Er DDoS-angrep på PayPal, Mastercard, Visa m.fl. ulovlig?

Inger Marie Sunde, nå førsteamanuensis ved Politihøyskolen, er ikke i tvil om at de som deltar i aksjonene mot Mastercard, PayPal og andre institusjoner som har stukket kjepper i hjulene for Wikileaks bryter norsk lov. “Dette kommer under lovgivningen om skadeverk”, sier hun til ITavisen.

Jeg får her legge til at jeg ble kontaktet av ITavisen om dette spørsmålet, og sendte dem videre til Inger Marie Sunde fordi datakriminalitet og strafferett ikke er noe jeg arbeider særlig mye med. Når jeg ikke ville uttale meg til avisen er det kanskje litt ufint i ettertid å kommentere på denne måten. Men det får våge seg.

Jeg er en smule overrasket over at hun kan uttale seg så sikkert om dette, og skulle gjerne ha visst litt mer om grunnlaget for dette. Jeg synes den begrunnelsen som kommer fram i ITavisen er høyst diskutabel. Men først noen innledende øvelser.

Slik spørsmålet er stilt, og det som Inger Marie Sunde ganske sikkert har svart på, er om de kan straffes for dette. “Ingen kan dømmes uden efter Lov” står det i Grunnloven § 96. I praksis betyr det at ingen kan straffes uten etter lov. Dette kravet om lovhjemmel, legalitetsprinsippet, gjelder ikke for for eksempel erstatning.

For at man skal kunne straffes må man kunne forankre dette i en lovbestemmelse som sier at den aktuelle handlingen er straffbar. Om vi skulle mene at den burde være straffbar er i denne sammenhengen uten betydning. Finnes det ikke lovhjemmel må vedkommende frifinnes. Om man i morgen vedtar en lovbestemmelse som gjør handlingen straffbar, så er det uten betydning for handlinger foretatt i går. “Ingen Lov maa gives tilbagevirkende Kraft” sier Grunnloven § 97. Var handlingen ikke straffbar på gjerningstidspunktet vil man ikke kunne straffes selv om tilsvarende handlinger senere blir gjort straffbare. Som jeg skal komme tilbake til, så er det i forbindelse med den generelle revisjonen av straffeloven vedtatt en bestemmelse som vil gjøre dette straffbart. Men den har ikke trådt i kraft, og kan derfor ikke anvendes på de angrep som har pågått og som nå pågår.

Inger Marie Sunde henviser til bestemmelsene om skadeverk. Det må betyd straffeloven § 291, som lyder (første ledd):

“For skadeverk straffes den som rettstridig ødelegger, skader, gjør ubrukelig eller forspiller en gjenstand som helt eller delvis tilhører en annen.”

Det springende punkt her er om de ødelegger, skader, gjør ubrukelig eller forspiller en gjenstand. Det er vanskelig å si at den som hindrer tilgang ødelegger det man hindrer tilgang til, selv om det fører til at gjenstanden, her datasystemet, ikke kan nyttiggjøres så lenge tilgang hindres. Ved en blokkade, f.eks. under en arbeidskonflikt, kan man ikke si at det utøves skadeverk ved at virksomheten blokkeres. Det kan føre til tap, men ingen gjenstand øndelegges.

Det følger av straffeloven § 6 at kraft også skal regnes som (løsøre)gjenstand. Men det er ikke aktuelt her.

Det finnes rettspraksis som sier at å slette abonnentsdata er skadeverk (Rt-2004-94), og tilsvarende at det er skadeverk å legge inn en bakdør i et datasystem (Rt-2004-1619). Resonnementene har vært at man har gjort endringer på lagringsmediene, og at man dermed har skadet gjenstanden. Det skal altså ikke stor fysisk endring til for at det skal kunne regnes som en skade, men jeg finner ikke holdepunkter for å mene at noe som ikke medfører endringer av gjenstanden skal kunne regnes som skade på denne.

