Ambient Sweden. Internetframsyn ur ett säkerhetsoch juridikperspektiv

Transkript

1 Ambient Sweden Internetframsyn ur ett säkerhetsoch juridikperspektiv

2 KUNGL. INGENJÖRSVETENSKAPSAKADEMIEN (IVA) är en fristående akademi med uppgift att främja tekniska och ekonomiska vetenskaper samt näringslivets utveckling. I samarbete med näringsliv och högskola initierar och föreslår IVA åtgärder som stärker Sveriges industriella kompetens och konkurrenskraft. För mer information om IVA och IVAs projekt, se IVAs webbplats: Utgivare: Kungl. Ingenjörsvetenskapsakademien (IVA), 2008 Box 5073, SE Stockholm Tfn: IVA-M 389 ISSN: ISBN: Huvudprojektledare: Staffan Eriksson, IVA Layout: Eva Stattin & Pelle Isaksson, IVA Produktion: Tryckfaktorn AB Tryck: AlfaPrint Denna rapport finns att ladda ned som pdf-fil via projektets hemsida

3 Förord Denna rapport är framtagen som en delrapport inom huvudprojektet Internetframsyn som genomförts av Kungl. Ingenjörsvetenskapsakademin, IVA under Rapporten utgör redovisningen av Säkerhets- och juridikpanelens arbete inom ramen för projektet. I Säkerhets- och juridikpanelens arbete har följande personer deltagit: Henrik Nilsson, Bird & Bird Helena Andersson, IRI Stockholms universitet Katarina Renman-Claesson, IRI Stockholms universitet Christina Jonsson, ISOC-SE Nicklas Lundblad, Google Patrik Lidehäll, KTH Per Oscarsson, KBM Wiggo Öberg, Verva Oscar Wenell, TDC David Mothander, 3 Anna Hörnlund, PTS Magnus Bergström, Datainspektionen. Som panelens sekreterare har tjänstgjort jur stud Benjamin Yousefi, Stockholms universitet. I egenskap av panelordförande vill jag varmt tacka panelledamöterna för deras frikostigt donerade arbete, expertis och entusiasm utan vilka denna rapport inte hade kunnat skapas. Stockholm, april 2008 Henrik Nilsson Panelordförande

4 Sammanfattning I ett samhälle som blir alltmer integrerat med internet, ett samhälle där alltfler aktiviteter görs genom och på internet, utvecklas ett beroende av att tekniska och administrativa tjänster fungerar. I ett sådant samhälle är användarnas förtroende till informationssystemet centralt. Störningar som medför att essentiella tjänster slutar att vara tillgängliga eller säkra vare sig det rör sig om plötsliga och oförutsebara händelser som föranleds av naturhändelser eller mänskligt fel, brister i tekniska lösningar eller kriminell påverkan, eller okunskap hos internetanvändare innebär att tilliten till systemet urholkas. Genom den ökade mobiliteten och ständiga uppkopplingen väcker informationshanteringen frågor kring informationens riktighet, tillgänglighet och konfidentialitet samt spårbarhet och tillgänglighet till infrastrukturen. Detta utgör sedan utgångspunkten för att bygga upp informationssäkerhet genom organisatoriska, logiska och fysiska säkerhetsåtgärder. Ett långsiktigt och systematiskt tänkande som beaktar helhetssynen krävs för att lägga grunden till att Sverige ska utvecklas till en ledande internetnation. Juridiken kan i detta sammanhang användas för att stadga ansvarsfrågor, definiera begrepp, ställa krav och kriminalisera eller främja särskilda vägval. Det är dock även viktigt att, i syfte att betrakta internet ur ett helhetsperspektiv som en del av samhället, söka undvika specialregleringar för den elektroniska miljön. Allteftersom fler tjänster övergår till en virtuell miljö får informationshanteringen en särskild betydelse för frågan om immateriella rättigheter. Internets inverkan på hur immateriella rättigheter produceras, distribueras och konsumeras har avsevärt förändrat förutsättningarna för immateriella rättigheter på den ekonomiska marknaden, och betydelsen av detta går inte att bortse ifrån. Att tidigare metoder för hanteringen av immateriella rättigheter börjar betraktas som förlegade innebär inte att behovet att säkerställa ett skydd för rättighetshavare frånfallit. En balans bör eftersträvas och kan uppnås genom att kanalisera problematiken genom såväl tekniska såväl som juridiska åtgärder. Informationshanteringen får även en ny dimension när det offentliga, näringslivet och individer samtidigt blir alltmer integrerade med internet. Varje aktör har särskilda intressen i förhållande till övriga aktörer, samtidigt som de tillsammans har ett gemensamt intresse som internetanvändare gentemot andra internetanvändare och övriga aktörer. I denna miljö uppstår friktion när frågor som immaterialrätt, yttrandefrihet och integritet samt rättigheter och skyldigheter närmar sig varandra. Information har fått en särskild betydelse vars värde fluktuerar beroende på vad, hur, när och vem som hanterar och efterfrågar den. Därtill har konflikten mellan användare och aktörer med särskilda intressen medfört att internetoperatörerna fått funktionera som en buffert mellan dem. Det blir allt vanligare att operatörerna förväntas verkställa eller utföra beslut av myndighetsliknande art, samtidigt som operatörerna själva främst har ett vinstintresse i sikte. I denna härdsmälta kan integriteten antingen betraktas som redan förlorad eller enbart hotat. Vill man inte acceptera ett samhälle där personlig information är tillgänglig för alla kan rättsliga, institutionella och infrastrukturella åtgärder vidtas för att skydda integriteten. Internetoperatörerna tillhandahåller tjänster som ger tillgång till internetsamhällets infrastruktur, och utgör grunden för informationshanteringen. Dessa operatörer utgör utgångspunkten för säkerhetsarbeten, vilket föranleder att en basnivå för säkerhet måste införas och att marknaden uppmärksammas om att detta även är ett kvalitetskrav. Det är väsentligt att frågan om informationssäkerhet inte uppfattas som en hämmande faktor i den tekniska utvecklingen, vilket bristfäl-

