelandet med den offentliga nyckeln, utan för det krävs en
annan, hemlig nyckel.
____________________________________________________________________________
____________________________________________________________________________
SKYDDA MACEN MED AME 2.1: DSR (1/93)
Säkerhetssystemet AME för Macintosh hindrar att obehöriga kommer åt
information i Macintosh-datorer. I den senaste versionen AME 2.1 går det
att ansluta en liten lösenordsgenerator. Tanken är att varje användare
ska äga varsin. Lösenordsgeneratorn räknar fram ett nytt lösenord för
varje inloggning, med hjälp av samma algoritm som i datorn. Finessen är att
användaren inte behöver komma ihåg sitt lösenord och på så vis unviks de
ofta alltför lättknäckta lösenorden. Med AME kan man definiera identifierings-
rutinerna och behörighetsnivån i systemet för varje enskild användare. Dessutom
för AME logg över alla aktiviteter i systemet. AME ser också till att alla
data i Mac-systemet krypteras innan de lagras på hårddisk.
____________________________________________________________________________
____________________________________________________________________________
KURSERNA SOM LÄR DIG HANTERA DATAVIRUS: DSR (2/93)
Säkerhetskurser där man får testa virus i praktiken är ett oslagbart
sätt att få folk att bli skraja. Om man dessutom i praktiska övningar visar
hur lätt det är att göra intrång i en PC förstår man att det också kan
vara lätt att tjäna pengar på datasäkerhet. Det är Q & A Informatik och
Roger Gustafsson som står för ledningen av kurserna.
När en PC-kännare av Roger Gustafssons kaliber ger sig på en PC är det
inte troligt att han lämnar maskinen förrän han lyckats forcera samtliga
hinder. Därmed inte sagt att alla ska gå på Gustafssons och Q & A Informatiks
kurser. De vänder sig till dem som är säkerhetsansvariga på ett praktiskt plan.
Bra med virus
Gustafsson har ett sunt förhållningssätt till säkerhet och virus. Han
menar att på en skola kan ett virusangrepp vara lärorikt och bra, samtidigt
som det kan innebära konkurs för ett säkerhetsföretag. Roger Gustafssons
uppsyn bekräftar ens fördomar om hur en datahacker ser ut: mager och blek,
men dock inte inbunden. Han är en utmärkt pedagog. Han anser också att det
inte räcker med att vara tekniskt kunnig, då framstår man som en "datadåre".
Det är också viktigt med det som han kallar traditionell datasäkerhet, det
vill säga behörighetssystem och liknande. Det går inte att hålla sig med
säkerhetssystem som bygger på en rad krångliga rutiner. Det måste vara lätt
att hantera PCn säkert. Roger Gustafssons kurs i PC-säkerhet bygger på den
bok som han gav ut i våras under namnet "PC-säkerhet ha-ha-ha!". Utgångs-
punkten för hans resonemang är att PC-säkerheten är en illusion. Det är sant
så till vida att det aldrig går att skydda sig hundraprocentigt. Det är en
utgångspunkt som måste finnas i bakhuvudet när man sysslar med mycket känslig
information. Tillfredsställande säkerhet på en lägre nivå är däremot fullt
möjlig.
Virusövningar
Q & A Informatiks andra kurser handlar dels om dataåtervinning, dels om
praktiska övningar med virus. Även dessa kurser förefaller efter en demonstra-
tion mycket instruktiva och förutsätter att DOS sitter i ryggmärgen. Avancerad
dataåtervinning bygger på problemlösning som i sin tur förutsätter att man
vet hur en boot- och en rotsektor bör se ut. Likväl som att FAT-informationen
på en skiva ska se ut på ett visst sätt. Det handlar alltså om dataåtervinning
på en djupare nivå än vad Norton och liknande program förmår gå. Under virus-
lektionerna delar läraren Mikael Larsson ut virus på disketter som han uppmanar
oss att ladda in i lektionssalens PC. Han instruerar oss i hur man snabbast
infekterar filer så att vi ska få se effekterna, och de uteblir inte! Några
är färgglada, andra stökar omkring med tecknen på skärmen och så vidare.
Oproportionerligt stor tid läggs ner på virusövningarna som dock är spännande.
En av Q & As lärare, Erik Åberg, menar att fel man råkar ut för till 15 procent
beror på felaktigt handhavande, 45 procent på felaktigheter i programmen och
40 procent på felaktigheter i hårdvaran. Virusfelen ingår som en mindre del-
mängd i programfelen.
