Er DDoS-angrep på PayPal, Mastercard, Visa m.fl. ulovlig?

Inger Marie Sunde, nå førsteamanuensis ved Politihøyskolen, er ikke i tvil om at de som deltar i aksjonene mot Mastercard, PayPal og andre institusjoner som har stukket kjepper i hjulene for Wikileaks bryter norsk lov. “Dette kommer under lovgivningen om skadeverk”, sier hun til ITavisen.

Jeg får her legge til at jeg ble kontaktet av ITavisen om dette spørsmålet, og sendte dem videre til Inger Marie Sunde fordi datakriminalitet og strafferett ikke er noe jeg arbeider særlig mye med. Når jeg ikke ville uttale meg til avisen er det kanskje litt ufint i ettertid å kommentere på denne måten. Men det får våge seg.

Jeg er en smule overrasket over at hun kan uttale seg så sikkert om dette, og skulle gjerne ha visst litt mer om grunnlaget for dette. Jeg synes den begrunnelsen som kommer fram i ITavisen er høyst diskutabel. Men først noen innledende øvelser.

Slik spørsmålet er stilt, og det som Inger Marie Sunde ganske sikkert har svart på, er om de kan straffes for dette. “Ingen kan dømmes uden efter Lov” står det i Grunnloven § 96. I praksis betyr det at ingen kan straffes uten etter lov. Dette kravet om lovhjemmel, legalitetsprinsippet, gjelder ikke for for eksempel erstatning.

For at man skal kunne straffes må man kunne forankre dette i en lovbestemmelse som sier at den aktuelle handlingen er straffbar. Om vi skulle mene at den burde være straffbar er i denne sammenhengen uten betydning. Finnes det ikke lovhjemmel må vedkommende frifinnes. Om man i morgen vedtar en lovbestemmelse som gjør handlingen straffbar, så er det uten betydning for handlinger foretatt i går. “Ingen Lov maa gives tilbagevirkende Kraft” sier Grunnloven § 97. Var handlingen ikke straffbar på gjerningstidspunktet vil man ikke kunne straffes selv om tilsvarende handlinger senere blir gjort straffbare. Som jeg skal komme tilbake til, så er det i forbindelse med den generelle revisjonen av straffeloven vedtatt en bestemmelse som vil gjøre dette straffbart. Men den har ikke trådt i kraft, og kan derfor ikke anvendes på de angrep som har pågått og som nå pågår.

Inger Marie Sunde henviser til bestemmelsene om skadeverk. Det må betyd straffeloven § 291, som lyder (første ledd):

“For skadeverk straffes den som rettstridig ødelegger, skader, gjør ubrukelig eller forspiller en gjenstand som helt eller delvis tilhører en annen.”

Det springende punkt her er om de ødelegger, skader, gjør ubrukelig eller forspiller en gjenstand. Det er vanskelig å si at den som hindrer tilgang ødelegger det man hindrer tilgang til, selv om det fører til at gjenstanden, her datasystemet, ikke kan nyttiggjøres så lenge tilgang hindres. Ved en blokkade, f.eks. under en arbeidskonflikt, kan man ikke si at det utøves skadeverk ved at virksomheten blokkeres. Det kan føre til tap, men ingen gjenstand øndelegges.

Det følger av straffeloven § 6 at kraft også skal regnes som (løsøre)gjenstand. Men det er ikke aktuelt her.

Det finnes rettspraksis som sier at å slette abonnentsdata er skadeverk (Rt-2004-94), og tilsvarende at det er skadeverk å legge inn en bakdør i et datasystem (Rt-2004-1619). Resonnementene har vært at man har gjort endringer på lagringsmediene, og at man dermed har skadet gjenstanden. Det skal altså ikke stor fysisk endring til for at det skal kunne regnes som en skade, men jeg finner ikke holdepunkter for å mene at noe som ikke medfører endringer av gjenstanden skal kunne regnes som skade på denne.

Jeg hadde for så vidt vurdert bestemmelsen om skadeverk før jeg sa til ITavisen at jeg ikke ville kommentere saken. Jeg hadde konkludert med at denne ikke kunne komme til anvendelse, men følge meg ikke tilstrekkelig trygg på at det ikke kunne være andre bestemmelser, som jeg hadde oversett. Min vurdering er at gjeldende bestemmelse om skadeverk ikke kan ramme disse forholdene.

Straffeloven er under revisjon. Det er en omfattende prosess. Nye bestemmelser er vedtatt, men de har ennå ikke trådt i kraft. Det er blant annet vedtatt en § 206. Fare for driftshindring, som lyder:

“Med bot eller fengsel inntil 2 år straffes den som ved å overføre, skade, slette, forringe, endre, tilføye eller fjerne informasjon uberettiget volder fare for avbrudd eller vesentlig hindring av driften av et datasystem.”

Det er ingen tvil om at man ved et DDoS-angrep overfører informasjon og at dette volder fare for avbrudd eller vesentlig hindring av driften. Fra den dato denne bestemmelsen trer i kraft vil slike angrep være straffbare. Det er så vidt jeg vet ikke fastsatt noen ikrafttredelsesdato for denne bestemmelsen.

Det fremgår klart av forarbeidene til denne bestemmelsen at den er ny i forhold til gjeldende rett, altså at det ikke finnes bestemmelser i dag som rammer dette.