5 liga och ogenomtänkta, kortsiktiga säkerhetslösningar riskerar att förorsaka. Samhällets behov av internet medför att det i vissa fall ställs särskilda krav på en säker informationshantering. Ett elektroniskt identifikationssystem krävs i syfte att fastställa informationens integritet och källa. Mot bakgrund av den enskildes integritetsintresse måste ett sådant system emellertid i vissa fall även möjliggöra för användarna att vara anonyma. Användningen av elektroniska identifikationssystem har hittills haft en gynnsam effekt på utvecklingen av offentliga e-tjänster. Marknaden för infrastrukturrelaterade bredbandstjänster lider av brist på konkurrens och besvärande regleringar som hämmar investeringsviljan, för såväl nya som dominerande aktörer, och utvecklingen av den svenska infrastrukturen, därmed tillgängligheten för slutanvändarna. Incitament för konkurrens och innovation förutsätter en stabil teknisk miljö. Enligt en prognos kommer de flesta hushållen i Sverige att ha tillgång till fast bredband år 2015, och att endast en liten skara av hushållen, särskilt i glesbygd och andra avskilda områden, kommer att sakna en sådan uppkoppling. Det är emellertid sannolikt att de flesta av dessa hushåll istället kommer att ha grundläggande tillgång till internet genom trådlösa internetaccesser. Medan det mobila nätet troligtvis helt kommer att ersätta det fasta bredbandet i framtiden, lider tekniken för nuvarande av vissa brister som medfört att utvecklingen inte framskridit i en särskilt snabb takt. Panelen har avslutningsvis rekommenderat konkreta förslag som kan vidtas för att Sverige ska vara en framstående internetnation år Panelens samtliga förslag finns i kapitel 5. Säkerhets- och juridikpanelen föreslår att: Regeringen måste ta vara på de senare årens gjorda utredningsarbete och formulera en politik för informationssäkerhet. De lagförslag som kan behövas bör överlämnas till riksdagen snarast och före utgången av år En basnivå för säkerhet är nödvändig, möjligheten att ställa krav på säkerhet i de varor och tjänster som tillhandahålls på marknaden och i den offentliga sektorn ska säkerställas genom lagstiftning. Tillförlitlig identifiering är nödvändig för många samhällsfunktioner. En ackrediteringsfunktion för elektronisk identifierings/e-idtjänster måste inrättas genom regelstöd och/ eller upphandling. Kunskap om it och informationssäkerhet är grundläggande i allt säkerhetsarbete; utbildningskrav måste ställas redan i grundskolans läroplan och forskning på området måste uppmuntras. Grundläggande fri- och rättigheter som skydd för den personliga integriteten måste ha ett adekvat skydd även i elektronisk miljö. En inventering och utvärdering av den befintliga konstitutionella lagstiftningen måste göras mot bakgrund av de förändrade samhällsförutsättningarna. Prioriterering av bekämpningen av it-brottsligheten ska ske bland annat genom en kompetensuppbyggnad på liknande sätt som skett avseende miljöbrott och ekonomisk brottslighet. Näringslivet har en viktig del av ansvaret för att Sverige är en framstående internetnation år Säkerhetsfrågor måste i högre grad än nu beaktas vid utveckling och tillhandahållande av produkter och tjänster. Även näringslivets hantering av integritetsfrågor och tillämpning av upphovsrätten måste utvecklas mot bakgrund av marknadens, användarnas och konsumenternas krav. Vi anser att en basnivå för säkerhet när det gäller användarnas informationshantering måste införas, krypteringstjänster måste göras allmänt tillgängliga, infrastrukturernas funktion måste tryggas fysiskt, logiskt och organisatoriskt. Utvecklingen ställer krav på användarna även som enskilda individer. Användarna behöver utbildas och motiveras att iaktta säkerhetsbestämmelser och att aktivt vidta sådana försiktighetsmått som krävs; från publicering av personliga uppgifter till konfigurering av utrustning. Vi anser att it- och säkerhetsutbildning måste ske på alla nivåer och även ingå i som en del i grundskolan, tillgänglighet till internet är av största vikt för utvecklingen av det elektroniska samhället, men att något särskilt körkort inte behövs för att få tillgång till kommunikationsmöjligheter.

