Verden er fæl, og da spesielt Internett-verdenen! Truslene og farene ligger på lur nesten over alt i den globaliserte og digitaliserte verdenen. Det finnes nok av datakriminelle kjeltringer der ute i den store stygge verden. Det er nok av dem som har datainnbrudd / cyberangrep, cyberspionasje, digital svindel og/eller cybersabotasje som sitt levebrød, og som er profesjonelle på dette. Vi vanlige dødelige IKT-brukere – som privatpersoCner eller bedrifter – blir deres uskyldige ofre. Det er fort gjort å bli lurt!

Denne artikkelen vil ta for seg tematikken informasjonssikkerhet, datasikkerhet, IKT/IT-sikkerhet og cybersikkerhet. Jeg har tidligere vært innom disse temaene før her i bloggen, men nå blir det altså en helt egen artikkel kun viet disse temaene.

Informasjonssikkerhet er et omfattende og komplisert tema, og det er i praksis et helt eget fagområde for “spesielt interesserte” som vil fordype seg i problematikken. Uansett er dette et temaområde som vi alle bør ha litt overfladisk/allmenn kjennskap til og bevisst forhold til, da det er aktuelt for absolutt alle som nyttiggjør seg av IKT. Dvs. i praksis tilnærmet alle mennesker i Norge.

Noen sentrale begreper

Mange vil fort knytte informasjonssikkerhet opp mot begrepene:

• Konfidensialitet: Hindre tilgang for uvedkommende.
• Integritet: Hindre endring/sletting fra uautoriserte personer.
• Tilgjengelighet: Sikre tilgjengelighet (tilgang) til enhver tid for dem som har rett til/behov for opplysningene.

Eventuelt kan nevnte punkter suppleres med:

• Robusthet: Virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand etter at et avvik eller tilsvarende har funnet sted.
• Overholdelse: Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.
• Det økonomiske spiller alltid en rolle. (Kan bli dyrt både å sikre seg for mye og for lite, førstnevnte pga. dyre løsninger og sistnevnte pga. økonomiske tap etter angrep osv.)

En definisjon av informasjonssikkerhet kan være: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger.

I bedriftssammenheng går informasjonssikkerhet hånd i hanske med internkontroll og rutiner rundt dette. Risikovurderinger, ROS-analyser (risiko- og sårbarhetsanalyse) og risikostyring + tiltak er sentralt innenfor dette å sikre god informasjonssikkerhet. Å gardere seg 100 % mot alle former for brudd på informasjonssikkerheten og mot alle metoder for datainnbrudd er (tilnærmet) umulig.

Ofte benyttes begrepene litt om hverandre. En del sidestiller informasjonssikkerhet med datasikkerhet. Imidlertid er det en forskjell:

Datasikkerhet eller IKT/IT-sikkerhet: I hovedsak fokus på de IKT-tekniske aspekter. F. eks. Brannmurer, gode systemer for tilgangsstyring, tetting av sikkerhetshull via oppdateringer, løsninger for sikker tilgang utenfra, redundans osv.

Informasjonssikkerhet er noe mer omfattende enn “bare” teknologi og datasikkerhet/IKT-sikkerhet. Fokus rettes mot vidtrekkende sikring av informasjonsverdier, og ikke kun mot IKT-teknisk sikring av data. I tillegg til IKT-tekniske aspekter inngår også fysisk sikkerhet (f. eks. alarm/adgangssystem til rom, låsing, sikring mot naturkatastrofer osv.) og organisatorisk sikkerhet (lovverk, styringssystemer, rutiner, regler, avtaler, prosedyrer osv.). Den menneskelige faktor – folk og mennesker (som det svakeste ledd?) – må heller ikke glemmes. Personvern og beskyttelse av personopplysninger inngår også i informasjonssikkerheten.

Personvern har å gjøre med å sikre personopplysninger slik at uvedkommende ikke får tilgang på dem. Personopplysninger er opplysninger og vurderinger som kan knyttes mot identifiserbare enkeltpersoner. Informasjonssikkerhet omfatter personvern og mer til.

Et annet begrep som kan dras inn her er cybersikkerhet. Cybersikkerhet handler om å sikre fysisk infrastruktur og fysiske ting som er sårbare via IKT. Spesielt er dette aktuelt i disse IoT-tider (tingenes internett) hvor alt er på nett, inkludert sentrale samfunnsmessig viktige funksjoner og styringssystemer slik som vannverk, strømforsyning, kommunikasjonsnett osv.

Spesielt myndigheter og samfunnsmessig kritisk infrastruktur kan bli utsatt for cyberspionasje og/eller cybersabotasje. Ellers er det mange datakriminelle kjeltringer der ute som gjør det meste for lettjente penger.

Datakriminalitet må kunne kalles for en form for hvitsnippforbrytelser. Normalt benyttes dette begrepet i hovedsak som begrep rundt økonomiske lovbrudd/økonomisk kriminalitet (underslag, korrupsjon, skattesnyteri osv.) begått av personer i kraft av stilling, posisjon, nettverk og/eller tillit (ofte personer i overordnede betrodde stillinger, internt i en bedrift). Mye av datakriminaliteten har utgangspunkt i økonomisk vinning, og man bruker datanettverk (Internett) for å utføre angrepene. Noen ganger prøver man også å skape tillit via e-post-korrespondanse eller annen kontaktvirksomhet på forhånd.

Andre begreper som kan blandes inn i diskusjonen: Sikkerhet (generelt), beredskap, digital beredskap, risiko, krisehåndtering, sårbarhet, trusler, beskyttelse, sikkerhetstiltak osv. Fire sentrale aktører som jobber med slikt: Politiets sikkerhetstjeneste (PST), Forsvarets Etterretningstjeneste, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for samfunnssikkerhet og beredskap (DSB).

Eksempler på trusler

Noen eksempler på trusler som lurer der ute, og som kan være en risiko både for privatpersoner og bedrifter (virksomheter):

• Dataangrep mot diverse store nett-/tjenesteleverandører, med fare for at personopplysninger og pengetrekk kan komme på avveie (banker, BankID, Netflix, sosiale nettverk, nettjenester osv.).
• Direktørsvindel (Falske fakturaer som angivelig er godkjent av leder, og som må betales fort av en økonomiansvarlig til det som viser seg å være svindlernes konto.)
• Utpressing (pengeutpressing, løsepengevirus, seksuell utpressing, hevnporno m. m.)
• Telefonsvindel (f. eks. “spoofing”), gjerne kombinert med overtakelse/stjeling (forfalskning) av norske telefonnumre for å gi økt troverdighet blant ofrene. Typisk at det er “banken”, “politiet” eller “Microsoft” som ringer.
• Skadevare og datavirus (inkludert kryptovirus) som blant annet spres via e-post (lenker / vedlegg), sosiale medier og infiserte (eventuelt kompromitterte) nettsider.
• Forsatt kommer det farlige lenker og skadevare via e-post, sosiale nettverk eller via besøk på kompromitterte nettsider.
• “Tradisjonell” hacking og hackerangrep (datainnbrudd).
• Utnyttelse av sårbarheter: Kjente og ukjente sikkerhetshull og sårbarheter i program- og maskinvare utnyttes, inkludert det som kalles for nulldagssårbarheter og sårbarheter i proprietær programvare.
• Falske nettsider for kjente firma (jf. nettfisking)
• Falske oppdateringer og apper som inneholder skadevare
• Falske kampanjer og konkurranser via e-post, sosiale nettverk / sosiale medier, nettsider osv. hvor det loves gratis eller billige produkter, men hvor man i stedet blir fralurt penger og/eller personopplysninger.
• Løsepengevirus (ransomware-angrep).
• Nettfiske / nettfisking (phishing, og eventuelt også smishing og vishing), som igjen er knyttet til begrepet sosial manipulering med ond hensikt. Angriper forsøker å påvirke offeret til å utføre handlinger som angriperen kan utnytte for å nå sine målsettinger. F.eks. prøver å få oss til å følge en lenke mottatt via e-post til en infisert/falsk nettside, eller få oss til å åpne et mottatt vedlegg med skadevare inni.
• Fortsettelse av forrige punkt: Spear phishing. Spydfisking er en selektiv og avansert / sofistikert form for nettfisking, hvor man går til målrettede angrep mot en bestemt bedrift og gjerne mot navngitte / bestemte personer i en bedrift.
• DDoS eller distribuert tjenestenektangrep (Så mye “falsk” nett-trafikk sendes mot en nett-tjeneste at den til slutt “kneler”.).
• Identitetstyveri (ID-tyveri)
• Nigeriasvindel eller Nigeriabrev.
• Svindel via sosiale medier og nettjenester, f.eks. kjærlighetssvindel, pengesvindel osv.
• Microsoft-svindel (falske telefonsamtaler, oppringing fra angivelig Microsoft som påstår at det er problemer på din PC og som vil “hjelpe” deg)
• BYOD (Bring Your Own Device). Sårbart og dårlig sikret privat utstyr (les “hjemmekontor”-utstyr) kan være en trussel mot en virksomhets sikkerhet.
• Smarte TV-apparater, rutere, smarttelefoner, nettbrett, velferdsteknologi, smarthus-teknologi, SD-anlegg etc. kan hackes, kapres, utsettes for andre former for datainnbrudd eller sabotasje og benyttes i zombie-nettverk (botnett), uten at brukeren/eieren nødvendigvis vet om det.
• Tingenes Internett (IoT) med svært mange “dingser” koblet til nettet – noen av dem med kjente alvorlige sikkerhetshull – utfordrer informasjonssikkerheten kraftig!
• Dårlig sikrede kritiske drifts-styringssystemer (vann, avløp, trafikkstyringssystemer, kraftproduksjon osv.)
• Det samme kan finne sted med de nye smarte og automatiske strømmålerne (AMS).
• Data og personopplysninger vi har gitt fra oss – bevisst eller i vanvare/uvitenhet – kan bli solgt eller delt tilnærmet uhemmet videre, jf. det amerikanske presidentvalget, Cambridge Analytica og Facebook-skandalen. Gjelder muligens også for TikTok.
• Data, informasjon, avanserte analyser, maskinlæring og IKT kan benyttes til å påvirke valgkamper og opinionen blant folk.
• Uønskede innsideaktiviteter (utro tjenere/ansatte på innsiden som truer informasjonssikkerheten).
• F. eks. Apple vet å “låse” og å “holde fast” på sine kunder via sine lukkede løsninger.
• Mest irriterende, og ikke nødvendigvis kjempe-farlig: Spam (Uønskede eposter, søppelpost, ofte med reklame- og lokketilbud for “tvilsomme” produkter.)
• Vårt komplekse digitaliserte samfunn – inkludert det typisk norske – er utsatt for mange trusler og potensielle sårbarheter.
• I dagens verden: Spionasje, påvirkningskampanjer og etterretning (eventuelt også terror) fra aktører knyttet opp mot utenlandske myndigheter.
• Krig kan også føres på en ny måte: Cyberkrig og cyberkrigføring.
• Troll-fabrikker, falske nyheter, påvirkningskampanjer og propaganda (jf. Russland) kan også inngå i denne lista.
• Nye og relativt ukjente utfordringer oppstår i forbindelse med innføringen av kunstig intelligens (KI/AI).

Lista er ikke uttømmende. Også noe overlapping mellom noen av punktene.

 

Fem land – USA, Storbritannia, Canada, Australia og New Zealand – oppfordrer og ber teknologiselskapene om å bygge inn bakdører i krypterte enheter til bruk for myndighetene for å avsløre terrorisme. Foreløpig er det frivillig, men de truer med å gjøre det obligatorisk. Bakdører av denne typen, om enn planlagte, er det stor grunn til å være skeptisk til. De kan fort bli benyttet til andre formål enn de tiltenkte, og det kan også tenkes at de kan bli benyttet/utnyttet av andre ikke-tiltenkte instanser (hackere etc.). Digitalt grenseforsvar eller “tilrettelagt innhenting” kan også fort gå fra å være et gode til å bli misbrukt.

En stor utfordring for tiden er angrep mot og utnyttelse av svakheter i IoT-enheter (tingenes internett). Dette kan være alt fra brødristere, TV-apparater, andre husholdningsapparater, biler, styringssystemer osv. som er på nett. En del av disse nymotens nett-tilknyttede enheter har en lang vei å gå for å bli gode på sikkerhet. I alt for liten grad har det blitt tenkt på sikkerhet under designet og produktutviklingen av mange av disse enhetene.

BYOD (Bring Your Own Device), dvs. privat IKT-utstyr som brukes i bedriftens nettverk, kan være en utfordring sikkerhetsmessig. Utstyret er normalt sett ikke under virksomhetens konfigurasjonskontroll og lever på mange måter sitt eget liv. Pga. eierens manglende kompetanse eller oppmerksomhet rundt datasikkerhet kan utstyret representere en sikkerhetsrisiko. Systemer for beskyttelse mot skadevare og innlegging av nødvendige systemoppdateringer kan være fraværende.

Støtt og stadig er det saker i media om apper som enten overvåker deg, samler inn alt for mye med personopplysninger eller har ondsinnet kode innebakt. Aktører slik som Google og Apple prøver å rydde opp i dette i sine løsninger (Google Play og App Store), men det er en evigvarende kamp der det innimellom kan glippe litt.

Typisk for tiden er å få falske e-poster eller lenker via sosiale nettverk “fra” bank og skatteetat, eller fra Elkjøp, Netflix, flyselskaper, Apple etc. Man skal få igjen penger på skatten eller få kjøpt et produkt billig (eller gratis), som fordrer innlegging av “litt” opplysninger først. Man kan også bli bedt om å oppdatere sine personopplysninger, profil eller passord på en nettjeneste (webmail osv.), hvor det gjerne spilles på sikkerheten. Svindel og humbug fra ende til annen, men det kan være noe vanskelig å oppdage at det er svindel da nettsider etc. ser ekte ut.

Hva skal man f. eks. mene om sosiale medier (SoMe) med opprinnelse i Kina eller Russland? Det har blitt skrevet mye om TikTok (kinesisk opprinnelse) og Telegram (russisk opprinnelse) våren 2023, og jeg har også skrevet noen ord om dette i innlegget “Personvern, informasjonssikkerhet, internkontroll“. Det kan hevdes at de to nevnte tjenestene kan true rikets sikkerhet, og de kan gi myndighetene i Russland og Kina tilgang på personopplysninger fra Vesten som vi ikke ønsker at de skal få i hende.

Det står å lese hos Tek.no at nordmenn er rike, godtroende og naive. Vi lar oss lure av ondsinnede e-poster med farlige lenker eller vedlegg i seg. Vi kommer fra et tillitsbasert samfunn hvor vi stoler på andre, og det blir et aldri så lite kulturkrasj når vi møter den store stygge verden på nettet bestående av blant annet proffe svindlere. Noen ganger blir vår høye grad av tillit til andre vår fiende.

Nordmenn og Norge framstår rett og slett som et yndet mål for svindelforsøk og hacking i og med vår gode økonomi og pga. vår naive tilnærming til verden rundt oss gjennom svært høy grad av tillit til våre medmennesker. Nordmenn er lukerative og relativt enkle mål for angrep.

Tvilsomme e-post-lenker og ikke godt nok beskyttede nettverkstjenester eksponert ut mot det åpne Internett (f. eks. RDP) kan være innfallsporten for datakriminelle. Svakheter i f. eks. lagringssystemer (SAN), brannmurer og virtuelle server-hoster kan også bli utnyttet av ondsinnede kriminelle.

Jeg synes det via media støtt og stadig er avsløringer rundt store og vellykkede hackerangrep mot kjente nettjenester, f. eks. Google, Facebook osv. Selv hos store aktører som investerer mye i sikkerhetsløsninger finner det sted vellykkede datainnbrudd, og passord og annen informasjon kommer på avveie. Ingenting er 100 % sikret mot å kunne bli hacket. Selv om mer og mer kjøres i skyen har man ingen garanti for at alle sikkerhetsproblemer forsvinner (“fordufter”).

En annen side av saken er hvor mye man kan stole på store aktører (multinasjonale konsern) – “Big Tech”-selskaper – slik som Alphabet (Google), Meta (Facebook), Apple, Microsoft, Amazon med flere, da våre personopplysninger og annen informasjon benyttes av slike firmaer som en handelsvare. Til dels driver de nesten til og med spionasje på sine kunder. Teknologigigantene har sin egen agenda som ikke alltid er sammenfallende med kundenes.

Jeg har ikke lest boka, men burde nok ha gjort det:

• Spartacus forlag (Shoshana Zuboff): Overvåkingskapitalismens tidsalder (norsk oversettelse)

Ifølge omtalen tar boka for seg gratistjenester av typen nevnt ovenfor, og ser på hvordan selskapene som “takk” forsyner seg med enorme mengder data om vår oppførsel og preferanser. Dataene selger de ganske så uforstyrret videre til høystbydende.

Ifølge Amnesty truer forretningsmodellene til Google og Facebook menneskerettighetene, inkludert ytringsfriheten. I bytte mot gratistjenester gir man fra seg personlig informasjon som aktørene benytter til målrettede annonser og reklame (med ensidig vinkling). Til tross for gode tjenester har medaljen altså en negativ bakside. Forretningsmodellen er gjennomgående uforenlig med retten til et privatliv hevdes det.

Det er i en del tilfeller snakk om falske nettsider proft laget (kopiert), hvor det virker som om man skal få noe gratis eller “steinbillig”. Først må man legge inn en haug med personopplysninger, kontonummer og f. eks. passord, som medfører at man i neste runde potensielt blir utsatt for svindel. Uærlige sjeler fanger opp personopplysninger, passord etc. som de senere kan misbruke til f. eks. økonomisk vinning eller ID-tyveri. Selvsagt får man ikke noe som helst gratis eller “steinbillig”, da det er alt for godt til å være sant. Det blir ingen “gratis lunsj” (les: produkt), men kan man bli utsatt for masse kjedelige konsekvenser (tap av identitet og/eller penger).

Beklageligvis har sosiale medier og nettet (Internett) for øvrig blitt et yndet sted for svindel. Det gjennomføres daglig mange forsøk på svindel, snusk og bedrageri. Beklageligvis går en del på limpinnen, slik at den lønnsomme aktiviteten fortsetter. Nettsvindel er lettjente penger med lav risiko for svindlerne / kjeltringene (vanskelig å spore), hvor ofrene er naive mennesker som lar seg lure. Noen ganger blir man svindlet for penger, mens man i andre tilfeller blir svindlet for personopplysninger (ID osv.) som i noen tilfeller kan være verdt sin vekt i gull.

En del (sårbare) nordmenn – gjerne godt voksne mennesker – har blitt lurt av kjærlighetssvindel. Personer mer eller mindre på jakt etter en kjæreste mottar en venneforespørsel via sosiale medier. Personen i den andre enden framstår som en troverdig person, og det oppstår en avstandsforelskelse. Personen i den andre enden er en tålmodig kjeltring som bruker masse tid på å bygge opp tillit. Chat blir blant annet benyttet til utstrakt kommunikasjon mellom de to.

Deretter begynner pengemaset hvor offeret blir lurt til å overføre store summer angivelig til helsebehandling, reiser, livets opphold eller tilsvarende. Personen i den andre enden har selvsagt hatt en falsk profil, og vedkommende er langt fra den personen som han/hun har utgitt seg for å være. Alt viser seg å være svindel og humbug, et skuespill for å få svindlet til seg penger fra godtruende nordmenn som tror for godt om andre.

Mye av svindelen nevnt ovenfor starter ofte med “phishing”, som på “godt norsk” kan kalles for nettfiske eller phiske (digital snoking). Dette kan finne sted via f. eks. falske nettsider, mottatte e-poster med lenker eller vedlegg i, via chat (lynmeldinger) eller via mobiltelefon (SMS-meldinger osv.). Angriperen utgir seg for å være noen andre enn det de er – gjerne et kjent firma som man har et kundeforhold til (bank, Netflix, Microsoft osv.), med mål om å lure fra offeret brukernavn, passord, koder, kredittkortopplysninger osv. Enda verre enn “vanlig” phishing er spearphishing (målrettet phishing / nettfisking, hvor de har kartlagt en del og “kjenner” offeret).

Ofte blir man via lenker sendt til en falsk nettside (gjerne proft utformet, eller kopiert ned til minste detalj fra den ekte siden) med et “lureskjema” (nettside) som man blir oppfordret til å fylle ut. Man blir f. eks. bedt om å oppdatere sine betalingsopplysninger på en tjeneste eller tilsvarende, men hvor lenken fører til en falsk nettside som gir angriperne alle dataene man fyller ut. F. eks. kan man bli lurt til å oppgi kredittkort-nummer, CVC2-kode, PIN-kode m. m., som igjen gir svindlerne nok opplysninger til at de kan gjennomføre pengesvindel (trekke penger fra konto).

Verdt å sjekke ut:

• Google: Phishing Quiz (opplæringsquiz)
• Omtale: DinSide: Google phishing quiz: Nå vil Google trene deg opp til å avsløre svindlerne

Vårt samfunn er i ferd med å bli helt gjennom-digitalisert, og nesten all aktivitet er avhengig av IKT (informasjons- og kommunikasjonsteknologi) for å fungere. Fint og flott i seg selv, men dette gjør oss også ekstremt sårbare. Katastrofer eller større angrep som slår mye av teknologien ut vil medføre store problemer for mye av landets infrastruktur. Betalingsløsninger kan slutte å fungere, ikke-fungerende styringssystemer for strøm, vann og avløp kan skape problemer for leveransen av disse produktene og også leger og helse er avhengig av teknologien i sin hverdag. Internett, mobil og TV/radio kan også bli satt ut av spill, noe som vil gi store konsekvenser for de fleste av oss som er helt avhengig av at denne teknologien fungerer i vår hverdag.

Det gjelder også være bevisste når vi skal kvitte oss med fysisk IKT-utstyr. Jeg tenker da på resirkulering og kassering (eventuelt videresalg) av utstyr som har gjort sin misjon. I slike tilfeller er det viktig å tenke på sikker og forsvarlig sletting av data og innstillinger for å unngå identitetstyveri og/eller data på avveie. Utstyret bør leveres inn til et sted som sikrer en forsvarlig håndtering av innlevert utstyr.

Digital svindel eller nettsvindel

Ifølge nyhetsoppslag hos TV 2 29.08.2018 svindles nordmenn for nærmere fem milliarder (5 000 000 000) kroner i året via digitale plattformer. Blant annet svindles det med:

• Kjærlighetssvindel.
• Trangen til raske penger, f. eks. investeringsbedrageri. Man blir lurt til å gå inn med penger i et “prosjekt” som skal gi stor og kjapp avkastning. Enkelt og greit for godt til å være sant, noe det også da er.
• Salg av ting som folk ikke har peiling på, f. eks. kryptovaluta, gull, edle metaller, valutaspekulasjoner m. m. Også her blir man kraftig lurt, dvs. rundlurt.

Norske myndigheter og institusjoner (banker m. m.) regner med å klare å stanse “bare” 590 millioner kroner i år av pengene som er på vei til kriminelle i utlandet. De kriminelle bruker pengene på blant annet våpen, prostitusjon, narkotika og luksus.

Selv har jeg mest sympati /empati med dem som blir lurt for penger via kjærlighetssvindel. Mennesker blir utnyttet i en sårbar situasjon, og det spilles på lykke og følelser i stor grad. Om noen blir svindlet pga. deres pengegriskhet og drømmen om kjappe penger engasjerer meg ikke i like stor grad.

En god del havner altså på limpinnen og blir utsatt for nettsvindel. Nordmenn er muligens noe naive og godtroende i sin framferd på nettet, og i tillegg har de kriminelle blitt mer og mer proffe i sine svindelforsøk. Det finnes mange personer som har det som jobb å svindle andre. En del av svindlerne går grundig til verks med forarbeidet, og de kan drive med tillitsbygging overfor det framtidige offeret over en lengre periode.

I tillegg til alt dette har man jo falske konkurranser på nettet, gjerne via sosiale medier. Tradisjonell datahacking (h4xX0r) og diverse ulike former for datainnbrudd er stadig “populært” – og organisert – blant svindlere og påvirkere.

 

Trusselbildet ifølge NorSIS

Trusler og trender (i ikke-teknisk språk) mot individer og virksomheter i vår digitale hverdag 2017-18, ifølge NorSIS (Norsk senter for informasjonssikring):

• Informasjonstyveri
• Vanvare
• Løsepengevirus
• Direktørsvindel
• Industrispionasje
• Sabotasje
• Identitetstyveri
• Datingsvindel
• Personutpressing
• Krenkelser

Kilde: https://norsis.no/trusler-trender-2017-18/

Det blir også nevnt utfordringene for oss alle med dagens IoT-trend (“tingenes internett”). Den store bruken av sosiale medier, og den medfølgende mulighetene for sosial manipulering er en del av dagens virkelighet. Vi lever i det digitaliserte samfunnet med bruk av skyen, masse nettjenester m. m. Alt dette gir muligheter for sårbarheter som kan bli utnyttet til cyberkriminalitet og cyberkriminelle.

NorSIS’ årlige sikkerhetskulturrapport 2019: Økende digital frykt blant nordmenn. Redusert tillit til en rekke nettjenester, inkludert offentlige tjenester, nettbank og betalingskort. Samtidig er folket – forstå det den som kan – mindre bekymret for den store e-postrisikoen.

Februar 2020 presenterte NorSIS rapporten “Trusler og trender 2019-2020“. En god del av “funnene” fra 2017-2018-rapporten går også igjen i den nye, men med noen justeringer og tilføyelser. Noen momenter fra rapporten:

• Økende digital trussel, samtidig med at forbausende mange tror at de er immune mot angrepene.
• Vi nordmenn er mer sårbare enn noensinne.
• Cyberkriminaliteten profesjonaliseres.
• Angrepene kan koste mye tid og penger for dem som blir rammet.
• Sannsynligvis betydelige mørketall foreligger.
• Trend: Angriper (lurer) mennesker fremfor klassiske datainnbrudd på maskinnivå.
• Mer sosial manipulasjon og målrettede personaliserte angrep.
• Falske nyheter er en utfordring.

De 10 største digitale truslene akkurat nå ifølge rapporten:

• Løsepengevirus
• ID-tyveri
• Falske trusler og utpressingskrav (som pornosvindel)
• Phishing (nettfiske)
• Ekte utpressing og svindel
• Kontohacking (inkludert svindel med BankID)
• Datainnbrudd
• Menneskelige feil
• Krenkelser
• Verdikjedeangrep

Kilde: NorSiS | Trusler og trender 2019-2020

NorSis-trusselrapport: Trusler og trender 2021

Årets viktigste digitale trusler:

• Løsepengevirus, kontokapring, verdikjedeangrep og svindel.

De tre viktigste tiltakene:

• Jevnlige sikkerhetskopier, oppdatere systemer og programmer og bruk totrinnspålogging der hvor det er mulig.

Kilde: NorSIS | Ny NorSIS-trusselrapport: Her er de viktigste digitale truslene i 2021 og slik beskytter du deg.

---

Utviklingen av Internett

I nettets barndom for oss vanlige brukere (på midtre og siste del av 1990-tallet) framstod det som en desentralisert, frigjørende, demokratisk, usensurert, uregulert og nesten anarkistisk kommunikasjonskanal. Det var høy grad av ytringsfrihet og gode muligheter for den enkelte å gjøre det vedkommende fant for godt. Til tider gikk vel friheten litt vel langt og endte over i misbruk (ulovligheter) riktignok.

Etter hvert har nettet utviklet seg i en negativ retning sett med mine øyne. Det har blitt et globalt nettverk for overvåking, dataangrep og kommersiell utnyttelse. De store konsernene har styringen med agendaen, og oss som hører til grasroten ties mer eller mindre i hel og blir overkjørt av de store.

(Nå må man oppsøke det mørke nettet eller dypnettet for å få full frihet. Imidlertid er vel dette nettet mest for anonyme “kjeltringer” og ulovligheter.)

