IKT-sikkerhet – Et norsk kunnskapshull

Boy and Girl see something amazing
photo: StartupStockPhotos

At kunnskapen norske barn har om nettvett styres etter interessen til læreren sin er helt feil. Dette er opp til Røe Isaksen å gjøre noe med.

Det er mer penger i datakriminalitet enn det er i kriminalitet knyttet til våpen, dop og prostitusjon til sammen. I dag møter norske barn Internett for første gang som åtteåringer. Bare 4% av norske barn mellom 9 og 16 år bruker internett sjeldnere enn én gang i uken. Dette gjør markedet for datakriminalitet enda større og noe mer sårbart. Andelen nordmenn, uansett alder, som er på internett er høy. Likevel har ikke alle den samme erfaringen med internett og få har full kontroll over farene som ligger og lurer. Dagens voksne har mye mindre erfaring med internett enn dagens barn ettersom de manglet muligheten til å vokse opp med det. De voksne sitter likevel på en evne til å kunne tenke mer fornuftig og kritisk.

 

Fokus på sikkerhet

Når barn får sin første husnøkkel får de klar beskjed fra sine foreldre om at denne må passes på og kanskje noen retningslinjer om hvordan passe best mulig på den. Dette er kunnskap de de få hjemmefra fordi foreldrene er kvalifiserte nok til å kunne gi denne opplæringen. Brannsikring derimot får barna gjerne gjennom skolen av brannvesenet ettersom få har like god kunnskap som dem. På samme måte er det også med førstehjelp. Sikkerhet på internett og digitale hjelpemidler har på langt nær samme fokus. Det kan heller ikke forventes at alle foreldre har tilstrekkelig kunnskap til å gi nok opplæring.

 

I kompetansemålene på grunnskolen

Læreplanen i norsk skole blir satt etter kompetansemålene. I løpet av barneskolen, 1.-7. klasse har elevene to kompetansemål innenfor bruk av datamaskinen og dens data og sikkerhet rundt denne. Innen 4. klasse skal elevene ha lært å vurdere om informasjon de finner via digitale hjelpemidler er pålitelig. De skal også ha kunnskap om personvern i digitale medier.

Innen 7. klasse skal de også kunne reglene for nettvett, nettetikk, personvern og opphavsrett. Det er også et mål om å kunne vurdere kilder. Dette høres ut som store krav, men de kan også påstås å burde være obligatoriske om man skal bruke internett.

 

Viktig med kildekritikk

Som ung er man ofte mer naiv enn de med mer livserfaring. Kildekritikk er dermed et av de viktigste kompetansemålene de har på barneskolen. Selv lærte jeg at man helst skulle bruke andre kilder enn Wikipedia, fordi det ikke var en kilde man kunne stole på. Det jeg derimot ser nesten ti år etter er hvor mye annet man også må være kritisk til. Nemlig alt på internett. Det er ikke alt på blogger som er riktig, alle linker i e-poster som bør trykkes på og absolutt ikke alle premiene du har vunnet som faktisk finnes. Desto tidligere dette blir innlært jo mindre skuffet trenger guttene å bli idet de ser jente(17) i nærheten som gjerne vil ha sex med dem.

 

Tilfeldighetene som rår

På lærerhøyskolen er det ingenting om nettvett på utdanningsplanen. Det gjør det helt tilfeldig om elevene på barneskolen lærer det de skal angående nettvett og kildekritikk. Lærerens egne interesse for feltet vil dermed være avgjørende på hvor mye hver klasse vil lære og hvilket fokus de vil ha på å få inn den kunnskapen. Dette skaper store forskjeller på hvilken kunnskap elevene sitter igjen med etter fullført skolegang og gjør enkelte svært mye mer utsatte for datakriminalitet enn andre.

 

Sikkerhetsfaglig råd

Høsten 2015 overrakte Nasjonal sikkerhetsmyndighet rapporten Sikkerhetsfaglig råd med 72 tiltak til Forsvarsminister Ine Eriksen Søreide og statssekretær Gjermund Hagesæter i Justis- og beredskapsdepartementet. Av de 72 tiltakene som er ment til å styrke sikkerheten frem mot 2020 er 40 av dem om IKT-sikkerhet. To av dem igjen handler om styrking av kunnskap innenfor IKT-sikkerhet. Hvorav begge begynner med setningen ”Justis- og beredskapsdepartementet bør ta initiativ overfor Kunnskapsdepartementet…”. Det er ikke første gang kunnskap blir nevnt i en rapport som omhandler styrking av IKT-sikkerheten i landet. I 2012 ble det skrevet en rapport undertegnet datidens Justis- og beredskapsminister, Forsvarsminister, Samferdselsminister og Fornyings-, administrasjons- og kirkeminister. Denne rapporten, Nasjonal strategi for informasjonssikkerhet, forteller at alle barn og unge skal ha basiskompetanse innen informasjonssikkerhet. Likevel var ikke Kunnskapsdepartementet å se i denne forbindelsen heller.