6 Summary In a society that is becoming ever more integrated with the Internet; a society where more and more activities take place through and on the Internet, we are becoming dependent on technical and administrative services that work properly. In a society like this, user confidence in the information system is key. Disruptions that result in essential services becoming unavailable or insecure whether they are due to sudden and unforeseeable events resulting from a natural occurrence or human error, flaws in technical solutions or criminal action, or ignorance on the part of the Internet user undermine confidence in the system. Information management, through increased mobility and constant connection, is giving rise to questions about the accuracy and accessibility of information, as well as confidentiality, traceability and access to infrastructure. This is the starting point from which to build information security through organic, logical and physical security measures. A long-term, systematic and holistic approach is required to lay the foundation from which Sweden can develop into a leading Internet nation. The law can, in this context, be used to determine responsibility issues, define concepts, set standards and criminalise or promote specific options. However, for the purpose of approaching the Internet from a holistic perspective as part of society, it is also important to try to avoid having special regulations for the electronic environment. As more services are transferred to a virtual environment, information management is particularly important with respect to intellectual property. The Internet s influence on how intellection property is produced, distributed and consumed has greatly changed the situation for intellectual property on the financial market, and the significance of this cannot be ignored. At the same time, while earlier methods of handling intellectual property can be considered obsolete, this does not mean that there is not still a need to ensure that the rights of holders of intellectual property are protected. We should aim for a balance and this can be achieved by dealing with the problem through both technical and legal measures. Information management will also have a new dimension when the public sector, industry and individuals simultaneously become more integrated with the Internet. Each player has particular interests in the relation to the other players, at the same time as they all have a common interest as Internet users in relation to other Internet users and other players. In this environment, friction occurs when issues such as intellectual property, freedom of expression and integrity, as well as rights and responsibilities converge. Information has been given a particular significance and its value fluctuates depending on what, how, where and who is handling and demanding it. Also, conflicts between users and players with their own particular interests have led to a situation where Internet operators have been forced to act as a buffer between them. It is becoming increasingly common for operators to be expected to enforce decisions of an authoritative nature, at the same time as the operators themselves are mainly concerned with making a profit. In this meltdown, integrity can either be seen as already lost or threatened. If we are not willing to accept a society where personal information is available to all, there are legal, institutional and infrastructural measures that can be taken to protect people s integrity. Internet operators provide services that give access to the Internet community s infrastructure and form the basis for information management. Work on security starts with these operators, and this requires the introduction of a basic security level and alerting the market to the fact that this is also a quality requirement. It is important that the issue of information security is not perceived as an obstacle to technological development, which is the risk if security solutions are insufficient or poorly thought through. Society s need for the Internet means that, in certain cases, there are particular requirements with respect to secure information management. An electronic identification system is needed to

7 ensure the integrity and source of information. Based on the individual s integrity interest, such a system must, however, also make it possible in some cases for the users to remain anonymous. The use of electronic identification systems has so far had a positive effect on the development of official e-services. The market for infrastructure-related broadband services is suffering from a lack of competition and from troublesome regulations that are discouraging both new and dominant players from investing, and impeding the development of Swedish infrastructure and thereby also access for the end user. Incentives for competition and innovation require a stable technical environment. According to one forecast, most households in Sweden will have access to fixed broadband by Only a small number of households, especially in sparsely populated areas and other remote areas will not have a broadband connection. It is likely, however, that most of these households will instead have basic access to the Internet through wireless technology. While the mobile network will probably completely replace fixed broadband in the future, the technology currently has certain shortcomings and as a result, development has not progressed at a particularly fast pace. In conclusion, the panel has recommended concrete measures to implement so that Sweden will be a prominent Internet nation in The Security and Legal Panel proposes to following: The Government needs to make use of the studies carried out over the past few years and formulate a policy for information security. Any necessary bill proposals should be submitted to Parliament as soon as possible and before the end of A basic security level must be established; legislation is needed to make it possible to establish criteria for security in the products and services that are on the market and in the public sector; reliable identification is necessary for many societal functions. An accreditation system for electronic identification/eid-services must be created with the support of regulation and/or procurement; knowledge of IT and information security is fundamental in all security initiatives; educational requirements need to be established, beginning in the school curriculum, and research in the area must be encouraged; basic freedoms and rights such as protection of personal integrity must have adequate protection, including in electronic environments. An inventory and evaluation of the existing constitutional legislation must be made based on the changed circumstances and conditions in society; combating IT crime should be a priority and done by raising the level of competence in a similar way as in the case of environmental and financial crimes. The business community has an important part of the responsibility for Sweden becoming a prominent Internet nation in Security issues must be taken into account to a greater extent than today when developing and providing products and services. The way in which industry handles integrity issues and applies copyright must be developed based on the needs of the markets, users and consumers. We believe that a basic security level with respect to information management by users must be introduced, encryption services must be made accessible to all, infrastructure functionality must be secured physically, logistically and organisationally. Development means that more is required of users, even private individuals. The user needs to be educated and motivated to observe security rules and to actively take the necessary precautions from publishing personal data to configuring equipment. We believe that IT and security education must be provided at all levels and also be part of the school curriculum; access to the Internet is of utmost importance for the development of the electronic society, but no specific driving licence should be required in order to access communication options.

8

9 Innehållsförteckning 1. Inledning...11 Syfte och mål...11 Metod Utgångspunkter om internet...13 Informationssäkerhetsområdet...13 Integritetsskydd och yttrandefrihet...15 Immaterialrätt...18 Identifiering och förvaltning på internet...19 Infrastrukturmarknaden...21 Aktörer Framtiden...25 Informationssäkerhet en framtidsvision...25 Integritetsskydd och yttrandefrihet...27 Immaterialrätt...29 Identifiering och förvaltning på internet...31 Infrastrukturmarknaden Att bli en framstående internetnation...35 Informationssäkerhet...35 Integritetsskydd och yttrandefrihet...36 Immaterialrätt...37 Myndighetsfrågor...38 Marknaden...38 Aktörer Förslag...41

