FORBEREDELSER: Sammen med sin klient gjør advokat Alexander Sele gjør seg klar for en ny runde i retten.
FORBEREDELSER: Sammen med sin klient gjør advokat Alexander Sele gjør seg klar for en ny runde i retten. Foto: Karen Anna Kleppe

Dom kan endre måten nordmenn har lov til å bruke internett på

En utvikler ble dømt i tingretten for datainnbrudd. Blir dommen stående kan det bety at nordmenn ikke lenger har lov til å søke etter informasjon på internett på samme måte som før, mener nettpioner.

– Dommen slik den står nå er i strid mot en rett vi har tatt helt for gitt, et fundamentalt utgangspunkt for alt som noen gang er gjort på nettet, sier nettpioner Håkon Wium Lie.

Wium Lie var teknisk direktør i nettleseren Opera Software i 20 år. Tirsdag skal han vitne i en rettsak han selv kaller oppsiktsvekkende.

Ville hjelpe, ble dømt

I februar i år ble en utvikler dømt til 14 dagers fengsel for å ha skaffet seg uberettiget tilgang til Vegvesenet sitt datasystem, og for å ha endret URL.

Det vil si at han byttet om tall eller ord i en nettadresse, slik at han fikk opp en annen type informasjon fra samme sted, som ligger åpent tilgjengelig.

Han ble også dømt for hacking og for å ha brukt en uberettiget fremgangsmåte. Dommen har fått stor oppmerksomhet i IT-bransjen i Norge.

– Jeg har brukt tre år av livet mitt på å beskytte meg mot staten, for å lage et hobbyprosjekt som er nyttig for alle, sier utvikleren til TV 2, om saken som fikk han dømt.

Utvikleren ønsker å være anonym. Sammen med forsvarer anket han dommen fra Bergen tingrett. Mandag 5. oktober startet ankesaken i Gulating lagmannsrett.

– Hvis dommen blir stående, vil det være en seriøs «chilling factor». Den vil gjøre det vanskelig for utviklere å vite om det de gjør kan bli trukket for retten, sier Wium Lie.

SKAL VITNE: Håkon Wium Lie, som skal vitne i rettsaken, men dommen ikke kan bli stående slik den står i tingretten.
SKAL VITNE: Håkon Wium Lie, som skal vitne i rettsaken, men dommen ikke kan bli stående slik den står i tingretten. Foto: NTB/Gorm Kallestad

Ble tilbudt å kjøpe opplysningene

Det hele begynte da utvikleren deltok på et såkalt «hackathon» i regi av Kartverket. På arrangementet var flere offentlige aktører til stede. Private deltakere presenterte ideer og forslag til digitale løsninger for deling av offentlig data.

Utvikleren vant en pris for sin idé og kom i kontakt med en overingeniør i Statens vegvesen, som ifølge dommen fra tingretten, var positiv til ideen.

– Jeg hadde tydelig kommunikasjon med Vegvesenet hele tiden, sier utvikleren til TV 2.

Ideen gikk ut på å lage en app som kunne gjøre bileiere i stand til å kontakte andre bileiere, hvis bilen for eksempel var feilparkert.

For å kunne lage denne appen trengte utvikleren data om bileiere, og opplyste Vegvesenet om dette. Han fikk beskjed om at det fantes en SMS-tjeneste der han kunne foreta enkeltsøk. Men da utvikleren trengte informasjon om alle bilregistreringsskilt- og eiere i Norge, egnet ikke dette seg. Han fikk også tilbud om å kjøpe en CD med noen av opplysningene, heller ikke dette egnet seg, mener utvikleren.

Da han også fikk avslag på en søknad han sendte om å få tilgang til det sentrale motorvognregisteret via en nettilgang, fant han en annen måte å hente ut informasjonen på.

Timer senere ble han pågrepet

Inne på «Min side» på Statens vegvesen fant utvikleren ut at URL-en (internettadressen), inneholdt hans egne opplysninger, og en unik tallrekke som var hans bruker-id. Ved å endre tallene, fikk han opp andre sine brukeropplysninger. Han laget et skript som gjorde at han automatisk hentet ned informasjonen om hver enkelt bruker som har en bil registrert på seg, gjennom URL-en. Informasjonen han hentet ut, var av samme type informasjon som han ble tilbudt å kjøpe på en CD.

Utvikleren kontaktet Vegvesenet og fortalte at han hadde funnet en løsning for å hente ut informasjonen.

Samme dag som han fortalte Vegvesenet om løsningen, ble han pågrepet. Hjemmet ble ransaket og datautstyret ble tatt i beslag.

I dommen står det at Statens Vegvesen mente at måten utvikleren fikk ut opplysninger på, lå utenfor det Vegvesenet mente å tilby av informasjon gjennom den aktuelle tjenesten.

– Metoden jeg brukte er en vanlig måte å hente ut data på. Google og mange andre aktører gjør det, sier han.

Aktor i saken, politiadvokat Anja Mathiesen sier til TV 2 at utgangspunktet for saken er om tiltalte har utnyttet en sårbarhet i Vegvesenets systemer.

– Samfunnet blir mer og mer digitalisert, og den aktuelle straffebestemmelsen er ment å beskytte datasystem. Slik sett blir det interessant å se om lagmannsretten er enig i tingrettens vurdering av saken, sier Mathiesen.

De fremste på området skal vitne

I dommen står det at retten legger til grunn at det ikke krevde spesielt store datakunnskaper for å gjøre det utvikleren gjorde. Han har også i ettertid søkt innsyn i de samme opplysningene, men mer omfattende, og fått det utlevert av andre aktører.

Da han ble dømt, mente retten at kvaliteten på datasystemets sikkerhet ikke var avgjørende for om tilgangen var uberettiget. Det var måten utvikleren hentet ut dataen på som fikk han dømt.

Når saken nå skal opp igjen for retten, har utvikleren og forsvareren hans, Alexander Sele, hentet inn to nye ekspertvitner. Den ene er Wium Lie, den andre Gisle Hannemyr, forsker ved institutt for informatikk ved UiO.

REDD DOMMEN SKAPER FRYKT: Forsvarer Alexander Sele mener dommen kan gjør at utviklere frykter å benytte seg av åpne data.
REDD DOMMEN SKAPER FRYKT: Forsvarer Alexander Sele mener dommen kan gjør at utviklere frykter å benytte seg av åpne data. Foto: Karen Anna Kleppe

– De er to av de fremste på dette området, så retten skal få et godt vurderingsgrunnlag for å se om klienten min har gjort det som karakteriseres som et datainnbrudd, sier Sele.

Da det ikke er noen lignende saker å vise til i norsk rettspraksis, mener både forsvarer og Wium Lie at dommen kan skape en viktig presedens.

– Den sier noe om hva rettigheter vi som borgere har i et elektronisk samfunn. Når en tjener tilbyr oss informasjon, må det være lov å bruke det. Dersom dommen blir stående, er denne retten truet, sier Wium Lie.

Statens vegvesen ønsker ikke å kommentere saken før en dom foreligger.

Relatert