Er DDoS-angrep på PayPal, Mastercard, Visa m.fl. ulovlig?

Inger Marie Sun­de, nå første­ama­nu­en­sis ved Politi­høy­sko­len, er ikke i tvil om at de som del­tar i aksjo­ne­ne mot Mas­ter­card, Pay­Pal og and­re insti­tu­sjo­ner som har stuk­ket kjep­per i hju­le­ne for Wikile­aks bry­ter norsk lov. “Det­te kom­mer under lov­giv­nin­gen om skade­verk”, sier hun til ITavi­sen.

Jeg får her leg­ge til at jeg ble kon­tak­tet av ITavi­sen om det­te spørs­må­let, og send­te dem vide­re til Inger Marie Sun­de for­di data­kri­mi­na­li­tet og straffe­rett ikke er noe jeg arbei­der sær­lig mye med. Når jeg ikke vil­le utta­le meg til avi­sen er det kan­skje litt ufint i etter­tid å kom­men­te­re på den­ne måten. Men det får våge seg.

Jeg er en smu­le over­ras­ket over at hun kan utta­le seg så sik­kert om det­te, og skul­le gjer­ne ha visst litt mer om grunn­la­get for det­te. Jeg synes den begrun­nel­sen som kom­mer fram i ITavi­sen er høyst dis­ku­ta­bel. Men først noen inn­le­den­de øvel­ser.

Slik spørs­må­let er stilt, og det som Inger Marie Sun­de gans­ke sik­kert har svart på, er om de kan straf­fes for det­te. “Ingen kan døm­mes uden efter Lov” står det i Grunn­lo­ven § 96. I prak­sis betyr det at ingen kan straf­fes uten etter lov. Det­te kra­vet om lov­hjem­mel, lega­li­tets­prin­sip­pet, gjel­der ikke for for eksem­pel erstat­ning.

For at man skal kun­ne straf­fes må man kun­ne for­ank­re det­te i en lov­be­stem­mel­se som sier at den aktu­el­le hand­lin­gen er straff­bar. Om vi skul­le mene at den bur­de være straff­bar er i den­ne sam­men­hen­gen uten betyd­ning. Fin­nes det ikke lov­hjem­mel må ved­kom­men­de fri­fin­nes. Om man i mor­gen ved­tar en lov­be­stem­mel­se som gjør hand­lin­gen straff­bar, så er det uten betyd­ning for hand­lin­ger fore­tatt i går. “Ingen Lov maa gives til­bage­vir­ken­de Kraft” sier Grunn­lo­ven § 97. Var hand­lin­gen ikke straff­bar på gjer­nings­tids­punk­tet vil man ikke kun­ne straf­fes selv om til­sva­ren­de hand­lin­ger sene­re blir gjort straff­ba­re. Som jeg skal kom­me til­ba­ke til, så er det i for­bin­del­se med den gene­rel­le revi­sjo­nen av straffe­lo­ven ved­tatt en bestem­mel­se som vil gjø­re det­te straff­bart. Men den har ikke trådt i kraft, og kan der­for ikke anven­des på de angrep som har pågått og som nå pågår.

Inger Marie Sun­de hen­vi­ser til bestem­mel­se­ne om skade­verk. Det må betyd straffe­lo­ven § 291, som lyder (førs­te ledd):

For skade­verk straf­fes den som rett­stri­dig øde­leg­ger, ska­der, gjør ubru­ke­lig eller for­spil­ler en gjen­stand som helt eller del­vis til­hø­rer en annen.”

Det sprin­gen­de punkt her er om de øde­leg­ger, ska­der, gjør ubru­ke­lig eller for­spil­ler en gjen­stand. Det er vans­ke­lig å si at den som hind­rer til­gang øde­leg­ger det man hind­rer til­gang til, selv om det fører til at gjen­stan­den, her data­sys­te­met, ikke kan nyt­tig­gjø­res så len­ge til­gang hind­res. Ved en blok­ka­de, f.eks. under en arbeids­kon­flikt, kan man ikke si at det utøves skade­verk ved at virk­som­he­ten blok­ke­res. Det kan føre til tap, men ingen gjen­stand ønde­leg­ges.

Det føl­ger av straffe­lo­ven § 6 at kraft også skal reg­nes som (løsøre)gjenstand. Men det er ikke aktu­elt her.

Det fin­nes retts­prak­sis som sier at å slet­te abon­nents­data er skade­verk (Rt-2004–94), og til­sva­ren­de at det er skade­verk å leg­ge inn en bak­dør i et data­sys­tem (Rt-2004–1619). Reson­ne­men­te­ne har vært at man har gjort end­rin­ger på lag­rings­me­die­ne, og at man der­med har ska­det gjen­stan­den. Det skal alt­så ikke stor fysisk end­ring til for at det skal kun­ne reg­nes som en ska­de, men jeg fin­ner ikke holde­punk­ter for å mene at noe som ikke med­fø­rer end­rin­ger av gjen­stan­den skal kun­ne reg­nes som ska­de på den­ne.