Säkra kurser
Q & A Informatik och Roger Gustafssons data samarbetar om följande kurser:
* Virus och antivirus, Datarecovery och PC-säkerhet. Alla kurserna
är på en dag (grundkurs) eller två dagar (grundkurs + fortsättningskurs).
Två dagar kostar 6 900 kronor exklusive moms.
____________________________________________________________________________
____________________________________________________________________________
SVENSKT DATORSTÖLDSKYDD: DSR (2/93)
GRW produkter i Njurunda säljer ett datorlås som sätts in i diskett-
stationen. Två kraftiga metallplattor skjuts in på samma sätt som en vanlig
diskett och de låses sedan samman med ett hänglås. I hänglåset kan en vajer
fästas som sedan kan viras runt ett fast föremål så att datorn inte kan
flyttas. I och med att låset sitter i diskettstationen kan datorn inte heller
plundras på information eller smittas av virus via en diskett. Med vid
leveransen finns även en platta som kan fästas i bordet så att datorn säkert
står kvar.
____________________________________________________________________________
____________________________________________________________________________
OSÄKERT I SÖDERTÄLJE: DSR (2/93)
Fel personer kan betala ut pengar från kommunens konton om användarna
av Södertälja kommuns betalningssystem, Easy direct, inte loggar ut ordentligt
eller om systemet går ner. Under normala förhållanden finns det bra skydd mot
felaktiga utbetalningar, men det räcker inte, anser kommunrevisorerna. De
tycker inte heller att det är ett bra förslag att två personer måste beordra
en elektronisk utbetalning.
-Med tanke på kommunens ekonomiska läge är det inte lämpligt med rutiner
som innebär att det behövs fler personer till en arbetsuppgift, säger en av
revisorerna till Länstidningen i Södertälje. Kommunens revisorer påtalade
bristerna diskret för ett och ett halvt år sedan, för att systemet inte
skulle missbrukas så som de befarade. Men kommunledningen har inte vidtagit
några åtgärder. Nu går revisorerna ut offentligt för att få ordning på torpet.
____________________________________________________________________________
DEL D MÅNADENS DATAINSPEKTION DEL D
____________________________________________________________________________
ROTATION PÅ INSPEKTIONEN: DSR (1/93)
Leif Lindgren, tidigare biträdande verksjurist i Datainspektionen, har
avancerat och utnämnts till dess chefsjurist. Hans kollega Ingela Halvorsen
stannar inte heller som verksjurist, utan har utnämnts till dataråd. Ytter-
ligare ett dataråd ska anställas.
____________________________________________________________________________
____________________________________________________________________________
OLAGA REGISTER I NÄSSJÖ: DSR (2/93)
Av totalt 34 tillstånd för personregister var 24 felaktiga. Inte ett enda
register uppfyllde kommunens säkerhetspolicy. Det kom utredaren Bo Ahlqvist
fram till när han undersökte Nässjö kommuns dataregister. Anledningen kan vara
att kommunen sedan en tid kör systemen lokalt i stället för hos Kommundata.
-Kommunen ansvarar därför själv för tillstånden, säger Ahlqvist till
Smålands-Tidningen.
____________________________________________________________________________
____________________________________________________________________________
AMS FÅR INTE LAGRA KÄNSLIG INFORMATION: DSR (2/93)
Datainspektionen (DI) säger nej till AMS krav att få lagra känslig
information. DI vill att regeringen stiftar en särskild lag och utfärdar
provisoriskt tillstånd till 1 mars 1994. AMS tycker DIs handläggning av
ärendet har varit "sen" och att beslutet förhindrar en effektiv plats-
förmedling.
-Nu kan vi inte bli så effektiva som vi hade hoppats på, säger projekt-
ledare Gerd Stangered, ansvarig för AF90:2 på AMS. Hon och de mer än 6 000
användarna av platsförmedningssystemet AF90:2 på landets platskontor och
länsarbetsnämnder hade hoppats på att få lagra så mycket information som
möjligt i det nya systemet. Meningen var att platsförmedlingen skulle ske
"papperssnålt". Därför ville AMS lagra informationen i fritextfält, bland
annat känsliga uppgifter om arbetshandikapp. Det säger nu Datainspektionen
blankt nej till. Motiveringen är att det behövs en särskild lag som reglerar
"samhällets behov av en effektiv arbetsförmedling och risken för intrång i
den personliga integriteten". Landets 24 länsarbetsnämnder anvarar nu inför
lagen att ingen känslig information åker in i AF90:2. AMS tycker att hand-
läggningen av ärendet har gått trögt.
-Vi lämnade en ansökan för ett år sedan. Det är tråkigt att DI reagerade
så sent, säger Gerd Stangered.