 

Kunnskapsministeren bør ta initiativ overfor Kunnskapsdepartementet

Den sikreste måten å bygge opp kunnskap i en hel befolkning er å la det gå gjennom grunnskolen. Et sted å starte er derfor å ha obligatorisk emne om dette på lærerhøyskolene og dermed putte det i læreplanen på barneskolen. Det blir skrevet rapporter om dette rett som det er, men det hjelper så lite om ikke Kunnskapsminister Røe Isaksen og resten av Kunnskapsdepartementet er med på samtalen. Internett ser ut til å ha kommet for å bli og kunnskap om riktig bruk er nødvendig. Så lenge vår tids foreldregenerasjon ikke har vokst opp med nettet eller fått inn kunnskap på andre sikre måter må opplæring komme på andre plattformer enn hjemmefra. Jobben med at de unge skal holde følge med digitaliseringen er på god vei, men blir veldig halvveis når sikker bruk ikke er på planen. Ærlig talt, Torbjørn, her må noe gjøres. At kunnskapen elevene sitter igjen med styres etter interessen til læreren sin er helt feil. Dette er et for alvorlig tema til at tilfeldighetene bør spille inn.

Norsk næringsliv i endring grunnet EU-forordning

Security concept - Locks on digital screen
Security concept – Locks on digital screen(photo: Jack Moreh) 

Hvordan behandlingen av personopplysninger skjer har endret seg stort de siste årene. Dette krever nye lover og at næringslivet må omstille seg.

Da jeg gikk inn i klasserommet på Juridisk fakultet på Universitetet i Oslo i vår for å ta emnet ”Personvern i offentlig forvaltning” ble jeg møtt med beskjeden ”Gratulerer! Dere har tatt det smarteste valget av dem alle”. Videre ble det fortalt at temaet, sånn det er i dag, er ganske lite omdiskutert. Det er heller ikke en prioritering i virksomheters ledelse. Om to år vil derimot saken bli en annen. Straffene skal bli større. Bøtene kommer til å svi til og med for de selskapene med størst omsetning. I tillegg vil det bli behov for næringslivet å ansette flere som kan lovene grundig for å opprettholde at alt går riktig for seg til enhver tid.

 

Trenger modernisering

I Norge følger vi i dag personopplysningsloven. Lovene ble gjeldende i 2001 og mye har endret seg siden den tid. Den har som formål å beskytte enkeltmennesket mot at personvernet blir krenket gjennom behandling av personopplysninger. Dagens lovtekst gjelder behandling av personopplysninger gjennom elektroniske hjelpemidler, som gjerne er digitale. Likevel er det veldig lite i lovteksten som forteller spesifikt om dette. Mye av grunnen til dette kan være at forskjellene på samfunnet da loven kom og den dag i dag er enorm når det gjelder elektroniske hjelpemidler.

 

Fornyer lovene til hele EU

EU-kommisjonen la frem sitt forslag av en modernisering av personverndirektivet i 2012. Ved å gjøre det til en forordning vil lovene tre i kraft i medlemslandene uten at det vil måtte bli vedtatt i hvert enkelt land. Dette gjelder også Norge grunnet EØS-avtalen. Begrunnelsen på at dette er nødvendig er at informasjon om privatpersoner mye mer enn tidligere flyter over landegrensene. Det er derfor viktig at vi spesielt i Europa, hvor handel og tjenester gjerne skal gå lett fra land til land, har en felles enighet i hvordan personopplysninger skal behandles.

 

Strengere på informasjonssikkerhet

En av de store forskjellene i den nye personvernforordningen til EU-kommisjonen er at søkelyset nå vil rettes på informasjonssikkerhet. Når den nye loven trer i kraft vil det bli krav om at virksomheter sørger for tilfredsstillende sikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Det vil også være et strengere krav til risikovurdering enn tidligere. Samtidig er det ønsket å unngå unødvendige byrder for næringslivet.