Jeg hadde for så vidt vurdert bestemmelsen om skadeverk før jeg sa til ITavisen at jeg ikke ville kommentere saken. Jeg hadde konkludert med at denne ikke kunne komme til anvendelse, men følge meg ikke tilstrekkelig trygg på at det ikke kunne være andre bestemmelser, som jeg hadde oversett. Min vurdering er at gjeldende bestemmelse om skadeverk ikke kan ramme disse forholdene.

Straffeloven er under revisjon. Det er en omfattende prosess. Nye bestemmelser er vedtatt, men de har ennå ikke trådt i kraft. Det er blant annet vedtatt en § 206. Fare for driftshindring, som lyder:

“Med bot eller fengsel inntil 2 år straffes den som ved å overføre, skade, slette, forringe, endre, tilføye eller fjerne informasjon uberettiget volder fare for avbrudd eller vesentlig hindring av driften av et datasystem.”

Det er ingen tvil om at man ved et DDoS-angrep overfører informasjon og at dette volder fare for avbrudd eller vesentlig hindring av driften. Fra den dato denne bestemmelsen trer i kraft vil slike angrep være straffbare. Det er så vidt jeg vet ikke fastsatt noen ikrafttredelsesdato for denne bestemmelsen.

Det fremgår klart av forarbeidene til denne bestemmelsen at den er ny i forhold til gjeldende rett, altså at det ikke finnes bestemmelser i dag som rammer dette.

Som nevnt innledningsvis kreves til ikke på tilsvarende måte lovhjemmel for å kunne idømme erstatning. Den som forsettlig eller uaktsomt påfører en annen et økonomisk tap kan bli erstatningsansvarlig for dette tapet. Når det, som her, dreier seg om et rent formuestap blir det en del vanskelige vurderinger. Men når handlingene er utført i den hensikt å påføre noen et tap, da er det nok sannsynlig at man vil kunne holdes ansvarlig for tapet. Når noen i fellesskap påfører noen andre en (økonomisk) skade, vil skadevolderne bli solidarisk ansvarlig for tapet. Det vil si at én enkelt person kan holdes ansvarlig for hele beløpet. Det er dette som gjør at Carl Lundström, som (sannsynligvis) er den eneste av de dømte som har penger, risikerer å bli sittende med hele erstatningsansvaret i Pirate Bay-saken.

Jeg vil ikke her nå mer inn i de erstatningsrettslige spørsmålene, ut over å understreke at selv om de neppe kan straffes, så betyr det ikke at man også vil slippe unna et eventuelt erstatningsansvar.

PS (tilføyelse):

I en twitterdiskusjon har det blitt spørsmål om hvorvidt det DDoS-angrep fører til endringer i systemet på en slik måte at det kan regnes som en skade. Her er det bare å innrømme at jeg ikke kjenner godt nok hva som rent teknisk skjer. I de to dommene som det er vist til har noen endret koden som er lagret i systemet, henholdsvis ved å slette kunderegister og å legge inn en bakdør. Så langt jeg har forstått dette så legger ikke angriperne kode inn i systemet eller sletter kode i systemet.

Hvis de hadde angrepet systemet fra utsiden, brutt seg gjennom sikkerhetssystemene, da hadde innbruddet blitt rammet av strl § 145. Men slik jeg har oppfattet situasjonen har dette ikke skjedd. Tar jeg feil på dette ber jeg om at noen kan forklare hvordan dette skjer.

Jeg har oppfattet det som skjer som en overbelastning som får systemet til å gå ned, men at systemet i seg selv ikke er skadet. Det er ikke mulig å starte systemet så lenge angrepet vedvarer. Men etterpå kan man starte systemet som normalt, og det vil fungere som før. At det kan kreve arbeid å ta noe tid å få systemet i gang igjen betyr ikke nødvendigvis at systemet som sådann er påført skade. Det er ut fra dette jeg har lagt til grunn at systemet ikke seg selv ikke er påført skade. Hvis dette er feil så kan selvfølgelig konklusjonene som er basert på denne vurderingen av hva som faktisk skjer, også bli feil.