-Vi fick inte det underlag vi begärde förrän i december förra året,
säger Marcus Miettinen, handläggare på DI.
____________________________________________________________________________
____________________________________________________________________________
SLOPA PERSONNUMMER DYRT FÖR KOMMUNERNA: DSR (2/93)
Först förbjöds Svalövs kommun att använda personnummer på räkningar
och inbetalningskort. Nu har Datainspektionen utfärdat liknande förbud i
ytterligare tre kommuner. Ännu fler förbud är att vänta. Minst hundra
kommuner kör samma typ av datasystem som de som hittills fått förbud.
Förra året skärptes reflerna för användning av personnummer i dataregister.
Datainspektionen, DI, anser att kommunerna, trots regeländringarna, fortsätter
att använda personnummer, alltför frikostigt i sina dataregister.
-Vi siktar på att få bort personnumren helt och hållet från alla
register där inte absolut behövs, säger Charlotte Kavtaradze, byrådirektör
på DI. I förra veckan beslutade DI att socialnämnden i Svalövs kommun efter
den 1 juni inte får använda personnummer när de skickar ut räkningar och
inbetalningsblanketter till kommuninvånarna. Fram till dess måste räkningar
som innehåller personnummer skickas i igenklistrade kuvert. Dessutom måste
kommunen för hösten ha undersökt hur de ska göra för att helt stryka alla
personnummer i det register som används för att ta fram räkningar och in-
betalningskort. Kenneth Gravin, socialchef i Svalövs kommun, har "inte en
aning" om hur han ska få bort personnumren i dataregistret.
-De datarutiner som vi utnyttjar finns rent fysiskt hos Kommundata.
Allting sköts därifrån. Vi har ingen möjligt att gå in och styra där. Vi
står oss slätt om vi ska försöka ändra på det här själva, säger han.
Dyra ändringar
-Vad jag förstått kan det här bli väldigt dyra ändringar för Kommundata.
Men de kostnaderna tar de väl ut av kunderna. Så visst drabbar det här
kommunerna ekonomiskt i slutändan, tror Kenneth Gravin, som inte utesluter
att socialnämnden i Svalöv överklagar DIs beslut.
Tre nya kommuner
För bara några dagar sedan gick DI vidare och beslutade om liknande
personnummerrestriktioner för ytterligare tre kommuner: Nacka, Sundsvall
och Borås. Dessa tre kommuner använder Kommundatas system för barnomsorgs-
administration, SociaBo, för att skicka ut vissa räkningar. Ytterligare
minst 150 kommuner använder samma system. Men Svalövs kommun använder,
enligt Kenneth Gravin, Kommundatas allmändebiteringssystem. Nils Knutsson,
marknadschef på Kommundata, säger att det blir mycket dyrt att ta bort
personnumren. Personumren används för samkörningar, mot exempelvis Spar-
registret, där man hämtar adressuppgifter, och mot RSVs register, där man
hämtar inkomstuppgifter. Rent manuella rutiner skulle ersätta dessa sam-
körningar. Idag vet ingen om det är möjligt.
-Att ändra systemen kommer att kosta mycket pengar, kanske tio miljoner
kronor för vår del. Jag vet inte om det vem som ska stå för den kostnaden,
men det är ju kommunerna som är registeransvariga, lagligt sett. Den stora
kostnaden kommer ändå att vara den ökade administrationen hos kommunen.
Mycket kommer att få göras manuellt, säger Nils Knutsson.
Lagtolkning
Tidigare har funnits svårigheter att tolka lagen när det gäller sam-
körning av dataregister med hjälp av personnummer, menar Nils Knutsson.
-Det får vi ju veta nu. Det är bra. Men ska man stoppa användningen
av personnummer i våra system måste man se över alla samhällets register,
säger Nils Knutsson.
____________________________________________________________________________
____________________________________________________________________________
KRITIK MOT POLISENS ADRESSER: DSR (2/93)
Riksdagsledamot Margitta Edgren (fp) är kritisk mot polisens nyinrättade
adressregister Pass. Margitta Edgren infrågasätter om Datainspektionen (DI)
har befogenhet att dela ut tillstånd för register liknande Pass, där adresser
till landets alla medborgare ligger lagrade.
-DI borde ha avvisat ärendet och i stället låtit regeringen stifta en
särskild lag, säger Edgren.
-Vår praxis säger att adressregister i allmänhet inte behöver regleras
av lag. Pass var ett register som kunde behandlas helt enligt datalagen,
säger Ingela Halvorsen, handläggare på DI.
