Lagring av personopplysninger i bankene

Du √łnsker √• kj√łpe deg en leilighet. Litt dyr, men skitt au. Du har en brukbar inntekt, ryddige √łkonomiske forhold. Eller ikke. Uansett, du sender en s√łknad til din bankforbindelse, i disse tider gjerne via e-post eller bankens hjemmeside. For √• √łke sjansen for et l√•n sender du samme informasjon til to-tre banker til. Du legger ved det som kreves; du har naturligvis scannet inn din siste l√łnnsslipp, kopi av din legitimasjon, du har laget et kjekt lite budsjett i Excel som viser st√•a f√łr og etter det nye boligl√•net. Gjerne med detaljer ned til matbudsjett, bilbruk, kl√¶r og s√• videre.

I banken(e) blir s√łknaden mottatt, vedlegg skrevet ut og saken gitt til en saksbehandler. Som behandler saken, tar med papirene til utl√•nsm√łtet, dr√łfter din situasjon med sine kolleger, gj√łr et vedtak. Uansett utfall, opplysningene ned til minste detalj p√• √łkonomi, yrke, sivil status, adresse, telefon med mer blir lagret i en mappe. Online og offline. Fra f√łr av har bankforbindelsen din for (din) sikkerhets skyld lagret din signatur og ditt bilde.

Her er vel dine personopplysninger trygge?

Etter en tid f√•r du svar. Hurra, du kan kj√łpe dr√łmmeleiligheten! Eller: pokker, der r√łyk dr√łmmeleiligheten. Greit nok.

Men hva skjer med alle opplysningene hos banken?¬†Hvor lagres alt dette? Hvor er papirutgavene av s√łknadene med vedlagte opplysninger? N√•r blir de slettet? Blir de egentlig det?¬†Jo, de st√łver vel etterhvert ned. Men st√łvet kan bl√•ses bort ved ‘behov’ av bankens ansatte.

Det finnes naturligvis et lovverk for dette, kalt Lov om behandling av personopplysninger (personopplysningsloven). Denne kan du lese her. Fine greier! Jeg tror imidlertid at tilgang på og omgang med personopplysninger i bankene i enkelte tilfeller er tilfeldig, det vil si at bankansatte har lett tilgang på opplysningene banken har lagret om sine kunder. For eksempel den bankansattes slekt, venner, arbeidskamerater med mer.

Heldigvis er bankansatte profesjonelle folk som f√łlger lovverket og bankens retningslinjer. Ikke sant?

Databasedrift flyttes til utlandet

De siste dagene har vi kunne lese at EDB Business Partner lar datterselskaper i Ukraina drifte norske banksystemer. I dag fikk vi vite at Telenor har s√łkt om tillatelse til √• flytte drift og vedlikehold av databaser med personopplysninger til Ukraina.

Det er i mitt syn sv√¶rt betenkelig at drift av store persondatabaser som norske banker og Telenor har ansvaret for flyttes utenfor landets grenser. Dette har med grunnleggende sikkerhet √• gj√łre; kontroll over personopplysninger tilh√łrende landets innbyggere skal v√¶re innenfor landets egne grenser. Det er flere √•rsaker til det; den viktigste er √• ha 100% trygghet for at disse dataene ikke havner i uvedkommendes hender. Ogs√• √•rsaker som naturkatastrofer og uroligheter i landet der databasene driftes er viktige.

Ukraina har utvilsomt sv√¶rt dyktige fagfolk innen IT-sektoren, og p√• grunn av lave l√łnns- og driftskostnader er det sikkert √łkonomisk meget gunstig √• flytte drift av databaser fra Norge til Ukraina. Men Ukraina har dessverre blitt mer kjent for sine dyktige hackere og virusskapere. Det spesielle er at noen av disse har spesialisert seg innenfor banksektoren(!), et av de nyeste og mest kjente formene for angrep er et s√•kalt MITB (Man In The Browser), her et sitat fra Threatpost:

Man in the Browser a.k.a MITB is a new breed of attacks whose primary objective is to spy on browser sessions (mostly banking) and in that process intercept and modify the web page contents transparently in the background. In a classic MITB attack, it’s very likely that what the user is seeing on his/her browser window is not something which the actual server sent. Similarly, what the server sees on the other end might not be what user was intending to send.

