- Det finnes hele tiden sårbarheter som får konsekvenser for mennesker. Det er derfor en bra ting at vi har folk som er etiske hackere på fritiden. Det er en samfunnsnyttig virksomhet, sier Vebjørn Søndersrød, advokat og partner i Advokatfirmaet Ræder, til kode24.
- Da er det ikke bra at man er usikker på hva som er straffbart og ikke, fortsetter han.
De siste ukene har kode24 i flere saker satt søkelys på folk som jakter feil på fritiden som en del av et bug bounty-program, og den nederlandske etiske hackerveteranen Edwin van Andel.
Sistnevnte har vært en forkjemper for den nederlandske responsible disclosure-rettspraksisen, som fritar etiske hackere for straff så lenge man har fulgt riktig framgangsmåte.
For utviklere som har lyst til å starte med etisk hacking kan det norske lovverket virke skremmende.
For når går det egentlig fra å være etisk riktig, til å bli en kriminell handling?
Dusørjegeren Thomas jakter feil 10 timer i uka: - Viktig med klare retningslinjer
Loven vektlegger "intensjon"
Ifølge Søndersrød havner spørsmål om strafferettslighet knyttet til hacking under straffelovens kapittel 21. Overordnet har loven særlig én bestemmelse som er viktig å kunne:
- Det er intensjonen som bestemmer om det du gjør er ulovlig eller ikke, sier Søndersrød.
Advokaten legger til at dette gjelder enten du tester sikkerheten i en løsning eller, som gjerne er neste steg, publiserer informasjon om sikkerhetshullet slik at alle kan lese det.
- Hvis intensjonen er å misbruke dette til noe straffbart, slik som tyveri av data eller å hjelpe andre å begå et lovbrudd, er det straffbart. Men er motivasjonen din å peke på et sikkerhetshull, og du informerer de ansvarlige for å tette det før du gjør feilen offentlig, er det gjennomgående ikke straffbart, sier Søndersrød.
Men hvor går grensen?
Lovparagrafen som er særlig relevant for etiske hackere er paragraf nummer 204: Innbrudd i datasystem.
Ifølge paragrafen er det straffbart med "bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det."
- "Bryte beskyttelse" betyr her å knekke passord eller omgå andre tekniske sperrer. Men i moderne tid har også ordene "annen uberettiget fremgangsmåte" fått betydning, sier Søndersrød.
Advokaten legger til at mange etiske hackere ofte ikke bryter beskyttelse, men først og fremst finner feil, sårbarheter og veier inn i datasystemene som ikke skulle vært der.
- Det er derfor loven har tatt inn "annen uberettiget fremgangsmåte". Dersom du gjør pentester med intensjon om å avdekke feil, så er det ikke uberettiget. Men gjør du det for å skaffe informasjon til noe annet er det uberettiget og dermed straffbart, sier advokaten.
Ny Vegvesenet-dom: Lov å skrape data
Pass på for kommunikasjon!
En annen side ved etisk hacking er at du normalt vil få tilgang til mye data.
- Du må derfor være forsiktig med å ikke ende opp i straffelovens paragraf 205 som handler om retten til privatkommunikasjon.
Advokaten viser til at det for eksempel ikke er tillatt i Norge å gjøre opptak av samtaler dersom du ikke selv deltar i samtalen. På samme måte er det heller ikke lov til å skaffe seg tilgang til eposter mellom to personer dersom du ikke er en del av mailutvekslingen.
- Hvis du skaffer deg tilgang til mailene for å si fra om en feil, skal du være forsiktig og ikke laste ned data som er kommunikasjon. Hvis du ender opp med å laste ned for eksempel en Microsoft Teams-samtale nærmer du deg noe som er uberettiget, selv om intensjonen ikke var å laste ned chatten, sier Søndersrød.
Advokaten understreker at disse advarslene først og fremst gjelder personer som driver med etisk hacking på fritiden.
- Er du leid inn som pentester er du "home free". Da er det aldri uberettiget og det er oppdragsgivers problem hvis det er på kant med loven, sier han.
Så var det sivilretten...
Der norsk strafferett krever klare bevis for at en person skal bli dømt for en straffbar handling, er det verre med sivilretten. Søndersrød trekker fram at når etisk hackere melder fra om feil de finner, setter de ofte et tidspunkt for når de offentliggjør dem.
- Dette er å bruke et lovlig pressmiddel for å få feilen fikset, sier han.
Men her kan det bli problemer, mener Søndersrød, og legger fram følgende scenario:
Du er en etisk hacker og finner en sårbarhet i en stor kommersiell aktør med masse kunder. Du gir beskjed om at hullet er funnet, men de svarer ikke - eller gir fingeren tilbake. Du blir provosert og publiserer hullet uansett. Dette fører til at cyberkriminelle finner det, og påfører bedriften økonomiske tap og sure kunder.
- Så er spørsmålet: Kan de kreve erstatning med grunngivingen at du har vært uaktsom og påført økonomiske tap? Ja, det kan de hvis de har lyst. Det er nemlig alltid en fare for at du kan bli saksøkt. Rent sivilrettslig er kravet til bevis lavere enn i strafferetten, med en bevisbyrde på 51 prosent. Der er det en risiko for etiske hackere, sier Søndersrød.
Politiet om Passvarsel.no sin API-bruk: - Kreativt initiativ
Uformelt etisk regelverk
En stor fordel etiske hackere har i situasjonen over, er at det lenge har eksistert et uformelt etisk regelverk.
- Det vil være et viktig bevis med stor sivilrettslig betydning at det finnes et internasjonalt uformelt regelverk for etiske hackere. Sure - hvis du følger dette kan du fremdeles bli saksøkt. Men jeg tror at retten vil la det slippe unna. For å si det sånn: Juridisk sett har du ikke vært uaktsom, sier Søndersrød.
- Kan det ikke være en utfordring at mange dommere kan mangle tilstrekkelig kunnskap om teknologi?
- Det er en kjensgjerning at mange dommere er godt voksne, så det er et poeng. Du skal kunne ganske mye og ha en grunnleggende forståelse av IT-systemer og dataflyt for å gjøre gode vurderinger av jussen i slike tilfeller. Det er det ikke alle voksne dommere som har, sier advokaten.
- Det er følelsen man får når man finner en kritisk sårbarhet som driver meg
Ser til Nederland
Til tross for at Norge ikke har noen særregler om etisk hacking eller ansvarlig publisering av funn, tror han at utfallet av norsk strafferett og norsk erstatningsrett vil bli det somme som i Nederland.
Der kan du ikke bli straffet sivilt eller strafferettslig så lenge du har fulgt den riktige fremgangsprosedyren.
- Men det er ikke så lett å forstå det norske lovverket verken for hackerne eller bedriftene. Du må gjerne være advokat for å se at det er sånn reelt sett i Norge. Det ville ikke vært dumt å vedta tilsvarende regler her.
Han legger til at både bedriftene og de etiske hackerne da enklere ville forstått hvordan lovverket fungerer.
- Dette kunne pushet bedriftene til å forbedre sikkerheten sin. "Oi, er det blitt sånn nå at hvem som helst kan penteste, undersøke og publisere dette åpent? Da må vi kanskje ta en runde eller to for å fikse egen sikkerhet" sier Søndersrød.
- Det er en bra ting og vil gjøre samfunnet bedre.