Polisens Adressfråga (Pass) har varit i drift sedan december förra året.
Det innehåller uppgifter om adress, kommun, namn, folkbokförda personer och
födelsetid. Polisen vill ursprungligen använda statens adressregister Spar,
men nekades tillstånd med motiveringen att det inte var "ändamålet med Spar".
Uppgifterna i Pass uppdateras dock kontinuerligt med hjälp av Spar. Pass
liksom Spar körs på entreprenad hos dataföretaget Dafa. Polisen använder Pass
vid utryckningar.
-Ska vi göra en inbrytning och vill använda tårgas måste vi till exempel
kunna kolla om det bor spädbarn i fastigheten, säger Bengt Bjerkesjö, system-
förvaltare på Rikspolisstyrelsen. Vi behöver informationen direkt, och kan
inte vänta till nästa dag.
____________________________________________________________________________
____________________________________________________________________________
FRITT FRAM FÖR KÄNSLIGA PERSONREGISTER: DSR (2/93)
Ingen ska längre behöva söka tillstånd för att upprätta dataregister
med känsliga personuppgifter. Det är en av nyheterna i förslaget till ny
datalag som läggs fram i dag. Enligt reglerna i dagens datalag från 1973
måste alla som vill lägga upp ett dataregister som innehåller känsliga
personuppgifter först söka tillstånd hos Datainspektionen. Ett påtagligt
resultat av detta har blivit att Datainspektionens arbete till inte
oväsentlig del bestått i att behandla de ansökningar om tillstånd och
licenser som översvämmat myndigheten. Datalagsutredningen, som inledde
sitt arbete 1989, anser att dessa regler har blivit föråldrade. Utredarna
föreslår därför en genomgripande omdaning av regelverket:
* Datainspektionens tillstånds- och licensgivning för dataregister
med känsliga personuppgifter avskaffas helt och hållet.
* Istället införs en anmälningsskyldighet, som innebär att den som
lägger upp dataregister med integritetskänsligt innehåll bara behöver
fylla i en blankett och skicka till Datainspektionen.
* Samtidigt förses den nya datalagen med detaljerade uppräkningar
av vilka typer av dataregister som är tillåtna och vilka som är förbjudna.
Dessutom får Datainspektionen möjlighet att meddela särskilda föreskrifter
för olika branscher.
* Datainspektionens roll blir att kontrollera att reglerna följs.
Det kan ske genom besök på företag och myndigheter där man på plats
undersöker vad som finns i dataregistren.
En delikat fråga för utredarna är uppenbarligen i hur stor utsträckning
lagförslaget ska anpassas till EGs direktiv om skydd av personuppgifter. De
förhandsinformationer som läckt ut ger en oklar bild. En av ledamöterna i
utredningen, vänsterpartisten Stig Sandström, säger att förslagen i slut-
betänkandet "går stick i stäv" med EGs direktiv. Utredningens ordförande
lagman Ulf Arrfelt går inte lika långt.
-Det är ingen tvekan om att EGs regler kommer i konflikt med den svenska
offentlighetsprincipen i vissa delar, säger han till TT.
____________________________________________________________________________
DEL E TELE OCH TRANSMISSION DEL E
____________________________________________________________________________
TELE2 VIDGAR SINA NÄT: DSR (2/93)
Tele2, den nya leverantören av teletjänster, och Svenska Kraftnät har
slutit ett avtal om att bygga ett nytt nät för telekommunikation. Nätet
kommer att kunna utnyttjas både till telekommunikation och datanätstjänster
samt ska även lämpa sig för överföring av multimedia. Nätet kommer att
byggas med fiberoptikkabel på storkraftsnätets linor mellan Stockholm,
Göteborg och Malmö. Svenska kraftnät kommer att stå för den största delen
av investeringen för det fiberoptiska nätet, men affärsuppgörelsen innebär
att Tele2 har 25 års nyttjanderätt av nätet mot avgift.
____________________________________________________________________________
____________________________________________________________________________
AT&T ÖKAR VINSTEN MER ÄN 50 PROCENT: DSR (2/93)
Det amerikanska telekommunikationsföretaget American Telephone and
Telegraph (AT&T) ökade sin vinst med mer än 50 procent under sista kvartalet
1992. Vinsten efter skatt slutade på 1 miljard dollar jämfört med 635 miljoner
dollar under motsvarande period året före. Även för hela 1992 blev resultatet
betydligt bättre än föregående års. Vinsten efter skatt steg från 522 miljoner
dollar till 3,81 miljarder dollar.