 

PST: Trusselvurdering 2019

Politiets sikkerhetstjeneste (PST) har presentert sin trusselvurdering for 2019. De største truslene slik PST ser det:

• Statlig etterretningsvirksomhet mot Norge og norske verdier.
• Politisk motivert vold (ekstreme islamistiske grupper, terrorangrep).
• Trusler mot myndighetspersoner.

En del av disse truslene og farene kan finne sted via digitale medier / informasjonsteknologi. PST er spesielt opptatt av muligheten for cybertrusler fra land slik som Kina og Russland.

Etterretningstjenestens sikkerhetsrapport Fokus 2020

Ifølge Digi.no:

• Digi.no: E-tjenesten: Trusselbildet er blitt mer alvorlig

De (Digi.no) refererer til Etterretningstjenesten og deres sikkerhetsrapport Fokus 2020. Trusselbildet har blitt mer alvorlig og sammensatt, og det pekes blant annet på mulige trusler fra Russland og Kina. Dessuten kan også Iran (og Midtøsten) nevnes.

Både militære og sivile mål kan være truet, innenfor et vidt spekter av sektorer. Aktørene kan være på jakt etter alt fra tilgang på personopplysninger, helseopplysninger og stjeling av industrihemmeligheter.

IOCTA-rapport fra Europol 2019

Ifølge IOCTA-rapporten 2019 til Europol er utpressingsprogrammer (“ransomware”) fortsatt den største trusselen. Heldigvis har volumet av denne typen angrep gått noe ned, takket være diverse igangsatte tiltak.

Utenom løsepengevirus / utpressingsvare / utpressingsprogramvare er det ifølge rapporten en del tilfeller av kompromittering av data via phishing-angrep, datainnbrudd, datalekkasjer og skadevare designet for innsamling av sensitive data. Ødeleggende / destruktive angrep / sabotasjeangrep mot infrastruktur m. m. er også sentrale deler av det store bildet.

Sikkerhetsselskapet Trend Micro sin 2018-rapport

Sikkerhetsselskapet Trend Micro har publisert sin årlige “Security Roundup”-rapport som omhandler år 2018. Digi.no skriver noen ord om funnene i denne rapporten i sin artikkel:

• Digi.no: Ny rapport om IT-angrep: Norge er et av de mest utsatte målene i verden

Norge ligger på femteplass i verden når det gjelder direktørsvindel. Andre trender i 2018 i tillegg til direktørsvindel er: Kryptokapring og nettfiske (“phishing”-angrep). Løsepengevirusene (“ransomware”) på sin side viser en nedadgående tendens.

Google-rapport for Android-plattformen 2018

Ifølge rapport fra Google er en stor sikkerhetstrussel på Android-plattformen klikksvindel. Det er da snakk om bruk av programvare / systemer for å generere / simulere mange klikk på annonser for å påvirke reklameinntektene / reklameutgiftene, enten til seg selv (skape inntekter) eller sine konkurrenter (skape utgifter).

Andre sentrale trusler er trojanere, SMS-svindel og spionasje-funksjonalitet i apper.

Nettavisen sin liste

Nettavisen har juli 2021 presentert følgende liste over aktuelle svindelformer som man må være obs på:

1. Bitcoinsvindel
2. Olga-svindel
3. Skatteetaten-svindel
4. Microsoftsvindel
5. Kredittkortsvindel og falske e-poster (inkludert BankID-svindel)
6. Falske nettbutikker
7. Abonnementsfeller (“premier” er i virkeligheten dyre abonnementer)
8. Lotterigevinster og “pengebrev”

År 2021

Digi.no melder i en artikkel: “Norske IT-angrep i 2021: Året endte med en bølge av løsepengevirus“. Alt fra kommuner/fylkeskommuner til hotellkjede og aviser ble rammet av slike angrep, og disse angrepene skapte store problemer og utfordringer for de som ble rammet. HELDIGVIS har vel de fleste rammede valgt å IKKE betale kravene om løsepenger, hvor betaling kunne ha bidratt til å gjøre det enda mer lukrativt å drive på med slik kriminalitet mot norske potensielle ofre. Aktiviteten med løsepengevirus var virkelig høy år 2021.

Trusselvurderinger 2022 fra E-tjenesten, PST og NSM

Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) la i fellesskap fram sine åpne trussel- og risikovurderinger fredag 11.02.2022. Noen momenter fritt gjengitt:

• Vårt digitaliserte samfunn gjør oss sårbare.
• Økende cyberrisiko mot Norge.
• Cyberoperatører fra Kina og Russland driver med avanserte angrep, og spionasje (stor etterretningstrussel) og påvirkning i stor grad.
• Diverse ekstremister og spioner er på nettet, og medfører at vi må være (ekstra) årvåkne.
• Høyreekstrem eller ekstrem islamistisk overbevisning er en relativt stor trussel (terror osv.).
• Kanskje bør vi få økt nasjonal kontroll over datasentre for å gardere seg mot noen av truslene.
• Bruken av ransomware (løsepengevirus) øker mot norske aktører.
• Heldigvis har bevisstheten om cybersikkerhet økt i vårt samfunn.
• Forverring i dataangrep og politiker-trusler
• Økt trussel fra personer som radikaliseres av konspirasjonsteorier.
• Flere store dataangrep mot norske interesser fant sted i 2021.

Vi står i år 2022 og videre over i år 2023 (sannsynligvis) overfor et krevende risikobilde – med økt risiko og økt usikkerhet – relatert til cyberangrep og høyst reelle trusler mot informasjonssikkerheten. Noen trusler NSM nevner som aktuelle i tiden vi lever i er digital utpressing, tjenestenektangrep, kartleggingsaktivitet og spionasje.

Denne NSM-rapporten (NSM = Nasjonal sikkerhetsmyndighet) kan være verdt å lese:

• NSM: Nasjonalt digitalt risikobilde 2022

“Siden sist” har det kommet en ny rapport fra NSM i 2023, og enda en nyere i 2024:

• NSM: Risiko 2023 | Økt uforutsigbarhet krever høyere beredskap
• NSM: Risiko 2024: Nasjonal sikkerhet – et felles ansvar

Norske virksomheter må pga. økt uforutsigbarhet forberede seg bedre og ha høyere beredskap, hvor de må bli flinkere til å beskytte seg mot spionasje, sabotasje, terror og andre trusler. Vi møter et stadig endret risikobilde med økt digital sårbarhet. Beredskap og samarbeid på tvers av sektor bli nødvendig, og man må være obs på at et svakt ledd i kjeden godt kan være en (mindre) underleverandør. Økt teknologibruk = Økt sårbarhet, som igjen medfører økte krav til beskyttende tiltak!

Noen nevnte cybersårbarheter: Phishing, nulldagssårbarheter, tjenestenektangrep, sårbarheter i proprietær programvare, innsideaktivitet, sårbart privat utstyr (“hjemmekontor”) og spearphishing. De er også innom utfordringene med kunstig intelligens (KI/AI).

PST (Politiets sikkerhetstjeneste) har også presentert sin 2023-rapport, etterfulgt av 2024-utgaven:

• PST: Nasjonal trusselvurdering 2023
• PST: Nasjonal trusselvurdering 2024

Noen momenter jeg hang meg opp i fra denne rapporten:

• Russiske etterretningstjenester utgjøre den største trusselen i Norge år 2023.
• Det er mulig at både ekstreme islamister og høyreekstremister vil forsøke å gjennomføre terrorhandlinger i Norge i 2023.
• Det vurderes som lite sannsynlig at myndighetspersoner vil rammes av alvorlige voldshandlinger i Norge i 2023.

Og til slutt i “trekløver-vurderingene”:

• Etterretningstjenesten (forsvaret): Fokus 2023: Etterretningstjenestens åpne vurdering av aktuelle sikkerhetsutfordringer for Norge.
• Etterretningstjenesten (E-tjenesten): Fokus 2024: Etterretningstjenestens vurdering av aktuelle sikkerhetsutfordringer | Viten om verden for vern av Norge.

Ikke direkte IKT-relatert (mer rettet mot beredskap osv.), så jeg står over å kommentere den noe nærmere.

NRK har også lansert sin egen trusselvurdering:

• NRK Trusselvurdering 2023

Beskyttelse og tiltak

Datakriminaliteten vil neppe avta i tiden framover. Det vil stadig dukke opp nye trusler og angrep. I vårt digitaliserte samfunn hvor vi finner IKT over alt blir man i høyeste grad sårbare. Sårbarheten kan vi ikke springe fra så lenge som vi lever i en globalisert og digitalisert verden, og hvor det er gode penger i å drive med cyberkriminalitet. Forbrytelsene kan foretas via nettet uten å være fysisk til stede der som forbrytelsene reelt finner sted.

Noen beskyttelsestiltak som vel må være obligatoriske for enhver bedrift og delvis også for privatpersoner (hjemme): Ha gode systemer for antivirus, brannmurer, annen endepunktbeskyttelse (mot malware osv.), annen sikring av nettverk + servere / lagring, spam-filter, gode rutiner inkludert passordrutiner (best practice), patching av “bokser” og systemer og til slutt bra opplæring i sikkerhet av sluttbrukere.

Tekniske sikringstiltak er selvsagt viktig. Brannmurer og tetting av sikkerhetshull (patching og fastvare/firmware-oppgraderinger) er eksempler på tekniske tiltak, og likeså å ta i bruk tilnærmingen “Zero trust security model”. Antivirus og andre filtreringstiltak kan også inngå i dette punktet. En god ide er nok også å jevnlig (helst hele tiden) å gjennomføre manuelle eller automatiske penetrasjonstester, og å ikke minst ha gode planer for hva man gjør og hvem som gjør hva hvis uhellet først er ute. Imidlertid blir aldri sikkerheten bedre enn det svakeste leddet.

På brukernivå er tofaktorautentisering (totrinnsbekreftelse, noe du vet + noe du har) en fornuftig måte å beskytte seg på. Bevissthet rundt valg av fornuftige passord, skifting av passord, ulike passord til ulike tjenester osv. er også enkle tiltak som minsker risikoen for å bli hacket betraktelig.

Det svakeste leddet er ofte mennesker, og den menneskelige faktor (mennesker og fol) må ikke undervurderes eller glemmes. Mennesker kan lures og manipuleres til å foreta seg ting på innsiden av brannmuren som gjør tekniske sikringstiltak tilnærmet ubrukelige og unyttige. Ofte må det foretas organisatoriske endringer for å få økt sikkerhetsnivået. Informasjonssikkerhet handler om mye mer enn bare teknologien.

Menneskene må “dresseres” skulle jeg til å si. Opplæring i informasjonssikkerhet og holdningskampanjer for å gjøre oss alle mer bevisste kan være nødvendige tiltak. Vår kritiske sans må opptrenes, slik at vi ikke uten videre trykker i vilden sky på alle lenker og e-poster som kommer vår vei.

Barn og unge må ikke glemmes i det store bildet. Holdningskampanjer, opplæring og andre former for bevisstgjøring kan være aktuelt for å få dem til å bli trygge nettbrukere som utviser nettvett.

Oss godt voksne er født inn i verden før teknologien gjorde sitt inntog for fullt. For å bli gode cyberborgere kan det være nødvendig med diverse tiltak som gjør oss bedre i stand til å bruke teknologien på en fornuftig måte og til å ta bedre beslutninger. Nettvett kan være tingen også for godt voksne.

Det kan være lett å tenke seg at dette med bevisstheten rundt informasjonssikkerhet er mest mangelvare hos gamle dinosaurer slik som meg som er oppvokst fra tiden før IKT ble allemannseie. Imidlertid går det fram av en lenke i bunnen av denne artikkelen at unge arbeidstakere under 30 år er den aldersgruppen som samlet sett gjør det dårligst når det gjelder IT-sikkerhetspraksis. Fart, fleksibilitet og produktivitet trumfer det meste, og snarveier tas når det gjelder IKT-sikkerhet. (Selv om denne gruppa – oppflasket på teknologi – absolutt bør vite bedre enn som så.)

Ifølge Nasjonal sikkerhetsmyndighet (NSM) finnes det fire effektive tiltak mot dataangrep, hvor det påstås at disse tiltakene alene stopper opp mot 90 % av dataangrepene:

1. Oppgrader program- og maskinvare.
2. Installere sikkerhetsoppdateringer så fort som mulig.
3. Ikke tildel administrator-rettigheter til sluttbrukere.
4. Blokker kjøring av ikke-autoriserte programmer (“hvitelisting”).

Kilde: Nasjonal sikkerhetsmyndighet (NSM): Fire tiltak stopper opp mot 90 prosent av dataangrep

Avansert teknologi mot avanserte trusler

Selv om kommentaren til teknologisjef Nils Ove Gamlem i Check Point gjengitt i Digi.no er mer eller mindre reklame for Check Point sine sikkerhetsprodukter gjengir jeg noen punkter fra innlegget, noe omskrevet.

Det har i 2018 vært diverse store kyberangrep som har blitt førstesidestoff i mediene. I den forbindelse setter forfatteren opp en liste over noen kybertrender for år 2019 basert på det tilbakelagte året:

• Det blir mer og mer “populært” med skadevare som graver etter digitalt gull, dvs. krypto-valuta og krypto-miners som finner sted uoppdaget på vårt utstyr og generere kontinuerlige inntekter for de kriminelle som står bak.
• Angrep mot mobiltelefoner som er dårlig sikret.
• Innbrudd rettet mot skytjenester.
• Maskinlæring og AI kan misbrukes til å utvikle bedre skadevare.
• Land og stater som angriper og påvirker andre er en bekymringsfull utvikling.
• Organisasjoner har sviktet rundt dette å ta i bruk bedre sikkerhetsrutiner og produkter for å beskytte sine nettverk og enheter. Blant annet utfordres sikkerheten av IoT, velferdsteknologi, medisinske enheter, selvkjørende kjøretøy og andre mobile enheter.

Check Point sin løsning er nanosikkerhetsagenter.

 

Informasjonssikkerhet og internkontroll er en kontinuerlig prosess som man aldri blir ferdig med. Arbeidet må hele tiden revideres, og nye tiltak må tas i bruk for å stoppe nye typer trusler.

Informasjonssikkerhet, digital beredskap og personvern er omfattende temaer. Det er komplekst og ressurskrevende (økonomi, personell og kompetanse) å beskytte og å sikre seg tilstrekkelig. Truslene er økende, og gjennomførte angrep blir mer og mer avanserte og også mer hyppige.

Det kan ofte være aktuelt å leie inn ekstern kompetanse og konsulenter. En utfordring er stor mangel på fagfolk innenfor informasjonssikkerhet. Det er et skrikende marked for enda flere flinke fagfolk og eksperter innenfor informasjonssikkerhet, cybersikkerhet og datasikkerhet.

Bransjespesifikke CERT-team (Computer Emergency Response Team, et databeredskapsteam er en ekspertgruppe som håndterer datasikkerhetshendelser) som kan bistå i kartleggingen og oppryddingen kan også ha noe for seg. Innimellom benyttes begrepet CSIRT (Cyber Security Incident Response Team, databeredskapsteam) mer eller mindre som et synonym til CERT. Å ha koblinger mot en sikkerhetsoperasjonssentral – SOC (Security Operations Center) – kan også være til god hjelp hvis dataangrep og cyberkriminalitet inntreffer. Å bekjempe alvorlige sikkerhetstrusler krever samarbeid.

Alt er ikke personopplysninger

Via fokus på personvern, GDPR, personopplysningsloven etc. har det vært et visst fokus på verning av personopplysninger. Spesielt er det en del bevissthet rundt å hindre uvedkommende tilgang på sensitive personopplysninger, slik som f. eks. helseopplysninger.

Innenfor informasjonssikkerhet er personvernet viktig, men det finnes også annen informasjon som må vernes selv om det ikke er snakk om personopplysninger. F. eks. kan det være ønskelig å unngå at følgende typer opplysninger kommer på avveie, blir manipulert eller blir gjort utilgjengelige:

• Forretningshemmeligheter (f. eks. oppskrifter)
• Strategier
• Produktutvikling
• Beslutninger rundt bruk av virkemidler for å oppnå konkurransefortrinn osv.
• Kontraktsmessige forhold
• Styrings-/driftssystemer (PLS-systemer, SD-anlegg osv. som kan bli manipulert eller satt ut av drift, jf. cybersikkerhet)
  Osv.

Også informasjon som ikke er personopplysninger må i en del tilfeller beskyttes. Hvis ting feiler kan man i verste tilfelle risikere at en bedrift går konkurs.

Ikke bare-bare for små og mellomstore bedrifter

Små og mellomstore bedrifter (SMB) har ofte ikke nødvendige kompetanse internt når det gjelder informasjonssikkerhet og datainnbrudd m. m. Det kan være begrenset med hjelp som lett kan innhentes.

Noe kompetanse kan leies inn ved behov fra markedet, men her kan det være store utfordringer med å finne de rette som virkelig kan jobben og vet hva de driver med. Politiet har ofte begrensede ressurser og kompetanse til at man kan stole på dem.

Et godt eksempel på utfordringene framgår av denne artikkelen:

• NRK Møre og Romsdal: Ble frastjålet 735 000 kroner – nesten umulig å straffe tyven

Her er det helt sikkert store mørketall når det gjelder datainnbrudd og brudd på informasjonssikkerheten, og det for både privatpersoner, små, mellomstore og store bedrifter. Mange datainnbrudd eller andre brudd mot informasjonssikkerheten blir neppe anmeldt og/eller offentlig “annonsert”. Det er liten åpenhet rundt angrep, og det er noe “flaut” å innrømme at man har blitt utsatt for slikt.

Lover og regelverk

GDPR (General Data Protection Regulation, Personvernforordningen 2016/679) har så vidt blitt nevnt tidligere. Ny “Lov om behandling av personopplysninger (personopplysningsloven)” og tilhørende forskrift + personvernforordningen (EU) har trådt i kraft sommeren 2018. Poenget med dette regelverket er å beskytte/styrke personvernet og harmonisere reglene i hele Europa (EU). Reglene gir en god del føringer med rettigheter og plikter for den enkelte av oss og for de virksomhet som behandler personopplysninger. Det står mer å lese om GDPR i egen artikkel (lenke) om personvern.

Fra 1.1.2019 trer ny sikkerhetslov – Lov om nasjonal sikkerhet (sikkerhetsloven) – + forskrifter i kraft. Denne loven vil blant annet omhandle forhold relatert til informasjonssikkerhet og tilgjengelighet. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, hvor blant annet sikring av digital infrastruktur innenfor samfunnskritiske områder inngår.

Straffeloven er selvsagt også aktuell i forbindelse med informasjonssikkerhet og eventuelle datainnbrudd hvor gjerningsmann blir tatt. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

I likhet med folk flest er jeg sløv med å lese brukervilkårene til programvare jeg installerer på min PC eller til nettjenester som jeg tar i bruk. Vilkårene som man fort bare aksepterer uten å ha lest dem (grundig) sier som oftest en god del om leverandørens behandling av opplysninger, informasjonssikkerhet etc. Strengt tatt burde man virkelig sette seg inn i slike ting før den nye teknologien tas i bruk.

Myndighetene som en trussel

Myndighetene og deres aktiviteter kan bidra til å true informasjonssikkerheten/datasikkerheten og personvernet. Den vanlige kvinne og mann kan bli stemplet som en potensiell lovbryter og/eller terrorist som “må” utsettes for overvåkning og kontroll. Dataene som samles inn kan bli misbrukt eller komme på avveie.

Regjeringen vil gi etterretningstjenesten (e-tjenesten) adgang til masseovervåking, noe som utfordrer rettsstaten, menneskerettighetene og personvernet (privatlivet). Hva hjelper det med GDPR (personvernforordningen) og fokus på personvern når etterretningen og myndighetene kan overstyre? Store nettselskaper slik som Google og Facebook finner også sine “smutthull” for å kunne få fatt i og utnytte personopplysninger, uten at myndighetene i nevneverdig grad griper inn.

Det kan blant annet se ut for at ny e-tjenestelov (Lov om Etterretningstjenesten, forslag til ny lov) vil gi Etterretningstjenesten (E-tjenesten) vide fullmakter til å overvåke datatrafikk som krysser den norske grensen. Mer konkret: Regjeringen vil ha endringer i etterretningstjenesten-loven som gir E-tjenesten muligheter for å lovlig lagre metadata fra all digital trafikk som krysser landegrensen. Innføring av digitalt grenseforsvar (DGF) eller “tilrettelagt innhenting” med masseovervåkning av norske borgere går virkelig hardt utover personvernet og privatlivet til oss lovlydige borgere.

Uansett juni 2020: Stortinget sier ja til masselagring av nordmenns nett-trafikk, og den nye loven som muliggjør og tillater masseovervåkning blir innført. Bredt politisk flertall sørger for massiv overvåkning av nordmenns nettbruk.

Datatilsynet – som er personvernets forkjempere og forsvarere – er som forventet negative. Den massive overvåkningen kan rokke med demokratiet, medfører et for stort inngrep i retten til privatliv og kan være i strid med menneskerettighetene. Både ITavisen og Digi har skrevet om denne saken og om Datatilsynets meninger. Ifølge Digi har Datatilsynets direktør Bjørn Erik Thon uttalt noe tilsvarende dette: – Vanskelig å klemme dette monsteret av en lov innenfor menneske­rettighetene. Vil loven være kroken på døra for bruk av visse typer for kryptering?

Fra USA har vi friskt i minne Snowden-avsløringene rundt overvåkning. Det var (er) ikke måten på hva NSA (National Security Agency) samlet inn av opplysninger om og overvåket uskyldige mennesker som ikke var mistenkt for noe som helst. Å behandle alle slags mennesker som potensielle terrorister og forbrytere er litt av et menneskesyn. Selv er amerikanerne livredde for kinesernes overvåkning, hvor Trump blant annet vil forby – bannlyse – mobiltelefoner og mobilutstyr fra kinesiske produsenter slik som ZTE og Huawei.

Også i Norge advares det mot å bruke Huawei mobiltelefoner, og i enda større grad mot at nevnte leverandør eventuelt får lov til å bygge ut 5G-nett i Norge via leveranser av senderutstyr og annen infrastruktur. PST opplever det som høyst problematisk hvis Huawei får slippe til med utbygningen. Man er redde for leverandørens (eventuelle) nære forbindelser til det kommunistiske (og autoritære / diktatoriske) styret i Kina, og for at Kina skal kunne drive etterretning og overvåkning via utstyret mot blant annet lille Norge.

USA på sin side kommer med det som mest minner om trusler. Det trues eller advares om konsekvenser for EU-land som samarbeider med Huawei eller andre teknologiselskaper fra Kina i forbindelse med innføring av 5G og tilsvarende sentral infrastruktur. Redselen for cyber-spionasje fra myndighetsnivå i Kina er stor.

Mai 2019 kom nyheten om at Trump HELT forbyr amerikanske selskaper å bruke utenlandsk teleutstyr som kan være en “fare for landets sikkerhet”. Dette forbudet klarte han å få i stand via en erklæring om “nasjonal nødssituasjon”, som igjen medførte at han kunne legge ned et forbud for amerikanske selskaper å bruke utenlandsk utstyr som “utgjør en uakseptabel risiko”.

Produsentnavn og land nevnes ikke, men det er ingen tvil om at forbudet blant annet rettes mot Kina-produsenten Huawei. Og alt dette kommer i stand bare pga. ubegrunnede påstander og indisier fra presidenten og hans folk. I USA – hvor de har flinke folk i f. eks. NSA, FBI og CIA – har de ikke klart å framskaffe et eneste håndfast bevis på at Kina VIRKELIG driver med overvåkning og spionasje via f. eks. Huawei-utstyr. Bare ubegrunnet synsing, redsel og storpolitikk som ligger bak dette vaset av et forbud.

Vi må ikke være naive. Det sitter proffe aktører der ute som lever av å hacke og bryte gjennom sikringstiltak / sikkerhetshull. En del av dem har til og med nære knyttinger til myndighetene, eller er til og med finansiert og del av ulike lands statsapparat.

Dataene fra “lovlig” myndighetsstyrt overvåkning kan komme på avveie og i hendene på uønskede aktører, eller de kan bli benyttet til andre formål enn de tiltenkte. Innsamlede data kan lett benyttes til massiv spionasje, overvåkning og rangering av et helt lands befolkning (borgere), jf. Kina sine systemer for “sosial kreditt” basert på massiv overvåkning, store databaser og AI-systemer (kunstig intelligens).

Kina sitt planlagte system for sosiale poeng (sosialt poengsystem) som er under uttesting enkelte steder høres noe skremmende ut, ja. Systemet minner nesten om et dataspill, hvor man får eller kan miste poeng. Det legges opp til et sosial poengsystem eller sosial kreditt, hvor man kan bli straffet for overtredelser eller få plusspoeng for god oppførsel. Overtredelser slik som å gå på rød mann kan medføre at man mister poeng, og hvis tilstrekkelig antall poeng mistes kan dette medføre straffer slik som f. eks. å bli nektet bruk av hurtigtog, fly, reduserte karrieremuligheter eller redusert hastighet på Internett.

I et land som Kina kan digitalt diktatur lett innføres, da de “slipper” å forholde seg til faktorer slik som personvern, informasjonssikkerhet og menneskerettigheter. Sett fra myndighetenes side er nok dette et slikt system en ønskedrøm som går i oppfyllelse. Endelig får de nødvendige verktøy tilgjengelig for å klare å holde full kontroll over sin store befolkningsmengde, og systemet kan også bidra til at opptøyer og forsøk på å splitte landet blir unngått eller stoppet allerede i startfasen.

Innføring og utstrakt bruk av kunstig intelligens (KI) – Artificial Intelligence (AI) – medfører utfordringer, også her i Norge. Det må tenkes på informasjonssikkerheten, hvor man blant annet må unngå at systemene lett lar seg påvirke eller bli hacket. KI-etikk og gode KI-strategier blir sentralt. Hvis ting ikke blir bra gjennomtenkt og regulert kan man få uønskede situasjoner med ikke-ønskede beslutninger. Fordommer, diskriminering og partisk beslutningstaking kan lett bli automatisert inn i slike systemer, hvor systemene bidrar til og kan forsterke samfunnets svakeste sider.

Innimellom gjør EU noe bra! For tiden (medio 2022) jobbes det innenfor EU-systemet med å komme med reguleringer og regler relatert til bruken av kunstig intelligens (KI). Det er veldig fornuftig at det kommer noen felleseuropeiske regler på området, for å unngå at KI blir misbrukt.

Chip under huden

Noe “helt nytt” er chip under huden, i hånden. Det blir visstnok mer og mer utbredt med mikrochipper som plasseres under huden i hånden, og spesielt i Sverige har dette “tatt av”. Tilbud om chip under huden blir gjerne gitt av arbeidsgiver, og denne kan i første omgang benyttes blant annet som adgangskort, utskrift og betaling av mat i kantina. Flere bruksområder kommer nok etter hvert.

Verken Datatilsynet, LO eller NHO ser på dette som helt uproblematisk. Slike chipper reiser en hel rekke spørsmål rundt sikkerhet (fare for hacking etc.), personvern, overvåkning, lovlighet og om de bli innført under kollektivt press. (Enkelte blander også noe Bibelsk inn i saken, noe jeg skal la ligge i denne omgang.) Det kan nok være lurt å tenke seg om både to og tre ganger før man aksepterer en slikt inngrep med innplanting av en chip i kroppen.

Arbeidsgiver

En trussel mot informasjonssikkerheten og ikke minst personvernet kan være arbeidsgiveren. Ifølge undersøkelser er det mange næringslivstopper og ledere – 1 av 5 – som leser de ansattes sin epost, selv om dette ikke lovlig uten at en saklig grunn for kontrolltiltak foreligger. Arbeidsgiver sniker, og de stoler ikke på sine ansatte.