10 10

11 1. Inledning Samhället liksom vi som enskilda individer är redan idag beroende av internet för en rad olika verksamheter. Detta beroende kommer med all sannolikhet att fortsätta växa i och med att det elektroniska tjänsteutbudet ökar, samtidigt som samhället tar till vara de effektivitetsvinster och kostnadsbesparingar som tekniken medger. Det råder dock ingen brist på hotbilder avseende den framtida informationshanteringen. Både samhället i sin helhet och individen är sårbara. Från svårigheter att nå sin internetbank, möjligheten att förvanska börsinformation och risken för obehörig insyn i elektroniska patientjournaler till storskaliga angrepp på samhällets kommunikationsinfrastruktur utgör alla exempel på risker som måste mötas och förebyggas. Försummas säkerhetsfrågorna riskerar visionerna om det elektroniska samhället i medborgarnas tjänst att inte kunna genomföras. Det är idag centralt att vi blickar framåt inte bara för att försäkra oss om att möjligheterna med internet som informationsbärare tas till vara, utan även för att säkerställa att vi alla, i denna nya elektroniska miljö, också kan fortsätta att utöva våra grundläggande fri- och rättigheter. Skydd för den personliga integriteten mot intrång och förtal, rättten att säkert kunna erbjuda respektive använda immateriell egendom, möjlighet kunna utföra handlingar och kommunicera elektroniskt är bara några exempel på fri- och rättigheter som vi aktivt måste arbeta för att trygga. Det regelverk vi formulerar mot bakgrunden av utvecklingen av internet blir avgörande för framtidens samhälle. Ett genomtänkt och långsiktigt säkerhetsarbete är en förutsättning för att vi ska lyckas förvandla Sverige till en ledande internetnation Syfte och mål Syftet med IVA-projektet Internetframsyn är att utifrån nuläget och de senaste forskningsrönen identifiera och prioritera vägvalsfrågor för internet, samt komma med förslag på möjlig utveckling och nödvändiga åtgärder med tillhörande ansvariga organisationer/individer för att Sverige år 2015 ska vara en ledande internetnation. Säkerhets- och juridikpanelen inom projektet har vid sidan om informationssäkerhet identifierat ett flertal centrala områden som är av betydelse för Sveriges ställning som framstående internetnation år Det handlar om frågor rörande integritetsskydd, marknadsfrågor, immaterialrätt, rättstillämpning i en elektronisk miljö med flera. I många, men inte alla, delar är adekvat informationssäkerhet en förutsättning för att de mål som sätts upp i dessa områden de facto ska kunna uppnås. Metod Panelens arbete inleddes i maj 2007 med en förstudie som syftade till att identifiera lämpliga problemområden för panelens arbete. Förstudien utfördes av Henrik Nilsson, Helena Andersson, Christina Jonsson, Anna Hörnlund och Wiggo Öberg. Själva panelen inledde sitt arbete i oktober Arbetet har bedrivits genom att panelen månatligen samlats till diskussionsmöten med teman från de problemområden som identifierades under förstudien. Diskussionsmötena har ofta tagit sin utgångspunkt i material som förberetts i de undergrupper som panelen konstituerade med uppdrag att fokusera på visst område. Diskussionerna har dokumenterats av panelsekreteraren, som också sökt sammanfoga mötesanteckningarna med undergruppens förberedda material. Det resulterande dokumentet har därefter bearbetats vidare av panelens ledamöter med stöd från panelsekreteraren. Trogen analysföremålet för vårt arbete har panelen experimenterat med kommunikation och meningsutbyten såväl inom ramen för Facebook som ett för ändamålet upprättat wiki-verktyg (tack till KTH som hållit med wiki-tjänst). 11

12 12

13 2. Utgångspunkter om internet Det är av stor betydelse när man blickar framåt och formulerar handlingsvägar att analysera nuläget. Kapitlet avser att ge en bild av vad vi har att utgå från när vi formulerar våra mål. Informationssäkerhetsområdet Ett målmedvetet arbete med informationssäkerhet är en förutsättning för att Sverige ska bli en framstående internetnation Om kritiska funktioner i internets infrastruktur inte upprätthålls kan detta ge upphov till omfattande störningar och på så sätt försvåra eller förhindra användning av internet för stora grupper av enskilda användare eller för samhällsviktiga företag, myndigheter och organisationer. Informationssäkerhet i samhället Det svenska samhället närmar sig enligt Krisberedskapsmyndigheten (KBM) ett tydligt beroende av internet för att vardagslivet ska fungera. Med KBMs ord har nätanslutna informationssystem och mobil kommunikation spritts till nästan alla samhällslivets områden. Samhället är beroende av att de tekniska och administrativa skyddsåtgärderna fungerar. Användarnas förtroende för informationssystemen är i detta sammanhang en kritisk faktor. Förtroendet, eller tilliten, sätts på spel av framför allt brister i säkerhet avseende tillgänglighet samt säkerhet mot kriminell påverkan. Brister i tekniska lösningar och rutiner och känslighet för störningar till följd av naturhändelser leder till att essentiella tjänster plötsligt och oförutsägbart ibland inte finns tillgängliga. Cyberbrottslingar utvecklar idag allt bättre metoder för att undgå upptäckt. De kommunicerar via publika system, kapade datorer, bedriver nätfiske och utbyter inte minst kunskap och tjänster med andra kriminella. För att fullgöra sin uppgift behöver rättsvårdande myndigheter resurser och befogenheter att följa den kriminella verksamheten, oavsett var den försiggår. Också detta har blivit uppenbart under det senaste året, där det vid incidenter visat sig svårt att spåra och lagföra gärningsmännen. Överlag kan konstateras att två samverkande trender skapar problem: den ena är att attackerna blir allt kraftfullare och den andra att de blir allt enklare och billigare att genomföra. Det växande sårbarhetsgap som blir resultatet av detta måste överbryggas inte bara med teknik, utan också organisationella och kanske kulturella lösningar. 1 Att samhället lägger allt större vikt vid elektronisk informationshantering och e-tjänster utan att ge motsvarande möjlighet till rättssystemet att upptäcka och lagföra brott är riskabelt, speciellt mot bakgrund av hur enkelt det är idag för internationella kriminella grupper att flytta sin verksamhet till de länder där risken för avslöjande och påföljd är låg. Informationssäkerhetsarbete i teori och praktik Att lägga grunden för säker informationshantering är en grundsten för ett internet som vi kan lita på. För att skapa förståelse för vilka åtgärder som behövs är det centralt att bygga upp en 1 OECD talar om a culture of security en term som syftar till att påminna om att säkerhet aldrig kan vara annat än ett holistiskt fenomen som uppkommer till följd av en mängd samverkande faktorer. 13