Les mer om MITB hos Threatpost.

Dette er som vi skj√łnner skumle greier. Slike type angrep er naturligvis uavhengige av landegrenser, man kan derfor ikke umiddelbart trekke konklusjonen at det er mer usikkert √• ha databasedrift i Ukraina enn i Norge. Databasedriften g√•r sin gang selv om det sitter noen hoder rundt om i landet og hacker. Men jeg synes likevel det er betenkelig √• flytte drift av banksystemer til et land hvor det finnes spesialister p√• √• hacke nettopp banksystemer. Jeg er som tidligere nevnt betenkt n√•r det gjelder √• flytte persondatabaser ut av landet i det hele tatt.

Vil ta med et punkt til som gj√łr drifting av norske databaser i Ukraina spesielt: FBI har opprettet en egen gruppe etterforskere mot cyberkriminalitet nettopp i Ukraina! Dette fordi landet er kjent for √• v√¶re opphavet til flere kjente hackerangrep og virus. Les mer om FBI og Ukraina (og et par andre land) hos Computerworld, jeg tar med et viktig sitat fra saken her:

Security experts say the Ukraine is home to a large number of online scammers and the creators of bank-account-emptying malware such as the Zeus Trojan. “Ukraine’s a huge problem,” said Paul Ferguson, a researcher with Trend Micro. “I would rank it above Russia right now.”

Jeg har i et blogginnlegg i fjor tatt til orde for at Norge snarest m√• p√• banen og f√• etablert store datasentre til Norge. I innlegget mitt kan du lese om de store (Google, Amazon med fler) som var (er fortsatt?) p√• utkikk etter steder √• ha et av sine enorme datasentre, hvor muligheten for milj√łvennlig og sikker drift ligger til grunn. Vi har tomme fjellhaller, vi har n√¶r ubegrenset tilgang p√• vannkj√łling med mer.

Det vi n√• ser er at store, norske IT-selskaper heller flytter drift av databaser UT av Norge. Det er en betenkelig utvikling. Som nevnt p√• grunn av sikkerhet. N√•r det gjelder vern av personopplysninger b√łr nettopp vernet g√• foran kostnadene. Jeg er imidlertid sikker p√• at det ville la seg gj√łre √• drifte supermoderne, milj√łvennlige datasentraler i Norge uten at det skulle koste s√• vanvittig mye mer enn i andre land.

I påvente av etablering av store, nye datasentraler i Norge får vi håpe at driften i Ukraina går bra og upåvirket av hackere.

Share

EU’s datalagringsdirektiv? Vi overv√•kes allerede…

Jeg mener det er naivt √• tro at v√•r aktivitet p√• Internett ikke overv√•kes og lagres allerede. Det er¬†flere grunner til det, to av dem her: den ene har jeg beskrevet i mitt tidligere blogginnlegg “Metoder for nettoverv√•kning og nettsensur” der jeg blant annet g√•r inn p√• USAs overv√•kning av datatrafikk spesielt etter 11/9. Den andre er svenskenes FRA-lov, som gj√łr at data- og telefonitrafikk kan overv√•kes i Sverige. Mye av norsk datatrafikk “passerer” servere b√•de i Sverige og USA.

Det foreg√•r n√• et bloggopprop mot EU’s datalagringsdirektiv som jeg ogs√• deltar p√• via et innlegg p√• min blogg her.¬†Datalagringsdirektivet er viktig √• holde fokus p√•, noe ogs√• journalist Andreas Wiese er inne p√• i artikkelen “V√•r tapte frihet” p√• dagbladet.no 28.07.09. Wiese skriver innledningsvis Du, jeg og alle nordmenn vil n√• bli ofre for totalit√¶r overv√•kning”. Joda, men jeg mener alts√• at det er naivt √• tro at vi ikke allerede er overv√•ket. Data lagres nok s√• lenge det er n√łdvendig. S√• vi blir ikke ofre for overv√•kning, vi er det.