Det har også vært diverse saker hvor arbeidsgivere har overvåket de ansatte med ulovlige kameraløsninger, lydopptak osv.

Mennesket

Mennesket i seg selv som benytter seg av IKT-utstyr – privat eller i jobbsammenheng – kan utgjøre en stor trussel mot informasjonssikkerheten. Enkelte kan ubevisst eller bevisst prøve å omgå systemer og sikkerhet, alt for å gjøre tingene litt enklere for seg selv. Beklageligvis kan “tunge” sikkerhetstiltak gå på kompromiss med brukervennligheten / brukeropplevelsen, fleksibiliteten og tilgjengeliggjøringen.

Noen flere konkrete trusler

“Olga-svindel”

Metoden kalles for “Olga-svindel”, da de potensielle ofrene gjerne er eldre kvinner med “gammeldagse” navn (gammeldame-navn). De eldre personene blir kontaktet pr. telefon av svindlerne som utgir seg for å f. eks. representere en seriøs bank eller tilsvarende finansfirma. Ofrene får beskjed om at deres lån er klart for utbetaling, hvor de potensielle ofrene ikke kjenner til eller har søkt om noe lån.

Svindlerne tilbyr å “hjelpe til” med å få stoppet utbetalingen av lånet / kansellere lånet, og de setter gjerne telefonsamtale over til “banken”. De blir i virkeligheten satt over til en annen svindler, som prøver å få fatt i sensitiv informasjon fra offeret, f. eks. BankID-opplysninger (innlogging). Hvis svindlerne sine bakmenn har virket overtalende nok til at de har klart å skaffe seg nødvendig informasjon er neste steg: Tømme vedkommende offer sin bankkonto for penger.

Kriser og utnyttelse av kriser

Dette har vi fått sett under korona-pandemien, hvor det gjøres forsøk på sosial manipulering hvor det spilles på redselen / frykten folk har for å bli syke / rammet. Svindlerne ringer sine ofre pr. telefon, og får dem til å “bestille” korona-tester, ikke-eksisterende tjenester, vaksiner, aksjer i vaksinefirmaer osv. Ofte blir de oppringte lurt til å gi fra seg personopplysninger, f. eks. BankID-opplysninger for innlogging. Resultatet er at man blir tappet for penger fra sin bankkonto.

År 2021 har vist oss hvor sårbare vi er, også på IKT-området. Koronapandemien, chip-mangel, logistikk-/transportproblemer, kontainer-skip på tvers av Suez-kanalen osv. har gitt mange utfordringer for verdikjedene, IKT-leveransene (primært av maskinvare) og IKT-tjenestene. Og i tillegg har man alle dem som har blitt rammet av hacking og tilsvarende dataangrep.

Cyberkrig

Den moderne form for fjernkrigføring er cyberkrig, jf. Russland sine handlinger relatert til deres okkupasjon av deler av Ukraina år 2022. Informasjonskrig, cyberangrep og cyberkrig benyttes mer og mer strategisk av enkelte stormakter (blant annet Russland og Kina). Konvensjonell krigføring består, men ofte kan dataangrep av ulike former og formater være nesten så virkefullt for å lamme og påvirke et annet land / nasjon.

Digitalisering og den digitale transformasjonen

IKT og digitalisering kan være nyttige hjelpemidler for å rasjonalisere, effektivisere og for å kunne tilby bedre tjenester. Imidlertid har digitaliseringen til tider funnet sted i et svært høyt tempo, noe som igjen har medført at vurderinger knyttet opp mot informasjonssikkerhet, digital sikkerhet og personvern har kommet litt i bakleksa. Å få innført nye og brukervennlige digitale løsninger som løser diverse problemer og behov har vært viktigere enn sikkerheten. For å opprettholde høy tillit til bruken av IKT-løsninger er det svært viktig at slike sikkerhetsaspekter kommer mer på dagsordenen. Utenom selve bevisstgjøringen må nødvendige tiltak iverksettes for å trygge / sikre alle dataene og informasjonen IKT-systemene behandler. Muligens må det til et større nasjonalt løft til på området, og alle nordmenns bevissthetsnivå overfor trusler og utfordringer på det digitale området må bedres.

Avslutning

I dagens teknologiske og digitaliserte virkelighet er informasjonssikkerhet et sentralt tema. Vår avhengighet av IKT gjør oss digitalt sårbare. Økt fokus og bevissthet rundt informasjonssikkerhet blir sentralt i fortsettelsen for forhåpentligvis å unngå de verste sikkerhetsbruddene.

Datakriminelle tar ikke ferie, og de vil hele tiden kjøre på med sine forsøk på angrep. Det blir en langvarig kamp eller krig mellom “oss” og “dem”. Tiltak må igangsettes for å beskytte informasjonen vi besitter på en god måte. Beklageligvis vil det aldri la seg gjøre å beskytte informasjonen 100 %, og noen datainnbrudd og informasjon på avveie må vi nok bare lære oss å leve med.

Lenker

Eksterne:

• Wikipedia: Datasikkerhet (og informasjonssikkerhet)
• Store Norske Leksikon: Informasjonssikkerhet
• NorSIS (Norsk senter for informasjonssikring)
• Nasjonal sikkerhetsmyndighet (NSM)
• Politiets sikkerhetstjeneste (PST)
• blogg.brr.no: Det gode mennesket, finnes det?
• EOS-utvalget (Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste)
• Senter for cyber- og informasjonssikkerhet/Centre for Cyber and Information Security (NTNU CCIS)
• Computerworld kommentar: -Tingenes internett er et mareritt (Jan Birkeland)
• Telenor bedrift: Ikke glem sikkerheten på tingenes internett
• Digi debatt: Manglende åpenhet om uønskede digitale hendelser har ført oss inn i en ond sirkel (Roar Thon, NSM)
• Digi.no: PST, Säpo og SUPO sier kybertruslene øker raskere enn forsvaret: – Vi er sårbare
• TV 2: William sendte svindelmail til flere tusen venner – uten at han visste det selv (nettsvindel rammer stadig flere)
• Digi.no: Overvåking av datatrafikk: Ny e-lov foreslår å gi e-tjenesten mulighet til å tappe signaler direkte fra norske nettilbydere
• Digi.no: Paris-erklæring: 50 land enige om å bekjempe datakrim. USA, Russland og Kina sa nei takk
• Digi.no: Kyber-sabotasje – Det er bare et spørsmål om tid før hackere kan ødelegge hele nasjoner
• NRK nyheter: PST advarer: – Vær oppmerksom på Huawei – peker på Kina og Russland som cybertrusler
• E24: PST: – Problematisk om Huawei får bygge ut 5G-nett i Norge
• DinSide (NTB): Huawei og 5G – Sikkerhetseksperter mener USA overdriver Huawei-trusselen
• NRK: Kinesiske Huawei taper ansikt i mobilskandale
• NRK Urix: Digitalt diktatur: Kina planlegger sosialt poengsystem (sosial kreditt) – Går du på rødt lys, blir du uthengt på storskjerm
• DinSide: Sikkerhet på Internett – Nordmenn er elendige på passord – Får stryk i sikkerhetsundersøkelse
• Digi: Undersøkelse: Hver fjerde norske bedrift gjør ingenting for å beskytte seg mot IT-angrep
• Digi: Kina hacket Visma for å stjele kunde­hemmeligheter
• ABC Nyheter: Teknologi – Tenk deg om to og tre ganger før du takker ja til mikrochip i hånden
• MSN økonomi: Mathias (26) ble utsatt for ID-tyveri: Tok opp 1,2 mill. i forbrukslån på én uke
• NRK: E-tjenesten: Trusselen er størst fra Russland og Kina
• TV 2: Ambulansefly kunne ikke lande etter GPS-utfall
• Digi.no: E-sjefen: – Det blir fest i Russland og Kina hvis Norge dropper datalagring
• Digi.no: – IT-sikkerhet er fortsatt et felles ansvar
• Digi.no: Sikkerhet i nettskyen – Mange tror leverandøren har hele ansvaret når det går galt. Det får ekspert til å rope varsko
• Digi.no (Christian Frøystad, SINTEF): Personsikkerhet og personvern er ikke det samme (om ny e-tjenestelov, personvern, personsikkerhet, justisminister Tor Mikkel Wara og digitalt forsvar/grenseforsvar)
• Digi.no: Med smarthuset vidåpent på nett – Mange glemmer tilsynelatende alt om IT-sikkerhet når de får seg nye leketøy (OpenHab)
• Digi.no: Tingenes internett: – Noen enheter er så usikre at det ikke kan skyldes en feil – Sikkerhetstest av utbredte IoT-produkter avslører skremmende mangler
• IKT og skole: Sikkerhet er en tungvint ting
• NRK kronikk (Marte Eidsand Kjørven): Digitaliseringens pris (om misbruk av BankID)
• Nettavisen: Skatteetaten advarer: – Ikke la deg lure! (Din identitet på nett er gull verdt, ikke la deg lure av falske meldinger i forbindelse med at skattemeldingen blir gjort tilgjengelig.)
• One Voice AS (programvareløsninger innen beredskap og krisehåndtering): “Kompleksitet er den største sårbarheten i det norske digitale samfunnet i dag”
• Digi: Her er Check Points 10 sikkerhetsvettregler for påsketuren
• Nettavisen Nyheter: Hacking – Obamas IT-ekspert: Faren for dataangrep i Norge har aldri vært større
• TV 2: Den digitale trusselen – den største utfordringen mot Norge
• Telenor: Digital Sikkerhet 2020 | De lange linjene (rapport). Stikkord: Behovet for et sikkerhetssamarbeid på tvers av sektorer, manglende totalberedskap (samordning).
• P4: Norge mest utsatt for hacking
• P4 nyheter: Unge deler passord med andre
• NorSIS: Høringsuttalelse om nye læreplaner grunnopplæring (digital sikkerhetskultur og informasjonssikkerhet bør få en tydelig plass i flere fag og på flere alderstrinn)
• NRK Sogn og Fjordane: 200 personar er råka av nettsvindel (nettbankkundar, BankID)
• TV 2: Slår alarm om svindlere: Først tømte svindlerne kontoen – så lånte de en halv million kroner som Kjell (75) må betale tilbake (nettbanksvindlere / misbruk via BankID)
• Nettavisen Nyheter: Internett: Passordene til norske statsråder og forsvarstopper er tilgjengelig på nett | Over 600.000 norske passord er eksponert på internett
• Computerworld: Hundretusener av nordmenns passord lekket på nett | Over 600.000 passord gjort tilgjengelig på internett
• Digi: IOCTA-rapport | Europol: – Dette er de største truslene på nett
• NRK Hordaland: El-butikkens råd: – Aldri legg fra deg pc-en på åpne mottak
• Digi.no: Undersøkelse: Et paradoks at mange unge har dårlig IT-sikkerhetspraksis | Fart, fleksibilitet og produktivitet trumfer det meste
• Dinside: Oppdatert legitimasjon (re-legitimering)| Finanstilsynet: – Bankene bør ikke bruke slike løsninger | Det er ikke bra at bankene ber om legitimasjon og personopplysninger på samme måte som svindlere
• NorSIS: NorSIS’ årlige sikkerhetskulturrapport 2019
• Digi.no: Cyberangrep | Flere store teknologiselskaper i Europa alvorlig rammet av cyberangrep (Sannsynligvis kryptovirus i alle de tre tilfellene)
• Digi.no: Nordmenn verst i Norden til å blindt akseptere brukervilkår | I Norge aksepterer vi brukervilkår og deler persondata til nordisk gullmedalje
• Dagbladet meninger: Forslag til ny lov om Etterretningstjenesten: Den siste skansen
• Danske Bank: Kripos svarer | Slik kan du unngå å bli svindlet på nett
• Digi.no: – Vær ekstra forsiktig med PDF-filer | Palo Alto Networks har registrert en tidobling i bruken av PDF-dokumenter for å lure folk til å klikke på skadelige lenker.
• Digi.no: Nettleserleverandører sier “Floc off” til Googles alternativ til sporingscookier | Mener Federated Learning Cohorts (Floc) er enda verre enn tredjepartscookies.
• Digi.no: Google kommer med nytt alternativ til tredjeparts-cookies | Etter massiv kritikk av forrige forsøk, og midt i debatten om Google Analytics, gjør Google et nytt forsøk på å løse informasjonskapsel-floka.
• Digi.no: NSM etterlyser bedre kontroll av datasentre | Helseopplysninger eller bankinformasjon kan komme på avveie hvis ikke datasentre i Norge blir bedre kontrollert, frykter Nasjonal sikkerhetsmyndighet (NSM)
• Digi.no: Medier: Hemmelig gruppe hevder å ha påvirket valg på fire kontinenter | En hemmelig israelsk gruppe tilbyr å manipulere valg over hele verden med hacking og falske kontoer i sosiale medier, ifølge en rekke kjente medier.
• ABC Nyheter: Svindlene å se opp for i 2024 | Dette er svindelmetodene som blir mest brukt i år, tror ekspertene.

Et lite opphold, før lenkene fortsetter:

• TV 2: Urovekkende tall i svindel-undersøkelse: – Kriminelle har blitt utrolig dyktige
• Digi.no: Ferske tall fra Medietilsynet: — Mange nordmenn vet ikke hvem som har tilgang til det de legger ut (opphavsrett og bildedeling på Facebook, tilganger osv.)
• M24 debatt (Svein Vathne): NTB Scanpix er i ferd med å starte en “War on Memes” (om bildebruk og opphavsrett + firmaet Copyright Agent)
• Dagbladet Meninger (John Olav Egeland): Datakjempene stjeler våre liv (Google, Microsoft, Facebook, Apple osv.)
• DSB: Nordmenn mest bekymret for cyberangrep (ifølge Befolkningsundersøkelsen 2020)
• Dinside: Advarer mot 5G (Ifølge PST: Antall oppkoblede enheter øker faren for nettangrep)
• Dinside: Slik blir du lurt i 2020 (svindelmetodene som ekspertene tror vil dominere)
• Digi.no: Sikkerhetsekspert: – IoT er som asbest. Om 20 år vil folk lure på hva vi drev med
• TV 2: Bedriften slo på dataskjermen – der sto en skremmende beskjed (om løsepengevirus)
• Nettavisen Økonomi: Finn.no slår svindel-alarm: Ber deg la være å betale
• TV 2: Microsoft advarer | Slik opererer de kriminelle
• TV 2: Krisesituasjon og falske nyheter | Sikkerhetsdirektør bekymret: – I verste fall kan liv gå tapt
• P 4 Nyheter: Etterlyser app-forbud: – På vei mot et overvåkingssamfunn (Ifølge Teknologirådet, gjelder primært teknologien for ansiktsgjenkjenning)
• NRK Satiriks: Sønn hjem til Bergen for å fikse kommunens IT-system
• DinSide Data: NorSIS advarer: Hjemmekontor sårbare for angrep
• Nettavisen Økonomi: Telenor melder om rekordhøy svindeltrafikk: – Vi er alle i en sårbar situasjon
• Nettvett.no: De ti største digital truslene: Slik beskytter du deg (mars 2020)
• Nettvett.no: Vanlige typer svindel i omløp (oppdatert april 2020)
• Dagbladet: EOS-utvalget med PST-kritikk – Gufs fra fortida | Politikere ble registrert av PST for å være med i vennskapsgruppe
• Computerworld: Ny rapport: Dramatisk økning i angrep mot finansinstitusjoner | Løsepenge-angrep mot finanssektoren skal ha ni-doblet seg under koronakrisen
• NRK Innlandet: Lillian vart svindla for over 300.000 og synest banken har vore lite hjelpsame – må pantsette huset
• Nettavisen Økonomi: “Olga-svindel” | Telenor stopper 200.000 telefonsvindelforsøk daglig
• P 4 nyheter: UP advarer mot svindel (fartsbøter angivelig fra ATK-senteret, falske)
• rbnett.no: Politiet advarer mot ny svindelmetode: ATK-senteret (Automatisk trafikkontroll) på Hustad brukt i ny svindelmetode
• NRK Innlandet: Bankenes svindelkamp: – Blir aldri flinke nok til å verne oss mot kjeltringer (Norske banker har en veldig krevende oppgave med å forhindre svindel. Bare DNBs kunder ble forsøkt svindlet for 1,2 milliarder kroner i 2019.)
• Dinside: Passordsikkerhet – Svindlerne ler av oss | Undersøkelse viser at langt over halvparten av oss har samme passord flere steder
• NRK Urix korrespondentbrev (Anders Magnus): TikTok – så kan du være i lomma på en fremmed makt
• Digi.no: NorSIS ber nordmenn droppe 1234 som passord | Stadig flere passord kommer på avveie.
• NRK: Advarer mot en ny type koronasvindel | Svindlere utnytter koronafrykten i landet, og prøver å få nordmenn til å oppgi personopplysninger.
• Personvernbloggen Datatilsynet (Andreas Jensen Gjellesvik): Koronasvindlerne
• NRK Oslo og Viken: Stor eldresvindelring rullet opp i Fredrikstad | Fra dette hotellrommet i Oslo skal mennene ha svindlet eldre kvinner for 13 millioner (“Olga-svindel”)
• Digi.no debatt (Kai Roer): – Offentlige virksomheter må skjerpe sikkerhetskulturen
• Dinside data: Over 200 000 fralurt passord | NorSIS har et klart passordråd til nordmenn
• NRK: DN: Stortinget frykter utpressing etter datainnbrudd
• Dagsavisen (NTB): Hjemmekontor øker risikoen for svindel – 300.000 nordmenn svindlet på ett år
• NRK: NSM åtvarar om utanlandske skytenester: Vil sikre nasjonal kontroll
• TV 2 Nyheter: Derfor legges du til av ukjente kontoer i sosiale medier
• TV 2 Underholdning (God kveld Norge): Misbrukt i Facebook-svindel: – Måtte de brenne i helvete! | Flere kjendiser har opplevd at falske kontoer har blitt opprettet i deres navn på sosiale medier for å svindle venner og følgere
• Digi.no: E-loven og innsamling i bulk | EU-dom slår fast at masseovervåkning er ulovlig: – Den nye loven Stortinget vedtok må skrotes før den trer i kraft – Regjeringen må stanse innføringen, sier Datatilsynet.
• Digi.no: Regjeringen utsetter E-lovens tilrettelagte innhenting | utsettes etter at EU-domstolen fastslo at masseovervåkning er ulovlig.
• NRK: Telenor utsett for stort dataåtak: Forsøkt pressa for millionsum
• Digi.no: Sikkerhetsselskap: – Mer enn halvparten av bedrifter har over to år gamle sårbarheter som ennå ikke er fikset | Bitdefender har lagt frem ny rapport.
• Digi.no: Ny rapport: Myter og misoppfatninger bidrar til for få kvinner i IKT-sikkerhet
• Computerworld Norge: Arbeidstakere varsler ikke når de gjør feil på nett | – Må fjerne skamfølelsen, sier NorSIS.
• Digi.no: Virusangrepet (utpressingsvirus) mot IT-giganten Sopra Steria kostet en halv milliard kroner
• TV 2: Teknologieksperten gikk i nettsvindlernes felle – slik unngår du å bli lurt
• Digi.no: Kraftig økning i investeringssvindel (kryptovaluta, eiendom og fondsplasseringer)
• Digi.no: Posten forventer historiske pakkemengder, og advarer mot utspekulerte svindlere (Posten-phishing)
• Digi.no: NorSIS advarer mot vaksinesvindel
• ITavisen: Stor-selskap går sammen mot kidnappingsvare: dette er “The Ransomware Task Force” (RTF)
• Digi.no: Sikkerhetsgiganter slår seg sammen: Vil få has på utpressingsvirus | Microsoft, McAfee og en rekke andre danner Ransomware Task Force.
• Digi.no: Sunburst kategori 3 | Cyberangrep mot Solarwinds Orion hos Danmarks største avfallsselskap | Flere norske kunder av Solarwinds har også vært synlige i søkemotoren Shodan
• Digi.no: Advarer om destruktivt angrep mot kommune (Østre Toten kommune): Alt innhold skal være kryptert, og alle sikkerhetskopier sletta – Angriperne har fått tak i alle våre data, og vi er svært bekymra.
• NRK Innlandet: Sensitiv pasientinformasjon kan være på avveie etter dataangrep | Datasystemet til Østre Toten kommune er angrepet og gjort utilgjengelig for alle ansatte. – Personnummer og helsedata kan være på avveie
• NSM (Nasjonal sikkerhetsmyndighet): Varsel om løsepengevirus
• Digi.no: NSM advarer kommuner og offentlig sektor om løsepengevirus
• TV 2 Nyheter: Hvis Ingrid (25) fra Danske Bank ringer deg, kan du ha gått i fella | Ifølge svindeljeger Ingrid Grav er det særlig tre svindelmetoder (phishing-e-poster, investeringsvindel inkludert Bitcoin og kjærlighetssvindel) du bør passe deg for i 2021.
• Dinside: “Wangiri”-svindel: Dette skjer hvis du svarer eller ringer opp igjen | Norsis melder at det har oppstått et par nye bølger av telefonsvindel hvor du får en kort oppringning fra et utenlandsk nummer.
• TV 2 Nyheter: Utfører dataangrep og krever løsepenger: – Sykehus er populære mål | Skoler, helsevesen og virksomheter knyttet til bekjempelse av covid-19 regnes som enkle mål for dataangrep.
• TV 2 Nyheter: ID-tyveri | Over 100.000 rammet de siste årene: – Risikerer økonomisk tap
• NRK Innlandet: Første dom i sak om Olga-svindel: Banken vant
• Digi.no: Datainnbrudd | Stortinget rammet av Exchange-angrep | Kan få alvorlige konsekvenser for demokratiske prosesser, sier stortingspresidenten.
• TV 2 Nyheter: Dataangrepet mot Stortinget | IT-ekspert etter dataangrepet: – Tilliten til demokratiet kan ha blitt svekket
• Digi.no: IT-sikkerhet | Mangelfull datasikkerhet i to av fem kommuner
• Computerworld Norge: Enkelt å redusere risikoen for de viktigste it-sikkerhetstruslene | Ny Norsis-rapport (mars 2021).
• NorSIS: Ny NorSIS-trusselrapport: Her er de viktigste digitale truslene i 2021 og slik beskytter du deg
• Digi.no: Bare 92 prosent har sikret Exchange mot ProxyLogon-angrepene
• Digi.no: Eksplosiv vekst i skadevare til Mac: Har økt med 1000 prosent | Men det er ennå langt igjen til Windows-plattformen.
• Digi.no: IT-sikkerhet i norske bedrifter | NorSIS: Mange vet ikke engang om de har totrinnspålogging til jobbens IT-systemer
• Digi.no: IT-kriminalitet | Rapport: 2020 var et ekstremår for datainnbrudd
• TV 2 Nyheter: Stoppet svindelforsøk for 700 millioner kroner | Lav rente gjorde at mange nordmenn i koronaåret 2020 ble fristet til å satse pengene på falske sparetilbud og “lukrative investeringer”.
• TV 2 Nyheter: Svindeljeger: – Disse metodene bør alle ha lært å avsløre | Nordmenn utsettes stadig for svindelforsøk, og noen blir også lurt.
• Vårt Land kommentar (Berit Aalborg): Mer overvåkning er kanskje et nødvendig onde i naive Norge | I Norge er vi opptatt av personlig frihet. Men vi er også naive. Over tiår har vi derfor vært utsatt for påvirkning utenfra. Det er på tide at vi tar denne trusselen på alvor – også i lovverket.
• Digi.no: Phishing | Norsis advarer mot nye svindelforsøk via Dropbox
• Digi.no: Massiv lekkasje: – Data fra nesten alle Linkedin-brukere er til salgs på nettet | Over 700 millioner brukere skal være rammet.
• Nettavisen Økonomi: Voldsom vekst i svindelforsøk: Her er åtte svindelknep du må være obs på (digital svindel)
• NRK Rogaland: Skolekorps svindlet for alle dugnadspengene: – Jeg ble kvalm (direktør- og fakturabedrageri)
• Nettavisen Nyheter: Ekspert slår alarm om ny svindeltrend: – Umulig å sikre seg mot det (“spoofing” og “swatting”)
• Digi.no: Løsepenge-utbetalingene etter digital utpressing når nye høyder | Gjennomsnittlig betaler ofrene nesten dobbelt så mye som i fjor.
• Digi.no: Norge rammet av Android-skadevare som sprer seg via SMS-meldinger og falske apper | Flubot ligger på toppen av Check Points skadevareliste i Norge.
• NRK Innlandet: Politiet advarer mot falske konkurranser i sosiale medier | Flere hundre trodde de hadde vunnet en støvsuger til 5000 kroner, men Facebook-siden viste seg å være falsk. Nå ber politiet folk være varsomme.
• TV 2 Nyheter: Lures for flere hundre tusen kroner – så ringer svindlerne igjen | Med utspekulerte metoder klarer svindlere å lure de samme ofrene flere ganger.
• Digi.no: Cyberkriminelle følger pengene: Vekst i ulovlig kryptoutvinning
• Dinside: Svindel på Facebook | Frykter starten på ny svindelbølge
• TV 2 Nyheter: Raymond måtte stoppe sendingene da hackere slo til mot nærradioen | Nettkriminaliteten har økt med 72 prosent i Norge sammenlignet med samme tid i fjor
• Digi.no: Østre Toten kommune | Kommunen får millionbot (4 millioner, ilagt av Datatilsynet) etter dataangrepet som allerede har kostet dem 32 millioner
• Nettavisen Økonomi: Rekordmange blir forsøkt svindlet: – Målrettet mot enkeltpersoner | På én dag i oktober 2021 var det nesten like mange som ble forsøkt svindlet som totalt antall registrerte saker i hele 2020.
• Digi.no: 2FA | Hackere bruker bot-er til å stjele koder til totrinnsverifisering | Ny, skummel trend på gang.
• Nettavisen Økonomi: Advarer mot svindelmetodene som florerer nå: – Skaper falsk trygghet | Svindlerne blir smartere og smartere
• Digi.no: Telenor advarer mot massivt svindelforsøk på SMS | Ressurssterke utenlandske kriminelle står trolig bak det Telenor betegner som et massivt angrep mot norske mobilabonnenter ved hjelp av falske tekstmeldinger.
• TV 2 nyheter: Gigantangrep mot norske telefonabonnenter | Ressurssterke utenlandske kriminelle står trolig bak det Telenor betegner som et massivt angrep som pågår akkurat nå (24.11.2021).
• NRK: Flere tusen virksomheter rammet av alvorlig sikkerhetshull | Brønnøysundregistrene er en av svært mange virksomheter som er rammet av et alvorlig sikkerhetshull i et dataverktøy for logging (Apache Log4j og Java).
• Digi.no: Hackingen av Nordic Choice: Kundeinformasjon kan være på avveie
• NRK: Nordic Choice-angrepet: Hackere har lekket informasjon om ansatte
• Digi: Amedia utsatt for alvorlig dataangrep | Natt til tirsdag (28. desember 2021) ble flere av Amedias sentrale datasystemer satt ut av drift. Ingen papiraviser blir publisert onsdag.
• Digi.no: Nordic Choice | Hotellgiganten utsatt for verdikjedeangrep: – Skadevaren er ikke bygd for å rulles tilbake | Det er nesten umulig å beskytte seg mot sånne angrep, mener teknologidirektør Kari Anna Fiskvik.
• NRK Nordland: Nordic Choice: Oppdaget at mystisk fil var sendt til hackerne | Her krever kriminelle 44 millioner etter alvorlig dataangrep mot hotellkjede
• CW Norge: Norsis-direktør: Kritikken mot Amedia er fullstendig feilslått (“victim blaming” etter dataangrepet)
• Digi.no: Hackere fikk enkelt tilgang til over én million brukerkontoer takket være en svært utbredt passord(u)vane (gjenbruk av passord som tidligere har blitt stjålet)
• ABC Nyheter: Støre slår cyberalarm: – Vi må være mer våkne | Statsminister Jonas Gahr Støre (Ap) mener Norge har et stort forbedringspotensial når det gjelder datasikkerhet.
• Digi.no: NSM: – Norge må ha kontroll på våre viktigste, kommersielle datasentre | Det digitale rom får mye oppmerksomhet i de hemmelige tjenestenes åpne trusselvurderinger.
• Nettavisen Nyheter: Trusselvurderinger: PST advarer mot ny ideologisk miks | Ser forverring i dataangrep og politiker-trusler og peker på trusselen fra personer som radikaliseres av konspirasjonsteorier.
• VG.no: Enormt omfang av mobilsvindel: − Gir en digital angst | Telenor omtaler det som et gigantisk problem og etterlyser nå at svindel og nettkriminalitet håndteres som et samfunnsproblem.
• Regjeringen.no: Råder kommunene til å se på it-sikkerhetstiltak | Russlands invasjon av Ukraina har økt usikkerheten rundt trusselnivået i det digitale rom
• Digi.no: Nordmenn får tømt bankkontoen i bank-ID-svindel | – Det er ikke lenger slik at det er eldre og personer med dårlige IKT-kunnskaper som bedras, det er deg og meg
• Persondata inkludert personnummer til 3,3 millioner nordmenn kan være på avveie, ID-tyverier neste!: Digi.no: Dataangrep mot Norkart | Persondata på avveie.
• Digi.no: Regner med russiske cyberangrep mot Vesten: – Vi bør være urolige | Russiske hackere vil slå tilbake mot Vesten, og Sveriges tilnærmelser overfor Nato gjør landet utsatt.
• Digi.no: Sikkerhetsarkitekt: – Alt er bare dritt (masse dataangrep, stadig mer sofistikert angrep, mer penger involvert, cyberpandemi)
• Digi.no: Sikkerhetssjef i Google Cloud mener skytjenester fører til høyere sikkerhet | Overgang til skytjenester kan gjøre det lettere å bli kvitt sikkerhetsproblemer i gammel programvare.
• Dinside: Telenor svindel | Svindel: – Bedre og bedre | Du gjør jobben for de kriminelle med denne svindelmetoden.
• Digi.no: Datatilsynet om ny EU-dom mot masseinnsamling av data: – E-tjenestens planer tilfredsstiller ikke kravene
• NorSIS (Norsk senter for informasjonssikring): Nasjonal sikkerhetsmåned 2022 (oktober hvert år)
• NITO: Unge er dårligst på IKT-sikkerhet
• E24: Datainnbrudd hos Domeneshop: 300.000 passord på avveie | Domeneshop melder om et datainnbrudd, hvor passord er på avveie.
• Digi.no: Domeneshop “snakker ut” om hackerangrepet og hvorfor de selv brukte toveis kryptering av passord | – Det er klart vi tar selvkritikk for det som har skjedd.
• Nettavisen Nyheter: Norge på telefonsvindeltoppen i Norden | Nordmenn er fortsatt det heteste målet i Norden for telefonsvindlere. Det viser tall fra Telia.
• DinSide Økonomi: Ny svindel | Norske selskaper utnyttes av folk med ondsinnede hensikter (Falske “konkurranser” og “fansider” for Rema 1000 m/flere)
• DinSide Økonomi: Advarer: – Vær kritisk | Nå blir det sendt ut en e-post hvor avsender utgir seg for å være Bank Norwegian. – Svindlerne blir stadig mer avanserte, skriver Håkon Hovde i Bank Norwegian.
• Digi.no: Nito: – Unge er dårligst på IKT-sikkerhet | Folk mellom 15 og 29 år følger i liten grad ekspertenes råd om datasikkerhet, ifølge en undersøkelse.
• Digi.no: Norske virksomheter må ha høyere beredskap, viser en fersk rapport (Risiko 2023) fra NSM | Nasjonal sikkerhetsmyndighet (NSM) mener norske virksomheter må bli flinkere til å beskytte seg mot spionasje, sabotasje, terror og andre trusler.
• TV 2 Nyheter: Tidligere spionsjef: Mener Norge er sårbare: – Alle vil bli truffet | NORSKE TILSTANDER: Vår gjennomdigitaliserte infrastruktur kan gjøre det enkelt å slå ut sentrale tjenester, sier tidligere etterretningsoffiser.
• Digi.no: Datatilsynet har konkludert: Bruk av Google Analytics er i strid med GDPR
• Digi.no: Datatilsynet om Google Analytics: – Hodepinen er løst | Nye regler for overføring av personopplysninger til fra Europa til USA gjør det igjen lovlig å bruke Google Analytics.
• Digi.no: Stortinget sier ja til masseovervåking i regi av PST | Med støtte fra Høyre får regjeringen flertall for forslaget om å gi PST mulighet til å overvåke, lagre og analysere alt som skjer på det åpne internettet i Norge.
• TV 2 Nyheter: Advarer mot nye svindelgrep: – Det vil føles helt naturlig å kjøpe det | Stadig bedre kunstig intelligens gjør de kriminelle smartere. Har du tenkt på at du kan bli manipulert?
• Digi.no: Kvinner blir frastjålet ansikt og kropp til syntetisk porno (deepfake pornografi)
• E24 (NTB): Norges Bank: Betalingssystemet må bli bedre rustet mot cyberangrep | Motstandskraften mot cyberangrep må økes, slår Norges Bank fast i sin rapport om finansiell infrastruktur og betalingssystemer i Norge.
• Digi.no: Flertall på Stortinget: E-tjenesten kan starte masseovervåking i Norge | Et flertall på Stortinget sikrer at den militære E-tjenesten kan starte det som kalles tilrettelagt innhenting av datakommunikasjon.
• Digi.no: Tusenvis av angripere hacket maskinen uten å vite at det var en felle | Noen av angriperne var så inkompetente at de ikke engang klarte å finne porno på internett.
• Digi.no: Stor økning mot norske mål: Gammelt dribletriks (infisert minnepenn) blir stadig mer utbredt | Angrep mot norske, digitale mål har økt med 14 prosent i andre kvartal. 2023 har dermed stø kurs mot å bli et toppår for cyberangrep.
• TV 2 Nyheter: Klar ferieadvarsel: – Kan ramme alle | Datakriminelle vet å utnytte nordmenn på høstferie. Sikkerhetsekspert advarer mot svært dramatiske følger.
• Børsen: NSM slår alarm: – Det haster | Trusselen i cyberdomenet er noe hele samfunnet må forholde seg til, viser ny rapport.
• Digi.no: Cyberkrim: Kripos: – Vi ser en økning i datakriminalitet med krav om løsepenger | Økningen norsk politi har sett, støttes av to internasjonale rapporter som begge viser at det er mer bruk av løsepengevirus.
• ABC nyheter: Ny EU-lov om kunstig intelligens – forbyr masseovervåking