14 grundläggande förståelse för informationssäkerhetsområdet. Informationssäkerhetsarbetet brukar vanligen omfatta analys och åtgärder med inriktning på aspekter som Riktighet, Tillgänglighet och Konfidentialitet. Detta innebär: att informationen är riktig och fullständig (riktighet) det vill säga att information inte obehörigen, av misstag eller på grund av funktionsstörning har förändrats att informationen (och informationstillgångar) är tillgänglig inom rimlig tid och i användbar form, det vill säga det är möjligt att utnyttja informationstillgångar efter behov i förväntad utsträckning och inom önskad tid att bara den som är behörig får tillgång till informationen. Informationen kan hemlighållas för obehöriga, det vill säga att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får göras tillgängligt eller avslöjas för obehöriga. Dessutom är spårbarheten viktig: att det ska vara möjligt att följa en transaktion i ett program eller ett nätverk. Spårbarhet används bland annat för att säkerställa riktigheten hos informationen, det vill säga möjlighet att entydigt kunna härleda utförda aktiviteter i systemet till en identifierad användare och möjlighet att spåra brottslighet. Informationssäkerhet byggs upp genom en kombination av flera olika typer av åtgärder. En vanlig indelning är organisatoriska, logiska och fysiska säkerhetsåtgärder. Organisatoriska säkerhetsåtgärder: I den här gruppen finner man utbildning, policies, lagar och regler men även organisationsbeskrivningar, riktlinjer för systemanskaffning, delegationer och ansvarsförbindelser med mera. Viktiga frågor att behandla är vem som är ansvarig för vad, hur och när riskanalyser ska göras, på vilket sätt information ska klassificeras (öppen eller hemlig), hur regler för distansåtkomst, kontinuitetsplanering respektive avbrotts- eller katastrofplaneringen bör se ut. Logiska säkerhetsåtgärder: IT-system och information skyddas mot obehörig användning genom behörighetskontrollsystem, kryptering med mera. Andra viktiga åtgärder är antivirusprogram, brandväggar och, där så behövs, intrångsdetekteringssystem. Fysiska säkerhetsåtgärder: Dessa har till syfte att skydda IT-system och hårdvara mot yttre fysisk åverkan. Detta kan ske på flera sätt. Basalt men ofta försummat är lås på dörrar, tryggad elförsörjning, vattenvarnare, brandskydd av olika slag, larm. Det handlar även om att sörja för god ventilation och tillräcklig kyla (till exempel i datahallar). I korthet ska den fysiska miljön vara ändamålsenlig. Till denna grupp ska även räknas åtgärder som bygger upp redundans i systemet i form av extra kommunikationsmöjligheter, extra processorkapacitet etcetera. Rättslig reglering kan användas för att stödja samtliga typer av åtgärder. Detta sker exempelvis genom att ställa krav på att genomföra riskanalyser, kriminalisera dataintrång och främja lämpliga byggnadstekniska lösningar. Säkerhetsarbete kan ske på många olika sätt. Virusattacker och hackerangrepp kräver inte sällan snabba insatser där hela system stängs ned. Även om vikten av beredskap av den här typen är viktig har säkerhetspanelen främst valt att fokusera på åtgärder som bygger upp en genomtänkt grund för samhällets informationssäkerhet. Långsiktighet, systematik och helhetssyn har varit några av ledorden. Informationssäkerhet är en central del i arbetet mot att utveckla Sverige till en ledande internetnation. Flera uppmärksammade utredningar har på senare tid pekat på allvarliga problem som både har bäring på tillgängligheten och skydd mot kriminell påverkan. När det gäller tillgänglighet bör både tekniska hinder och hinder relaterade till användare uppmärksammas. Det handlar exempelvis om: problem med anslutning till internet brister vad avser säker identifiering och kryptering fysiska skydd, bland annat elförsörjning, skydd för kablar och master kännedom om säkerhetsskydd, risker och hot. 14