140 tegn i Twitter er for liten plass til å kunne avklare dette. Derfor: Hvis noen mener at min forståelse av hva som faktisk skjer er feil, bruk kommentarfeltet til å korrigere dette.

PPS:

Dette er også en oppfølging av et spørsmål på Twitter. Det finnes bestemmelser som kan ramme det å forårsake en hendelse, uten at det er sagt noe om på hvilken måte hendelsen forårsakes. Et eksempel er strl § 148. Hvis man forårsaker ulykke ved å angripe system for fly- eller jernbanekontroll (som spørsmålet gjaldt), vil man kunne straffes etter denne bestemmelsen. Men et angrep på betalingssystemer vil ikke omfattes av denne bestemmelsen.

Det kan godt hende at det finnes flere slike bestemmelser som i praksis kan ramme DDoS-angrep mot visse systemer, uten at de rammer slike angrep generelt. Det var nettopp fordi jeg ikke har oversikt over alle slike bestemmelser at jeg ikke hadde lyst til å uttale med da de ringte fra IT-avisen.

PPPS – lagt til 15.12.2010

Readaktør Tore Neset i itavisen.no og digi.no har gjort meg oppmerksom på at digi.no omtalte en slik sak i 2002. Saken er referert i Lov & Data 72/2002 – Lovdataref LoD-2002-72-9 (bare tilgjengelig i abonnenttjenesten). Dommen er avsagt av Ringerike herredsrett 21. desember 2001. I artikkelen i digi.no står det at saken vil bli anket, men jeg har ikke funnet noen avgjørelse fra lagmannsrett. Så kanskje ble den ikke anket. (Den var ikke rettskraftig da den ble referert i L&D).

To ungdommer ble dømt for grovt skadeverk. Jeg gjengir følgende avsnitt fra domsreferatet:

“[C] har i retten innrømmet at [C] den 2. mars 2000 kjørte en såkalt smurf-kommando eller et DOS-angrep mot RingNett. Et slikt DOS-angrep (Denial of Service) innebærer at en ved hjelp av andre maskiner som også er tilknyttet internett, angriper en bestemt maskin/server ved at det sendes store datamengder til denne serveren. Dette medfører en belastning for den angrepne serveren. I tilfelle den konstruerte trafikken mot serveren er stor nok, kan dette medføre en overbelastning.”

“Ut i fra bevisføringen under hovedforhandlingen finner retten det hevet over enhver rimelig tvil at [C] ved å sende et DOS-angrep som nevnt, forårsaket at RingNetts maskiner eller routere ble overbelastet torsdag 2. mars 2000 mellom kl. 17.50 og kl. 18.25, slik at RingNetts kunder ble stående uten internettforbindelse i denne perioden.”

“Retten finner at [C]s handling den 2. mars 2000, rammes av det objektive gjerningsinnholdet i skadeverksbestemmelsen i straffeloven § 291. DOS-angrepet må anses som en rettsstridig handling. Ved at RingNetts maskiner eller routere ble overbelastet slik at kundene ble stående uten internettforbindelse, har [B] ‘gjort ubrukelig en gjenstand som tilhører en annen’.”

Det foreligger med andre ord en dom hvor en person ble dømt. Men spørsmålet er hvor stor vekt man skal legge på en enkeltstående dom, avsagt av en dommerfullmektig. Det var (er) ikke uvanlig at slike saker er dårlig prosedert, ved at man ikke evner å få fram hva som egentlig skjer. Drøftelsen av lovanvendelsen i denne dommen er på ingen måte overbevisende.

Print Friendly
  • Hei!
    Fint at du har lagt ut et utfyllende svar. Dette burde jeg naturligvis ha hatt før jeg ringte Sunde. Men pytt, bedre sent enn aldri. Artikkelen (http://www.itavisen.no/858001/lovlig-eller-ulovlig) er nå oppdatert med henvisning til ditt blogginnlegg. Tør jeg håpe på et par (om enn forsiktige) uttalelser neste gang jeg ringer?