Jeg had­de for så vidt vur­dert bestem­mel­sen om skade­verk før jeg sa til ITavi­sen at jeg ikke vil­le kom­men­te­re saken. Jeg had­de kon­klu­dert med at den­ne ikke kun­ne kom­me til anven­del­se, men føl­ge meg ikke til­strek­ke­lig trygg på at det ikke kun­ne være and­re bestem­mel­ser, som jeg had­de over­sett. Min vur­de­ring er at gjel­den­de bestem­mel­se om skade­verk ikke kan ram­me dis­se for­hol­de­ne.

Straffe­lo­ven er under revi­sjon. Det er en omfat­ten­de pro­sess. Nye bestem­mel­ser er ved­tatt, men de har ennå ikke trådt i kraft. Det er blant annet ved­tatt en § 206. Fare for drifts­hind­ring, som lyder:

Med bot eller feng­sel inn­til 2 år straf­fes den som ved å over­fø­re, ska­de, slet­te, for­rin­ge, end­re, til­føye eller fjer­ne infor­ma­sjon ube­ret­ti­get vol­der fare for avbrudd eller vesent­lig hind­ring av drif­ten av et data­sys­tem.”

Det er ingen tvil om at man ved et DDoS-angrep over­fø­rer infor­ma­sjon og at det­te vol­der fare for avbrudd eller vesent­lig hind­ring av drif­ten. Fra den dato den­ne bestem­mel­sen trer i kraft vil sli­ke angrep være straff­ba­re. Det er så vidt jeg vet ikke fast­satt noen ikraft­tre­del­ses­dato for den­ne bestem­mel­sen.

Det frem­går klart av for­ar­bei­de­ne til den­ne bestem­mel­sen at den er ny i for­hold til gjel­den­de rett, alt­så at det ikke fin­nes bestem­mel­ser i dag som ram­mer det­te.

Som nevnt inn­led­nings­vis kre­ves til ikke på til­sva­ren­de måte lov­hjem­mel for å kun­ne idøm­me erstat­ning. Den som for­sett­lig eller uakt­somt påfø­rer en annen et øko­no­misk tap kan bli erstat­nings­an­svar­lig for det­te tapet. Når det, som her, drei­er seg om et rent for­mues­tap blir det en del vans­ke­li­ge vur­de­rin­ger. Men når hand­lin­ge­ne er utført i den hen­sikt å påfø­re noen et tap, da er det nok sann­syn­lig at man vil kun­ne hol­des ansvar­lig for tapet. Når noen i fel­les­skap påfø­rer noen and­re en (øko­no­misk) ska­de, vil skade­vol­der­ne bli soli­da­risk ansvar­lig for tapet. Det vil si at én enkelt per­son kan hol­des ansvar­lig for hele belø­pet. Det er det­te som gjør at Carl Lundström, som (sann­syn­lig­vis) er den enes­te av de døm­te som har pen­ger, risi­ke­rer å bli sit­ten­de med hele erstat­nings­an­sva­ret i Pirate Bay-saken.

Jeg vil ikke her nå mer inn i de erstat­nings­retts­li­ge spørs­må­le­ne, ut over å under­stre­ke at selv om de nep­pe kan straf­fes, så betyr det ikke at man også vil slip­pe unna et even­tu­elt erstat­nings­an­svar.

PS (til­føy­el­se):

I en twit­ter­dis­ku­sjon har det blitt spørs­mål om hvor­vidt det DDoS-angrep fører til end­rin­ger i sys­te­met på en slik måte at det kan reg­nes som en ska­de. Her er det bare å inn­røm­me at jeg ikke kjen­ner godt nok hva som rent tek­nisk skjer. I de to dom­me­ne som det er vist til har noen end­ret koden som er lag­ret i sys­te­met, hen­holds­vis ved å slet­te kunde­re­gis­ter og å leg­ge inn en bak­dør. Så langt jeg har for­stått det­te så leg­ger ikke angri­per­ne kode inn i sys­te­met eller slet­ter kode i sys­te­met.

Hvis de had­de angre­pet sys­te­met fra utsi­den, brutt seg gjen­nom sik­ker­hets­sys­te­me­ne, da had­de inn­brud­det blitt ram­met av strl § 145. Men slik jeg har opp­fat­tet situa­sjo­nen har det­te ikke skjedd. Tar jeg feil på det­te ber jeg om at noen kan for­kla­re hvor­dan det­te skjer.

Jeg har opp­fat­tet det som skjer som en over­be­last­ning som får sys­te­met til å gå ned, men at sys­te­met i seg selv ikke er ska­det. Det er ikke mulig å star­te sys­te­met så len­ge angre­pet ved­va­rer. Men etter­på kan man star­te sys­te­met som nor­malt, og det vil fun­ge­re som før. At det kan kre­ve arbeid å ta noe tid å få sys­te­met i gang igjen betyr ikke nød­ven­dig­vis at sys­te­met som sådann er påført ska­de. Det er ut fra det­te jeg har lagt til grunn at sys­te­met ikke seg selv ikke er påført ska­de. Hvis det­te er feil så kan selv­føl­ge­lig kon­klu­sjo­ne­ne som er basert på den­ne vur­de­rin­gen av hva som fak­tisk skjer, også bli feil.