15 Enligt panelen är målsättningen för ett ändamålsenligt informationssäkerhetsarbete att: samtliga säkerhetsåtgärder utnyttjas optimalt för att hantera dagens såväl som morgondagens hot. tekniska lösningar, rättsliga åtgärder, organisatoriska insatser är lika viktiga och kombineras på ett genomtänkt sätt. säkerheten anpassas efter värdet på det åtgärderna ska skydda. en helhetssyn behövs eftersom området är både komplext och omfattande. Marknad och informationssäkerhet Om man inför bristfälliga och ogenomtänkta kortsiktiga säkerhetslösningar kan det finnas en risk att säkerheten blir en hämmande faktor i den tekniska utvecklingen. Kraven på operatörerna kommer att öka, dels på grund av att användningsområdet för bredband utökas och dels som följd av att det mobila användandet växer kraftigt. Behovet av tekniska standarder och lagar kan antas öka om marknadens spelregler inte räcker till. För en användare kan säkerhetsfrågor vara svåra att bedöma. Det krävs ett aktivt agerande och kunskap från användarens sida för att bedöma frågor relaterade till säkerhet. Följden av detta blir att få krav och frågor ställs från användarnas håll på operatören. Ett exempel är kravet operatörna ställer på hur användarna hanterar sina lösenord. I detta sammanhang är det också viktigt att operatörerna hanterar användarnas lösenord på ett tillfredsställande sätt. Säkerhet kan ses ur olika perspektiv. Inställningen till säkerhet kan också variera från operatör till operatör. Från användarens sida kan det vara viktigt att det finns alternativa operatörer på marknaden som man kan vända sig till om tillgängligheten av en tjänst man använder hos en operatör försvinner. Andra aspekter är vad som händer med material som finns lagrat hos en operatör när en tjänst avslutas hos operatören, samt hur användaren kan flytta sina data mellan operatörer. Sedan kan det vara svårt för operatörer att bedöma en tjänsts betydelse i ett tidigt stadium. Användare har en tendens att återkoppla när tjänsten inte fungerar, och senare underrätta operatören om hur viktig tjänsten är för användaren. Även säkerhetsbrister hos mindre och medelstora systemunderhållare (så kallade webbhotell och liknande) har inverkan på Sveriges anseende som en internetnation. Detta resonemang pekar på att en basnivå för säkerhet måste införas och att marknaden blir medveten om att detta även är ett kvalitetskrav. Integritetsskydd och yttrandefrihet Internet och den nya kommunikationstekniken bidrar till en effektivare informationsspridning genom att kostnaderna för distribution, framställning, kopiering och lagring. Information som uppfattas som skadlig eller känslig kan spridas utan att det med enkla medel går att begränsa tillgången till den. Balansgången mellan den enes integritetsskydd och den andres yttrandefrihet blir svårare i en miljö där alla har tillgång till massmediepublicering och där offentliggjord information kan leva ett eget liv utan effektiv möjlighet till kontroll. Där kontrollpunkter ser ut att existera kan priset för att reglera dem vara alltför högt: den ofta vädrade förhoppningen om att det skulle finnas grindvakter som kan ta ansvar för innehållet på internet är endast skenbart en lösning: grindvakternas förmåga att filtrera eller blockera minskar med tillväxten av krypterad trafik och ökande bandbredd. Framväxten av mindre delnät splinternets ökar också svårigheterna att peka ut en kategori av aktörer på internetmarknaden och försöka påföra dem ansvaret för informationen i näten. Yttrandefriheten har en lång tradition av grundlagsreglerat skydd. Regleringen har också uppdaterats över tiden med beaktande av nya medier som TV, radio och internet. Den eftertänksamhet och tidsutdräkt som är önskvärd vid grundlagars utveckling är dock svårförenlig med den snabba tekniska utvecklingen av publiceringsoch masskommunikationstekniken. Grundlagsreglering av integritetsskydd är däremot ännu i ett 15