Som nevnt innledningsvis kreves til ikke på tilsvarende måte lovhjemmel for å kunne idømme erstatning. Den som forsettlig eller uaktsomt påfører en annen et økonomisk tap kan bli erstatningsansvarlig for dette tapet. Når det, som her, dreier seg om et rent formuestap blir det en del vanskelige vurderinger. Men når handlingene er utført i den hensikt å påføre noen et tap, da er det nok sannsynlig at man vil kunne holdes ansvarlig for tapet. Når noen i fellesskap påfører noen andre en (økonomisk) skade, vil skadevolderne bli solidarisk ansvarlig for tapet. Det vil si at én enkelt person kan holdes ansvarlig for hele beløpet. Det er dette som gjør at Carl Lundström, som (sannsynligvis) er den eneste av de dømte som har penger, risikerer å bli sittende med hele erstatningsansvaret i Pirate Bay-saken.

Jeg vil ikke her nå mer inn i de erstatningsrettslige spørsmålene, ut over å understreke at selv om de neppe kan straffes, så betyr det ikke at man også vil slippe unna et eventuelt erstatningsansvar.

PS (tilføyelse):

I en twitterdiskusjon har det blitt spørsmål om hvorvidt det DDoS-angrep fører til endringer i systemet på en slik måte at det kan regnes som en skade. Her er det bare å innrømme at jeg ikke kjenner godt nok hva som rent teknisk skjer. I de to dommene som det er vist til har noen endret koden som er lagret i systemet, henholdsvis ved å slette kunderegister og å legge inn en bakdør. Så langt jeg har forstått dette så legger ikke angriperne kode inn i systemet eller sletter kode i systemet.

Hvis de hadde angrepet systemet fra utsiden, brutt seg gjennom sikkerhetssystemene, da hadde innbruddet blitt rammet av strl § 145. Men slik jeg har oppfattet situasjonen har dette ikke skjedd. Tar jeg feil på dette ber jeg om at noen kan forklare hvordan dette skjer.

Jeg har oppfattet det som skjer som en overbelastning som får systemet til å gå ned, men at systemet i seg selv ikke er skadet. Det er ikke mulig å starte systemet så lenge angrepet vedvarer. Men etterpå kan man starte systemet som normalt, og det vil fungere som før. At det kan kreve arbeid å ta noe tid å få systemet i gang igjen betyr ikke nødvendigvis at systemet som sådann er påført skade. Det er ut fra dette jeg har lagt til grunn at systemet ikke seg selv ikke er påført skade. Hvis dette er feil så kan selvfølgelig konklusjonene som er basert på denne vurderingen av hva som faktisk skjer, også bli feil.

140 tegn i Twitter er for liten plass til å kunne avklare dette. Derfor: Hvis noen mener at min forståelse av hva som faktisk skjer er feil, bruk kommentarfeltet til å korrigere dette.

PPS:

Dette er også en oppfølging av et spørsmål på Twitter. Det finnes bestemmelser som kan ramme det å forårsake en hendelse, uten at det er sagt noe om på hvilken måte hendelsen forårsakes. Et eksempel er strl § 148. Hvis man forårsaker ulykke ved å angripe system for fly- eller jernbanekontroll (som spørsmålet gjaldt), vil man kunne straffes etter denne bestemmelsen. Men et angrep på betalingssystemer vil ikke omfattes av denne bestemmelsen.

Det kan godt hende at det finnes flere slike bestemmelser som i praksis kan ramme DDoS-angrep mot visse systemer, uten at de rammer slike angrep generelt. Det var nettopp fordi jeg ikke har oversikt over alle slike bestemmelser at jeg ikke hadde lyst til å uttale med da de ringte fra IT-avisen.

PPPS – lagt til 15.12.2010

Readaktør Tore Neset i itavisen.no og digi.no har gjort meg oppmerksom på at digi.no omtalte en slik sak i 2002. Saken er referert i Lov & Data 72/2002 – Lovdataref LoD-2002-72-9 (bare tilgjengelig i abonnenttjenesten). Dommen er avsagt av Ringerike herredsrett 21. desember 2001. I artikkelen i digi.no står det at saken vil bli anket, men jeg har ikke funnet noen avgjørelse fra lagmannsrett. Så kanskje ble den ikke anket. (Den var ikke rettskraftig da den ble referert i L&D).

To ungdommer ble dømt for grovt skadeverk. Jeg gjengir følgende avsnitt fra domsreferatet:

“[C] har i retten innrømmet at [C] den 2. mars 2000 kjørte en såkalt smurf-kommando eller et DOS-angrep mot RingNett. Et slikt DOS-angrep (Denial of Service) innebærer at en ved hjelp av andre maskiner som også er tilknyttet internett, angriper en bestemt maskin/server ved at det sendes store datamengder til denne serveren. Dette medfører en belastning for den angrepne serveren. I tilfelle den konstruerte trafikken mot serveren er stor nok, kan dette medføre en overbelastning.”

“Ut i fra bevisføringen under hovedforhandlingen finner retten det hevet over enhver rimelig tvil at [C] ved å sende et DOS-angrep som nevnt, forårsaket at RingNetts maskiner eller routere ble overbelastet torsdag 2. mars 2000 mellom kl. 17.50 og kl. 18.25, slik at RingNetts kunder ble stående uten internettforbindelse i denne perioden.”

“Retten finner at [C]s handling den 2. mars 2000, rammes av det objektive gjerningsinnholdet i skadeverksbestemmelsen i straffeloven § 291. DOS-angrepet må anses som en rettsstridig handling. Ved at RingNetts maskiner eller routere ble overbelastet slik at kundene ble stående uten internettforbindelse, har [B] ‘gjort ubrukelig en gjenstand som tilhører en annen’.”

Det foreligger med andre ord en dom hvor en person ble dømt. Men spørsmålet er hvor stor vekt man skal legge på en enkeltstående dom, avsagt av en dommerfullmektig. Det var (er) ikke uvanlig at slike saker er dårlig prosedert, ved at man ikke evner å få fram hva som egentlig skjer. Drøftelsen av lovanvendelsen i denne dommen er på ingen måte overbevisende.