____________________________________________________________________________
DEL F PIRATKOPIERING DEL F
____________________________________________________________________________
SVART MARKNAD FÖR DATASPEL: DSR (?/93)
Det finns en omfattande svart marknad för dataspel. Det är privatpersoner
som kopierar stora upplagor sen säljer vidare. 12-årige Per Karlsson i
Stockholm är en av de många ungdomar som köpt spel som inte finns i vanliga
affärer.
-"Såna som inte släpps in i Sverige typ våldsspel och sånt. Det är mest
så att man slåt folk blodiga och sånt. Så ser man det där jätte...
så här bra gjort och sånt. Då får de inte släppas in i Sverige."
-"Vad tycker du om att folk slås blodiga, är det okay?"
-"Ja, jag bryr mig inte <fniss>"
-"Och sexspelen då?"
-"Naah... Det beror på."
-"Men är det såna här tecknade?"
-"Ja, det är det."
-"Med nakna tjejer?"
-"Ja"
(Nytt intervjuoffer)
-"Jag har hört talas om det ja. Jag tror det är ensamma stackare som sitter
hemma och programmerar."
-"Det hade jag inte en aning om. Finns det det?"
-"Ja"
-"Är det sant?"
<nintendo/sega eller C64-spel)
-"'Nude Girls', 'Swedish Erotica' och 'Strip Poker' det är namn på sexdata-
spel som cirkulerar bland barn och ungdomar. Ett spel består av rutor som är
som en tecknad serie ungefär. Ju skickligare man är på att spela desto mer
avancerad sex får man se. Andra är små berättelser där t ex två personer möts
poch snabbt går iväg för att ha samlag. Spelen säljs främst via privatpersoner,
och detta är något som polisen har svårt att kontrollera säger kriminal-
inspektör Roine Alm i Stockholm."
-"Det sker ju ingen spaning i dom här frågorna utan vi kontrollerar ju när
vi får in en anmälan som visar oss på någon tänkbar brottsling i det här
avseendet."
-"Enligt upphovsrättslagen så är det förbjudet att kopiera dataspel och
sälja vidare. Känns det inte konstigt då att som polis att inte kunna
kontrollera detta? Vi har en lag men ingen vet vilka som följer dem."
-"Visst är det fel, men... I dagens läge med snabb... med knappa resurser
då för polisen så måste vi ju prioritera."
(Ekots presentatör)
Kriminalinspektör Roine Alm. Reporter var Maria Eksedler.
:::: Information Lämnad av Anonym ::::
____________________________________________________________________________
____________________________________________________________________________
FÖRBJUDET KOPIERA FÖR HEMBRUK: DSR (2/93)
Kopiering av datorprogram för privat bruk är förbjudet sedan årsskiftet.
Upphovsrätten tillhör programföretaget, inte programutvecklaren. Det är några
av de EG-anpassningar som har införts i lagboken. Polisen har inte börjat
jaga programkopierare sedan förbud mot programkopiering infördes vid års-
skiftet. Kopiering är förbjudet - men inte straffbart. Ett programföretag
som vill komma åt olagliga kopior måste stämma gärningsmannen och begära
skadestånd. Såvida inte kopieringen skett i förvärvssyfte, då är kopieringen
ett fall för åklagaren.
De flesta ändringar, men inte alla, som gjordes i lagarna om upphovs-
rätt till dataprogram bör välkomnas av programindustrin. De gynnar företagen,
både gentemot användarna och gentemot anställda programutvecklare. Samtidigt
är till exempel förbudet mot programkopiering mer eller mindre ett slag i
luften: det finns inga realistiska möjligheter att kontrollera den allmänt
förekommande kopieringen av nyttoprogram och spel. Lagändringarna, som
klubbades av riksdagen i höstas helt i enlighet med regeringens förslag, har
till syfte att anpassa svensk lag till EES-avtalet, alltså samarbetsavtalet
mellan EG och de kvarvarande Eftaländerna. Här är de viktigaste ändringarna:
* Programkopiering förbjuds.
Detta gäller all kopiering utom för backup. Man får alltså inte längre
kopiera ett program man använder på jobbet för att kunna arbeta hemma. Något
straff får man inte för programkopiering, så länge man bara kopierar för eget
bruk. Men man kan bli stämd av programföretaget. Om man säljer programkopior
eller använder dem i sitt företag kan man däremot, liksom tidigare, bli
straffad.
* Backupkopiering tillåts.
Köparen har alltid rätt att ta en backupkopia, eller säkerhetsexemplar
som det heter i lagen. Alla avtalsvillkor som inskränker den rättigheten
är ogiltiga i Sverige.