 

Kan bli veldig dyrt

Om næringslivet tråkker feil i henhold til EU sitt direktiv eller Norges personopplysningslov i dag kan det få konsekvenser i form av bøter eller fengsel på maksimalt tre år. Bøtene kan i dag gå opp til maksimalt 900 000 kr, men en av de strengere straffene ble sett da Gjensidige fikk en bot på 600 000 kr i 2014. Etter at forordningen trer i kraft og den nye loven blir gjeldende i Norge kan bøtene gå opp til 100 millioner euro eller opp til 5% av virksomhetens årlige omsetning. Dette vil for alvor gjøre at næringslivet ikke tar like lett på loven og behandlingen av personopplysninger. Beslutningene bør bli løftet opp til ledelsen og styret idet loven trer i kraft. Om ikke, så vil den i hvert fall det etter første gangen virksomheten tråkker feil.

 

Næringslivet står foran en stor omstilling

Næringslivet må begynne å se på den nye forordningen allerede. Fra årsskifte 2018 vil det begynne å koste dem dyrt om de gjør selv de små feilene. Det vil også bli strengere krav til innebygd personvern og til klar og tydelig informasjon og samtykke. I tillegg kommer det til å bli veldig viktig at alle har retten til å bli glemt på internett og det skal dermed bli mye enklere å få slettet opplysninger om seg. Næringslivet er nødt til å foreta seg en stor omstilling. En av de største forskjellene vil være at diskusjonene og beslutningene blir nødt til å skje oppe hos ledelsen og styret istedenfor IT-rommet. Det vil også bli satt krav til å opprette en personombud-stilling om bedriften er av en viss størrelse eller behandler en viss mengde med personopplysninger. To år går fort. Kanskje blir vi som satt i klasserommet i vinter ansatt i de mange nye stillingene som personvernombud.

Når storebror blir med på date

Før måtte vi ta motet til oss og be på date ansikt til ansikt. Nå legger vi igjen mer personlig informasjon om oss selv på nettet enn vi kanskje er klar over i håp om å finne den store kjærligheten.

En halv million nordmenn har til felles å være brukere av applikasjonen Tinder. Jeg ble i 2015 én av dem. Da hadde jeg allerede i lengre tid hørt på venners historier om erfaringer de hadde fått av datingapplikasjonen. Selv satt jeg med sommerfugler i magen da jeg lastet ned Tinder på min iPhone.

Tinder har som mål å gjøre det enklere for brukerne sine å finne bekjentskaper, og forhåpentligvis fremtidige kjærester, i geografisk nærhet av brukeren. Ved å se enkel informasjon, som bilder og navn, skal du sveipe mot høyre eller venstre etter hvilket inntrykk du danner deg. Høyre er representert som «like» eller «ja» og venstre som «nope» eller «nei». Informasjonen om brukerne henter de fra Facebook etter tillatelse fra brukerne når Tinder-brukeren blir opprettet.

Ønsket innblikk i religiøst synspunkt

Min egen erfaring med Tinder var god helt til en oppdatering av applikasjonen kom og de ba om enda mer innsyn til Facebook-profilene til brukerne sine. Denne gangen ønsket de å hente ut informasjon om religiøst og politisk standpunkt. I henhold til personopplysningsloven § 2 er dette sensitive personopplysninger, som man skal beskytte spesielt. Man skulle jo tro at det ikke var applikasjonen Tinder brukerne ville åpne seg for da de lagde bruker, men heller en ny flørt. Hva mer informasjon kunne Tinder ha samlet opp?

Ærlige, men grådige

Personvernretningslinjene til Tinder beskriver tydelig og ærlig hvilken informasjon om brukeren de lagrer og hvordan de bruker og deler den. Det kan likevel bli oppfattet som sjokkerende hvor grådige de faktisk er på informasjon om ikke retningslinjene har blitt lest grundig. Tinder henter ut informasjon fra samtalene dine og loggene blir tatt vare på. I tillegg henter de ut alt som brukerne gir tillatelse til at hentes fra Facebook. Dette kan være alt av bilder, hvem du er venn med, hvor du bor og hvor du tar utdannelsen din eller jobber. I tillegg vet de hvilke sider du liker og hvor gammel du er.

Storebror ser deg

Mens Facebook byr på informasjon om oss til Tinder byr også Tinder på noe til brukerne sine. Informasjonskapsler, som også kalles cookies, er det brukerne får servert. Dette er den mest utbredte formen for sporing på internett. Under personverndagen i 2016 hadde Datatilsynet og Teknologirådet hovedfokus på nettopp cookies. De forteller i rapporten de ga ut i anledning personverndagen at cookies legges ut via nettleseren som en liten kode på datamaskinen vår. Denne koden gjenkjennes når vi besøker samme side senere. På denne måten samles det informasjon til eieren av nettsiden om hva vi som brukere foretar oss på sidene, hvilke interesser vi har, hva vi søker på og hva vi klikker på. Dette fungerer på samme måten på mobilapplikasjoner og gjør at Tinder får vite all brukeratferd, som hvem vi trykker på og hvem vi søker etter.