Av kommunal interesse:

• Digi Vestland: Faggruppe for informasjonstryggleik og personvern
• KiNS
• KS: Informasjonssikkerhet og personvern
• Normen – ehelse – Direktoratet for e-helse
• Datatilsynet
• Digi.no: Undersøkelse blant kommuner: Én av tre har blitt utsatt for dataangrep | Én av tre kommuner oppgir i en fersk undersøkelse at de har blitt utsatt for dataangrep. Mange er mer bekymret for sikkerheten nå enn før.

Stor redsel mot teknologi fra Kina, inkludert for Hikvision kameraer som min arbeidsgiver (Kinn kommune) benytter seg av:

• NRK Vestland: Sjekk din kommune: 129 stader i Noreg har overvakingskamera frå omstridde kinesiske selskap | Nasjonal tryggingsstyresmakt (NSM) åtvarar om moglege “skjulte bakdører” i kamerautstyr som kjem frå Kina. Likevel finst det i skular, omsorgsbustader, ein kommunestyresal og ein flyplass.

År 2021:

• Digi.no: Lei årskavalkade: 38 kjente dataangrep rammet norske virksomheter i 2021 | Løsepengevirusene dominerer i Digi.nos gjennomgang av dataangrepene mot norske virksomheter i fjor.
• Digi.no: Norske IT-angrep i 2021: Året endte med en bølge av løsepengevirus | Nasjonal sikkerhetsmyndighet advarte mot økning i dataangrep i forbindelse med julen. Det slo til så det sang.

Podkast:

• Darknet Diaries – True stories from the dark side of the Internet
• Spotify (HP Norge): Sikkerhetsbruddet

Interne (blogg.brr.no):

• Rutere og datasikkerhet privat
• Personvern, informasjonssikkerhet, internkontroll (bedrift)
• Personvern og datasikkerhet
• Nettvett og digital mobbing – barn og unge
• Updating is free of charge
• E-post fra Russland
• Morsomme og irriterende søppelpost
• Digitalisering av kommunal sektor
• Løsepengevirus
• Konspirasjonsteorier i kristen og verdslig regi

Rema 1000 “gnåler” i form av reklame på TV og mas i butikkene om at kundene må ta i bruk Æ. Æ er deres siste markedsføringsstunt.

Jeg er som forventet (?) svært skeptisk til nyskapningen. Rema gjør det neppe av veldedighet. Det er ganske sikkert i hovedsak kjeden og butikkene som tjener på opplegget, og ikke oss kunder og forbrukere. Kunder “bindes” og lokkes til å bruke deres butikker som sine prefererte butikker.

Det lokkes med 10 % lavere pris på fersk frukt og grønt samt samme rabatt på de 10 varene man personlig bruker mest penger på. Rabattene trekkes fra i kassa før betaling. I etterkant har de lagt noe om, men man blir lokket med muligheten for å spare penger og personlige priskutt.

Masse persondata og informasjon om den enkelte persons handlemønster lagres hos Rema. Denne informasjonen om den enkeltes kjøpsadferd er gull verdt for kjeden. Løsningen truer og krenker oss kunders personvern slik jeg ser det.

I tillegg inneholder dette innlegget en del mer generelle betraktninger om dagligvarebransjen i Norge, hvor vi har alt annet enn en fungerende konkurransesituasjon. Matvareprisene er kunstig høye samtidig med at dagligvarebaronene tjener seg søkkrike / steinrike. Kjedemakten er stor, og nå skal godt innarbeidede produkter bli presset ut av EMV-produkter (kjedenes egne merkevarer)!

Æ er ifølge dem selv:

“Æ er et personlig verktøy som hjelper deg å spare penger på det du handler mest. Med appen får du i tillegg full oversikt over handleturene dine og kan til enhver tid se hvor mye du har brukt og spart.”

En App kan lastes ned til iPhone og/eller Android mobiltelefon.

Jeg har for mange år siden sagt min ærlige mening om hva jeg synes om slike systemer. Jeg har faktisk en egen gammel nettside om saken som heter “NEI til bonuskort!”:

• https://www.brr.no/nei.html

 

Sukk! Falt i mange fristelser selv her i etterkant! Har ikke klart å styre klar fra kundeklubber og bonuskort, til tross for mine tidligere prinsipper om å være imot slikt. Teori og praksis henger ikke helt i hop beklageligvis.

Fra nevnte gamle nettside gjentar jeg følgende, med noen tilføyde parenteser for å få den opprinnelige teksten litt mer tilpasset til Æ-løsningen:

Om bonuskort, skrevet i den tiden kampene gikk mellom Domino (finnes ikke lenger) og Trumf:

Er vi som forbrukere tjent med disse kortene? NEI!

• Å administrere det kompliserte kortsystemet (eller App-løsningen) koster en del penger. Disse pengene tar butikkene igjen ved å plusse på prisene.
• Å gi ut “bonusgevinster” (eller rabatter) koster også penger. Butikkene driver ikke veldedighet! For å finansiere gildet må forbrukeren betale!
• Mye penger har gått med på å reklamere for kortene (samt for tjenesten Æ). Denne utgiftsposten må også kundene bekoste.
• Kortene (Æ-løsningen med sin App) binder oss til faste butikker. Dette er gunstig for butikkene men ikke for forbrukerne. Vi bør stå fritt til å velge den butikken vi selv vil handle i!
• Mange kunder velger å gå til anskaffelse av flere konkurrerende bonuskort (eller andre bonusordninger i form av App, betalingskort osv.). Kortselskapene oppnår dermed ikke den lojaliteten de er ute etter. For kundene betyr flere bonuskort forvirring angående hvilket kort som skal brukes i hvilken butikk, de økonomiske gevinstene for kundene blir små osv. Hvorfor skal vi rett og slett ha bonuskort som gjør vår hverdag mer komplisert?
• Kortene gjør forbrukerne mer opptatt med å samle poeng (rabatter) enn å se på prisene.
• Kortbruken gjør det også mulig for butikkene å registrere mye om den enkelte forbrukers adferd. Hva han / hun handler, når, i hvilke butikker etc. Heldigvis finnes det strenge regler for personvern og datasikkerhet her i landet, men gudene må vite om butikkene / kjedene som er knyttet opp mot Trumf / Domino (eller Æ til Rema 1000) følger disse reglene.

La oss få billigere varer uten bonuskort som kompliserer hverdagen!

 

Rema 1000 sin Æ-løsning er ny, men bygger jo i stor grad på de samme prinsippene omtalt ovenfor. Samme kritikk som tidligere tiders bonuskort kan rettes mot nykommeren Æ.

Bruken av Æ eller deltakelse i andre kundeprogrammer/kundeklubber har en del konsekvenser. Som det framgår av en Dinside-artikkel i lenkelista er det (minst) fire ting man må være klar over: 1) Alle kjøp lagres i detalj (hva, når, hvor), 2) innsamlet informasjon kan gis videre, 3) handlevanene til den enkelte studeres og 4) du har krav/muligheter på å få vite hva de vet om deg (personopplysninger og hvordan de behandles).

En helt annen ting med Rema 1000 som jeg heller ikke liker er deres begrensninger i sortiment. Enkelte kjente merkeprodukter finnes ikke og er erstattet av deres egne varianter eller andre billigmerker som slettes ikke er så gode som originalen.

Vi handler ganske mye på Rema 1000, selv om konseptet til kjeden slettes ikke appellerer til meg – lavpris lagerfølelse med dårlig utvalg. Der vi bor er nemlig ikke valgene så store. Det står i hovedsak mellom Rema 1000, Kiwi og lokalbutikken (Joker). Hvis flere valg hadde vært tilgjengelige i nærheten av bosted skulle jeg så gjerne ha handlet annet sted enn på Rema. Æ-tullet har ikke akkurat gjort meg mer positiv til kjeden.

Både Æ og Trumf tatt i bruk privat

Muligens er det ikke helt troverdig at jeg uttaler meg negativt mot slikt nå lenger. Flere ganger i de senere år har falt i fristelsen og blitt lokket inn i diverse kundeklubber. Pga. det lokkes med fristende rabatter havner man inn i “galskapen”.

Jeg (vi) har gått på en kjempestor smell her. Både Æ og Trumf har jeg (vi) tatt i bruk privat. Selv om jeg generelt sett er skeptisk til slike bonuskort, bonusprogrammer og lojalitetsprogrammer har begge disse nevnte løsningene likevel blitt naturlig del av hverdagslivet. Det er faktisk noen kroner å spare, så jeg måtte la prinsippene fare i jakten på økonomiske besparelser. (Nå er det kun kona som har Æ i fortsettelsen, da det tydeligvis ikke er mulig at vi begge deler konto så lenge som vi har hver vår Vipps. Æ oppleves av meg som en noe primitive løsning.)

Vi handler (normalt) mye dagligvarer både på Rema og Joker (lokalbutikken), og det er vel alt i alt greit å ta med seg de rabatter og tilbud man kan få. Fra tidligere tider har jeg (vi) også et Coop-kort, men dette blir lite brukt her vi nå bor (langt til nærmeste butikk). Bensinkort eller kundekort via Måløy Havneservice (MH24) har vi liggende i bilene våre. I tillegg har visstnok kona også noen medlemskap i kundeklubber til diverse butikker og kjeder (klesbutikker, interiør, hotellkjeder m. m.)

Ja, dette er litt dobbeltmoral og jeg taler til dels med to tunger. Fullt klar over dette! Fallet er stort, men jeg kan leve med det! Prinsipielt er jeg fortsatt skeptisk til programmene og kortene, men i praktisk livsførsel hvor man er litt økonomisk ansvarlig er det vanskelig å styre unna dem.

Våren 2022: Nå går det (nesten) over alle støvleskaft med alle de ulike kundeklubbene. Blir jo helst spammet ned med e-poster fra både det ene og det andre. Nesten uansett hva man skal handle blir man “påtvunget” et medlemskap i en kundeklubb, som er gratis. Ulempen med å akseptere medlemskapet og medfølgende rabatter er masse kjøpepress i etterkant!

 

Lavpris og lavpris. Reitan-familien, familien som står bak Reitangruppen som eier Rema-kjeden, har gjort gode penger på kolonialhandel / dagligvarehandel. Eierne tjener nok vel så mye på lavpris-konseptet til Rema som kundene sparer. Dagligvarehandel er “big business” hvor toppene sitter igjen med gode penger på tross av såkalt lavpris-konsept. Norgesgruppen har også tjent gode penger i samme bransje. Gründerne bak de store kjedene (dagligvarekjempene) blir vel enkelt og greit steinrike på forbrukernes og produsentenes bekostning. Stordriftsfordeler og kjedemakt kommer primært eierne til glede, og det vi forbrukere får igjen i lavere priser er bare lommerusk.

“Lavpris”-konseptet gagner nok primært eiernes lommebøker og bankkontoer (utbytte og bonuser). Dagligvarebransjen har på mange måter en ikke-fungerende konkurransesituasjon. Kjedeeierne sitter med all makt (alt for stor makt!), og forbrukermakta har minimal betydning. Det minner mistenkelig mye om markedsformen oligopol den norske dagligvarebransjen, hvor det er noen få tilbydere som dominerer markedet totalt. Av og til nesten kartell-liknende innslag og.

Kraftig økende matvarepriser

Kraftig stigende matvarepriser – sammen med andre kraftige rente- og prisøkninger – har vært en stor utfordring år 2023. Prisøkningene har vært langt høyere enn lønnsøkningene, og flere og flere i vårt land sliter med å få sin privatøkonomi til å gå rundt.

En prisøkning på mat og enkelte andre dagligvarer på ca. 8,5 % siste tolv måneder (pr. november 2023) – og en generell prisstigning på 6 % sammen med stor renteøkning på boliglånet – merkes godt. I samme periode har f. eks. jeg fått i underkant av 5 % i lønnsøkning, så reell kjøpekraft er definitivt redusert.

For min del må jeg i hvert fall snart helt slutte med å stor-handle i min lokalbutikk tilhørende Joker-kjeden (Joker Flatraket). Jeg har ikke lommebok til dette lenger! Spesielt hos en kjede slik som Joker har prisøkningene vært helt ville og ute av kontroll! Å betale oppimot 20 % mer på Joker enn hos en av lavpriskjedene er ikke i samsvar med tåleevnen til min lommebok, slik at kjøpene hos Joker må bli kraftig redusert framover. Imidlertid er det en stor overdrivelse å kalle kjeder slik som Rema 1000 for lavpriskjeder.

Dagens økonomiske situasjon medfører en del naturlige prisøkninger, men det er sannelig også noen svært griske / grådige kjeder og kjedeeiere vi har innenfor dagligvarehandelen. En god del av pengene som følge av de kraftige prisøkningene havner garantert opp i eiernes lommer. Konkurransesituasjonen innenfor norsk dagligvarehandel fungerer heller dårlig i praksis, noe som rammer oss kunder hardt!

 

Det sies at Rema gjør Norge billigere. Mitt svar på dette er at pris ikke er alt, og helt sant er det vel heller ikke! Hvorfor ikke bare gi kundene OK priser og produkter på direkten uten å komplisere ting med et bonusprogram og en app? Jeg tenker nok at Rema og andre lavpriskjeder med sine priskriger og kundeprogrammer primært gjør ledelsen og aksjonærene/eierne rikere. Sekundært tilbys det billigere varer til kundene. Slettes ikke alltid så mye lavpris heller for oss kunder.

Et slagord eller utsagn Rema mye har brukt i sin reklame nå i den senere tid (år 2023) er dette: “Det er sluttsummen på kassalappen som teller“. I utgangspunktet er jeg TOTALT UENIG i dette utsagnet, da kvalitet og smak med god margin trumfer pris. Selv har jeg nesten et hat-forhold til EMV-produkter (Egne MerkeVarer), da de etter mitt syn mange ganger er betydelig dårligere enn “originalene”. Billig er ikke synonymt med bra produkter. Imidlertid tvinger dyrtidene oss til å måtte velge slike egne kjedeprodukter, da annet ikke er økonomisk forsvarlig eller løselig.

Den store kjedemakten – som i neste runde ødelegger markedet for de små – skal man ikke kimse med. Kjedene kan fort ta knekken på det meste av lokalbutikker, frittstående butikker og nisjebutikker. Slike lavpris kjedebutikker gir også et mye kjedeligere varesortiment til oss kunder.

Teknologien, i form av appen Æ, benyttes til å komplisere forbrukernes hverdag. Det blir også vanskeligere å sammenlikne priser mellom ulike kjeder og butikker. Rema sitt tidligere slagord “Det enkleste er ofte det beste” er tydeligvis glemt og forlatt. Til syvende og sist er det også forbrukerne som må ta regningen for å utvikle, vedlikeholde og drifte appen og systemene rundt.

Jeg skulle ønske nordmenn var flinkere til å bruke sin forbrukermakt mot Rema og tilsvarende lavpriskjeder. Det finnes da viktigere momenter enn pris. Jeg for min del skal med glede betale litt mer for varene for å få et stort sortiment med kvalitetsprodukter. Tross alt bruker vi kun oppimot 12 % av vårt budsjett på mat, selv om dette å spise seg mette er et viktig fysiologisk behov som med fordel kan dekkes med kvalitetsprodukter i stedet for med lavprissubstitutter.

Enkelte kjeder har en “forkjærlighet” for å erstatte, eller i hvert fall supplere, kjente, kjære og gode produkter med sine egne merkevarer (EMV). NorgesGruppen har blant annet Eldorado, First Price (Unil), Fiskemannen, Folkets og Jacobs Utvalgte. Rema 1000 har en del produkter som kun er merket med deres kjedenavn, og Coop har også sine egne varemerker (Coop Kaffe, Røra fabrikker, Gomanbakeriene, Coop, Xtra, Coop Änglamark, Coop Smak m. m.).

Slike produkter skaper også noe irritasjon hos meg. Hvis jeg skal få si min ærlige mening er enkelte av disse substituttproduktene direkte dårlige sammenliknet med originalproduktene. Ja takk til mer vekt på kvalitet og litt mindre vekt på pris. (Fysj og fy, det er mye dårlig innenfor Eldorado og First Price!) Slike egne merkevarer gir også dagligvarekjedene enda større (og usunn) makt i dagligvaremarkedet.

Til tider er kjeder og kjedeavtaler noe “dritt”! I vårt hus har vi f. eks. en allergiker som ikke tåler melk noe særlig bra, og som heller ikke tåler sitronsyre. Mange leskedrikker og andre matvarer har sitronsyre i seg, og disse må vi unngå. Jenta vår med allergi lagt sin elsk på Kuli eple (Coca Cola-produkt) som har eplesyre i stedet for sitronsyre, og disse har vi kunnet kjøpe via vår lokale Joker-butikk:

 

Nå kan butikken / kjeden ikke lenger skaffe dette produktet. Rema 1000, Kiwi, Spar og Bunnpris som er andre butikker i vår nærområde har heller ikke avtale på å ta inn disse leskedrikkene, og noe dugbart alternativt produkt har vi heller ikke klart å finne. Vi har i den forbindelse blitt “tvunget” til å handle (august 2022) slike Kuli eple-kartonger via netthandel / postordre (Engrosnett, 2 X Kuli eple tetrapk 30X0,2L). Kjedene ødelegger innimellom mulighetene for å handle lokalt!

I sosiale media var det i en periode mer eller mindre i gang et “folkeopprør” mot Rema 1000. Det hevdes at man bør boikotte kjeden. Årsaken til ønsket om boikott er mest pga. kjedens “krig” mot sine leverandører. Rema ønsker seg langsiktige og eksklusive “bestevenn”-avtaler med utvalgte leverandører. Leverandører som Rema ikke klarer å oppnå gode avtaler med risikerer å miste hylleplassen i butikkene. Lave priser og lite vareutvalg (slanke antall merkevarer i sortimentet) er og blir deres hovedstrategi. Produkter fra blant annet Lerum, Mack og Olden er på vei ut av butikkene.

Selv om jeg anser både Æ og bestevenn-strategien til Rema som “teite” påfunn kommer jeg ikke til å boikotte dem. Boikott blir for “barnslig”. De andre aktørene er neppe hakket bedre. En del av de andre butikkene og kjedene er med i Trumf-samarbeidet eller har sine egne kundekort og kundeprogrammer. Og den ene butikkkjeden/gruppen er vel ikke særlig verre enn den andre når alt kommer til alt overfor sine leverandører.

Påskesesongen 2017 – med senere videreføring – innfører Rema 1000 “palmeoljeboikott av Freias (Mondelez) påskeegg“. Årsaken er innholdet av palmeolje i eggene. Også en del andre produkter har de funnet erstatninger for som ikke inneholder den omstridte palmeoljen. Vet ikke helt hva jeg skal mene om dette, utenom at jeg for min del fortsatt kjøper Freia påskeegg i andre butikker med den beste samvittighet. Tenker også at det er andre forhold enn et ekte miljøengasjement som ligger bak kjedens valg. Og våren 2022 – i forbindelse med Ukraina-krigen – vurderer kjeden å ta inn igjen i varmen produkter med palmeolje i, i og med at det er mangel på solsikkeolje.

Enkelte er heller ikke glade for Rema 1000 sine ønsker rundt frislipp for søndagsåpne butikker. Den lønnsmessige behandlingen av enkelte ansatte er visstnok heller ikke særlig god fra kjedens side. Enkelte kjøpmenn føler også at kjeden har gitt dem munnkurv til å uttale seg og å komme med kritikk mot kjeden de tilhører. Og i tillegg til alt dette kommer app-en og kundestrategien Æ.

(At Æ er et trøndersk uttrykk skal jeg ikke gjøre noe stort poeng ut av her. Det er mindre interessant.)

I forbindelse med julehandelen 2018 får Rema 1000 også en del kritikk. Denne gangen går kritikken på at de geografisk forskjellsbehandler kundene. Det har i en periode vært store forskjeller i prisene på de samme produktene alt etter hvor i landet den enkelte butikk ligger.

Det har i den senere tid blitt ganske tyst om hele Æ-satsingen – fokuset er kraftig nedtonet. Den har neppe gitt de effekter de så for seg da de innførte konseptet. Slagordet til Rema er i utgangspunktet “Bare lave priser” og “Det enkle er ofte det beste”, men de kjører likevel på med diverse kampanjevarer og “stunts”. Tidligere var deres konsept å ikke ha tilbudsvarer, da angivelig alle varer var gunstig og lavt priset.

Høsten 2022 ser jeg at Rema 1000 kjører på med i hvert fall disse to “slagordene”: “Alltid lave priser” og “Det er 1000 grunner til å velge REMA 1000“. Etter mitt syn er det også mange gode grunner til å IKKE velge Rema, og lave priser er ikke alt / betyr ikke alt. Dessuten er ikke prisene deres så veldig lave at det akkurat gjør noe.

I starten av år 2024 reklameres det med i Rema 1000-reklamen: “Fryste priser | Vi fryser fjorårets priser!” Ikke akkurat imponerende dette heller, da prisene gjennom år 2023 var ganske så høye. Håper virkelig at det gjøres noe med den ikke-fungerende konkurransesituasjonen innenfor dagligvarebransjen, hvor vi kunder blir økonomisk “flådde” ved å handle via “lavpriskjeder” og “lavprisbutikker”.