Norge har f.eks. Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten. Disse har viktige oppgaver i forbindelse med rikets sikkerhet. Men skal de spore opplysninger så må nesten overvåkning til, og da spesielt av Internett.

En person som kaller seg BillyQuiz kommenterer andre svar til nevnte Wieses innlegg¬†( i innleggets kommentarfelt) med blant annet f√łlgende:¬†The statement “if you’ve got nothing to hide then you’ve got nothing to fear” is a false dichotomy. It assumes that there are only two positions when there’s a whole spectrum of them.” Det er et meget godt poeng.

Det er viktig √• ha fokus p√• datalagringsdirektivet, det er ogs√• viktig at de poltiske partiene og Regjeringen tar standpunkt til det. Men samtidig m√• man v√¶re klar over at det ikke kommer til √• bety overv√•kningen starter f√łrst¬†hvis/n√•r datalagringsdirektivet er satt i verk. Jeg tror at overv√•kningen og datalagringen¬†p√•g√•r n√•. Enten vi vil eller ei.

Share

Politiske partier m√• ta standpunkt til EUs datalagringsdirektiv f√łr valget!

Personvern er en grunnleggende verdi i et demokrati. Personvernet innebærer en rett til å være i fred fra andre, men også en rett til å ha kontroll over opplysninger om seg selv, særlig opplysninger som oppleves som personlige. Etter Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 er personvern ansett som en menneskerettighet.

Med en mulig norsk implementering av Datalagringsdirektivet (direktiv 2006/24/EF), som p√•legger tele- og nettselskap √• lagre trafikkdata om borgernes elektroniske kommunikasjon (e-post, sms, telefon, internett) i inntil to √•r, vil nordmenns personvern bli krenket p√• det groveste. Datalagringsdirektivet ble vedtatt av EU 15. mars 2006, men fremdeles har ikke alle de norsk partiene offisielt tatt stilling til om direktivet skal gj√łres til norsk lov eller ikke. Gjennom E√ėS-avtalen har Norge en reservasjonsrett. Denne har aldri f√łr blitt brukt, men s√• har man heller aldri st√•tt overfor et direktiv som representerer en s√• stor trussel mot demokratiets grunnleggende verdier som det datalagringsdirektivet gj√łr.

Vi krever at samtlige politiske partier ‚Äď og ikke minst regjeringen ‚Äď sier ifra n√• f√łr valget om de vil gj√łre datalagringsdirektivet til norsk lov eller ikke. √Ö ikke ta stilling, slik som de fleste politiske partiene p√• Stortinget (med unntak av Venstre og SV) har gjort i over tre √•r, er det samme som stilltiende aksept.¬†Partiene m√• ta stilling n√• til datalagringsdirektivet!

Du kan bli med p√• kampanjen ved √• bruke denne teksten eller en variant av den p√• egen nettside. Du kan ogs√• st√łtte saken ved √• spre budskapet p√• twitter, identi.ca, facebook, origo eller andre nettsteder du anser som relevante. Du kan ogs√• snakke med folk du m√łter p√• jobben, hjemme, p√• kaf√© og i ferien. Du b√łr ogs√• signere oppropet mot EUs datalagringsdirektiv, melde deg inn i facebookgruppa mot direktivet og st√łtte liberalerens epostkampanje. Dersom du vil l√¶re mer kan du starte med √• lese artikkelen Alle nordmenn skal overv√•kes p√• Dagbladet.no. For mer detaljert informasjon se EMK artikkel 8 og Reservasjonsrett E√ėS.

