OPTIMISTISKE: Forsvarer Alexander Sele og klienten hans, utvikleren, håper på å få dommen opphevet i lagmannsretten.
OPTIMISTISKE: Forsvarer Alexander Sele og klienten hans, utvikleren, håper på å få dommen opphevet i lagmannsretten. Foto: Karen Anna Kleppe

Nettpioner fnyser av «absurd» dom: - De bør takke tiltalte, ikke ringe politiet

IT-miljøet mener det er håpløst at mannen blir tiltalt for å hente informasjon fra internett.

Statens vegvesen fikk gjennomgå under ankesaken i Gulating lagmannsrett sist uke.

I 2018 anmeldte vegvesenet en utvikler for datainnbrudd. I februar i år ble utvikleren dømt i tingretten for å ha skaffet seg uberettiget tilgang til informasjon, ved å endre en URL.

Dommen har fått IT-miljøet i Norge til å steile da det kan endre måten nordmenn har lov å til å bruke internett på.

I andre og siste dag av ankesaken hadde forsvareren til den dømte utvikleren kalt inn to sakkyndige vitner. Ingen av de to vitnene hadde tilknyting til tiltalte, men var likevel klokkeklare i talen når det gjaldt skyldsspørsmålet.

– Vegvesenet bør takke tiltalte, ikke ringe politiet, sa teknologidirektør og nettpioner, Håkon Wium Lie.

Wium Lie har vært en helt sentral aktør for å bygge dagens webstandard og den teknologien som påvirker informasjonsflyt i dagens internett. Han er kjent for å fremme åpenhet og tilgjengelighet.

Nettpioneren mente saken var alvorlig da den kan skape en presedens der man ikke lenger kan redigere adressefeltet i nettleseren uten å risikere å bli straffet.

– Alle som legger ut informasjon på nettet gjør seg selv sårbare da de inviterer andre til å laste ned informasjonen. Når han i tillegg henvender seg til vegvesenet og forteller hva han har gjort, bør han premieres for å ha funnet en konfigurasjonsfeil, sa Wium Lie.

Også forsker innen informatikk, Gisle Hannemyr, var innkalt som sakkyndig vitne. Han mente også at det er vegvesenet selv som har valgt å legge data tilgjengelig på nett.

– Statens Vegvesen har tilrettelagt for login med BankID. Det er som å si, ja, du er velkommen her til å hente ut data, sa Hannemyr.

Han argumenterte for at hvis man ikke ønsket at dataene skulle være tilgjengelig, så burde de ikke ligge på nett.

Kaller det dataangrep

Metoden utvikleren brukte var å endre nettleseradressen, slik at han fikk opp andre enn sin egen kundedata. Etter dette automatiserte han prosessen gjennom et skript. Slik fikk tiltalte lastet ned informasjon om fire millioner bileiere fra kunderegisteret til Statens Vegvesen.

Målet var, ifølge tiltalte, å la bileiere komme i kontakt med hverandre enklere enn i dag, som f.eks. ved feilparkering.

Da dette skriptet ble kjørt, belastet det vegvesenet sine servere, og alarmen gikk. I vitneavhør sa vegvesenet sin IT-sikkerhetssjef at måten utvikleren lastet ned dataen på er et «URL manipulation attack»

– Et slikt angrep er ofte utført ved hjelp av skript. Hadde dette vært gjort i en bank, så kunne man fått tak i bankkontoen til noen andre, sa IT-sikkerhetssjefen.

Informatikkforsker Hannemyr var ikke enig med sikkerhetssjefen i at det utvikleren gjorde kunne kalles et dataangrep. Både fordi vegvesenets data lå åpent tilgjengelig innenfor BankID-innloggen, og fordi måten utvikleren hentet ned dataene på er en vanlig metode, ifølge Hannemyr.

Han reagerte også sterkt på at Statens vegvesen ikke kontaktet utvikleren, men gikk direkte til anmeldelse. Spesielt da utvikleren selv informerte vegvesenet om at han hadde fått tak i informasjonen.

– Hadde jeg vært IKT-sjef og opplevde en overbelastning på systemet, så ville jeg kontaktet vedkommende og spurt: «Kan du hjelpe oss å forstå?», sa Hannemyr.

Kunne ikke svare

Etter at saken ble kjent, forklarte Statens vegvesen sin IT-sikkerhetssjef, at de har stengt for muligheten til å automatisk hente ut mer enn 15 kundedata-opplysninger i et gitt tidsrom, slik at metoden tiltalte benyttet i dag ikke vil være mulig.

Etter anmeldelsen har Statens vegvesen laget en ny funksjon på nettsidene sine som heter «Finn eier». Denne har samme funksjon appen utvikleren laget. Da en av Statens vegvesens overingeniører inntok vitneboksen, fikk hun spørsmål fra forsvarer om man kan hente ut data på samme måte som tiltalte gjorde i 2017, gjennom «Finn eier». Det visste hun ikke.

– Det håper jeg ikke. Hvis det er mulig skal jeg ta det tilbake til kollegaer og si ifra om det, sa overingeniøren.

Overingeniøren er sjefen for «data ut»-gruppen til Statens vegvesen. Gruppen skal sørge for at vegvesenets åpne data er tilgjengelige for folk.

Relatert