140 tegn i Twit­ter er for liten plass til å kun­ne avkla­re det­te. Der­for: Hvis noen mener at min for­stå­el­se av hva som fak­tisk skjer er feil, bruk kom­men­tar­fel­tet til å kor­ri­ge­re det­te.

PPS:

Det­te er også en opp­føl­ging av et spørs­mål på Twit­ter. Det fin­nes bestem­mel­ser som kan ram­me det å for­år­sa­ke en hen­del­se, uten at det er sagt noe om på hvil­ken måte hen­del­sen for­år­sa­kes. Et eksem­pel er strl § 148. Hvis man for­år­sa­ker ulyk­ke ved å angri­pe sys­tem for fly- eller jern­bane­kon­troll (som spørs­må­let gjaldt), vil man kun­ne straf­fes etter den­ne bestem­mel­sen. Men et angrep på beta­lings­sys­te­mer vil ikke omfat­tes av den­ne bestem­mel­sen.

Det kan godt hen­de at det fin­nes fle­re sli­ke bestem­mel­ser som i prak­sis kan ram­me DDoS-angrep mot vis­se sys­te­mer, uten at de ram­mer sli­ke angrep gene­relt. Det var nett­opp for­di jeg ikke har over­sikt over alle sli­ke bestem­mel­ser at jeg ikke had­de lyst til å utta­le med da de ring­te fra IT-avi­sen.

PPPS — lagt til 15.12.2010

Rea­dak­tør Tore Neset i itavisen.no og digi.no har gjort meg opp­merk­som på at digi.no omtal­te en slik sak i 2002. Saken er refe­rert i Lov & Data 72/2002 — Lov­data­ref LoD-2002–72-9 (bare til­gjen­ge­lig i abon­nent­tje­nes­ten). Dom­men er avsagt av Ringe­rike her­reds­rett 21. desem­ber 2001. I artik­ke­len i digi.no står det at saken vil bli anket, men jeg har ikke fun­net noen avgjø­rel­se fra lag­manns­rett. Så kan­skje ble den ikke anket. (Den var ikke retts­kraf­tig da den ble refe­rert i L&D).

To ung­dom­mer ble dømt for grovt skade­verk. Jeg gjen­gir føl­gen­de avsnitt fra doms­re­fe­ra­tet:

[C] har i ret­ten inn­røm­met at [C] den 2. mars 2000 kjør­te en såkalt smurf-kom­man­do eller et DOS-angrep mot Ring­Nett. Et slikt DOS-angrep (Deni­al of Ser­vice) inne­bæ­rer at en ved hjelp av and­re maski­ner som også er til­knyt­tet inter­nett, angri­per en bestemt maskin/server ved at det sen­des sto­re data­meng­der til den­ne ser­ve­ren. Det­te med­fø­rer en belast­ning for den angrep­ne ser­ve­ren. I til­fel­le den kon­stru­er­te tra­fik­ken mot ser­ve­ren er stor nok, kan det­te med­føre en over­be­last­ning.”

Ut i fra bevis­fø­rin­gen under hoved­for­hand­lin­gen fin­ner ret­ten det hevet over enhver rime­lig tvil at [C] ved å sen­de et DOS-angrep som nevnt, for­år­sa­ket at Ring­Netts maski­ner eller rou­te­re ble over­be­las­tet tors­dag 2. mars 2000 mel­lom kl. 17.50 og kl. 18.25, slik at Ring­Netts kun­der ble stå­en­de uten inter­nett­for­bin­del­se i den­ne peri­oden.”

Ret­ten fin­ner at [C]s hand­ling den 2. mars 2000, ram­mes av det objek­ti­ve gjer­nings­inn­hol­det i skade­verks­be­stem­mel­sen i straffe­lo­ven § 291. DOS-angre­pet må anses som en retts­stri­dig hand­ling. Ved at Ring­Netts maski­ner eller rou­te­re ble over­be­las­tet slik at kun­de­ne ble stå­en­de uten inter­nett­for­bin­del­se, har [B] ‘gjort ubru­ke­lig en gjen­stand som til­hø­rer en annen’.”

Det fore­lig­ger med and­re ord en dom hvor en per­son ble dømt. Men spørs­må­let er hvor stor vekt man skal leg­ge på en enkelt­stå­en­de dom, avsagt av en dom­mer­full­mek­tig. Det var (er) ikke uvan­lig at sli­ke saker er dår­lig pro­se­dert, ved at man ikke evner å få fram hva som egent­lig skjer. Drøf­tel­sen av lov­an­ven­del­sen i den­ne dom­men er på ingen måte over­be­vi­sen­de.

Print Friendly, PDF & Email