  • (kom til å stave navnet mitt feil. Tore er korrekt)

  • Geir-Arne

    Hei,

    Du har forstått angrepet slik det utført i disse tilfellene helt riktig. I hvert fall slik det er beskrevet gjennomført i de kildene jeg har lest.

    I diskusjonen på IT-Avisen ble det sammenliknet med at 500 mennesker stiller seg kontinuerlig i kø i en butikk slik at ingen andre får handlet. Den er enkel, men ganske treffende.

    Jeg regner med det er forståeelsen av denne faktiske biten Sunde har bommet på, det virker merkelig ellers at hun skulle uttale seg bastant.

    Man kunne jo håpet hun var blitt noe mer ydmyk når det gjelder egne tekniske kunnskaper etter å ha blitt offer for direkte latterliggjøring i enkelte miljøer, nettopp på grnn av manglende faktiske kunskaper om IT, da hun jobbet med DVD-Jon saken.

    Med mindre hun har noen argumenter i ermet jeg ikke ser, ser det dessverre ut til at hun fortsatt har det med å uttale seg litt for bastant om ting hun ikke har tilstrekkelig greie på.

    Det eneste tvilsomme punktet i mine øyne da jeg leste artikkelen, var om påstanden er riktig angående PayPal-siden. PayPal kan sannsynligvis ha lidd et tap ved angrepet fordi transaksjoner ikke lot seg gjennomføre. Dette reduserer jo nytte av tingen, og så vidt jeg vet var bla. nytte av tingen et tema i Dam-dommen, uten at jeg har satt meg inn i hverken den eller § 291.

    Men det gir mening at det må ha være gjort en skade på noe for at straffebudet skal være oppfylt.

  • Jeg gir gjerne kommentarer når jeg synes jeg har grunnlag for å kommentere. Men to kategorier som vi kan låne fra en annen del av jusen er det som kalles positiv og negativ troverdighet. Med positiv troverdighet mens at de opplysninger som står er korrekte, med negativ troverdighet at ikke noe mangler — altså at de er fullstendige. I denne saken mente jeg at jeg manglet negativ troverdighet. Jeg kjente noen bestemmelser som jeg mente ikke kunne anvendes, men var usikker på om det kunne være noe annet som rammet. Da har jeg ikke lyst til å gi kommentarer som eventuelt viser at jeg mangler oversikt og har oversett vesentlige bestemmelser. Men når jeg så hva Inger Marie Sunde anførte ble jeg overrasket over at hun kunne uttale seg så bastant på det grunnlaget.

  • Takk for utfyllende kommentar. Det er ikke avgjørende i forhold til § 291 om man lider tap eller ikke. Det er ikke nødvendig at det er lidt et tap, men om det er litt et tap så er det heller ikke tilstrekkelig (men kan være et moment ved eventuell straffutmåling). Jeg synes denne aksjonsformen har mer til felles med blokkade enn skadeverk, og jeg er ikke kjent med noen gjeldende straffebestemmelser som rammer dette.

    Jeg mener at dette er noe som bør være ulovlig og straffbart. Aksjoner for å skade en annens virksomhet økonomisk bør ikke være tillatt. Men spørsmålet er om det faktisk er straffbart, ikke hva jeg eller andre måtte mene om at det burd evære det.

    Som nevnt er en bestemmelse som vil ramme dette vedtatt, men ikke satt i kraft. Den pågående revisjonen av straffeloven er en veldig omfattende prosess og det er mye som må være på plass før den kan settes i kraft. Men det er neppe noe i veien for at denne enkeltbestemmelsen settes i kraft tidligere enn resten, om man skulle se et behov for å kunne ramme denne type handlinger.