Er eksponeringen uunngåelig?

Eksponeringen av personlig og privat informasjon kan virke skummel ettersom den er så omfattende. På en annen side er den til egen nytte og nytelse da den gir oss personliggjorte nettsider og applikasjoner. Ved personliggjøring kan man for eksempel få reklamer på nettsider og nettaviser hvor innholdet er spesifikt valgt etter dine interesser og tidligere ønsker. Interessene blir kalkulert etter hva du tidligere har trykket deg inn på eller søkt etter. På Tinder betyr dette at applikasjonen kan vise deg personer som minner om de du tidligere har vist interesse til før de viser deg personene du ikke har vist interesse for. På en annen side kan man velge å se den negative siden av personifiseringen. Privatlivet sies å være nærmest dødt og internett vet mer om deg enn du kanskje husker om deg selv. Jeg husker i hvert fall ikke alle guttene jeg har sveipet høyre på eller hva jeg søkte på på Google for en uke siden.

Vil hverken betale med penger eller data

I går var det den internasjonale personverndagen. Den ble for min del feiret på Litteraturhuset hvor Teknologirådet og Datatilsynet hadde sitt faste arrangement.

Det ble holdt to innlegg og en kort debatt etterpå hvor temaet for dagen var overvåkningsøkonomien. Noe Schibsted, som er størst i Norge på dette, heller vil kalle digitaliseringsøkonomien. Forståelig, da det høres både snillere og finere ut for dem. Begge navnene stemmer nok godt, men alternativ én legger i det minste ikke skjul på hva de tjener penger på.

Schibsted tjener en relativt stor del av omsetningen sin på data, som de henter på to forskjellige måter. Den ene er ved å legge cookies på sidene sine og selge informasjon om brukerne til tredjeparter og annonsører. Denne informasjonen inneholder gjerne hvilken hardware du bruker, hvor du holder til, alder, kjønn og hvilke sider du trykker deg inn på.
Den andre måten de plukker opp informasjon om oss er ved innlogging. De har blant annet en masse informasjon om at jeg planlegger å kjøpe store fine leiligheter på Frogner. Det er i hvert fall det jeg søker opp på finn.no, og da er vel det nærliggende å tro. De vet også at jeg er glad i designvesker og at jeg mer enn gjerne kjøper de brukte. I tillegg har de fått masse informasjon gjennom søkehistorikken min på reiser. Hadde jeg også logget inn på Aftenposten og VG ville de også hatt mer direkte innsyn i hvilke saker jeg velger å lese. Jeg ville dermed fått en mer personliggjort nyhetsfeed hos deres nettaviser.

Er ikke dette bare flott? Jeg vil slippe å se nyheter jeg ikke kunne brydd meg mindre om og annonsene vil være noe som jeg faktisk kan finne interessant. Det må jo være vinn-vinn om Schibsted også kan tjene noen kroner på det. Og det kan de. En klar vinn-situasjon for deres del, men er det virkelig en vinn-situasjon for oss?

I anledning personverndagen har Datatilsynet og Teknologirådet skrevet en rapport om akkurat dette, hvor de har hentet informasjon fra vanlig brukere av internett om hva de mener. Og svarene overrasker på mange måter. Folk flest, hele 3 av 4, har lagt merke til at reklamen har blitt personliggjort utifra hva de tidligere har vært inne på. Over halvparten synes det er ubehagelig at informasjon om dem, som ikke er frivillig delt, brukes til at reklame blir rettet mot dem personlig. 3 av 4 vil også heller ha tilfeldig reklame enn at den er tilpasset, selv om tilpasset kan bety bedre tilbud på noe du personlig trenger.

Spørsmålet blir da om disse folk flest, som ikke ønsker at informasjon om dem skal brukes til tilpasset reklame, heller er villige til å betale faktiske penger for å nyte tjenestene på internett uten å gi fra seg informasjon. Her er det kun 1 av 5 som sier ja. Selv ville jeg nok ikke betalt for at de ikke skal plukke opp informasjon om meg, selv om tanken på alt de vet er ekkel. Likevel vil jeg gjerne ha et valg om å kunne slippe å gi fra meg all informasjon om meg til hvem som helst.

Vi vil  tydeligvis helst ikke betale med hverken penger eller data. Det er vel ikke veldig sjokkerende. Nordmenn flest er jo mest glad i det som er gratis. Dessverre kan vi ikke slippe både pose og sekk her på internett. Inntil videre må vi bare belage oss på å betale med data og håpe på at vi får alternativer med ny lov om personvern fra EU om to år.