Nå er det lett å rette mye kritikk mot den norske franchisekjeden med dagligvareforretninger som går under navnet Rema 1000, eller å rette tilsvarende kritikk mot Reitangruppen som står bak Rema 1000 + diverse. Det er vel neppe grunn til å tro at de to andre store aktørene på markedet, Norgesgruppen og Coop, er så mye bedre enn Rema. De jobber alle sammen med å bruke sin markedsmakt til å tvinge gjennom bedre vilkår og priser fra sine leverandører. Når det gjelder markedsandeler er det Norgesgruppen som er størst etterfulgt av Coop og med Rema som minstemann.

Rema 1000 har i en periode mistet markedsandeler. Muligens skyldes dette uklar strategi samt en del dårlige valg over en lengre periode. På en måte hadde det nesten vært litt til pass hvis Rema 1000 måtte gi opp.

På den annen side er det kjedelig hvis Rema 1000 forsvinner og blir kjøpt opp eller “spist” av en av de andre norske aktørene. Utenom Rema – Reitangruppen, REITAN AS – har vi kun to andre store aktører i dagligvarebransjen:

• Norgesgruppen: Med kjedekonseptene Joker, Meny, Kiwi, Spar m. m.
• Coop: Med kjedekonseptene Obs, Coop Mega, Coop Prix, Coop Marked, EXTRA, Matkroken m. m.

I tillegg har man Bunnpris som delvis er en frittstående kjede av dagligvarebutikker/forretninger. De har pr. nå et innkjøps- og distribusjonssamarbeid/logistikksamarbeid med Norgesgruppen, mens de tidligere i en periode hadde en tilsvarende avtale og samarbeid med Reitan. Lidl (tysk lavpris dagligvarekjede) sitt forsøk på å erobre Norge for noen år siden ble som kjent en fiasko.

Norske matvarebaroner / dagligvarebaroner har tjent seg steinrike på “lavpris”-konseptet innenfor dagligvarehandelen. Eierne av dagligvarekjedene og grossistleddene tjener seg superrike på å gjøre oss vanlige forbrukere fattigere (utnytte oss). Det er lite sammenheng mellom reelle produksjonskostnader og prisen ut til forbrukerne på dagligvarene. Konkurransesituasjonen fungerer enkelt og greit meget dårlig innenfor dagligvarebransjen. Spesielt i starten av år 2023 har det vært økende prisstigning / inflasjon i Norge samlet sett, og dagligvarekjedene ser selvsagt sitt snitt til å skru opp prisene sine uforholdsmessig mye. Lavpris, ha-ha.

Litt konkurranse og tap av markedsandeler får de nevnte aktørene fra nye nettaktører som driver med hjemlevering- og matkasseselskaper. Noen kjente utfordrere er disse: Godt Levert, Adams matkasse, Kolonial.no, Handleriet.no og Morgenlevering.no. Riktignok dekker ikke disse nye aktørene hele landet.

For konkurransesituasjonens skyld og kundenes valgfrihet bør det muligens ikke bli færre aktører enn i dag. Flere aktører fører til en mer skjerpet konkurranse aktørene imellom.

Det er nok også sant det som står i en av lenkene i bunnen av denne artikkelen: “Den virkelig store ulven som Reitan ikke vil være bestevenn med lenger, er nemlig amerikansk. Og heter Coca-Cola.” Enkelte leverandører/produsenter har stor makt som igjen rammer kjedene og til slutt oss kunder.

Dagligvarekjedene og grupperingene sin store markedsmakt er en ting. Det er heller ikke helt bra at distributørene / produsentene blir for store og mektige. F. eks. må jeg innrømme å være litt skeptisk til konglomeratet og det mangehodede “trollet” Orkla. Noen av Orkla sine mange merkenavn / merkevarer: Grandiosa, Stabburet, Nugatti, TORO, Idun, Nora, Nidar, Sætre, KiMs, Polly, Stratos, Smash, Taffel, Idun Mors hjemmebakte, Odense (marsipan), Jif, Jordan, OMO, Zalo, Sun, Lano, Pierre Robert, Möller’s, Nutrilett, Maxim osv. osv. De tjener seg ufortjent steinrike på oss kunders bekostning.

Dagligvarekjedene har litt å svare for når det gjelder miljøvern – eller mangelen på dette. Masse unødvendig emballasje benyttes, og ofte leveres det alt for store pakninger og kjøres på med lokketilbud. Vil blir “lurt” til å handle inn mer enn det vi strengt tatt trenger, noe som igjen ofte medfører kasting av utgåtte varer som vi ikke klarer å bruke opp eller spise opp innen utløpet av holdbarhetsdatoen.

Kiwi påstår januar og februar 2019 at de driver med “momskutt” på fiskeprodukter, noe som selvsagt er høyst villende. Merverdiavgiften til staten kommer man ikke utenom om man vil eller ei. De har nok innført noen priskutt ca. tilsvarende matmomsen på fiskeprodukter i en avgrenset periode, men helt hvor store kuttene i virkeligheten er virker noe svevende. Verken Rema eller Coop setter pris på “stuntet” fra sin konkurrent. Kiwi på sin side selger masse fiskeprodukter pga. kampanjen.

Enkelte hevder at dagligvarebransjen i Norge er det nærmeste man kommer korrupsjon og mafiavirksomhet her til lands. Mangfoldet i utvalg og sortiment har skrumpet inn, det er viktigere med fokus på pris enn kvalitet, det er kun plass til de store leverandørene, store ulikheter i innkjøpsbetingelser og f. eks. Norgesgruppen (NG) bruker i stor grad sin markedsmakt til å presse sine leverandører. Ikke rart at Konkurransetilsynet følger spesielt med på denne bransjen for tida. Lavprisbaronene på sin side sitter igjen med store gevinster.

Kundebehandlingen overfor mindreårige som har blitt tatt for “utilsiktede butikktyverier” pga. tastefeil / valgfeil i selvbetjeningskasser står forresten til stryk. Litt mer skjønn og fornuft må det være mulig å utvise.

Det er ikke bare Rema som kjører på med kundekort og kundeklubber. Veldig mange kjeder også i andre bransjer enn dagligvare (klær, kjøkkenutstyr etc.) vil ha kundene inn i og registrert i sine kundeklubber. Man blir lokket med rabatter for å få folk til å registrere seg. I etterkant av registrering av “medlemskapet” blir man dynget ned med e-poster med reklame for å friste oss til å handle enda mer hos den konkrete leverandøren. Alle slike kort, kundeklubber og registrering av personopplysninger kan medføre at vårt personvern blir svekket, og å opprettholde god nok informasjonssikkerhet blir også utfordrende.

Trumf (Trumf, ikke Trump), Æ og tilsvarende sier mye om hvordan mennesker tenker og “virker”. Millioner av nordmenn bytter gladelig “gode” rabatter mot personopplysninger kjedene kan bruke / misbruke. Personvernet tar hverken vi forbrukere eller kjedene så høytidelig, bare vi og/eller kjedene får noen angivelige gevinster i retur.

Lokale kjøpmenn kontra supermarkeder

I “gamle dager” handlet vi dagligvarer hos nærmeste lokale kjøpmann, som ofte hadde en mindre butikk med skranke / disk og uten muligheter for selvbetjening. Mange av disse kjøpmennene drev også med utkjøring av varer (hjemtransport, hjemkjøring). Vareutvalget var gjerne allsidig, men antallet varetyper totalt sett var mindre enn det vi finner i dagens store butikker.

Etter hvert har større men færre butikker utkonkurrerer de små lokalbutikkene. Supermarkeder med selvbetjening og selvplukk som vi «må» kjøre til (ikke en lokalbutikk på hvert hushjørne) har vært tingen i noen tiår nå. Vi har satt pris på et relativt stort vareutvalg til greie priser og med muligheter for selv å velge og plukke de konkrete produktene vi tar med oss i handlekurven og videre med oss hjem.

Nå kan det virke som om mindre butikker med utkjøring noen steder er i ferd med å få sin renessanse. Videre ha diverse tilbydere av matkasser blitt svært populære for stressede moderne mennesker. Lokalproduserte varer fra lokale produsenter har også slått bra an i de senere år. Litt moter, trender og svingninger i strømninger ute og går innenfor dette området også, og til dels tilbake til tidlige tiders løsninger med noen moderne vrier.

 

I forbindelse med hotellovernattinger blir jeg også irritert over deres form for kundeklubber. Hver kjede har sine ordninger og klubber, og uten å være medlem hos “rett” kjede får man ikke de beste prisene og godene på hotellovernattinger. Videre blir man dynget ned med reklame pr. e-post fra disse ulike kundeklubbene.

I sin tid – i virkelig gamle dager – skrev jeg en hovedfagsoppgave som faktisk omhandlet dagligvarebransjen. Temaet var: “Kartlegging og analyse av EDI-bruken og hva som innvirker på utnyttelsesgraden i dagligvarebransjen.” (EDI = Electronic Data Interchange, på norsk EDU = Elektronisk Data Utveksling.

År 2022 er det “krisetider” i Norge. Prisene stiger på tilnærmet alt, hvor mye av prisstigningen skyldes krigen i Ukraina samt diverse etterdønninger etter koronapandemien. I den forbindelse kan det virke som om enkelte matvarebutikker og matvarekjeder ser sitt snitt til å øke prisene mer enn nødvendig (mer enn økte produksjonskostnader skulle tilsi) for å øke sin profitt. Dette er slettes ikke bra og en ønskelig situasjon, hvis det holder stikk!

Æ er enkelt og greit skeptisk til Æ-konseptet + skeptisk til bonuskort og kundeklubber generelt. Det gagner nok kjeden(e) og butikkene mer enn meg som forbruker. Jeg er noe skeptisk til å gi Rema 1000 + andre så mye oversikt over mine handlevaner og kjøpemønstre som bruken av Æ-løsningen + tilsvarende løsninger gir dem. Også utviklingen ellers i dagligvarebransjen + handel og tjenesteyting generelt er ikke alltid til oss kunders beste.

Lenker:

• Nettavisen: Datatilsynet vil granske Remas Æ-app
• NRK: Datatilsynet skal granske “Trumf” og “Æ”
• Stavanger Aftenblad: Svekket omdømme for Rema 1000
• Dagbladet.no: Nedgang for Rema 1000 tross “Æ” og bestevennstrategi – Har tapt nær 90 millioner kroner i omsetning i januar
• Dinside økonomi: Kundeklubber, bonuskort og personvern – 4 ting du må vite om hva kundeklubbene vet om deg
• V2 Nyheter: Rema-sjef Ole Robert Reitan – Jeg gikk fra å være verdens blideste kjøpmann til å bli en sutrepave
• NRK Ytring: Det enkleste er ofte det beste (Kai A. Olsen)
• Medier24.no – Gards blogg: Lille Mack mot store Rema er en sjarmerende historie som får likes. Men den største spilleren i dette slaget er Coca Cola
• E24: Konkurrentene gjør narr av Rema-stunt – Desperat handling
• E24: Rema taper kampen om kundene
• E24: Kjøpte sitt tredje privatfly: Slik er Reitan-familiens luksusliv
• Adressa.no økonomi: Frykter at Æ sender Rema inn i dødsspiral
• Nettavisen NA24: Rema 1000-butikk tapte en halv million på Rema-boikott
• E24: Rema kaster ut flere Coca-Cola produkter fra hyllene – Fanta og Sprite forsvinner fra Rema 1000
• E24: Olden ut av Rema
• TV2 nyheter: Niklas (27) sitt brudd med Rema tar Facebook med storm
• Facebook-siden “Æ boikotter Rema 1000”
• Nettavisen – NA24: Folkeopprør mot Rema 1000 i sosiale medier: – Boikotter heretter Rema grunnet bestevenn-strategien
• Digi.no: Kundedata lå åpent tilgjengelig i Rema 1000s Æ-app. – Jeg kunne lastet ned hele kundebasen
• VG: Ekspert: Tror Rema kan forsvinne – peker på Ole Robert Reitan som syndebukk
• Dagens Næringsliv: Fortsatt nedtur for Rema 1000
• NA24: Trygve Slagsvold Vedum langer ut mot Rema: – Utrolig at de ikke har lært
• NRK: Rema 1000 stanser “høstjakta” – presser leverandørene (stanser forhandlinger med dagligvareleverandører)
• Nettavisen Økonomi: Dagligvare | Alarm fra NHO: – Norgesgruppen kan nå 50 prosent om fire år
• Nettavisen Økonomi: Dagligvare | Denne kjeden (les: Coop Obs, februar 2020) er billigere enn Rema 1000, Kiwi og Extra
• Nettavisen Økonomi: Dagligvare | Stor rapport: Denne lavpriskjeden har dårligst utvalg (Kiwi)
• TV 2 Nyheter: – I dag har butikkansatte grunn til å være forbanna | Flere reagerer på listen over Norges rikeste personer. (Dagligvaretoppene tjener seg søkkrike.)
• Nettavisen Økonomi: Dagligvare | Raser over forskjellsbehandling: Trekker fram Freia og Orkla som to av verstingene
• Nettavisen Nyheter: Matvarer | Partier vurderer å forby dagligvarekjedenes egne merker | Bondeorganisasjonene og Nortura kritiserer kjedene for å prioritere sine egne merkevarer (EMV) i butikkene.
• TV 2 Nyheter: Vil forby First Price: – Vi kommer ikke til å ha råd til mat på bordet | SV og Senterpartiet er kritiske til dagligvarekjedenes egne merkevarer (EMV) fordi de mener kjedene har for stor makt.
• NRK nyheter: Kan få milliardbøter: – Helt absurd | Konkurransetilsynet varsler til sammen 21 milliarder kroner i gebyrer til Norgesgruppen, Coop og Rema 1000 for ulovlig prissamarbeid. Kjedene reagerer med sjokk og vantro.
• ABC Nyheter: Rema 1000s Æ-endring vekker oppsikt: – Helt hårreisende
• NRK Trøndelag: Krisetider? Ikke for dagligvaregiganten Norgesgruppen melder om rekordomsetning i 2020. Det gir nesten en milliard i utbytte til eierne og millionbonus til toppsjefen.
• Nettavisen Økonomi (mars 2021): Dagligvarebørsen | Dødt løp mellom lavpriskjedene før påske: – Virker som et avtalt spill
• Nettavisen Økonomi: Sjokkert over Coop-toppens lukrative avtale: – En grådighetskultur uten sidestykke!
• Nettavisen Økonomi: Ekspert slakter Coop: – Helt utrolig at det går an | Coop styres stikk i strid med reglene for eierstyring, mener ekspert.
• Nettavisen Økonomi: Iceland må legge ned 1 av 5 butikker: Føler seg hindret av dagligvarekjempene
• Nettavisen Økonomi: Sterk sisteplass for ny lavpriskjede (Oda): – Vi er ikke fornøyd (Oda, Rema 1000, Kiwi og Extra sammenliknet)
• Nettavisen Økonomi: Ølpriser: – Norske forbrukere blir flådd av dagligvarebransjen
• Nettavisen Økonomi: Hyller produktene som SV og Sp vil forby: – Politikerne får aldri slutt på det | Omstridte merkevarer (EMV) vokser kraftig, og regjeringen vurderer å gripe inn.
• blogg.brr.no: Lokale butikker kontra netthandel
• TV 2 Nyheter: Norges største dagligvarekjeder (inkludert Rema 1000) åpner for mer bruk av palmeolje | Tross strenge holdninger knyttet til palmeolje, har situasjonen i Ukraina ført til diskusjoner på bakrommet for Norges største dagligvarekjeder.
• TV 2 Nyheter (april 2022): Prishopp: Så mye dyrere kan butikkturene bli | Om dette anslaget slår til, må en vanlig familie bruke flere tusen kroner mer på mat i året sammenlignet med i dag.
• Nettavisen Økonomi: Ukraina-krigen vil føre til endringer i norske matvarer: – Det blir utfordringer med solsikkeolje | Norske matprodusenter har søkt om tillatelse til å endre innholdet i matvarer som selges i norske matbutikker.
• På høy tid: DinSide økonomi: Dagligvarebransjen | Varsler grep | Næringsminister Jan Christian Vestre (Ap) er bekymret for dagligvaremarkedet. Nye tiltak skal sikre bedre maktbalanse, bedre utvalg og lavere priser.
• Nettavisen Økonomi: Rema-Reitan varsler endringer for norske matvarer | Rema-eier, Ole Robert Reitan, mener usikker tilgang til råvarer og dårligere vareflyt, presser frem endringer i produksjonen av matvarer.
• ABC Nyheter: Delte reaksjoner på strengere regulering av matbutikkene | Coop jubler, mens Norgesgruppen er mer skeptisk til forslaget om strengere regulering av innkjøpspriser i dagligvarehandelen.
• Digi.no: Millionbot fra Datatilsynet til Trumf
• TV 2 Nyheter: I dag (1. juli 2022) skrus prisene opp – så mye dyrere ble handleturen | TV 2 har sjekket matvareprisene hos en rekke matbutikkjeder – og handlekurven har blitt langt dyrere fra juni til juli.
• TV 2 Nyheter: Sterke reaksjoner på Rema-endringer | Mange lojale Rema 1000-kunder er oppgitte over de store endringene i “Æ”-appen.
• VG: Moxnes (Rødt-leder) vil ta milliarder fra daglig­vare­gigantene: – Går så det griner
• Nettavisen Økonomi: Ønsker Lidl velkommen til Norge | Rema 1000 og Oda strekker ut en hånd til utenlandske dagligvarebutikker. (Ny lov om prisdiskriminering, konkurransesituasjonen, makt, lojalitetsbånd m. m.)
• blogg.brr.no: Prepping og preppere + beredskap
• Nettavisen Økonomi: Strammer inn overfor dagligvarebransjen: Dette blir nå forbudt | Næringsminister Jan Christian Vestre (Ap) varslet nye grep for å styrke konkurransen i dagligvarebransjen.
• Nettavisen Økonomi: Dagligvarekjemper dropper Norge: – Ikke lønnsomt
• DinSide Økonomi: Rema 1000 | Får app-slakt (Æ-appen til Rema 1000) | Endret rabattordning – nå slaktes dagligvarekjeden av brukerne.
• Nettavisen Økonomi: Ny Kiwi-strategi skaper bekymring | – Jeg er bekymret for Rema 1000 og Extra, sier professor Bent Sofus Tranøy.
• Konkurransetilsynet: Ikke kommenter ventede prisøkninger (dagligvaremarkedet) | Konkurransetilsynet har de siste ukene (pr. 24.02.2023) hatt møter med Rema, Coop, Norgesgruppen, Bunnpris, NHO Mat og Drikke, Dagligvareleverandørens forening (DLF), Orkla og Nortura.
• Nettavisen Økonomi: Professor: – Bedre dagligvare-konkurranse i kommunistland enn i Norge | – Det foregår en prisvasking, hvor kjedene gir inntrykk av at det er veldig sterk konkurranse og at prisene er lave, sier forsker Ragnhild Silkoset.
• Nettavisen Økonomi: Fedon raser mot Rema og Kiwi: – Moralsk forkastelig (Priskrig på usunne søtsaker påsken 2023.)
• Nettavisen: Matbløffen: – Handler ikke om kvalitet (EMV) | Prisforskjellene på dyreste og billigste kjøtt, ost og juice er stor. Men hva er egentlig forskjellen? Svaret vi fikk fra matprodusenten overrasket.
• TV 2 Nyheter: Strategien sprer seg i butikkene – blir anklaget | Kjedene styrker sine egne merkevarer (EMV). Dette vil vi se mer av, mener dagligvareekspert.
• Nettavisen Økonomi: Stor prissjekk hos Kiwi, Rema 1000 og Coop: Ekstremt resultat
• Nettavisen Økonomi: Vil bruke tvang: – Eierne til Kiwi, Rema og Coop er for mektige
• Nettavisen Norsk debatt (Geir-Asbjørn Jørgensen): Matvareprisene: Oligarkene får en stadig større del av kaka | Norsk dagligvare er ikke noen fri konkurranse. Det er et oligopol.
• Nettavisen Økonomi: Normal med Europarekord: Utfordrer Kiwi og Rema 1000 | Normal vokser kraftig og stjeler kunder fra Kiwi og Rema 1000.
• TV 2 Nyheter: “Æ”-grep overrasker: – Veldig tungvint | Ni av ti “Æ”-brukere TV 2 har snakket med, visste ikke om grepet du må gjøre hver uke. (Personlige tilbud må aktiveres hver eneste uke.)
• Nettavisen Økonomi: Vanvittige priser hos Rema, Kiwi og Extra: – Dette er ikke konkurranse | Enorme prisforskjeller. Men konkurransen er elendig, ifølge dagligvareekspert. | Dagligvarekjedene har alt for stor makt.
• ABC Nyheter (NTB): Dagligvarekjeder risikerer milliardgebyr fra Konkurransetilsynet | Det er over tre år siden flere dagligvarekjeder fikk varsel om gigantgebyrer fra Konkurransetilsynet for ulovlig prissamarbeid. Siden den gang kan bøtene ha vokst med milliarder.
• VG: Rema 1000 med priskutt – spar 10 øre | Smil! Du har gjort en god deal. Eller?
• ABC Nyheter stemmer (Lars Peder Nordbakken): Det går en elefant løs i norske dagligvarebutikker | Et dagligvaremarked som domineres av få aktører og et overregulert landbruk, godt beskyttet bak høye tollmurer, motarbeider forbrukernes ønsker om mer konkurranse, større utvalg og lavere matvarepriser.
• TV 2 Nyheter: Du blir lurt av prislappen: – Vanvittig sleipt | – Det er egnet til å forvirre og villede kundene, sier jurist Thomas Iversen i Forbrukerrådet. | Billigbutikkene Kiwi, Rema 1000 og Extra utformer prisskiltet på dagligvarene slik at du kan bli lurt (kilopriser med liten skrift)

Høye matvarepriser og kraftig økning i matvareprisene:

• TV 2 Nyheter: Økte matvarepriser: Interessen i været – advarer mot lojalitet | I et forsøk på å kutte ned på matprisene strømmer folk til dagligvarekjedenes fordelsprogrammer. Forbrukerrådet er skeptisk.
• Adresseavisen lederartikkel: Matbutikkene må ikke utnytte krisetider for å tjene mer | En høne å plukke med butikkene foto Adresseavisen | Matbutikkene bør ikke øke prisene mer enn de faktisk trenger.
• TV 2 Nyheter: Matvareprisene øker: Slik forklarer kjedene problemet | Matvareprisene har økt med 12,1 prosent siden september i fjor. – Vi setter ikke opp prisene mer enn vi må, sier Ingvill Størksen i Coop.
• NRK Kultur: “Krympflasjon” er årets ord (år 2022) | Krig, økonomi og straum er tema som går igjen på lista til Språkrådet. Som å bla igjennom ei verbal minnebok, seier språkforskar Helene Uri.
• VG Nyheter: Høysesong for krympflasjon: – Fristende å krympe produktene
• DinSide Økonomi: Varsler prissjokk på mat | Kan øke kraftig neste år (år 2023).
• Nettavisen Økonomi: Dagligvarebørsen | Priskrigen (julen 2022) over: Øker matpriser med opptil 500 prosent
• Dagsavisen (NTB): Prishopp på dagligvarer – regjeringen skal møte butikkjedene | Dagligvarebransjen har varslet et prishopp på 10 prosent i februar (2023). Neste uke (uke 2/2023) møter de regjeringen for å diskutere situasjonen.
• Nettavisen Økonomi: First Price-varen bare to øre billigere: – Vi kan rett og slett ikke tro på det kjedene sier | – Kjedene har lært oss til at egne merkevarer skal være billigere. Det utnytter de for fullt
• Nettavisen Økonomi: Vedum advarer dagligvarekjedene | Finansminister Vedum mener Norgesgruppen, Coop og Rema 1000 må vise måtehold. – Rart utspill, mener bransjeorganisasjonen Virke.
• Nettavisen Økonomi: Brødprisene kan gå i været: – Det verste vi har vært med på | 1. februar kan norske matvarekunder forvente et solid prishopp på både brød, laks og syltetøy.
• Nettavisen Økonomi: Coop og Rema 1000 snur: – Skal ha de laveste prisene eller så stenger vi dørene | – Komisk, fastslår ekspert. (Prisøkningen fra 1. februar 2023 reverseres.)
• Nettavisen Norsk debatt (Marie Sneve Martinussen): Matvarebaronene går i milliardoverskudd: Jeg vil herved sende en beskjed| Vi kan ikke ha det slik at dagligvarebaronene tjener seg enda rikere på å gjøre forbrukerne fattigere.
• Nettavisen Økonomi: Gladmelding til norske forbrukere – Priskrigen vil fortsette i mange måneder | Det vil ta flere måneder før matprisene blir skrudd opp, mener eksperter Nettavisen har snakket med.
• ABC Nyheter: Lokal-monopolistene Bunnpris, Spar og Joker: – Håpløs situasjon for forbrukerne | De er dyrere enn de store lavpriskjedene, finnes over absolutt hele landet vårt – ofte på små steder med kun én matbutikk.
• Nettavisen Økonomi: Enorme prisforskjeller: Rema 1000 opptil 231 prosent dyrere
• TV 2 Nyheter: Dagligvareekspert: – De vil forsøke å dytte regningen over på noen andre | Rema 1000 valgte å reversere en varslet prisøkning de selv mente var nødvendig. Men hvem som skal ta tapet, vil ikke kjeden svare på.
• Nettavisen Økonomi: Joker | Påskekosen: Seks ganger prisen til Kiwi (Kiwi vs. Joker, påsken 2023)
• Nettavisen Økonomi: Dagligvarer: Klager over dårlig lønnsomhet – det får eksperten til å reagere | Dagligvarekjedene sier ofte at lønnsomheten er lav. Investeringsdirektør Robert Næss i Nordea har tall som viser det motsatte.
• Nettavisen Økonomi: Dagligvarer | Raser mot Kiwis og Remas nye pris-grep: – Nå skal kundene blø | Og om få uker tror “Gjerrigknarken” det blir en skikkelig pris-smell.
• Nettavisen Økonomi: Matpriser | Prisen på noen av våre mest populære matvarer skyter i været – Sykdom og elendige avlinger skaper global mangel.
• Nettavisen Økonomi: Advarer: Det som skjer i Kiwi-butikkene nå er dårlig nytt | Kiwis nye prisgrep kan gi overraskende konsekvenser (på sikt) for folks lommebøker, tror Høyre-politiker.
• Nettavisen Økonomi: Prissmell på billigvarene: – Tar alle midler i bruk | Butikkenes rimeligste alternativ har fått skyhøye prisstigninger.
• TV 2 Nyheter: Nye butikker tar Norge med storm | Strømmer til nye billigkjeder | Flere kjenner nå de stigende matvareprisene på lommeboken. Det gjør at billigkjeder som Gigabox og Billy nå opplever en økning i antallet kunder.
• Nettavisen Økonomi: Ferske tall: Legger ned butikker og kutter i utvalget | Tilbudssmell i dagligvarebransjen.
• Nettavisen Økonomi: Dagligvare: Enorme prisforskjeller: – Vi handler ikke på Joker | I en tid med galopperende prisvekst dropper kundene de dyre butikkene.
• Nettavisen Økonomi: Nederlag for Kiwi: – Dårlig taper (november 2023) | Taperen hisser seg opp over å havne nederst på prispallen.
• Nettavisen Norsk debatt (Eivind Løvdal og Mina Gerhardsen): Slår alarm: I ferd med å bli matvarer for de rikeste | Det ingen hadde trodd, er at sunn mat nå er i ferd med å bli mat for de rikeste og høyest utdannede.
• ABC Nyheter: Dagligvareforsker tror prisene kunne vært lavere med færre butikker

Dagens seriøse tema er personvern, informasjonssikkerhet og internkontroll på (primært) bedriftsnivå. Et tungt og kjedelig tema vil nok noen si, men jeg synes både det er interessant og relevant. Mange tar alt for lett på denne viktige tematikken, og kunnskapsnivået kan nok være ganske sviktende både blant privatpersoner og bedrifter.