    Eksemplet om de som står i kø minner meg om en ikke-voldelig aksjon som jeg hadde stor sans for. Det var en aksjon for en del år siden (jeg husker ikke når) for å bedre behandlingen av hjemløse i Chicago. Man forsøkte å finne noe som ville ramme samfunnet, uten bruk av vold og uten å ty til ulovligheter. Man valgte O’Hare flyplass. Så var det å finne aksjonsform. Hvordan rammer man en sivil flyplass uten maktbruk og uten å ty til ulovligheter? Svaret var toalettene. De hjemløse har god tid, så man plasserte en på hvert toalett på flyplassen, og der ble de. Så i praksis ble alle toaletter satt ut av drift fordi de alltid var opptatt. Det tok ikke lang tid før myndighetene var villige til å forhandle. Aksjonen er visstnok kjent som “The great O’Hare shit in”.

  • Jan Henriksen

    Vel Et DDOS angrep vil være det samme som om du samlet et stort antall venner og det betyr stort 500+ og alle skrev foreksempel inn itavisen.no og lastet siden i si 10 vinduer av gangen. I et DDOS er dette gjort med kode det vil si. At et større antall maskiner står og forespør gitt side sin web server om å laste opp siden. Poenget er at den får så mange forespøsler om dette at den kneler.

    Skjekker tilbake her imorgen så spør om du lurer på noe med ddos.

  • Lars Skjønberg

    Er det ikke forbudt å inngå i et kriminelt forbund ? Eller gjelder dette bare terror ? I såfall vil det å inngå avtale om å ramme noen med et angrep være ulovlig i seg selv.

    I motsatt fall kan jeg se hvordan det kan være ulovlig hvis man setter opp et bot nett for å utføre angrepet, da også opprettelsen av bot nettet vil være ulovlig.

    Hvis man derimot bare avtaler seg imellom om å gå inn på en hjemmeside akkurat samtidig og er mange nok personer (noe jeg tror er vanskelig i praksis) så vil man jo aldri kunne bevise hvem som er med på angrepet og hvem som tilfeldigvis bare besøkte hjemmesiden akkurat da.

    Så finnes det jo en annen form for angrep der man sender pakker som man vet firewallen vil si nei til og dermed får man firewallen til å gå ned isteden for den bakenforliggende webserveren. Da er det ikke så lett å påberope seg uskyldighet lenger.

  • Hvis det skal kunne kalles “kriminelt forbund” må de gå sammen om å gjøre noe som er straffbart. Hvis handlingen i seg selv for tiden ikke er straffbar vil man heller ikke kunne ramme oppfordring til handlingen, forberedelse, osv.

  • I lovteksten du siterer, står det “gjør ubrukelig”. Ett DDoS angrep gjør jo noe ubrukelig. Men med “ubrukelig” betyr det jo ikke at man ikke kan fikse det igjen?

    Ett DDoS angrep kan i mange tilfeller bli så alvorlig at systemet må fikses på selv etter at angrepet er ferdig. Dette fordi antallet prosesser har blitt enormt, prosesser hebger og/eller logger/disker er fulle.

    Systemet er altså “ubrukelig” i mange tilfeller selv etter at angrepet er ferdig. Man kan vel av den grunn ikke generalisere om DDoS er lovlig eller ikke, fordi DDoS ikke er en generisk handling, men utspiller seg forskjellig fra angrep til angrep, og fra system til system.

    En blokkade er over når folkene forlater området, men ett DDoS kan man bruke lang tid på å få tilbake stabilitet fra etter at angrepet er over. Det er ingen eksakt vitenskap, og i verste fall kan helt enkle angrep på webapplikasjoner også korruptere data i databaser m.m.

  • Jeg vil ikke gå inn i en diskusjon om hva som faktisk skjer og ikke, får det kjenner jeg ikke godt nok. Og jeg kan minne om at grunnen til at jeg i utgangspunktet ikke ville kommentere spørsmålet er at jeg anser det som usikkert. Men valgte å kommentere fordi jeg reagerte på Inger Marie Sundes skråsikkerhet. Jeg utelukker ikke at det kan rammes, men det er i alle fall diskutabelt og langt fra sikkert.