Creative Commons License

‚ÄúRegjeringen m√• ta stilling n√• ‚Äď si nei til datalagringsdirektivet!‚ÄĚ er publisert med lisensen Creative Commons Attribution-Share Alike 3.0 Norway License. I korthet betyr det at du fritt kan bruke denne teksten (til og med gj√łre endringer) p√• egne sider, s√• lenge du bruker samme lisens og lenker tilbake til Carl Christians orginale bloggpost. Du finner denne teksten, inkludert HTML-koden for linker og bilde, her (OBS: V√¶r oppmerksom p√• at den siden er en wiki som alle kan endre. Husk √• forh√•ndsvise bloggposten din og teste om alle linker er riktige f√łr du publiserer).

Share

Metoder for nettsensur og nettoverv√•kning

Senest¬†p√• dagens dagbladet.no kan vi lese: “Slik skal Kina og Iran stanse Twitter, YouTube og Facebook“. Saken handler om hvordan Kina og Iran fors√łker √• sensurere og delvis sperre tilgangen til enkelte tjenester p√• Internett.

Saken nevner ogs√• Kinas nye superfilter for Internett kalt “Green Dam Youth Escort“. Dette filteret skal inneholde funksjoner kjent fra “Deep Packet Inspection”. Kina skulle sette i gang “Green Dam Youth Escort” 1. juli i √•r, men har blitt forsinket. Det er snakk om en overv√•kningsprogramvare som skal preinstalleres p√• alle nye datamaskiner som selges i Kina, og som blant annet skal filtrere vekk pornografi. Men det blir hevdet at et slikt filter ogs√• kan benyttes til overv√•king, selv om Kina avviser dette. Kina hevder ogs√• at PC-brukerne selv kan velge om de vil at filteret skal installeres.

Det jeg finner interessant er valget av strategi fra de forskjellige nasjoner. Nå skal jeg raskt nevne at jeg overhodet ikke kjenner til noen av disse landenes overvåknings- og sensurstrategier for Internett, men en del kan man jo lese og tenke seg til.

Kina og Iran har f√•tt mye oppmerksomhet i media de siste ukene, og det med rette. De har tildels effektivt klart √• stoppe publisering p√• Internett fra folket, men enkelte har via omveier klart √• sende sine tweets og e-poster¬†eller lastet opp sine mobilvideoer p√• YouTube. Dette har f√•tt sv√¶rt mye oppmerksomhet rundt om i verden, og blir i all hovedsak sett p√• som sensur og frar√łving av grunnleggende menneskerettigheter. Jeg har for√łvrig i mitt forrige blogginnlegg v√¶rt innom dette med Twitter og andre sosiale medier i konfliktsoner; sv√¶rt mange har ikke tilgang til¬†Internett eller mobiltelefon i utgangspunktet,¬†de f√¶rreste blir h√łrt.

Strategien til Kina og Iran er √•penlys og lett gjennomskuelig, jfr all oppmerksomhet og motstand den f√•r. En annen strategi de kunne valgt er den USA (og muligens en del andre ressurssterke land) benytter. USA har i sv√¶rt mange √•r overv√•ket kommunikasjon. I utgangspunktet kommunikasjon mellom brukere i USA, men ogs√• mellom brukere i USA og resten av verden. En n√łkkelrolle i dette arbeidet har The National Security Agency (NSA), som tidlig iverksatte overv√•kning. Et etterhvert kjent prosjekt er det s√•kalte Project Shamrock som sto for en effektiv overv√•kning under og etter 2. verdenskrig. Alle telegrammer sendt via de tre store operat√łrene ITT, RCA Global og Western Union ble kopiert over p√• mikrofilm og hentet til NSA’s hovedkvarter for analyse. Denne overv√•kningen ble f√łrst avdekket p√• midten av 70-tallet.

Etter 11. september 2001 hadde USA et sterkt behov for informasjon, de fryktet¬†flere angrep og f√łlte at de ikke hadde god nok oversikt. De skal riktignok ha hatt info f√łr 11/9 om at det skulle skje et st√łrre angrep, men den ble ikke trodd/forst√•tt. Om dette er det skrevet mangt og mye, fakta og feil.