Min videre vinkling i denne artikkelen er preget av at jeg er offentlig ansatt i kommunal virksomhet. Samtidig er jeg opptatt av og interessert i IKT og teknologiens muligheter. I jobben har jeg visstnok også en viss rolle innenfor temaet, i og med at jeg er utpekt til å være personvernrådgiver.

Å ha en del noe rigide regler og lover for personopplysninger og personvern kan til tider virke noe byråkratisk. Hensikten er imidlertid å unngå krenkelser av personvernet og å oppnå tilfredsstillende informasjonssikkerhet. Det er innimellom oppslag i media der rutinene har sviktet og personopplysninger har kommet uvedkommende i hende, noe som kan være veldig krenkende og ødeleggende for den som blir rammet. Datatilsynet er “vaktbikkja” som passer på at reglene blir fulgt og som blant annet kan utstede bøter ved lovbrudd.

Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er ikke lovlig. Det er også viktig å sikre tilfredsstillende informasjonssikkerhet slik at personopplysninger ikke kommer uvedkommende i hende, blir endret/slettet av uautorisert personell eller at opplysningene ikke er tilgjengelige for dem som virkelig trenger dem.

Hva er personvern?

For enkelte er muligens personvern et tvetydig eller nesten uforståelig begrep. Personvern har lite eller ingenting med fysisk vern av personer å gjøre. Det personvern omhandler er vern og beskyttelse av våre personopplysninger, hvor personopplysninger er opplysninger eller vurderinger som kan knyttes til identifiserbare enkeltpersoner.

Engelskspråklige har det noe lettere med et bra og beskrivende begrep for personvern. Der brukes begrepet “privacy” som i stor grad via selve ordet forteller hva det er snakk om. Muligens skulle vi ha hatt et klarere og tydeligere begrep enn personvern på norsk? Generelt er mange av diskusjonene innenfor personvern preget av mangel på klart språk. Det blir ofte mye “stammespråk” for spesielt innvidde.

Personvern går i grove trekk ut på å verne privatlivets fred, ha kontroll over våre egne personopplysninger og beskyttelse mot uønsket innsyn/misbruk. Alle virksomheter bør ha et bevisst forhold til sin omgang med personopplysninger for å kunne beskytte sine kunders eller tjenestemottakeres interesser innenfor personvern.

Ifølge Datatilsynet om hva er personvern: “Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.” I tillegg kunne beskyttelse mot bruk av metadata ha blitt føyet til i tillegg.

Figuren nedenfor gir en liten pekepinn (ikke utfyllende eller komplett liste!) på hva som kan være personopplysninger som kan trenge et vern:

 

En enda mer omfattende figur over et utvalg av aktuelle personopplysninger som kan bli behandlet:

 

Regelverk

For en bedrift er det (heldigvis) ikke rett fram å igangsette utstrakt behandling av personopplysninger. Ofte foreligger det meldeplikt til Datatilsynet og i enkelte tilfeller også konsesjonsplikt. En del grunnkrav må være oppfylt før behandling av personopplysninger igangsettes: Behandlingsgrunnlag må foreligge, personopplysninger kan bare brukes til et uttrykkelig angitt og saklig formål (f. eks. lovpålagte oppgaver), tilstrekkelige og kun relevante opplysninger for formålet kan behandles, kun korrekte og oppdaterte opplysninger må benyttes og opplysningene slettes når det ikke lengre er bruk for dem. Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er altså ikke lovlig. Annen bruk av innsamlede personopplysninger (til annet formål) enn den tiltenkte er er normalt sett ikke lov.

Spesielt er reglene strenge rundt behandling av sensitive personopplysninger. Sensitive personopplysninger er informasjon om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, strafferettslige forhold, helseforhold, seksuelle forhold og medlemskap i fagforeninger.

Informasjonssikkerhet: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Informasjonssikkerhet skal ivareta noen hensyn:

• Sikre personopplysningene konfidensialitet (hindre tilgang for uvedkommende)
• Sikre personopplysningene integritet (hindre endring/sletting fra uautoriserte personer)
• Sikre personopplysningene tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).
• Robusthet (virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand).
• I tillegg kan et punkt som heter overholdelse føyes til. Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.

Forkortelsen for disse tre hensynene (de tre første) er enkelt og greit KIT.

Før GDPR: Regelverket på området var personopplysningsloven og personopplysningsforskriften.

En del plikter (for virksomhetene) og rettigheter (for den registrerte) følger av reglene. Ledelsen har et spesielt ansvar for at reglene blir etterfulgt og at nødvendige rutiner m. m. utarbeides. Mye av tankegodset fra tidligere regler er videreført og noe videreforedlet under GDPR.

PS! Ny “Lov om behandling av personopplysninger (personopplysningsloven)” har erstatte den gamle loven sommeren 2018. Samme dokument inneholder også forordningen på norsk:

• “EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR]”

Det er også en egen “Forskrift om behandling av personopplysninger”.

GDPR som begrep “utgår” vel mer eller mindre på norsk. En mer passende betegnelse er: POLF. POLF = Personopplysningsloven med forordning.

Internkontroll

Personopplysningsloven stiller krav til internkontroll i form av planlagte/systematiske tiltak, rutiner og dokumentasjon som skal sikre etterleving av regelverket. For å få på plass lovpålagt internkontroll innenfor informasjonssikkerhet i egen virksomhet har Datatilsynet laget en omfattende malsamling som etter utfylling tilfredsstiller lovverket. Malene består av følgende hoveddeler:

• Styringsdokument internkontroll med oversikt over personopplysninger som blir behandlet.
• Ledelsens gjennomgang
• Sikkerhetsmål- og strategi
• Sikkerhetsorganisasjon
• Rutiner for håndtering av personopplysninger
• Risikovurdering (jf. ROS-analyser)
• Sikkerhetsinstruks brukere
• Informasjonshåndtering
• Sjekkliste for nyansatte og ansatte som slutter
• Taushetserklæring
• Sikkerhetsinstruks leder
• Sikkerhetsinstruks sikkerhetsansvarlig
• Beskrivelse av informasjonssystemet
• Driftsrutiner
• Overordnet IT-beredskapsplan
• Fysisk sikkerhet
• Avvikshåndtering og egenkontroll
• Avviksskjema
• Egenkontrollsskjema
• Rapport fra avvikshåndtering og egenkontroll med forslag til tiltak

Kilde: Datatilsynet, maler for internkontroll og informasjonssikkerhet (lenke fjernet da den var “død”). Ser ut for at GDPR-innføringen gjør denne veilederen overflødig/utdatert.

Å ha gode rutiner for internkontroll på personvernområdet er selvsagt også viktig under GDPR. Imidlertid er det mindre detaljerte formkrav til hvordan ting skal gjøres i praksis under det nye regimet. Datatilsynet har utarbeidet en ny veiledning rundt internkontroll og informasjonssikkerhet tilpasset GDPR, og her er det også et utvalg med maler og støtteverktøy.

Dokumentasjonen er oppdelt i styringsdokumenter, gjennomføringsdokumenter og kontrolldokumenter.

Det finnes masse begreper og definisjoner i dokumentasjonen fra Datatilsynet og i lovverket. Blant annet kan man lese om de ulike rollene m. m.: Behandlingsansvarlig, sikkerhetsansvarlig, systemeier/dataeier, databehandleravtaler etc. Mer informasjon om disse temaene er tilgjengelig via Datatilsynets nettsider.

Å få på plass gode rutiner rundt informasjonssikkerhet og internkontroll er ganske arbeidskrevende med masse dokumentasjon, rutiner m. m. som skal utarbeides, men det er likevel viktig å prioritere dette ikke minst for å få økt bevissthet rundt håndtering av personopplysninger og hvordan man kan hindre misbruk av dem. Brudd på tilliten og tap av omdømme pga. bedriften gjør seg skyldig i krenkelser av personvernet vil neppe de fleste bedrifter ønske å oppleve.

Overføring av personopplysninger til utlandet i disse outsouching-tider (utkontraktering) er ikke nødvendigvis helt rett fram hvis ting skal gjøres lovlig. Stort sett går det greit å overføre til andre EU/EØS-land eller land som Europakommisjonen har godkjent. Tidligere gikk det også greit å overføre til USA via “Safe Harbor”-beslutningen, men nå er denne kjent ugyldig av EU-domstolen. EUs standardkontrakt kan visstnok benyttes i stedet og Datatilsynet skal varsles. I etterkant har “Privacy Shield”-avtalen (avtale mellom EU og USA om overføring av personopplysninger fra Europa og USA) erstattet den ikke-gyldige “Safe Harbor”-avtalen. Imidlertid har Privacy Shield-avtalen også blitt erklært ugyldig av EU-domstolen sommeren 2020.

USA sin lov CLOUD Act (Clarifying Lawful Overseas Use of Data Act) fra 2018 er en utfordring for personvernet for oss i Norge og Europa. Loven innebærer at amerikanske myndigheter får full tilgang til alle data som lagres i skytjenester eid av amerikanske selskaper, også her i Europa. Med en gang det er snakk om noe som muligens kanskje kan innebære ulovligheter kan amerikanske myndigheter igangsette etterforskning, overvåkning og gå gjennom våre data. F. eks. rammer dette tjenester slik om OneDrive, Azure og sosiale medier (SoMe) med amerikansk opphav/eierskap. Loven ignorerer og hopper helt bukk over GDPR.

Amerikanske selskaper med europeiske servere kan altså komme i sterk “skvis” mellom amerikansk lovgivning i form av “Cloud act” og europeisk lovgivning i form av GDPR. Myndighetene i USA kan kreve at amerikanske tilbydere (selskaper) av skytjenester må utlevere data, uavhengig av hvor i verden dataene er lagret og selv om dataene omhandler europeiske og ikke amerikanske statsborgere.

Dette kan f. eks. ramme nordmenn hvis de av amerikanske myndigheter blir mistenkt for å ha gjort noe i strid med amerikansk lovgivning, hvor data blir krevd utlevert til amerikanske myndigheter fra sky-maskinene i et europeisk land. Utlevering av data til USA vil være påkrevd i henhold til Cloud act, men i strid med GDPR. Et amerikansk selskap vil selvsagt adlyde sine myndigheter i USA mer enn myndighetene i EU.

Ifølge Apple-topp Tim Cook mangler USA noe tilsvarende som Europa og EU sin GDPR (General Data Protection Regulation, ny personopplysningslov / personvernforordning). Personopplysninger brukes som en lukrativ handelsvare, og som våpen mot oss med militær presisjon og effektivitet. Overvåkning finner sted med profitt som mål.

Våren 2017 har det vært en del snakk om gamlingen med helseopplysningene til Helse Sør-Øst (HSØ). I forbindelse med utkontraktering (utflagging av IKT-driften) har ca. 110 utenlandske IT-arbeidere uten tjenstlig behov hatt full tilgang på sensitive personopplysninger (helseopplysninger). Sensitive personopplysninger i form av pasientjournaler tilhørende 2,8 millioner nordmenn har vært tilgjengelige for IT-arbeider i blant annet India, Bulgaria og Malaysia. Enkelte betegner dette som en total katastrofe for personvernet.

Datatilsynet har funnet alvorlige lovbrudd og utstedt millionbøter etter Helse Sør-Øst sin outsourcing-skandale. Det meste har gått galt i prosessen, og alt tyder på at informasjonssikkerhet og personvern har vært sterkt nedprioritert underveis. Det stilles kritikk blant annet rundt manglende risikovurderinger, manglende sikkerhetsledelse, pulverisert ansvar og en ikke-forankret utkontraktering.

Et godt utgangspunkt innenfor informasjonssikkerhet er å stille spørsmålet: Hva er du redd for?

Det er viktig å ha oversikt over hvilke personopplysninger som behandles av virksomheten. Ut fra denne oversikten kan det foretas risikovurderinger. Steder med store risikoer og med stor sannsynlighet for avvik kan tiltak utarbeides og igangsettes.

Normen, Feide, bøter, arkivloven og KiNS

Til hjelp i arbeidet med å få på plass internkontroll eller styringssystem for informasjonssikkerhet kan “Normen” være til god hjelp. Fra nettsiden til Normen har jeg “sakset” følgende: “Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket, og er utarbeidet av representanter for sektoren. Alle aktører i sektoren som er tilknyttet Norsk Helsenett, er avtalerettslig forpliktet til å følge Normen.”

Kilde: www.normen.no

Selv om hovedfokuset til Normen er helse- og omsorgssektoren har det blitt gjort masse bra arbeid der som også andre sektorer kan ha nytte av. I tillegg til å ha foretatt tolkninger og konkretisering av lovverket på helse- og omsorgsområdet tilfredsstiller Normen de krav som stilles i personopplysningsloven og personopplysningsforskriften i forbindelse med personvern og informasjonssikkerhet.

Parallelt med “Normen” som er opptatt av informasjonssikkerhet i helse-, omsorgs- og sosialsektoren finnes det noe liknende innenfor utdanningssektoren. Der finnes Feide, som en er forkortelse for Felles Elektronisk IDEntitet. Feide er et system for sikker identifisering i utdanningssektoren. For å kunne ta i bruk og “koble seg på” Feide kreves det inngåelse av en kontrakt. Vertsorganisasjonen må tilfredsstille en del krav (behandling av personopplysninger, IKT-reglement, teknisk løsning, førstelinjesupport) for å kunne ta i bruk Feide. Det har blitt tenkt på sikkerhet i Feide-løsningen.

Jeg har fått med meg at min tidligere arbeidsplass, Eigersund kommune, fikk besøk og kontroll av Datatilsynet våren 2014. De ble vel mer eller mindre “tatt på senga”. En god del avvik ble avdekket (manglende internkontroll, manglende dokumentasjon, manglende risikovurdering etc.) og et overtredelsegebyr på kroner 150 000 har blitt utstedt (opprinnelig sum på bot var kroner 250 000, som senere ble redusert med kr 100 000 til kr 150 000). Det kan fort bli små-dyrt å slurve på området internkontroll!

Arkivloven med forskrift som gjelder for offentlige virksomheter vil sannsynligvis bli endret (myket opp) til å tillate lagring av digitalt arkivmateriale i utlandet. Det er vel ikke tvil om at det kan være behov for å modernisere arkivlovgivningen. Imidlertid reiser selvsagt skylagring/skyarkiv i utlandet en del sikkerhetsmessige spørsmål. Kjedelig hvis den offentlige “indrefileten” i form av lagrede arkivdata, inkludert sensitive data, skulle komme helt på avveie.

Jeg var 25. oktober 2016 deltaker på KiNS-sikkerhetsseminar på Sandane. Dette var et interessant og matnyttig seminar der mange av temaene i denne bloggartikkelen ble “touchet” innom. For ansatte i kommunal virksomhet som er opptatt av informasjonssikkerhet anbefales medlemskap i KiNS (Foreningen Kommunal Informasjonssikkerhet).

KiNS har også utarbeidet et styringssystem for informasjonssikkerhet. Masse nyttige maler relatert til dette har blitt gjort tilgjengelig for bruk av medlemskommuner. KS er også på ballen relatert til informasjonssikkerhet og personvern i kommunene. Digi Vestland sin “Faggruppe for informasjonstryggleik og personvern” må heller ikke bli glemt.

Nye personvernregler fra 2018

EU har våren 2016 vedtatt ny personvernforordning som ble iverksatt i Norge 20.07.2018. Den nye personvernlovgivningen gjelder altså også for Norge som et “assosiert” medlem av EU gjennom EØS-avtalen. EU har sett behovet for et bedre personvern og et modernisert regelverk, slik at det ikke blir rett fram for vilkårlig og planløs behandling av personopplysninger.

En “bivirkning” av EUs nye personvernregler er at EU kan få makt over Norge i personvernsaker. Det er opprettet et europeisk personvernråd som kan fatte bindende vedtak som angår Norge (EØS), og hvis Datatilsynet ønsker å klage på vedtakene er det EU-domstolen som blir ankeinstans.

Etter litt usikkerheter og forsinkelser trådte den nye personopplysningsloven og EUs personvernforordning i kraft 20. juli 2018 her i Norge. To hovedelementer:

• EUs personvernforordning (GDPR) har blitt gjort til norsk lov.
• En rekke bestemmelser (særnorske regler osv.) som supplerer reglene i forordningen.

Se eventuelt Datatilsynet sin nettside for mer informasjon.

Som tidligere blir det fortsatt sentralt å kartlegge personopplysninger som samles inn og benyttes av virksomheten. Hvilke personopplysninger benyttes og til hvilket formål er sentrale spørsmål. Andre relevante problemstillinger: Hvor (avdeling) benyttes opplysningene, i hvilke systemer, rettslig grunnlag/hjemmel/samtykke, informasjonsflyt, deling og er aktuelle prosedyrer på plass (f. eks. for sletting av personopplysninger, retten til å bli glemt). Fortsatt blir risikovurderinger, dokumentasjon og rutiner/prosedyrer viktige steg etter kartleggingen av bruken av personopplysninger.

Personopplysninger kan ikke samles inn og behandles bare pga. det er “kjekt å ha”. Det må foreligge grunnlag for behandling av personopplysninger, i form av samtykke eller lovhjemmel. En systematisk tilnærming til håndtering av personopplysninger må innarbeides i det enkelte firma.

Noen sentrale momenter rundt de nye reglene fra 2018:

• Godt utgangspunkt hvis personvern og internkontroll er “på stell” etter dagens regler. Ifølge Datatilsynet kan vi pr. nå gjøre følgende:
  • Ha oversikt over hvilke personopplysninger som behandles, oppfylle dagens lovkrav, sette oss inn i det nye regelverket og etter påbegynne jobben med å lage rutiner for å følge de nye reglene.
• Innebygd personvern som utgangspunkt for nye løsninger (den mest personvernvennlige innstilling som standard).
• Borgerne/innbyggerne får også nye rettigheter, f. eks. dataportabilitet. Retten til innsyn, retting av mangelfulle personopplysninger og retten til å bli glemt (sletting) blir videreført/innført/utvidet.
• Krav om personvernombud i mange virksomheter (blant annet i alle kommuner).
• Vurdere personvernkonsekvenser og risiko før igangsetting av tiltak, med eventuelle forhåndsdrøftelser med Datatilsynet.
• Strengere krav til avvikshåndtering.
• Nye plikter til virksomheter og databehandlere.
• Forståelig personvernerklæring (eller tilsvarende) blir et krav.
• Fortsatt blir det behov for å inngå Databehandleravtaler med eksterne leverandører som behandler personopplysninger på vegne av en virksomhet.
• Bøtene/gebyrene som kan skrives ut for manglende personvern blir mye større enn dagens.
• Sikkerhetsavvik må varsles til Datatilsynet innen 72 timer. Brukerne som blir rammet må også varsles.
• Reglene kan også gjelde for virksomheter utenfor Europa.
• Alle bør samarbeide i egne nettverk og følge bransjenormer (godkjennes av Datatilsynet).
• Fra kontroll til ansvarlighet,

Ellers er det “viktig” å bruke tre og fire bokstavers forkortelser på det meste:

• DPO (Data Protection Officer): Enkelt og greit personvernombud.
• GDPR (General Data Protection Regulation): Den nye Personvernforordningen.

I stedet for paragrafer i forordningen snakkes det om artikler i stedet.

Også under de nye reglene blir det viktig med oversikt over hvilke personopplysninger som behandles, forta risikovurderinger med utgangspunkt i lista fra forrige punkt og å ha etablert nødvendige rutiner for behandling av personopplysninger. Kanskje så mye som 90 % av GDPR er ikke noe spesielt nytt, da mye av reglene er kjente og en videreføring fra dagens lovverk.

Virksomhetens ansvar etter nytt regelverk Fra kontroll til ansvarlighet: Nytt regelverk vektlegger virksomheters ansvarlighet og internkontroll, i stedet for forhåndskontroll (meldeplikt, konsesjonsplikt osv.) fra Datatilsynet som har vært praksis fram til nå. Melde- og konsesjonspliktene forsvinner. Strengere sanksjoner enn i dag hvis etterkontroll viser at man ikke har orden. Viktig prinsipp i det nye regelverket: Virksomheten som bruker personopplysningene har ansvaret for av personvernprinsippene overholdes (prinsippene om ansvar, integritet og konfidensialitet). Fokus på den behandlingsansvarliges ansvar i stedet for krav om internkontroll. Likevel: Internkontroll nødvendig for å kjenne virksomheten og for å gi oversikt over personopplysninger, som igjen er basis for risikovurdering. Noe av behandlingsansvarliges ansvar: Sørge for tilstrekkelig og forholdsmessig sikkerhet. Må sørge for at personopplysningene er sikret mot uautoriserte eller ulovlig behandling, utilsiktede tap, ødeleggelse eller skade. Viktig å sikre at personopplysninger behandles i samsvar med regelverket. Valgte tiltak for sikring skal eventuelt endres og oppdateres. Fortsatt behov for internkontroll, rutiner og oversikt. Risikoer må vurderes. Nytt krav om å ha oversikt over behandlingsaktiviteter (behandlingsansvarlig / databehandler). Skriftlig/elektronisk, tilgjengelig for Datatilsynet hvis de krever tilgang. Krav om rutiner for å ivareta de registrertes rettigheter. Den behandlingsansvarlige skal ha oversikt over en hel rekke med ting, og likeså må databehandler ha oversikt over en god del forhold. Se egne lister hos Datatilsynet. Kravene til avviksbehandling, varsling og kontinuerlig arbeid med informasjonssikkerhet skjerpes: Informasjonssikkerhet er en kontinuerlig prosess. Nye trusler dukker opp, ny teknologi, bransjenormer osv. Nye regler har mer konkrete beskrivelser av aktuelle tiltak og aktiviteter for å oppnå et tilfredsstillende sikkerhetsnivå. Nye krav til avvikshåndtering og informasjon til de berørte foreligger. Det blir strengere krav til varsling av sikkerhetsbrudd/avvik til Datatilsynet (72 timer). Varsling av de berørte er det også nye regler for. Protokoll over behandlingsaktiviteter skal utarbeides for alle virksomheter som behandler personopplysninger. Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/ Vurdering av personvernkonsekvenser (DPIA, Data Protection Impact Assessment) etter nytt regelverk Vurdering personvernkonsekvenser er kun obligatorisk dersom behandlingen sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter. Risiko- og risikovurdering skal i så tilfelle gjøres sett med den registrertes perspektiv. Noen momenter: Vurdering av personvernkonsekvenser: Blir en plikt i en del tilfeller ved innføring av nye systemer/ny teknologi tas i bruk. Ansvarlig: Behandlingsansvarlig. Selve Oppgaven kan delegeres. Personvernombud (hvis slikt finnes) skal involveres (rådgivning), og likeså databehandler (hvis aktuelt). Konsekvensvurdering skal gjøres før behandling av personopplysninger starter. Behov eller ikke behov for konsekvensvurdering: Se Datatilsynet og deres kriterieliste. Spesielt aktuelt/påkrevd ved automatiserte avgjørelser, systematisk overvåkning i stort omfang, sensitive personopplysninger er involvert, storskala behandling av personopplysninger, sammenstilling av datasett, overføring av data til land utenfor EU/EØS osv. Vurderingenes innhold (personvernkonsekvenser) stilles det også noen konkrete krav til. Se Datatilsynet. I enkelte tilfeller med høy risiko behov for forhåndsdrøftelse med Datatilsynet. Risikovurdering versus vurdering av personvernkonsekvenser: Risikovurdering av informasjonssikkerheten: Risikoen for en virksomhet og dens behandlinger som adresseres. Det gjøres en vurdering av risiko ved brudd på sikring av konfidensialitet/fortrolighet, integritet og tilgjengelighet + robusthet. Fokus: Virksomheten og dens behandlinger. Vurdering av personvernkonsekvenser: Håndtere risiko for de registrertes rettigheter og friheter. Den registrerte i fokus, konsekvenser for vedkommende. Den registrertes perspektiv: Konfidensialitet/fortrolighet, integritet, tilgjengelighet. I tillegg: Åpenhet, mulighet til å gripe inn, kan ikke kobles. Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/vurdering-av-personvernkonsekvenser/ Veileder om behandlingsgrunnlag Behandlingsgrunnlag, det er her alt starter. For å være lovlig må behandling av personopplysninger ha et behandlingsgrunnlag, det være seg et samtykke, lovparagraf (hjemmel) eller nødvendig ut fra opplistede lovlige grunner. Spesielt strengt er dette for sensitive personopplysninger. Kjekt å ha-forhold til personopplysninger er ikke et lovlig behandlingsgrunnlag. Kilde, hvor det står mer om lovlige/gyldige behandlingsgrunnlag: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/veileder-om-behandlingsgrunnlag Det finnes også en veileder rundt hvordan lage bransjenorm (atferdsnorm) etter nytt regelverk. Nyhet mai 2018 er at veilederen til databehandleravtale er klar. Hele pakken eller lista med veiledere som det norske Datatilsynet har laget til: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/ Verdt å sjekke ut: Se punktliste / forenklet oversikt med tittelen: “Nye personvernregler fra 2018. Hva betyr det for din virksomhet?” Lenke: https://www.datatilsynet.no/globalassets/global/regelverk-skjema/forordningen/punktliste-til-ny-forordning_web.pdf

I juli 2017 ble ny lov om behandling av personopplysninger sendt ut på høring, med høringsfrist 16. oktober 2017. Uoffisiell norsk oversettelse av personvernforordningen følger med i bunken, samt høringsnotat inkludert utkast til lov om behandling av personopplysninger (personopplysningsloven) tilpasset forordningen.

I utsendelsen fokuseres det blant annet på (sitat):

I dag sender Justis- og beredskapsdepartementet ut forslag til ny lov om behandling av personopplysninger på høring.

Forslaget bygger på EUs nye personvernforordning og vil føre til et mer enhetlig regelverk i Europa. Det vil dermed bli enklere både for personer og bedrifter å forholde seg til lovgivning i, og til å få gjort sine rettigheter gjeldende i, hele EU/EØS. Regelverket er også bedre tilpasset den teknologiske utviklingen.

Lovforslaget og forordningen viderefører hovedprinsippene i gjeldende lov. Det er likevel enkelte endringer, blant annet:

• Den registrertes rettigheter er styrket på flere punkter. Blant annet innføres en ny rettighet for registrerte til å motta personopplysninger om seg selv og overføre disse fra en tjenestetilbyder til en annen (dataportabilitet).
• Det innføres plikt til å ha personvernrådgiver for offentlige myndigheter og for visse private behandlingsansvarlige.
• Dagens melde- og konsesjonsplikt for behandling av personopplysninger bortfaller. Den erstattes med en plikt for den behandlingsansvarlige til selv å utrede personvernkonsekvenser og rådføre seg med Datatilsynet dersom konsekvensutredningen viser at behandlingen medfører høy risiko for personvernet.
• Datatilsynet får mulighet til å ilegge vesentlig høyere overtredelsesgebyr og departementet foreslår derfor at overtredelser av loven ikke lenger skal være straffbare.
• Det innføres en mer effektiv tilsynsordning på europeisk nivå, ved at behandlingsansvarlige med virksomhet i flere stater bare skal forholde seg til én tilsynsmyndighet i EU/EØS.

Kilde: Regjeringen.no: Ny lov om behandling av personopplysninger på høring – pressemelding

 

Et irritasjonsmoment knyttet opp mot GDPR-innføringen er alle dem som ønsker å gjøre god business (butikk) på innføringen. Mange firmaer og konsulenter står klare med sine tips og råd til blodpriser. De kjører på med skremselspropaganda og skor seg virkelig på innføringen gjennom å drive oversalg av sine “fantastiske” tjenester og kompetanse. Det høres ut for at alt vil gå skeis hvis ikke dyre konsulenter, konsulenttjenester, jurister og IKT-revisorer leies inn.