* Kopieringsskydd får inte knäckas.
Man kan få upp till sex månaders fängelse om man säljer program som
neutraliserar kopieringsskydd.
* Programmen får ändras.
Köparen har rätt att ändra fel i programmet och att göra ändringar som
behövs för att programmet ska kunna samverka med andra dataprogram. Den rätten
kan emellertid inskränkas i licensavtalet.
* Dekompilering tillåts
För att kunna göra sådana ändringar som nämns i förra stycket får man
även dekompilera programmet. Man får dock inte kompilera av ren nyfikenhet,
utan bara så mycket som behövs.
* Upphovsrätten tillhör arbetsgivaren.
Detta är en skillnad mot tidigare. Nu jämställs programutvecklare med
uppfinnare. De har alltså bara upphovsrätt till sina alster om de slutit
avtal med arbetsgivaren om det.
* Även förberedande designmaterial skyddas upphovsrättsligt.
Denna punkt har mött kritik, eftersom den tvingar en programutvecklare
som byter arbetsgivare att sätta upp mellanväggar i hjärnan. Idéerna bakom
ett program är inte skyddade av upphovsrätten, men det är svårt att säga var
gränsen går mellan idéerna och ett bestämt sätt att genomföra dem.
____________________________________________________________________________
____________________________________________________________________________
VARFÖR HAR NI INTE FÅTT FAST NÅGON PIRATKOPIERARE?: DSR (2/93)
Hallå där...Hans Iwan Bratt, VD för leverantörsföreningen LKD som under
mer än tio år talat om "hårdare tag mot piratkopierarna". Trots detta saknas
det fortfarande fällande domar.
Q Varför får ni aldrig tag på någon, speciellt om det handlar om stå stora
summor som ni hävdar?
A Jo, det har vi faktiskt. Vi har varit engagerade i två fall, ett i
Göteborgs hovrätt och ett i Kalmars tingsrätt. Båda gällde försäljning
av piratkopior i stora mängder för kommersiellt bruk och båda ledde
till fällande domar. Anledningen till att vi engagerade oss i fallen
var att vi ville få den nya lagen mot piratkopiering testad. Nu har
vi två prejudicerade fall. Det gör att vi kan gå vidare med information
till branschen och användarna. Branschorganisationen BSA (Business
Software Alliance) och vi har nyligen startat ett samarbete som
innebär att vi driver frågan juridiskt och sköter informationen till
företag och branschfolk.
Q Vad ska ni göra för att få stopp på piratkopieringen?
A Den viktigaste vägen är information. Förutom att det är förbjudet
uppfattar vi piratkopieringen som en fråga om moral. Få företag säger
öppet att de låter sina anställda piratkopiera fritt. Många blundar
dock för personalens piratkopiering. Konsekvensen kan bli att de
anställda får en felaktig rättsuppfattning och kundföretagen kan
drabbas på andra sätt genom att personalen stjäl affärshemligheter
och annat. Vi tror aldrig att det går att få stopp på piratkopieringen
helt, men att informationen kan ha en hämmande inverkan. Genom att
hålla frågan aktuell och upplysa om att en kopiering faktiskt är ett
avtalsbrott kan vi få folk att tänka efter. Vad vi i första hand vill
åt är dem som systematiskt säljer piratkopierade program för att tjäna
pengar och de som organiserat använder sådana program i sin verksamhet.
____________________________________________________________________________
DEL G VIRUS OCH TROJANSKA HÄSTAR DEL G
____________________________________________________________________________
ANTIVIRUS FÖR NETWARE OCH DOS: DSR (2/93)
Central Point Software lanserar programmet Anti-Virus för Netware som
ska ge ett fullständigt och flexibelt virusskydd för Novell Netware 3.11-nät.
I programmet
finns löpande virusbevakning av alla servrar och skrivbords-
datorer i nätet. Programmet söker igenom alla filer i realtid allt eftersom
de kopieras till eller från servern. Programmet kan också konfigureras till
att söka igenom filer på begäran vid vissa tidpunkter eller med jämna mellan-
rum. Om ett virus påträffas raderas det lokalt eller på den angripna servern.
Med Centraltalk, som är ett kommunikationsprotokoll, kan klienter och servrar
i nätet kommunicera automatiskt och kontinuerligt. I paketet finns också
Centralalert som är ett alarmsystem som baseras på Centraltalk. Centralalert
underrättar omedelbart den nätverksansvarige om ett eventuellt virusangrepp.