At det er snakk om en enorm mengde kommunikasjon i og mellom land vet vi alle. I USA gjorde amerikanske statsborgere i 2001 1.2 milliarder vanlige telefonsamtaler og 800 millioner mobiltelefonsamtaler. Pr. dag. E-poster √łkte med 1.000 millarder stk pr. √•r siden 2000. Med andre ord en heftig √• jobb √• overv√•ke slik trafikk, enda mer √• finne “korrekt” informasjon og evt. reagere p√• den.

USA hadde¬†i √•r 2001¬†noen av verden st√łrste telekommunikasjonsfirmaer (f.eks. Global Crossing, Worldcom MCI og AT&T), disse firmaene og andre¬†har store “teleswitcher” som sv√¶rt mye telefon- og datatrafikk kanaliseres gjennom. Data- og telefonitrafikk er imidlertid ikke begrenset innenfor et land. En e-post fra en bruker i et land til en bruker i et annet land passerer gjerne switcher i flere andre land. Dermed vil en overv√•king av slik trafikk i f.eks. USA ber√łre flere enn amerikanske statsborgere.

Dette passet sikkert NSA godt rett etter 11/9, da de hadde et sterkt behov for √łket overv√•kning ogs√• av personer utenlands. De utviklet avanserte s√łkemotorer som fant de “rette” frasene i all tele- og datatrafikken de hadde oversikt over. De √łnsket √• benytte denne avlyttingen til √• jakte p√• kjente terrorister¬†og potensielle terrorister, deres supportere og de som finansierte dem. S√• i oktober 2001 signerte president Bush en ordre som ga NSA¬†med hjelp av¬†telekomselskapene lov til √• (fortsette) overv√•ke all data- og telefonitrafikk. De benyttet/benytter blant andre den tidligere nevnte teknikken Deep Packet Inspection som du kan lese mer om ved¬†√• klikke p√• linken. Er et eget avsnitt om DPI og USA der.

Etter 11/9 startet ogs√• USA en grundig overv√•kning av finansielle transaksjoner med god hjelp av First Data og Western Union. Sistnevnte har en lang historie¬†n√•r det¬†gjelder kommunikasjon og transaksjoner, de hadde¬†oppe √• g√• den f√łrste transkontinentale telegraflinjen¬†helt tilbake¬†i 1861. Og fortsatt benyttes Western Union til pengeoverf√łringer i mange land som ikke har et like velutviklet bankvesen som f.eks. Europa og USA.

Kanskje jeg skulle komme til poenget snart! Joda, du har sikkert skj√łnt hva jeg vil frem til; det er to m√•ter man kan overv√•ke/sensurere Internett og annen kommunikasjon p√•:
Р Kina/Iran-måten: åpenlyst sperre tilgangen til mye brukte tjenester på Internett, evt. sperre helt av alt
USA-måten: la ting flyte fritt på Internett og heller samle inn og analysere stort sett alt hva som blir skrevet og sagt

Ingen av disse metodene er verken tale- og trykkefrihet eller demokratisk. De er, for √• bruke et slitt uttrykk: Big Brother. Eller kanskje mer likestillingsvennlig og korrekt: Big Brothers and Sisters. De overv√•ker oss. Om vi er gr√łnn i ansiktet eller ei. Fordelen for “oss i Vesten” er imidlertid at vi har s√• godt som uavbrutt tilgang til Internett og kan skrive hva vi vil. S√• f√•r vi evt. heller ta “st√łyten” etterp√•. Sp√łrsm√•let er jo ogs√• om denne uavbrutte tilgangen til Internett vil vedvare om vi en gang i verden f√•r oppleve en konflikt her p√• berget…

Oppdatert 10.07.09:
I kveld tikket f√łlgende tweet inn fra CNN Breaking News p√• Twitter: “Domestic surveillance program began soon after 9/11, intelligence agencies say” http://bit.ly/153ofQ. Den opprinnelige (ikke forkortede) linken til nyheten finner du her.

Share