IT Sikkerhet. Veldig mye av det operative arbeidet med IT Sikkerhet foregår ved å analysere logger. Dette kan være logger fra webservere, proxy løsninger, brannmurer, mailservere og mye mye mer. Når man oppdager at en maskin på nettverket er infisert med en ondsinnet kode, brukes loggene både til å spore hvordan hendelsen oppsto og for å se om andre kan være infisert av det samme.
Hva er ondsinnet kode? Uttrykket er en oversettelse av det engelske ordet "malware", som igjen er sammensatt av ordene "Malicious Software". Betegnelsen brukes om programkode som er utviklet med ond hensikt, som f.eks. til å stjele informasjon eller penger. Informasjon samles også inn i så store mengder i dag, at de kriminelle selger uvasket informasjon fordi de selv ikke har nok ressurser til å gjennomgå alt. En av egenskapene som er ønskelig av de som utvikler den, er at de som er infisert ikke skal merke noe. Brukere som oppdager at de er infisert, foretar seg gjerne noe for å renske opp på maskinen.
Relevans til DLD? Her må jeg nesten konstruere en historie, men som er så tett opp til dagens virkelighet at de fleste som jobber med operativ IT sikkerhet vil kjenne seg igjen:
I forbindelse med en etterforskning, tar politiet i Langvekkistan beslag i en server som kriminelle har brukt som kommando og kontroll server for sitt bot-nettverk. Dette nettverket ble brukt til å samle inn alle typer informasjon som kunne brukes til økonomisk svindel; både brukernavn/passord, kredittkortinformasjon, bankkontonummer, bruk av nettbank, med mer. Ofrene, det vil si de som blir frastjålet informasjonen, befinner seg over hele verden.Ønsker vi dette? Historien er ikke fri fantasi. Den typen informasjon jeg brukte som eksempel, blir allerede i dag utvekslet mellom land, men ikke alltid mellom politi. I tillegg tjener historien kun som eksempel på en type bruk, en av mange flere bruksområder som er til fordel for hver enkelt av oss. Og det er de relevante bruksområdene vi må bruke som eksempler i debatten, ikke de ekstreme som mest sansynlig ikke kommer til å skje.
Når politiet er ferdig med sin etterforskning, videresender de overskuddsinformasjonen til politiet i de landene som ofrene befinner seg. I denne saken var Norge lite berørt og mottok informasjon om litt over tusen infiserte brukere. Alt politiet vet så langt er hvilken IP adresse ofrene hadde på et gitt tidspunkt. De har heller ikke tid til selv å varsle sluttbrukeren, så de deler opp informasjonen, bassert på IP adressene, og sender den videre til de aktuelle Internett-leverandørene.
Fremdeles er ikke IP knyttet mot person. Denne knyttingen gjøres av Internett-leverandørens abuse avdeling. De finner ut av hvilken kunde som hadde den aktuelle IP adressen på det gitte tidspunktet, for så å gi de beskjed om at maskinen deres har vært infisert og at de bør re-installere den.
Eller ikke? Av erfaring vet jeg at det er mye personsensitiv informasjon i dataene fra ondsinnet kode som er laget for å stjele nettopp informasjon fra offeret. Offeret og den informasjonen som er stjålet befinner seg sjelden i samme land. Ønsker man at offeret skal varsles når man oppdager hendelser som dette? Eller skal vi sørge for å slette data så tidlig at det blir umulig å finne offeret ut i fra IP adressen? Merk at vi muligheten til å varsle ofte oppstår flere måneder etter at informasjonen er stjålet...
Mitt poeng. Det eksisterer flere områder hvor den typen informasjon som DLD krever lagret har en verdi også for sluttbrukeren. Når man kun trekker frem ekstremeksemplene som pedofili og total overvåkning, bringer man debatten ut på et villspor hvor meninger ikke lengre er relatert til virkeligheten, og derfor er poengløse. Vi er nødt til å fokusere på faktisk bruk og faktisk risiko.