Central Point Anti-Virus för Netware kostar 9 6000 kronor plus moms för en
serverlicens och fem användarlicenser. Central Point lanserar också en upp-
gradering av Anti-Virus för DOS. Den nya versionen 1.4 klarar av nya virus
och har en del nya funktioner. Central Point Anti-Virus för DOS kostar 990
kronor plus moms i svensk version. Att uppgradera kostar 395 kronor plus
moms.
____________________________________________________________________________
DEL H BLANDAT SAMT ICKE-RELATERAT DEL H
____________________________________________________________________________
DATARÄTT 93: DSR (2/93)
En viktig tvådagarskonferens 16 och 17 mars 1993
Bygget Konferenscenter, Stockholm.
Kommer Ditt företags kundregister att innehålla uppgifter som är olagliga
att lagra när EG-direktivet om personlig integritet resulterar i en ny svensk
datalag? Nu ges ett tillfälle för Dig att lyssna på och lära av de främsta
experterna på datarätt i Sverige!
Vad är det i datalagen som kommer att förändras? I februari - 93 kommer
datalagsutredningen ut med sitt betänkande där man ger ett förslag på hur den
nya lagen kommer att se ut. För att vara på den säkra sidan om lagen är det
oerhört viktigt att på ett tidigt stadium börja med förändringsarbetet med
register och arbetsrutiner. Då datainspektionen kommer att få en mer aktiv
roll för att kontrollera att datalagen följs, hjälper det inte att göra som
strutsen, stoppa huvudet i sanden.
Det är inte bara datalagen som är under omdaning. Från första januari
1993 kommer en ny svensk upphovsrättslag att gälla. Dessutom har datastraff-
rättsutredningen kommit ut med ett nytt betänkande.
Ett tiotal av de främsta experterna på detta område i Sverige kommer
att samlas på Bygget konferenscenter den 16 och 17 mars -93 för att berätta
för Dig om innehållet i EG-direktiv, nya utredningar och nya lagar och vad
förändringarna kommer att innebära för Dig i Ditt arbete. Kom och lyssna mer
när
- representanter från datalagsutredningen, datastraffrättsutredningen
berättar om innehållet i de olika betänkandena och hur de nya lagarna
kommer att tänkas att se ut.
- praktiker från näringslivet berättar mer om hur nya regler kommer att
påverka Dig och vad Du kan göra för att förbereda Dig.
- Anita Bondestam informerar hur Datainspektionen kommer att arbeta i
framtiden.
Offentlighetsprincipen - en av det svenska samhällets grundstenar -
kommer den att överleva ett förenat Europa? Detta skall Peter Seipel, som
är den främste inom datarätten i Sverige, berätta mer om.
Andra dagen har vi satt av en hel eftermiddag för upphandling och avtal
där Du kommer att få med Dig en gedigen checklista med vad Du ska tänka på
vid upphandling av programvaror, hårdvaror och konsulttjänster! Efter en
eftermiddag med Agne Lindberg och Peter Danowsky kommer Du att kunna ge Dina
leverantörer en tuff match.
Eftersom förutsättningarna ändras mycket snabbt inom detta område gäller
det för Dig att vara en av dem som hänger med i utvecklingen. För Dig som
inte är jurist är detta problem kanske extra viktigt. Just för att lagarna
berör Ditt praktiska arbete, och vad kommer det inte att kosta Dig om Du
trampar fel i denna djungel av nya lagar? Det är praktiskt att under två
dagar få en överblick av hela datarätten. Dessutom kommer Du att få en gedigen
dokumentationspärm, utan extra kostnad, som Du kan återvända till när Du
behöver friska upp detaljer i minnet.
Jag är säker på att Du kommer att hålla med mig om att med hjälp av
kunskap om nuvarande och kommande lagar inom datarätten kan Du spara massor
av möda, tid och pengar!
Du bör bestämma Dig snabbt, på vårt förra evenemang var intresset mycket
stort. Det är bara att fylla i anmälningsformuläret på baksidan av broschyren
och skicka det till oss. Du kan naturligtvis även ringa eller faxa in Din
anmälan också! Ställ Dig på säkra sidan, anmäl Dig idag!
Jag ser fram emot att få hälsa Dig välkommen på Datarätt 93!
Vänliga hälsningar
Institute for International Research AB
Katarina Jönsson
Projektledare
P.S. Anmäl fyra personer vid samma tillfälle och betala för tre. D.S.
Datarätten på Nittiotalet:
--------------------------
Tisdagen den 16 mars 1993
08.30 Registrering och kaffe
09.00 Ordföranden inleder konferensen
09.10 EG-direktivet om personlig integritet. Vad kommer det att
innehålla och hur påverkar det dig? Sigurd Heuman, Expert
i Datalagsutredningen.