    Man kan imidlertid diskutere hva som ligger i å “gjøre det ubrukelig”. Hvis det kan restartes og komme tilbake i normal drift når angrepet er over er det ikke åpenbart at de fysiske gjenstander kan anses for å blitt gjort ubrukelige. Men noe sikkert svar på dette har jeg ikke.

    Etter en blokkade er det slett ikke sikkert at problemene er over når folk har forlatt området. Det kommer an på virksomheten som blokkeres. Ting kan ha hopet seg opp, kan befinne seg på feil sted, osv, slik at det vil ta en del tid og kreve en god del arbeid før man er tilbake i normal drift.

  • Med alle slags forbhold om at jeg ikke kjenner de varianter av DDoS-kode som er brukt de siste dagene så kan man i prinsippet likestille denne typen angrep med en aksjon hvor et stort antall mennesker bruker telefonen og ringer til de virksomheter en aksjonerer mot. Eller for den saks skyld at en skriver en flom av brev.

    Ja, aksjonistene binder opp store ressurser. Om samfunnet skal gjøre enkelte aksjonsformer av denne typen straffbare er kanskje et spørsmål om ytringsfrihet?

    For de virksomhetene som rammes av en DDoS-aksjon er det fullt mulig å avdempe aksjonens effekt med tekniske tiltak. Det er også mulig å gå ut med saklig informasjon om hvor stor del av selskapenes tjenester som faktisk rammes.

    Når det er sagt så finnes det former for DDoS-angrep som går ut over den enkle og prinsipielle beskrivelsen som er nevnt over, og som kan tenkes å være i strid med andre straffebud. Det vil si at i prinsippet er det fullt mulig å aksjonere med et stort antall ulovlige handlinger. (Men da er det nok snakk om noe helt annet enn skadeverk.)

  • Mikael J

    Heisann, ville bare kommentere om DDOS og hva som skjer, et DDOS angrep er ikke noe annet enn at du besøker en webside. Trikset er at når man besøker en side flere hundre ganger fra flere hundre PC’er blir serveren overbelastet.

    Det blir nevnt over at det kan få langvarige følger for systemet, det kan det ikke. Rydding av logger over på for eksempel en ekstern HDD er ikke vanskelig, og alle prosessene som blir skapt blir jo avsluttet ved hjelp av en reboot.

    Ingen skadelig kode blir brukt under et rent DDOS angrep, om folkene fra anonymous har brukt virus / penetrert brannmurene til betalingssidene er jo en helt annen sak.

  • Sdf

    Hva med “ddos” angrep som ikke har til hensikt å skade systemene? Det skjer jo til stadighet over sosiale medier at en link blir populær eller linkes av personer med veldig mange lesere, og følgene er at den aktuelle siden går ned. Hvordan skille dette fra ulovlige ddos angrep som vil være omfattet av den nye loven? Hvor ansvarlig vil leverandøren av tjenesten være for å holde den tekniske biten i orden i forhold til kapasitet?

  • Anonymous

    Det er alltid et krav om skyld for at man skal kunne straffes. At noen har for liten kapasitet til å håndtere trafikken er ikke et angrep fra de som prøver å benytte tjenesten. Det er ikke et angrep når bestillingssystemer bryter sammen fordi alt for mange prøver å kjøpe billett til den samme konserten.

  • Pingback: Olav Torvunds blogg » Blog Archive » Høyesterett har talt: Blogger er ikke offentlige()

  • Sunde representerer jo påtalemyndigheten som åpenbart vil straffe dette, og selv om de skal være objektiv tror jeg neppe hun er det i dette tilfellet.
    Vil ikke det faktum at den nye straffeloven tar sikte på å regulere dette, i seg selv kanskje peke på at gjeldende lov ikke omfatter slike handlinger?
    Alternativt kunne man straffeforfulgt etter § 145 for innbrudd på serverne som blir brukt i ddos, men dette igjen er et internasjonalt spørsmål for serverne kan være hvor som helst (de har jo hacket seg inn på serverne).