Direktoratet for e-helse har en del nyttig informasjon om EUs personvernforordning (GDPR), inkludert verktøy for implementering. Diverse maler for kartlegging og analyse er tilgjengelig. Se også Normen for mange nyttige tips.

Mange bruker tiden til GDPR feil

Henrik Dagestad i BDO hevder at mange bruker den knappen tiden til innføring av GDPR feil. Hans korte og greie liste om hva man bør fokusere på fram til den nye personopplysningsloven trer i kraft:

1. Skaff deg oversikt over hva som faktisk klassifiseres som personopplysninger, og kartlegg hva dere reelt sett behandler av personopplysninger i virksomheten.
2. Finn ut hvilken rett dere har til å behandle personopplysningene. Ikke fokuser utelukkende på samtykke, men vurder også andre rettslige grunnlag virksomheten kan ha til å behandle personopplysninger.
3. Gjennomfør en risikovurdering. Vurder verst tenkelige tilfeller, og ta en ærlig gjennomgang av hvilke mulige konsekvenser det kan få for personvernet til den enkelte hvis personopplysningene kommer på avveie, plutselig ikke er tilgjengelige eller ikke er oppdaterte.
4. Ta en vårrengjøring. Lag gode rutiner, og kvitt deg med alle data som inneholder personopplysninger du ikke kan eller bør lagre.

Kilde: “Computerworld: Mange bruker tiden til GDPR feil” og “BDO blogg (Henrik Dagestad): 100 dager igjen: Slik bør du jobbe med GDPR-innspurten”.

 

Alt som har å gjøre med GDPR, personvernforordningen og personvernet generelt er omfattende greier! Sannelig ikke lett å vite hvor man skal starte og slutte, og det er mye jus-stoff inni bildet. Prosessen kan også være svært tidkrevende. Det mest sentrale er vel å tenke på slike forhold:

• Kartlegge hvilke behandlinger av personopplysninger som gjøres, og utarbeide behandlingsprotokoller
• Utarbeide og publisere personvernerklæringer
• Utarbeide og gjøre kjent personverninstrukser (intern opplæring)
• Gjøre kjent og ha rutiner for innsyn og andre rettigheter (eksterne, den registrerte)
• Få orden på databehandleravtaler og systemoversikt
• Teknisk og organisatorisk sikkerhet
• Foreta DPIA (vurdering av personvernkonsekvenser for den registrerte) + risikovurderinger
• Få nødvendige samtykker på plass
• Ta seg av og dokumentere personvernbrudd

Lista ovenfor er inspirert av en opplæringsvideo fra Sureway. Jeg skal ikke drive direkte reklame her i dette innlegget, men jeg tror nevnte leverandør ikke tar for store ord i sin munn når de hevder å ha den komplette personvernløsningen. De har utviklet en samling med nesten-ferdige maler og andre hjelpeverktøyer (alt web-basert, med tegning av abonnement) for å få personvernet (GDPR) på stell i bedriftsammenheng. Ifølge dem er behandlingsprotokoller selve hjertet i personvernet.

Personvernerklæring

I forbindelse med nettsider og andre løsninger og systemer for behandling av personopplysninger kommer begrepet personvernerklæring inn som et sentralt begrep. Personvernerklæring blir også enda viktigere etter den nye personvernforordningen trer i kraft. Første skritt er å skaffe seg oversikt over hvilke behandlinger (behandlingsprotokoller) av personopplysninger som blir foretatt.

Ifølge Datatilsynet bør en personvernerklæring inneholde opplysninger av følgende type:

1. Hvem er behandlingsansvarlig?
2. Hva er formålet med behandlingen av personopplysninger?
3. Hva er det rettslige grunnlaget?
4. Hvilke personopplysninger behandles?
5. Hvor hentes opplysningene fra?
6. Er det frivillig å gi fra seg opplysningene?
7. Utleveres opplysningene til tredjeparter?
8. Hvordan slettes og arkiveres opplysningene?
9. Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder?
10. Hvordan sikres opplysningene?
11. Kontaktinformasjon.

Kilde: “Datatilsynet: Hva skal personvernerklæringen inneholde?” (side har blitt fjernet).

I stedet for den nå fjernede informasjonen fra Datatilsynets nettside om personvernerklæring kan veilederen “Informasjon og åpenhet” være av interesse. Der står det blant annet ramset opp hva virksomheten skal gi informasjon om:

• Om virksomheten (kontaktdetaljer/kontaktinformasjon m. m.)
• Om behandlingen (personopplysninger som behandles, formål, behandlingsgrunnlag osv.)
• Om forholdet til andre virksomheter (eksterne mottakere av personopplysninger osv.)
• Om den enkeltes rettigheter (innsyn, sletting, begrensning, dataportabilitet og å protestere. Samtykke, klagemuligheter osv.)
• Om automatiserte individuelle avgjørelser
• Om nye formål
• Om konsekvenser (spesielt viktig hvis det foreligger en særskilt risiko for den enkeltes rettigheter og friheter)
• Om endringer (varsling m. m.)

Det er ikke noen helt spesifikke formkrav av typen hvordan ting skal gjøres i detalj for å få distribuert informasjonen. Personvernerklæring kan være en måte.

I jobbsammenheng pr. desember 2021 (Kinn kommune) har vi så vidt kommet i gang med å få gjort klar behandlingsprotokoller og personverkerklæringer i et fastlagt format, hvor personvernerklæringene – nærmere 200 stk. – på sikt også vil bli liggende offentlig tilgjengelig. Samsvar personvern (Sikri) er til god hjelp i vårt arbeid. Diverse IT-systemer har også internt blitt risikovurdert (ROS), og personvernkonsekvenser (DPIA) har blitt vurdert der det har vært behov for slikt.

Denne bloggen er en privat/personlig blogg og er ikke pålagt å ha en personvernerklæring eller tilsvarende. Likevel har jeg laget meg en noe forenklet personvernerklæring.

Undersøkelse om sikkerhet

Norsk Informasjonssikkerhetsforum (ISF) har ifølge Digi.no gjennomført en undersøkelse om sikkerhet. Et bra og beskrivende sitat fra denne undersøkelsen er:

• Roten til god sikkerhet ligger ofte mellom ørene på de ansatte.

Den menneskelige faktor, sikkerhet og trender

Den menneskelige faktor i form av ansatte er sentral for å oppnå god informasjonssikkerhet. Aktuelle tiltak kan være opplæring, bevisstgjøring, etablering av prosesser/rutiner og risikovurderinger. Ansattes sikkerhetskultur og sikkerhetstankegang må opparbeides i form av blant annet økt kompetanse og bevisstgjøring. Informasjonssikkerhetskultur og god netthygiene må opparbeides. Gode holdninger, kunnskaper og rutiner er sentralt.

Ansatte må få opplæring og bevisstgjøring rundt dette som har med informasjonssikkerhet og personvern å gjøre. Det må foreligge både gode rutiner og ikke minst holdninger på sikkerhetsområdet. En kritisk suksessfaktor for sikkerhetsarbeid kan ofte være dette at sikkerhetsarbeidet har forankring i ledelsen. Personvern og informasjonssikkerhet blir aldri bedre enn det svakeste leddet.

Det kan hevdes at Norge er Europamestere i naivitet. Vi har et tillitsbasert samfunn. Datakriminelle har store muligheter til å kunne lure oss når vi står der med nisselua godt dratt ned over ørene. Ofte spiller de kriminelle på følelser, fristelser, frykt og tillit, noe som gjør av vi i vår naivitet går på deres limpinne.

Informasjonssikkerhet og personvern består selvsagt av en teknisk faktor også. Det er sentralt med gode brannmurer og å holde programvare og andre IKT-systemer oppdaterte (patchet). Eventuell soneinndeling av nettet og kun tjenstlige tildelte rettigheter/rettighetskontroll må det være orden på.

Cybersikkerhet har jeg skrevet noen ord om i min andre artikkel om personvern. Å lage til gode systemer for cybersikkerhet for å beskytte seg mot cybertrusler kan gå på kompromiss med personvernet. All teknologi (infrastruktur, utstyr m. m.) vi omgir oss med og som er knyttet opp mot nettet gjør oss ekstremt sårbare for trusler og angrep. For å beskytte oss innføres overvåkning og loggføring, som igjen i verste tilfelle kan true personvernet.

En utfordring på bedriftsnivå er bruken av skygge-IT/IKT i bedrifter. Med skygge-IT/IKT tenkes det på IKT-løsninger som har blitt tatt i bruk uten tillatelse fra IKT-avdelingen. Typisk har det heller ikke blitt utført skikkelige risikovurderinger før slike systemer tas i bruk. F. eks. finnes det masse kjekke skytjenester, hvor mange av dem også er gratis i bruk (reklamefinansierte). Ukritisk bruk av skygge-IKT kan utsette virksomheten for sårbarhet og angrep utenfra. Bedriftssensitive data kan komme på avveie, og bruken kan kompromittere virksomhetens IKT-systemer. I verste tilfelle kan bruken av skygge-IKT medføre tap av tid, penger, omdømmetap og alvorlige datatap. Gode retningslinjer som følges kan motvirke at skygge-IKT blir et problem.

Teknologien har gjort oss fremmedgjort. Det er mange ledd og verdikjeder der vi kun har delvis oversikt over hva som skjer. Den digitale sårbarheten er allerede stor, og den blir ikke mindre i tiden framover. Personvernet er under et enormt teknologisk press.

Noen trender i årene framover vil være: Digitalisering, “Big data”, “Internet of Things” (IoT) / Tingenes Internett, kunstig intelligens/ “Artificial Intelligenc” (AI), roboter og kryptering. All denne nye teknologien vil ha personvernmessige sider samt sårbarhet og informasjonssikkerhet knyttet opp mot seg. Ellers vil økt bruk av skytjenester og trenden med BYOD også medføre at det er masse å gripe tak i på sikkerhetsområdet. Utfordringene blir ikke akkurat mindre i tiden som kommer.

I forbindelse med bedrifters offshoring og/eller outsourcing (utkontraktering) av IKT-drift kan det oppstå noen ekstra utfordringer rundt personvern og informasjonssikkerhet. Det blir vanskelig å ha full oversikt over verdikjeden, og det kan finnes utro tjenere eller dårlige (og ukjente) ledd i kjeden. Enkelte land har dessuten et slappere forhold til personvern enn f. eks. det Norge har.

Det er vel grunn til å tro at store datasenter er mer utsatt for forsøk på datainnbrudd enn det enkeltbedrifter normalt sett er. Store senter blir mer fristende mål for hackere. På den annen side kan man håpe og tro at store datasentre tilbyr proff drift, overvåkning og sikkerhet.

Opprettelse av flere CERT-grupper vurderes her i landet. Slike “blålys-grupper” kan være et viktig bidrag i kampen mot datakriminalitet. CERT er ifølge Wikipedia en forkortelse for “Computer emergency response teams” og er ekspertgrupper som håndterer større IKT sikkerhetshendelser.

I en kronikk om IT-sikkerhet publisert på Digi.no tar Maria Bartnes og Erlend Andreas Gjære, SINTEF, tak i noen sentrale problemstillinger. Tittelen på kronikken er “Unyttig å gi de ansatte skylden for dårlig IT-sikkerhet”. Noe av innholdet fritt gjengitt er dette:

Dårlige brukeropplevelser tvinger IT-brukere til å ta risikable valg. Man omgår sikkerhetsreglene pga. reglene er vanskelige å etterleve og gir dårlig brukeropplevelse. Velmente sikkerhetstiltak kan komplisere IKT-bruken såpass mye at brukerne finner veier rundt tiltakene og rutinene, som igjen går på kompromiss med sikkerheten. Føyer til for egen regning: Altså det evige dilemmaet mellom brukervennlighet/enkelhet kontra sikkerhet.

Det er viktig å forstå brukerne og at sikkerhetstenkningen kan være et hinder i hverdagen. Gode funksjonelle systemer gir positivt innstilte brukere som dermed også blir mer mottakelig for opplæring rundt IKT og sikkerhet.

Det nevnes også viktigheten for samspill mellom mennesker, organisasjon og teknologi. Eller som jeg lærte under studietiden: PSO-utvikling (personutvikling, systemutvikling og organisasjonsutvikling).

Korona / COVID-19

I forbindelse med denne spesielle situasjonen våren 2020 har det i en del tilfeller blitt lempet litt (midlertidig) på reglene rundt personvern. Likevel er det bekymringsfullt å se hvor fort offentlige virksomheter, næringslivet og enkeltpersoner hopper på nye og ukjente systemer, uten at det i det hele tatt tenkes på databehandleravtaler, risiko- og sårbarhetsanalyser (ROS-analyse) og vurdering av personvernkonsekvenser (DPIA). Krisen eller pandemien medfører at man finner kjappe og nye digitale løsninger uten å foreta grundige vurderinger relatert til informasjonssikkerhet og personvern.

Bruken av Google Analytics

Selv nyttiggjør jeg meg av Google Analytics, men i hvert fall for virksomheter kan bruk av denne tjenesten for analyser og besøksstatistikk være ulovlig:

• Digi.no: Bruk av Google Analytics kan være ulovlig

I lenken står det å lese: «Bruk av Google Analytics kan være ulovlig | Cookie-løsningen sender persondata til USA, konkluderer ferske vedtak. – Det er vanskelig å se hvordan bruk av Google Analytics kan være lovlig, sier Datatilsynet og anbefaler norske virksomheter å se etter alternativer.»

Ifølge artikkel i Dagens Næringsliv 18.01.2022: “Kroken på døren for Google Analytics i Europa? | Ip-adresser, nettleserparametere og pseudonymisert cookie-informasjon til analyseformål er personopplysninger, konkluderte det østerrikske datatilsynet før helgen.”

Ny status sommeren 2023:

• Digi.no: Datatilsynet om Google Analytics: – Hodepinen er løst | Nye regler for overføring av personopplysninger til fra Europa til USA gjør det igjen lovlig å bruke Google Analytics.

TikTok- og Telegram

Det stormer rundt bruken av TikTok- og Telegram våren 2023, og da spesielt innenfor jobbsammenheng.

Mange har fått panikk relatert til informasjonssikkerheten og personvernet knyttet opp mot de sosiale mediene TikTok (kinesisk opprinnelse) og Telegram (russisk opprinnelse) våren 2023. Et relativt stort antall organisasjoner og myndighetsorganer i Norge totalforbyr bruken av de to tjenestene for sine ansatte.

Hva er bekymringsfullt eller farlig med TikTok:

• De registrerer enorme mengder med persondata (mer enn de fleste andre tjenester!), og dette er noe man samtykker til når man tar tjenesten i bruk.
• Kinesisk opprinnelse, noe som også medfører berettiget frykt for at informasjonen deles med de kinesiske myndighetene. Overvåkning, etterretning og spionasje er jo Kina og kinesiske myndigheter “flinke” på i utgangspunktet!
• Kinesiske firma er normalt sett forpliktet til å rapportere og å ha tette bånd overfor kinesiske myndigheter (kommunistledelsen). Det er berettiget grunn til å frykte at masse personopplysninger fra Vesten kommer myndighetene “for øret”.

Hvis man ønsker å bli litt “mørkredd” relatert til informasjonssikkerheten forbundet med de to tjenestene kan denne dokumentaren på det sterkeste anbefales:

• NRK Urix (22.03.2023): Hva er farlig med TikTok?

Verdt å lese:

• Digi.no: Faktisk.no: Truer TikTok (og Telegram) rikets sikkerhet?

Enkelte arbeidsgivere tar virkelig grep:

• NRK Vestland: Her ber dei tusenvis av tilsette om å fjerne TikTok på privat mobil – det vekker reaksjonar | Vestland fylkeskommune går lengre enn dei fleste i sitt nye TikTok-forbod for tilsette.

Ifølge fylkeskommunen ønsker de ikke sameksistens mellom TikTok og interne IKT-systemer på de samme mobiltelefonene. Enten må TikTok fjernes, eller så må tilgangen på interne systemer (e-post, Teams m. m.) fjernes fra private enheter.

Telegram har jeg liten kjennskap til, men bekymringen der er primært knyttet opp mot at tjenesten har russisk opprinnelse. Russland med sin invasjon av Ukraina er ikke akkurat godvenner med Vesten for tiden, og russerne har vist at de i liten grad bryr seg om internasjonale avtaler, samtidig med at de kjører på med ekstrem grad av etterretning, overvåkning og spionasje. Putin & Co. utviser også stor grad av et autoritært og egenrådig styresett.

Min mening: I jobbsammenheng – via virksomhetens IKT-utstyr og/eller virksomhetens nettverk – bør tjenestene nok forbys totalt pga. all usikkerhet knyttet opp mot personvernet og informasjonssikkerheten. Som privatpersoner med eget privat-personlig utstyr bør man tenke seg godt om før man tar slike “invaderende” tjenester i bruk.

Vi velger å gå til “krig” mot sosiale medier (SoMe) med opprinnelse i Kina og Russland. De amerikanske (og eventuelt europeiske) lar vi (stort sett) være i fred! Det har vel mye å gjøre med venn- og fiende-bildet. Vi ser på russerne (Telegram) og kineserne (TikTok) som “fiender” av Vesten, og dermed forbyr vi teknologi og løsninger fra dem. Imidlertid er det ingen tvil om at både “big tech”-firmaene Google, Facebook, Apple og Microsoft samler inn uhorvelige mengder med informasjon og personopplysninger. Det er vel også mye mer “krevende” (les: tilnærmet umulig, pga. vår store avhengighet) å koble seg fra amerikansk teknologi og USA-baserte løsninger.

NSM (Nasjonal sikkerhetsmyndighet) på sin side uttrykker en viss skepsis også mot de sosiale mediene, ifølge Digi.no:

• “Sikkerhetsmyndigheten går faktisk så langt at de anbefaler at man ikke bør ha noen sosiale medier installert på tjenesteenheten, dersom det ikke er reelt behov for det. Trenger man sosiale medie-apper, skal man ha en egen enhet for det.”

Dette står å lese i denne artikkelen fra Digi.no:

• Digi.no: Analyse: NSM retter kritikk mot mer enn bare Tiktok og Telegram | Nasjonal sikkerhetsmyndighet anbefaler også at andre sosiale medier og meldingstjenester holdes unna jobbtelefonen.

Andre lover

Straffeloven er selvsagt også av interesse når det gjelder personvern og eventuelle datainnbrudd hvor gjerningsmann blir tatt eller tilsvarende. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

Innenfor det offentlige er man vant til å forholde seg til § 13 i offentlighetsloven og i forvaltningsloven. Disse paragrafene omhandler taushetsplikt (nynorsk: teieplikt). Lenker til paragrafene:

• Lovdata: Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova), § 13.Opplysningar som er underlagde teieplikt
• Lovdata: Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven), § 13. (taushetsplikt) og ff.

Ny sikkerhetslov

Ny sikkerhetslov med forskrifter skal etter planene ikraftsettes fra 1.1.2019. Denne loven vil i høyeste grad ha innvirkning på bedrifters tenkning rundt informasjonssikkerhet og tilgjengelighet, noe som er nært beslektet med personvern som denne artikkelen omhandler. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, inkludert sikring av all digital infrastruktur innenfor samfunnskritiske områder.

Loven vil trolig omfatte tjenester der tilgjengeligheten er viktig for grunnleggende nasjonale samfunnsfunksjoner og samfunnsviktige tjenester, f. eks. strøm, vannforsyning, helse, olje, gass, betalingsformidling, samferdsel, forsvar m. m. I tillegg videreføres beskyttelsen av gradert informasjon fra dagens lov. Loven vil blant annet gjelde for offentlig virksomhet (stat, fylke, kommune), og også private aktører vil i en del tilfeller bli underlagt lovverket.

Det er viktig med sikring av digital infrastruktur, og ikke bare fysiske enheter (bygg og infrastruktur). Den nye loven er bedre tilpasset dagens digitale virkelighet og sårbarheten pga. IKT enn den gamle loven. Det er mer konkrete krav til sikringen enn i tidligere lov.

En utfordring med den nye loven er at den legger opp til en ikke-samordnet beslutningsstruktur. Det gis rom for at de enkelte departementene selv kan vurdere hva som er sikkert nok innenfor sitt område. Dette kan potensielt medføre ulikheter mellom de ulike sektorene og departementene.

Noen lenker om sikkerhetsloven:

• Lovdata: Lov om nasjonal sikkerhet (sikkerhetsloven)
• Kommunal Rapport meninger: Norske kommuner må ta cyberansvar
• Digi: Ny sikkerhetslov: Allerede neste år vil det bli svært komplisert å utvikle nye IT-systemer: – Bransjen er svært bekymret
• Den norske dataforening: Ny lov ansvarliggjør styret for “oppetid” – Skjerper kravene til tilgjengelighet for samfunnsviktige tjenester

Avslutning

Dette var bare en liten touch borti et svært og omfattende tema. Temaet kan oppleves som noe tungt og kjedelig, men egentlig burde det være av interesse for flere. Konsekvensene som kan oppstå ved krenkelser av personvernet og dårlig informasjonsikkerhet er såpass store og uønskede at man bør ta tak i problematikken. Økt bevissthet kan medføre at man kan forhindre enkelte av sikkerhetstruslene fra å inntreffe. Dokumentasjon og rutiner i form av internkontroll er første skritt på veien for å sikre forsvarlig behandling av personopplysninger. Neste skritt er etterlevelse av rutiner og at alle ansatte virkelig følger dem (ikke selvsagt), samt avvikshåndtering.

Mer: Kortversjon/oppsummering – Personvern, informasjonssikkerhet og internkontroll, ikke tilpasset GDPR (PDF, 0,7 MB).

Lenker:

• blogg.brr.no: Personvern og datasikkerhet
• blogg.brr.no: Digitalisering av kommunal sektor
• blogg.brr.no: Personvern, informasjonssikkerhet og internkontroll på bedriftsnivå
• KiNS (Foreningen Kommunal Informasjonssikkerhet)
• Datatilsynet
• Personvernbloggen – Datatilsynets blogg om personvernspørsmål
• Lovdata
• Norm for informasjonssikkerhet i helse (Normen) – ehelse.no
• Feide
• Norsk senter for informasjonssikring (NorSIS)
• Difi
• Internkontroll/styringssystem – informasjonssikkerhet (difi)
• Senter for IKT i utdanningen (SIKT)
• Slettmeg.no (råd– og veiledningstjeneste nettkrenkelser)
• ID-tyveri
• Nettvett.no
• Du bestemmer – et undervisningsopplegg om personvern og digital dømmekraft for barn og ungdom
• Regjeringen.no, Kommunal- og moderniseringsdepartementet: Personvern
• Computerworld: Ny personopplysningslov til Stortinget
• Digi.no: Norsk informasjonssikkerhetsforum: Her er neste års viktigste sikkerhetsutfordringer
• Digi.no: EU-domstolen: DLD (Datalagringsdirektivet) er ugyldig
• Digi.no: Rapport kritisk til datalagringsdirektivet
• Digi.no: Buskerud fylke lekket sensitive opplysninger
• Dagbladet: Universitetet i Oslo er versting på personvern
• Datatilsynet: Nye personvernregler fra 2018
• Digi.no kronikk om IT-sikkerhet: Unyttig å gi de ansatte skylden for dårlig IT-sikkerhet
• Wikipedia: Personvernforordningen
• NRK: Datatilsynet fant lovbrudd: Millionbøter etter outsourcing av sykehus-IT (Helse Sør-Øst)
• Bergensavisen (BA): Personopplysningene til elever og lærere i Bergen på avveie (FEIDE)
• NRK Hordaland: Kripos kopla inn etter at foreldre med besøksforbod fekk tilgang på info om barn (Vigilo)
• Digi.no: Ny rapport: – Norge er nest best på personvern
• Datatilsynet: Ny veileder om digitale tjenester og forbrukeres personopplysninger (Forbrukertilsynet og Datatilsynet)
• Digi.no: Eksterne fagmiljøer skal granske datasikkerheten i Bergen kommune etter flere tabber og feil
• Datatilsynet: Hva er Privacy Shield?
• Datatilsynet: Korona
• Digi.no: EU-domstol | Avtale om flytting av Facebook-data fra EU til USA holder ikke mål – EU-domstolen tilsidesetter persondataavtalen Data Privacy Shield med USA.
• Digi.no kommentar (Grete Eline Brunsvig):Kan du fortsatt bruke din amerikanske skytjeneste? | Kommentar rundt dette at Privacy Shield har blitt erklært ugyldig av EU-domstolen
• NRK Nordland: Datatilsynet gir mor rett etter ulovlig barnevernssak – personopplysningene skal slettes | Inger Björne-Fagerli vil ikke finne seg i at personopplysninger for sønnen spres etter at skolen meldte dem til barnevernet. – Det oppleves fryktelig.
• Samsvar / Sureway: Den komplette personvernløsningen
• Digi.no: Personvern i skolen | Fersk rapport om norsk skole: Elevenes personopplysninger kan utnyttes kommersielt. Selskapet har tatt tempen på personvernet etter hastedigitaliseringen av norsk skole i pandemien.
• Digi.no: Ett av tre personvern­ombud: – Ledelsen holder seg i liten grad orientert eller viser interesse
• NRK: Teknologirådet mener mange offentlige aktører bør forlate Facebook
• Digi.no: Østre Toten kommune | Kommunen får millionbot (4 millioner, ilagt av Datatilsynet) etter dataangrepet som allerede har kostet dem 32 millioner
• Digi.no: Bruk av Google Analytics kan være ulovlig
• Dagens Næringsliv Innlegg (Christine StouslandChristine Stousland): Kroken på døren for Google Analytics i Europa?
• Digi.no: Datatilsynet om Google Analytics: – Hodepinen er løst | Nye regler for overføring av personopplysninger til fra Europa til USA gjør det igjen lovlig å bruke Google Analytics.
• Digi.no: Fire år (pr. Mai 2022) med GDPR – og 16 milliarder i bøter
• Digi.no: GDPR-bruddene blir stadig mer alvorlige – bøtene øker kraftig
• Digi.no: Microsoft med ny databehandleravtale: – Ja, det nytter å stå på for personvernet | Norsk helsenett har utfordret myten om at de store skyleverandørene er umulige å rikke. I dette innlegget forteller personvernombudet (Marit Larsen Haarr) om kampen.
• Dagsavisen leder: Kampen om framtiden | Forbrukerrådet klager inn Facebook-eier Meta for omfattende brudd på personvernlovgivningen – enda en gang.

I en kort periode var jeg medlem av gruppa “Vi som har eller skal adoptere fra kina” (lukket gruppe). Dette medlemskapet fikk meg til å bli enda mer bevisst på hvor overflatisk det som har med Facebook (og andre sosiale medier) er.

Gruppa utviklet seg til å bli en ren skryteplass. Masse fine bilder av barn som har blitt adoptert fra Kina. Fint og flott det, men det ble rett og slett litt for mye skrytealbum og ikke en gruppe for seriøse diskusjoner. Det ble også litt for mye skryt av 72-timersprogrammet for adopsjon (“barn med spesielle behov”) som sentrale talspersoner har benyttet seg av, mens vi andre som har stått i LANG kø for “normal” tildeling (opptil ca. 7 år) nesten ble latterliggjorte.

Forsøk på seriøse diskusjoner ble enten tiet i hel eller innleggene “forsvant” (ble fjernet av gruppas administrator?).

En interessant diskusjon som ble reist var om det er helt greit at man legger inn masse høyoppløselige bilder og masse fakta om barna som har blitt adoptert, gjerne tilbake til de var på barnehjem eller tilsvarende i Kina. Bilder m. m. vil jo bli liggende i lange tider på Facebook og dessuten har jo Facebook tilnærmet ubegrenset bruksrett til bildene (kan gi dem bort, selge dem til andre osv.). Både utlegging av detaljert informasjon og bilder kan krenke barnas personvern og bli en belastning for dem i framtiden.