10.10 Frågor
10.20 Förfriskningar
10.40 Konsekvenser för användning av personregister. Jörgen Jarleman,
Produkt- och marknadsansvarig Upplysningscentralen.
11.20 Frågor och bensträckare
11.30 Datalagsutredningens betänkande - hur kommer EG-anpassningen
att påverka svensk datalagstiftning? Ulf Arrfelt, Ordförande
Datalagsutredningen.
12.30 Frågor
12.40 Lunch
13.40 Offentlighetsprincipens vara eller icke vara vid ett eventuellt
EG-inträde. Peter Seipel, Professor i Rättsinformatik Stockholms
Universitet.
14.40 Frågor och bensträckare
14.55 Datainspektionens roll i ett modernt samhälle. Anita Bondestam,
Generaldirektör Datainspektionen.
15.40 Frågor
15.50 Kaffe och kaka
16.10 Datastraffrättsutredningens betänkande - information och den nya
informationsteknologin. Ingela Halvorsen, Expert i Datastraff-
rättsutredningen.
17.10 Frågor och summering av dag 1.
Onsdagen den 17 mars 1993
08.30 Kaffe och smörgås
09.00 Hur bibehålla fullgod datasäkerhet? Professor Werner Schneider,
VD Uppsala Datacentral.
09.50 Frågor
10.00 Förfriskningar
10.20 Upphovsrätten i programvarusammanhang - vad har förändrats?
Stefan Bernhard, Advokat Lagerlöf & Leman Advokatbyrå.
11.20 Frågor och bensträckare
11.35 Det senaste om piratkopiering. Agne Lindberg, Jurist
BSA Sverige.
11.55 Frågor
12.00 Lunch
13.00 Hur lägger du upp avtalet vid upphandling av IT-produkter?
Agne Lindberg, Advokat Advokatfirman Delphi.
13.45 och 14.35, avbrott för bensträckare och kaffepaus.
15.40 Att anlita en konsult - vad skall du tänka på?
Peter Danowsky, Advokat Lagerlöf & Leman Advokatbyrå.
16.30 Frågor
16.40 Uppsummering och avslutning av konferensen
____________________________________________________________________________
DEL I GAMLA GLÖMDA DEL I
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
DEL J KONTAKTA DSR! DEL J
____________________________________________________________________________
DSR tar gärna emot nya sponsor/support-system. Om du har speciellt
intresse för Rapporten, och/eller vill stödja DSR -- Lämna ditt BBS nummer
eller annan vital information på The Stash, Sedes Diaboli eller skicka ett
E-Mail till vår internet adress för vidare information.
____________________________________________________________________________
____________________________________________________________________________
----------------------------------------------------------------------------
---- The Stash :: Telegard :: 300-14400 :: 24HRS :: DSR #1 Node ----
---- Sedes Diaboli :: AmiUnix :: 300-14400 :: 24HRS :: DSR Information ----
----------------------------------------------------------------------------
*** Tidigare nummer av DSR - E-Mail till: chief@lysator.liu.se
Glöm ej att ange nummer.
[NYTT] * eller * [NYTT] Anonym FTP från: ftp.lysator.liu.se
I biblioteket : /pub/texts/uxu/DSR
*** Rapportera / Lämna information - E-Mail till chief@lysator.liu.se
eller direkt till The Stash eller
Sedes Diaboli med din artikel.
Ange om du vill bli listad som
informations-lämnare.
OBS! Detta måste vara med för att artikeln skall accepteras OBS!
----------------------------------------------------------------
| Källa, Datum, Eventuell Del, Sida, Artikel-författare. |
| ---- Och glöm inte artikelns titel ---- |
| Ex: Dagens Nyheter, 930315, Del A, Sida 12, Bertil Nyhetsson |
----------------------------------------------------------------
* DSR Internet Mailing List nu fungerande! *
Vill du få DSR direkt till din internet-adress? Skicka då E-Mail
till chief@lysator.liu.se med texten 'Addera DSR' som Subject:.
OBS! 'Addera DSR' *MÅSTE* finnas med, annars fungerar det inte.
Då blir du adderad till DSR's Mailing List, och får DSR direkt
när den kommer ut, bekvämt och utan arbete, till din adress.
____________________________________________________________________________
____________________________________________________________________________
Den Svenska Rapporten
Nr. 13/02
Februari 28, 1993
av TC
Chefredaktör för Den Svenska Rapporten
____________________________________________________________________________
____________________________________________________________________________