16 16

17 tidigt utvecklingsskede. Den snabba teknikutvecklingen utgör även här ett spänningsmoment. Samtidigt medför avsaknaden av historiska konventioner ett ökat utrymme för nytänkande avseende innehållet och utformningen av regleringen. Integritetsskyddet inrymmer åtskilliga intressekonflikter. De rättsvårdande myndigheterna eftersträvar effektiva verktyg för övervakning och spårning av individer. Kommersiella aktörer söker ingående och detaljerad information om marknaden, kunderna och deras önskemål för att kunna erbjuda rätt produkter och tjänster. Sammanställning och spridning av information är såväl ett samhällsintresse i sig som en stor och viktig industri. Individerna efterfrågar skydd mot brottslighet och terrorism, de vill ha ändamålsenliga varor och tjänster, även gällande media. Individernas egna kommunikation kan genom internet få genomslag av massmediaslag, när yttranden som kanske varit avsedda för en mindre krets kan nå en världspublik till låg eller ingen kostnad. Anonymitet i det vardagliga livet tas ofta för given. Det är emellertid lätt att förbise att anonymitet, såväl i den fysiska världen som på internet, är ett bräckligt skydd och att det oftast är en kostnads- eller kunskapsfråga för en person att identifiera och lokalisera en annan person, om man vet vem man letar efter. Det är också intressant att observera att de snabbt exploderande informationsmängderna mängden digital information i samhället fördubblas vart tredje år leder till en situation där det är möjligt att kartlägga vemsomhelst som på förhand identifierats, men allt svårare att finna den som döljer sig i bruset. Ett hot mot den personliga integriteten kan uppstå som en konsekvens från en handling som inte var särskilt genomtänkt eller som genomförts i en icke kontrollerad miljö. Ett exempel är teknik och information som utnyttjas i ett projekt och som kan få verkningar efter projektets avslutande. Ett annat exempel är unga människor som vill synas, en uppfattning som kan ändras senare i livet. Möjligen är samhällets och individernas syn på integritet under förändring, under påverkan av de förändringar i levnadsmiljön som utvecklingen av IT-tekniken och internet medfört. Kanske är denna nya transparens ett av de kulturella fenomen som vi ännu inte kommit att förstå. Mot detta kan ställas frågan om användarna är villiga att ta ansvar för hur de använder internet. Det kan även tilläggas att en likgiltig attityd medför att personer inte är riktigt medvetna om konsekvenserna av att godtroget lämna ut personlig information. En annan aspekt är när information blir känslig beroende på vem som brukar den. Staten, näringsliv, andra individer och kriminell verksamhet är fyra huvudsakliga aktörer. Aktörernas position kan variera beroende på den rådande inställningen i samhället (exempelvis inom politik och ekonomi). Värdet av information kan därmed även öka eller sjunka beroende på vem som efterfrågar den. Vidare kan rättigheter, exempelvis anonymitet, fluktuera avseende på hur rättigheten används (exempelvis missbruk av anonymitet i syfte att begå handlingar i strid med gällande rätt). Synen på identitet är även under förändring, där ett så kallat pseudonymansvar har växt fram; användandet och, under en längre tid, skapandet av ett internetanvändarnamn medför ett ansvar för att säkerställa ryktet för den identiteten. I detta sammanhang kan även nämnas integritet från en annan aspekt, där användarna ska kunna legitimera sig gentemot andra aktörer, och bestyrka verkställda virtuella handlingar. Beroende på ovannämnda omständigheter kan inställningen till personlig integritet variera. Två motsatta inställningar är vanliga: 1. en likgiltig eller öppen attityd till behandlingen av personlig information. Som exempel kan nämnas den genomsnittlige individens uppträdande gentemot offentliga och, i viss mån, kommersiella aktörer, där en passiv inställning råder eftersom en tillit i det samhälleliga systemet skapar en viss godtrogenhet (exempelvis jag har inget att dölja ). 2. en negativ attityd till behandlingen av personlig information. Inställningarna kan även variera hos samma person beroende på när, hur, och av vem den personliga informationen behandlas. Det är också möjligt att detta är en alldeles för enkel kategorisering. Det kan vara så att likgiltigheten döljer en insikt om att det faktum att information inte lagras automatiskt är detsamma som att denna information är tillgänglig. Många användare är visserligen likgiltiga till att lämna ut personlig information, men medger samtidigt att de ofta lämnar falsk eller inkorrekt information om sig själva. Det kanske större problemet blir i ett sådant perspektiv en ständigt sjunkande kvalitet på de insamlade datamängderna. 17

18 Det kan inte heller tas för givet att insamlade datamängder nödvändigtvis blir mer avslöjande ju mer information som samlas in om en person. Faktum är att det är möjligt, eller till och med sannolikt, att personlig information och beteendedata faktiskt snabbt blir värdelös. Vem har i dag nytta av att en användare 1996 surfade på ThirdVoice.com? En parlamentarisk utredning har föreslagit ändring i grundlagen som innebär ett stärkt skydd för den personliga integriteten (SOU 2008:3). Ändringen kan tidigast träda ikraft Grundlagsskyddet utformas som ett förbud för lagstiftaren, det vill säga riksdagen, att vidta integritetsbegränsande åtgärder, om inte begränsningarna sker i form av lagstiftning som är underkastad det i RF särskilt föreskrivna förfarandet vid rättighetsbegränsande lagstiftning. Det innebär att proportionalitetsprincipen kommer att gälla fullt ut och att en minoritet i riksdagen kan få ett lagförslag uppskjutet i ett år. Ändringen innebär en förstärkning av skyddet mot övergrepp från det allmänna men inte mot övergrepp från enskilda eller från kommersiella intressen. Immaterialrätt Målsättningen att uppnå en framstående informationsstruktur (internet) förutsätter bland annat att otillåtna nyttjanden av innehållsleverantörernas immateriella rättigheter förhindras, stoppas och/eller sanktioneras effektivt, men inte i sådan omfattning att det begränsar användarnas och/eller samhällets behov av skydd för fundamentala rättigheter som integritetsskydd, yttrandefrihet och informationsfrihet. Staten bör vara en Freedom Fighter som bland annat genom lagstiftning säkerställer de principer vi värdesätter i samhället som rättvisa, fri konkurrens, social välfärd och hållbar utveckling. Teknisk innovation förutsätter institutionell, legal och organisatorisk utveckling den händer inte isolerad. Det finns dock en tendens att behandla immaterialrätten (och ofta också juridik i stort) som the elephant in the room, det vill säga det som alla vet ingår i diskussionen, men ingen egentligen vill fördjupa sig i eller ibland ens erkänna som en viktig och nödvändig del för den framtida möjliga utvecklingen. Den angivna målsättningen för Internetframsyn och dess närmare förklaring är inte direkt applicerbar för en immaterialrättslig analys, utan måste anges i något andra termer. Uttrycket ledande internetnation bör inkludera krav på att den informationsinfrastruktur som internet utgör balanserar skyddet för rättighetshavarna och deras alster mot främst individens (och samhällets) yttrandefrihets-, informationsfrihets och integritetsintressen. En sådan balans bör värnas i ett samhälle som samtidigt strävar efter ekonomisk tillväxt och social välfärd, något som inte står i strid med målet att vara en framstående internetnation. Kort redogörelse för området Immaterialrätten innefattar de regelverk som upprätthåller skydd för immateriella alster som konstnärliga och litterära verk, uppfinningar, varumärken, mönster, företagshemligheter. De immaterialrättsliga skydden är i huvudsak utformade så att lagstiftaren angivit vilka objekt, subjekt och nyttjanden som skyddas. Det lämnas dock utrymme för vissa nyttjanden som av integritets-, yttrandefrihets- eller informationsfrihetsskäl tilllåts utan särskilt tillstånd (till exempel användning för privat bruk, för undervisningsändamål och för nyhetsrapportering). Utformningen av de immateriella rättigheterna bygger i stort på internationella konventioner och regionala överenskommelser inom till exempel EU. Det innebär att utrymmet för den nationella lagstiftaren är ganska begränsat. Nuläget Internet var redan från början en miljö där rättighetshavarna hade svårt att upprätthålla sina rättigheter. Särskilt svårt har det varit för upphovsrätten att upprätthålla skyddet av bland annat musik, film, text, bild, radio- och tv-sändningar. Skyddat material nyttjades ofta utan tillstånd. Även varumärkesproblem kan finnas i det att man ger ett falskt intryck av att vara sponsrad av ett visst företag, och att man lämnar ut falsk information. Strävanden under slutet av 1990-talet och början av 2000-talet var därför att stärka rättighetshavarnas skydd. Det har medfört förstärkningar av skyddet så att det gäller också i digital miljö, utvidgning av skyddsobjekten till att uttryckligen också omfatta datorprogram och databaser, begränsningar i användarnas möjligheter att nyttja 18

19 skyddat material utan tillstånd via inskränkningar i skyddet ( fair use ) samt utökade krav på effektiva sanktioner. Förstärkningen av skyddet skedde utan någon egentlig prövning av hur det påverkade de intressen som i viss mån värnades via inskränkningar i skyddet. Internet betraktades som en enda stor kopieringsmaskin. Ett av de hjälpmedel man introducerade för att förstärka skyddet, var ett särskilt skydd för tekniska skydd och digital rättighetsinformation, ofta förkortat TPM (Technical Protection Measures). TPM har visat sig få en särskilt negativ inverkan på användarnas möjligheter att nyttja TPM-skyddat material. IDC har i en undersökning visat att mängden information på nätet som skapas av användare (som i sammanhanget är upphovsmän) kommer att växa till runt 70 procent år Internetapplikationer, driven av en expanderande bredbandsbas och användarvänlig programvara för att skapa och tillgängliggöra innehåll driver denna utveckling. Det betyder att mellanmansförvaltat innehåll innehåll som förvaltas av skivbolag och andra kommer att vara ett randfenomen inom ramen av några få år, även om den fortsatta ekonomiska betydelsen kanske förblir stark. Detta är en mycket signifikant förändring. Det användardrivna nätet generellt, och särskilt UCC/ UGC skapar möjligheter och utmaningar för användare, näringsliv och regeringar. Det deltagande nätet får allt större betydelse som drivkraft för de innovationer som sker i näringslivet, i forskningen och i sociala aktiviteter. En öppnare attityd till informationsskapande, utbyte och förmedling tas allt oftare upp också av regeringar, utbildningssektorn och andra offentliga institutioner. I samband med att nya modeller för skapande, tillgängliggörande och användning av digitalt innehåll och information utvecklas, börjar också nya policyutmaningar för regeringar för att tillhandahålla en miljö som tillåter och stödjer denna utveckling. Den miljö, inom vilken immaterialrätten ska tillämpas, har övergått från den klassiska distributionsmiljön, med centrala aktörer som förser marknaden med kommersiella verk, till en alltmer användargenererad miljö, där också användarna delar med sig av sina skapelser. I denna miljö skapas konstant nya verk av redan existerande verk, vilket inte, ur ett immaterialrättsligt perspektiv, är något nytt. I en sådan miljö hjälper det inte att stärka skyddet med ytterligare sanktioner. Vad som däremot är särskilt utmärkande med denna nya miljö är att användarna oftast inte vill ha betalt, utan vill att deras material helt enkelt konsumeras. Det finns även en vanlig föreställning om att skapandet av ett verk görs av en person ( det stora geniet producerar ), och den faktiska realiteten, vilken har blivit påtaglig genom internet, att verk skapas genom ett större samarbete av olika personer, har inte riktigt slagit igenom. OECD har en i rekommendation avseende Bredbandsutveckling rekommenderat att medlemsländerna bör implementera ramregelverk som balanserar innehållsleverantörernas intresse mot användarintressen, på sådana områden som immaterialrätt och digital rättighetshantering, utan att skada innovativa e-affärsmodeller. WIPO antog i september 2007 en så kallad Development Agenda som innebär att användarintressen (i form av bland annat utvecklingsländernas intressen) ska ges en större betydelse i rättighetsdiskussionerna. I WTO har utvecklingsländernas intressen givits allt större utrymme. Trenden att förstärka rättighetshavarnas skydd har mildrats till förmån för en mer balanserad diskussion. Detta har dock ännu inte lett till några ändringar i konventioner, direktiv och än mindre i nationell rätt i immaterialrättsskydden till fördel för användarna. Ofta används uttrycket the Participative Web som begrepp för användarnas allt starkare inflytande och input i nätverksmiljön. Vi har valt att översätta det till uttrycket användardriven miljö. Identifiering och förvaltning på internet Vissa frågor avseende informationssäkerhet och rättstillämpningen i IT-miljö och på internet är av övergripande karaktär. Ny teknik utsätter lagar och regler för kontinuerliga påfrestningar. Internet knyter samman användare över alla jurisdiktionsgränser. Elektronisk identifiering Elektronisk identifiering och signering ställer särskilda krav på en ordnad process för att tillförsäkra att den som använder en elektronisk idhandling verkligen är den han/hon utger sig för 19

20 20