Dette tydet på å bli en interessant diskusjon som jeg både tenkte å følge med på og også delta i. Slik ble det ikke. Dagen etter diskusjonen ble påbegynt ble hele startinnlegget slettet. Tydeligvis ble det en for seriøs diskusjon som tråkket enkelte på tærne.

Nå er det ikke adopsjon og Kina som er hovedtemaet for denne artikkelen. Det jeg er litt opptatt av er hva man bruker og ikke bruker Facebook til. Skal det bare bli en plass for overflatiskhet? Kun glansbilder og skrytebilder av seg selv og sine, kun positive opplevelser og erfaringer, lykkelige ytringer, skryt av hvor flink man selv eller andre i familien er, sitater, morsomheter, spill osv.? Eller er det rom for litt mer dype diskusjoner og ytringer uten at det ender opp med useriøsitet, usakligheter, latterliggjøring og personangrep?

Fra en tidligere skrevet artikkel om personvern tar jeg også med meg følgende momenter relatert til Facebook og andre tilsvarende sosiale nettverk:

• En tilsynelatende vilkårlig sensur og håndhevelse av deres egne retningslinjer. Dette går på ytringsfriheten, folkeopplysningen og demokratiet løst.
• Enkelte former for bilder og ytringer tillates ikke, mens andre ting som det virkelig er grunn til å reagere på (sett med norske øyne) passerer sensuren uten problemer.
• Noe helt annet (etikk/moral) er at selskaper slik som Facebook bedriver kreativ regnskapsføring/bokføring for å unngå betaling av skatt.
• Hva med alle personopplysninger som man frivillig gir Facebook tilgang på? Opplysninger kan misbrukes!
• Kan bilder og informasjon som man legger ut på Facebook skape problemer i ettertid? F. eks. nakenbilder, festbilder etc. kan “forfølge” en person i lange tider.

Facebook og deres partnere truer personvernet (Privacy): Mars 2018 stod det i media om at privat informasjon om femtimillioner Facebook-brukere er på avveie/misbrukt. Privat informasjon har blitt hentet ut fra Facebook av Cambridge Analytica uten å hente spesifikt samtykke fra brukerne og i strid med reglene til Facebook. Innsamlet informasjon har blant annet blitt benyttet til å påvirke det amerikanske presidentvalget (målrettet politisk reklame mot amerikanske velgere). Det er neppe snakk om innbrudd eller hacking, men utnyttelse av de muligheter som ligger i Facebook. Visstnok skal Facebook ha foretatt noen forbedringer og innstramminger slik at det samme ikke kan skje på nytt i like stor alvorlighetsgrad

Facebook som medium med mange “venner” og følgere egner seg ikke akkurat til sjelesorg og sensitive personlige utleveringer. Imidlertid finnes det vel en mellomting mellom det dypt personlige og det totalt overflatiske?

Muligens vil “allmuen” at Facebook og andre sosiale medier kun skal bli overflatiske skrytearenaer uten rom for de dype diskusjoner? Er det kun rom for det “politisk korrekte” og det “allment aksepterte”? Er det ikke rom for annerledestenkende personer og diskusjoner?

Lenker:

• blogg.brr.no: Personvern og datasikkerhet
• blogg.brr.no: Diskusjonsfora = Kloakk
• blogg.brr.no: Kommunikasjonsmodellen
• blogg.brr.no: Nett-troll og hatefulle ytringer
• blogg.brr.no: Forsvarstale for barnevernet

For tiden er det et motefenomen og mye “hype” på IKT-området rundt nettskyen. Nettskyen går også under betegnelser som skyen, cloud, “cloud computing” eller Software as a service (SaaS). Kjært barn har mange navn som det så fint heter.

Ifølge Wikipedia kan “cloud computing” (nettskyen) defineres som: “Alt fra dataprosessering og datalagring til programvare på tjenere (“servere”) i eksterne tjenerparker tilknyttet internett, også kjent som skytjenester.”

Hva er egentlig så fancy og nytt med nettskyen? Tjenester ute på nettet har vært med oss i en god del år allerede. Og lengre tilbake i datahistorien var det diverse datasentraler (f. eks. Rogalandsdata) lokalisert rundt forbi både her i Norge og i verden forøvrig som betjente “dumme” lokale terminaler (tynnklienter). Selvsagt åpner de senere års utvikling på bredbåndsfronten opp noen nye muligheter i forhold til tidligere tjenester.

Vanlige tjenester som mange av oss benytter i det daglige er i slektskap med skytjenestene. Av slike tjenester kan jeg f. eks. nevne Facebook, Google sine mange tjenester, Hotmail / Outlook og andre tjenester fra Microsoft (M365, med OneDrive og SharePoint, og Azure-plattformen i bunnnen) og nettbank. Webhotell, e-post og diverse applikasjoner som kjøres via nettet kan også defineres til å være beslektet med begrepet skyen.

Amazon Web Services, Microsoft Azure og Google Cloud Platform er kjente leverandører og produktpakker som tilbyr serverkapasitet i nettskyen på timesbasis (kan sammenliknes med et kraftverk for strøm). Fordelen med å leie kapasitet i skyen er at det er enkelt å oppgradere eller oppskalere kapasiteten hvis behovene øker (eller eventuelt nedskalere). Man betaler bare for de ressursene som er i bruk, og det er fort gjort å ta i bruk nye tjenester og ny funksjonalitet. Mange asiatiske leverandører er også “på hugget” for å kapre kunder i Europa til sine skyløsninger.

Komplekse lokale servere som medfører en del driftsmessige utfordringer kan fjernes fra den enkelte bedrifts egne lokaler. I stedet leies nødvendig serverkapasitet fra skyen. En del frykter for jobbene til lokalt driftspersonell (IKT / IT – konsulenter og systemansvarlige), hvor allerede en god del drifting og utvikling av IKT-systemer allerede har blitt utkontraktert / outsourcet til f. eks. India. En utfordring kan være å få overført “sære” (egenutviklede, gamle eller lite standardiserte) applikasjoner til å være en del av skyen. Kontrakter og avtaler må også være slik at man virkelig får det man ønsker å få, og med muligheter for å komme ut igjen av kundeforholdet hvis ting ikke fungerer som forventet. I hovedsak blir det mye standardprodukter og hyllevare som kan tilbys via skyen.

Det skrives uansett opp og ned og i mente om nettskyen i IKT-relaterte fagblader og nettsider. “Alle” må hoppe på skyen og hvis man er avventende følger man ikke med i tiden eller dagens trender. Alt dette som har med skyen og utkontraktering (outsourcing) er på mote for tiden.

Selvsagt har jeg som IKT-interessert stor tro på skyen. Tjenester via nettet har allerede blitt en del av vår hverdag og i framtiden vil det nok bare bli ennå viktigere enn i dag. Likevel synes jeg nok hele skytenkningen er litt vel overeksponert i enkelte kretser. Alt og alle skal være en del av skyen. Å ta i bruk nettskyen innfører også nye problemer, utfordringer og potensielt negative konsekvenser.

Selv har jeg i noen år benyttet meg av skylagringstjenesten Jottacloud til sikkerhetskopiering (backup). Ifølge deres egen nettside tilbyr de: “Ubegrenset lagring, verdens beste personvern, alt tilgjengelig, trygt lagret, synkroniser pc, nettbrett og mobil med Jottacloud og ha alle filer tilgjengelig for deling og arbeid.” En stor fordel sett fra mitt ståsted er at JottaCloud holder til i Norge og dermed følger norsk lovverk og regler for personvern. Overføringen er også kjapp, noe som vel har sammenheng med at tjenesten er norsk (kort transportvei med kjappe linjer).

I en periode benyttet jeg meg av både Jottacloud, Google Drive, Dropbox og Microsoft OneDrive. Særlig på Android var ikke Jottacloud sin klientprogramvare særlig bra tidligere. Etter hvert har svakhetene og problemene blitt fikset opp i og mer funksjonalitet har kommet på plass, så nå bruker jeg desidert mest Jottacloud. Til enkelte “midlertidige prosjekter” er jeg innom OneDrive innimellom, mens de to andre nevnte skytjenestene for lagring har jeg ikke brukt på en lang stund.

Det er trygt og greit å ha Jottacloud som holder til her i Norge. Det er ikke bare-bare å bruke skytjenester fra leverandører i Trump-landet (USA). Amerikanerne setter gladelig personvern og privatlivets fred til sides i sin jakt på terrorister, IS/ISIL og andre “bad guys”). CIA, FBI og ikke minst NSA (National Security Agency har gode muligheter med myndighetenes velsignelse til å kunne “snike” i data og å overvåke, alt i sin iver etter å beskytte og verne landets interesser.

Spesielt viktig for meg er å ha sikkerhetskopi (backup) av min bildesamling. Pr. dags dato (september 2017) har jeg liggende ca. 45 GB med bilder (og video) fordelt på ca. 17.700 filer hos Jottacloud. Grunnen til at bildene ikke tar enda mer plass er at jeg fotograferer dem i vanlig .JPG-format og ikke i plasskrevende .RAW-format. Har heller ikke noen stor samling med videoer.

Når dette skrives “okkuperer” jeg totalt ca. 500 GB (ca. 1/2 Terabyte) med lagringsplass hos Jottacloud. For å lagre denne datamengden hos dem betaler jeg rett over kroner 700,- pr. år. Oppdatering pr. april 2023: Litt over 600 GB lagret via Jottacloud, og nå har prisen blitt justert opp til kroner 990,- pr. år (Personlig abonnement med ubegrenset lagring).

 

Jottacloud støtter også de mobile plattformene Android og iOS, i tillegg til Windows og MacOS. Nå har de også innført AI-basert bildesøk (kunstig intelligens bildesøk, KI):

 

Dette måtte jeg jo prøve ut, og jeg ser at de har en lang vei å gå før dette fungerer perfekt. Et bilde av en rød vannkanne med noen hvite blomster i bakgrunnen er ikke “røde blomster”. Rognebær passer vel heller ikke inn i definisjonen “røde blomster”, og oransje farge er ikke helt det samme som rødt. Søk etter bilder med bilmerket Toyota framskaffet også et bilde av en gammel Lada. Jottacloud bildesøk AI vil jeg stemple som direkte ubrukelig slik som status er pr. dags dato (juli 2023).

Dette var litt om bruk av skyen privat. I virksomhetssammenheng (bedrifter) blir ting noe mer komplisert. Spesielt er jeg som kommunalt ansatt opptatt av nettopp denne sektoren og eventuell nyttiggjøring av skytjenester her. Imidlertid har jeg både privat og i jobbsammenheng begynt å “snuse” på Google sine skytjenester i forbindelse med Chrome OS og Chromebooks. I tillegg har min arbeidsplass – Kinn kommune – valgt seg ut Microsoft 365 m/Teams som sitt primære samhandlingssystem.

Det kan være greit å nevne noen begreper rundt sky:

Ulike typer skytjenester:

• Programvare som tjeneste (Software as a Service, SaaS)
• Plattform som tjeneste (Platform as a Service, PaaS)
• Infrastruktur som tjeneste (Infrastructure as a Service, IaaS)

Leveransemåter:

• Den allmenne skyen/offentlig tilgjengelig sky (Public cloud)
• Privat sky (Private cloud)
• Hybridsky (mellomting mellom de to andre)

Før flytting av tjenester og data ut i skyen, spesielt ut i den offentlige skyen, er det viktig å blant annet vurdere forhold slik som:

• Hva slags data blir behandlet, risikovurderinger må foretas (ROS), databehandleravtaler må tegnes, det må sørges for at inngåtte avtaler er i henhold til norsk lovverk, vurderinger rundt informasjonssikkerhet må foretas og ta hensyn til personvernet og lovgivningen rundt dette.
• Hvor behandles og lagres data (hvor ligger datasentrene)? Hvem har systemtilgang på dataene (drifter databaser osv.), og i hvilke land sitter disse teknisk driftsansvarlige? Det er ikke ok for Datatilsynet eller for den enkelte virksomhet at dataene havner i hvilket som helst land. EU/EØS er i hovedsak uproblematisk, men det er slettes ikke alle andre land det foreligger tillit til og/eller avtaler med.
• Ansvarsfordelingen mellom kunde og leverandør må avtales og avklares. Hvem har ansvaret for sikkerhetskopiering f. eks.?
• Avtaler og betingelser er sentralt og viktig! Man blir fort bastet og bundet til en leverandør, slik at det ikke er helt rett fram å si opp avtalen eller å skifte leverandør. Datauthenting og dataportabilitet er det viktig å ha avtaler på.

Det er MYE å tenke på hvis man vurderer å flytte ut i skyen, og spesielt hvis det er snakk om et firma som skal flytte ut. Nok en liste over noen ting som det må tenkes på, inkludert litt gjentakelser fra forrige punktliste:

• Avtalen som inngås må være en balansert og god avtale for begge parter, dvs. en OK / akseptabel avtale både for tilbyder og kunde.
• Klarhet i arbeids- og ansvarsfordeling må foreligge. Hvem gjør hva, og hvem har ansvaret? F. eks. for sikkerhetskopiering (backup) og antivirus.
• Pris OK.
• Akseptabel funksjonalitet (dekker løsningen kundens behov).
• Tilfredsstillende ytelse (hastighet).
• Kvalifisert support og støtte, og kommunikasjonskanaler mellom kjøper og selger som fungerer.
• Muligheter for skalering begge veier (oppover eller nedover, etter behov til enhver tid).
• Muligheter for tilpasninger og integrasjoner.
• Det må tenkes på: Informasjonssikkerhet og personvern (inkl. GDPR).
• Gode og enkle muligheter for uthenting av data ved eventuelt avtaleavslutning.

Punktene ovenfor kan vel nesten ses på som kritiske suksessfaktorer. Det er mange fallgruver, og mange muligheter for å mislykkes med å ta ting ut i skyen.

Pr. dags dato er det noe problematisk å flytte arkivverdig materiell (offentlig sektor) ut i de store utenlandske skytjenestene. Det samme gjelder for regnskap/bokføring. Arkivlovgivning og bokføringslovgivning har noen begrensninger/hindringer for slikt. Systemer med mye sensitive personopplysninger kan også være noe utfordrende å flytte ut. (De juridiske hindringene nevnt her blir det sannsynligvis forholdsvis fort ordninger på.)

Ansvar for sikkerheten: Hvem har ansvar når det går galt med sikkerheten i skyen (datatap, phishingangrep, kriminelle etc.) er det viktig å tenke på. Leverandørene vil neppe ta det fulle og hele ansvaret, og det mest naturlige er vel en form for ansvarsfordeling. Også her som i mange situasjoner stemmer utsagnet ingen systemer er sterkere enn sitt svakeste ledd. Hvis det er gode sikringstiltak på skynivå blir en måte å gå rundt dette å rette angrep mot klientnivået / klientsiden. En interessant artikkel om denne problematikken er denne:

• Digi.no: Sikkerhet i nettskyen – Mange tror leverandøren har hele ansvaret når det går galt. Det får ekspert til å rope varsko

Ellers har det i media vært en del uheldige saker hvor data og drifting har blitt flyttet til skyen i det store utland og problemer har oppstått. Statoil (dagens Equinor) og Helse Sør-Øst er blant dem som har hatt noen uheldige opplevelser. Det oppstår stor avhengighet – og sårbarhet – av skytjenester som har datalagring i utlandet under annet lovverk og andre myndigheter enn de norske.

Lokale serverrom / datarom vil nok i en viss grad bestå mye lengre enn skyevangelistene spår, men selvsagt vil den største veksten angående serverkapasitet være i skymarkedet. Nedbetalte systemer som er lette å drifte lokalt er det ikke nødvendigvis noen gevinst i å flytte ut i skyen. For kjapp responstid og full kontroll over data og systemer kan også lokal drifting være aktuelt i overskuelig framtid i enkelte settinger.

Selv om jeg opplever dette med “skyen” som noe vel “opphypet” er det ingen tvil om at denne teknologien og løsningene har kommet for å bli. Selv er jeg en storfornøyd bruker av Jottacloud og flere skytjenester vil nok komme til å bli tatt i bruk her privat for min del etter hvert. Skyen kommer også for fullt innenfor virksomheter, inkludert innenfor kommunal virksomhet. Skyen har kommet for å bli, og det nytter ikke å overse denne teknologien.

Lenker:

• Robin Lund: Ligg unna Jottacloud (Begrunnelse: Tillater kun private filer og ikke jobbfiler lagret på et privatabonnement + snoker.)
• blogg.brr.no: Notater relatert til Microsoft 365 og Teams
• blogg.brr.no: Microsoft 365 Family (delvis i skyen)

Absolutt noe man bør ta til ettertanke, før amerikanerne overtar hele den digitale verden og får helt sky-herredømme:

• Digi.no debatt (Christian Rosenvinge): Er vi i ferd med å gjøre oss selv til digitale leilendinger? | Ved å stadig kjøpe mer av tech-gigantene, øker vi bare avhengigheten til noen få selskap, samtidig som vi avstår fra å bygge opp alternative miljøer og næringer innenlands

Informasjons- og kommunikasjonsteknologi (IKT) kan være et effektivt hjelpemiddel (og i noen tilfeller en tidstyv) i vår hverdag, men teknologien skaper også utfordringer rundt dette som har med personvern og datasikkerhet / informasjonssikkerhet å gjøre. Selv om jeg jobber med IKT og på mange måter er en teknologifreak, ser jeg også en del farer, problemer og utfordringer som teknologien medfører.

Innimellom blir dette med personvern og datasikkerhet nevnt i media, men i forhold til mange andre saker synes jeg mediedekningen er heller moderat på dette området. Kritikk mot helsevesenet, enkeltskjebner, kritikk mot regjeringens politikk, flyktningestrømmen, høye strømpriser, korona, innvandrings- og asylpolitikken får mye større dekning i media enn personvernet.

Personvern kan defineres som: “.. et krav om selv å kontrollere når, hvordan og hvor mye informasjon om egen person som spres til andre parter.” Vi har alle retten på et privatliv og til å bestemme over våre egne personopplysninger. Personvern handler om beskyttelse av opplysninger (personopplysninger) som kan knyttes til identifiserbare enkeltpersoner.

Ifølge Datatilsynet om hva er personvern: “Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.” I tillegg kunne beskyttelse mot bruk av metadata ha blitt føyet til i tillegg.

Både via det vi selv foretar oss samt via tabber hos offentlige myndigheter eller i næringslivet hender det at personopplysninger og informasjon om den enkelte spres til personer og instanser som ikke burde hatt denne informasjonen. Innimellom skjer det krenkelser mot personvernet, noen av dem svært grove.

Personregistre, elektroniske spor og Datatilsynet

Hver enkelt nordmann er registrert i drøssevis ulike personregistre (hundre- eller tusenvis). De fleste tenker i liten grad på at disse opplysningene kan komme på avveie, bli misbrukt eller solgt til ulike tredjeparter. I det siste har det f. eks. vært en oppblomstring av ID-tyverier, hvorav en del av disse skyldes personopplysninger som har kommet på avvei fra elektroniske registre eller pga. den enkeltes uvørenhet på nettet. Vi blir også utsatt for målrettet reklame basert på hva vi har foretatt oss på nettet i form av besøkte nettsider, søk, statuser og likes.

Vi legger fra oss masse elektroniske spor i vår hverdag. Handel på nettet, bruk av betalingskort i butikk eller minibank, surfing på nettet, bruk av nettbank, bruk av mobiltelefon, passering av bompengeringer, videoovervåkning osv. legger igjen elektroniske spor. Stort sett er slike elektroniske spor ufarlige forutsatt at den som registrerer dataene ikke misbruker dem samt har høy datasikkerhet som hindrer data fra å komme på avveie. Imidlertid skjer det innimellom datalekkasjer som gir uvedkommende aktører tilgang på personinformasjon. Spesielt alvorlig er det hvis sensitive data og informasjon, f. eks. helseopplysninger, kommer på avvei.

Mange nettjenester som vi benytter oss av fører til at mange elektroniske spor blir lagt igjen. Datakommunikasjonen kan gå gjennom mange ledd (mange kokker, mye søl!), hvor mange av kommunikasjonsleddene er ukjente for den vanlige bruker. Underveis i overføringskjeden blir ting loggført og det finnes mange muligheter for uønsket tapping av informasjon og overvåkning.

For tiden er det enkelte som ønsker å få avskaffet kontanter (sedler og mynter). Ikke alle er like glade for dette, da dette blant annet kan gi noen utfordringer for personvernet. Bruk av kort medfører at vi legger igjen masse elektroniske spor, og da gjerne enda mer omfattende spor enn ved bruk av rabattkort (bonuskort). Bankkort (minibankkort, kredittkort, betalingskort jf. Visa og MasterCard) brukes over alt på kryss og tvers uavhengig av kjede eller type handel (netthandel, fysisk i butikk osv.). Om vi bør ha tillit til at bankene forvalter informasjonen som elektronisk kortbruk medfører på en god måte kan absolutt diskuteres.

Dette med farene rundt kortbruk som eneste betalingsmåte hvis kontantene forsvinner stod det en glimrende artikkel om på Dinside. Artikkelen er basert på uttalelsene til Hans Christian Færden, grunnlegger av “JA til kontanter”. Utenom personvernet var han innom andre faktorer slik som: Nedetid i bankene, samfunnsikkerhet, bankenes makt (og misbruk av makt) til å stenge kontoer m. m. Fører et kontantløst samfunn til at vi fjerner oss fra demokratiet og går inn i “bankokratiet”? En FrP-kar av alle ting har også skrevet et interessant innlegg: “Stå opp for personvernet – si ja til kontanter“.

Datatilsynet er vaktbikkja som med personopplysningsloven i hånden skal sørge for at aktører som oppbevarer personopplysninger gjør det som er mulig for å sikre et bra personvern. Takk og pris for at nevnte tilsyn og lovverk finnes! Vi trenger noen som beskytter oss mot uheldig spredning av personinformasjon!

En sentral person i norsk sammenheng som var forkjemper for personvernet var Georg Apenes. Han døde 2. oktober 2016. Apenes var sjef for Datatilsynet i en årrekke og kom med mange sentrale innspill og var en god “vaktbikkje” innenfor personvern. Ifølge ham var det nødvendig med muligheten for en privat sfære for å kunne beholde rettsstaten og demokratiet.

Figuren nedenfor viser en del personopplysninger (ikke utfyllende eller komplett liste!) som kan trenge større eller mindre grad av vern og beskyttelse:

 

Personopplysninger er mangt og mye. En figur som har fått med enda flere former for personopplysninger (ikke utfyllende eller komplett liste!) presenteres:

 

Fødselsnummer og brudd på personvernet

Et svakt punkt her i Norge er fødselsnummeret/personnummeret som blir brukt i mange sammenhenger. Dette er en unik identifikator som gjør det veldig lett å koble sammen informasjon fra forskjellige dataregistre. Heldigvis finnes det regelverk som skal hindre ukritiske koblinger av registre og data. Lov om behandling av personopplysninger (personopplysningsloven) § 12 skal sikre at fødselsnummer kun blir benyttet når det er saklig grunn for det.

I medier hører man “støtt og stadig” om brudd på personvernet. Kundelister med personopplysninger kommer på avveie, universiteter og høgskoler klarer å publisere studentlister på nett med fulle fødselsnummer, postlister og innsynsløsninger på nett inneholder sensitive data/gradert informasjon osv. I tillegg blir informasjon gjort tilgjengelig etter hacking-inngrep/datainnbrudd. Mange hverdagslige krenkelser av personvernet finner altså sted, gjerne pga. menneskelige feil.

Facebook og andre sosiale media

Enkelte personer er lite kritiske til hva de skriver på Facebook (og andre sosiale nettverk) eller hvilke bilder de legger ut. Ulike app-er som samler inn masse ulike personopplysninger tillates og tester som har som formål å “stjele” personopplysninger kjøres helt ukritisk. En del bloggere tenker heller ikke særlig langt. Uheldig informasjon som legges ut, f. eks. festbilder eller nakenbilder, kan skape problemer i framtiden når man skal søke på jobb eller tilsvarende. Nettet blir også brukt til å mobbe eller til å drite hverandre ut ved å publisere støtende informasjon om andre.

En annen utfordring med Facebook er deres tilsynelatende vilkårlige sensur og håndhevelse av retningslinjer. Enkelte former for bilder og ytringer tillates ikke, mens andre ting som det virkelig er grunn til å reagere på (sett med norske øyne) passerer sensuren uten problemer. Dette går på ytringsfriheten, folkeopplysningen og demokratiet løst. Noe helt annet er at selskaper slik som Facebook bedriver kreativ regnskapsføring/bokføring for å unngå betaling av skatt.

Personvern er en ting. Med hjelp av teknologien og da spesielt via sosiale medier kan demokratiet være truet pga. påvirkning og manipulering. Det finnes sterke krefter som vil demokratiet vondt. Digitale algoritmer (roboter) kan forenkle komplekse politiske spørsmål, og folks oppfatninger og valg blir utsatt for manipulering. Digitale trusler foreligger, roboter “overtar” makta. Facebook-parlamentet kan bli en realitet.

I tillegg finnes det mer manuelle metoder, f. eks. trollfabrikker som også bruker Facebook, sosiale medier og Internett til å sette dagsordenen og drive sterk grad av påvirkning.

Facebook og deres partnere truer personvernet (Privacy): Mars 2018 stod det i media om at privat informasjon om femtimillioner Facebook-brukere er på avveie/misbrukt. Privat informasjon har blitt hentet ut fra Facebook av Cambridge Analytica uten å hente spesifikt samtykke fra brukerne og i strid med reglene til Facebook. Det er neppe snakk om innbrudd eller hacking, men utnyttelse av de muligheter som ligger i Facebook. Visstnok skal Facebook ha foretatt noen forbedringer og innstramminger slik at det samme ikke kan skje på nytt i like stor alvorlighetsgrad.

Personvern og verning om privatlivets fred er vel ikke Facebook sin spesialitet. Der i gården leves det av å samle inn og å selge personopplysninger. Personopplysninger er og blir salgbare lukrative handelsvarer for dem. Til tider virker det som om de har gått litt vel langt med å dele personopplysninger med både seriøse og useriøse aktører, alt for pengenes og inntjeningens skyld. Mye av dette skjer uten at brukerne er fullt klar over hva som skjer. 

Nettskepsis styres av moralsk panikk

• Har lest uttalelser av typen at hele nettskepsisen som enkelte har styres av moralsk panikk.
• Spesielt Facebook-avsløringene hvor personlig informasjon fra millioner av mennesker har blitt misbrukt av Cambridge Analytica har skapt panikk.
• Mål med informasjonsbruken: Påvirke det amerikanske presidentvalget, dvs. påvirke på en forholdsvis skjult måte demokratiske prosesser rundt et valg.
• Folk sletter sine Facebook-kontoer i ren redsel.
• Selv har jeg ingen planer om å forlate Facebook, men jeg er litt kritisk til hva jeg legger ut her.
• Alle søk, delinger og likes vi foretar oss fanges opp av Facebook, blir loggført og lagret.
• Smarte algoritmer benyttes til å bearbeide informasjonen og til å presentere selektert informasjon rettet mot den enkeltes interesser. Dette vil gi oss informasjon og reklame med større relevans.
• Nye nyhetsaktører er på banen. Det er viktigere enn noen gang å vurdere troverdigheten til aktørene, og ikke minst å bedrive kildekritikk aktivt.
• Skolene har også et stort ansvar å lære opp kommende generasjoner i dette. Problemet er at skolene ikke alltid henger med i den teknologiske utviklingen.
• Sosiale medier og andre nettressurser kan i verste tilfelle true privatlivet og personvernet dramatisk. Demokratiet kan også bli truet.
• Litt kritisk sans og bevissthet fra oss brukere/mennesker kan være på sin plass!

 

Mange apper knyttet opp mot Facebook opererer med alt for store tilganger på data. Mange kjører ukritisk i gang med diverse tester, spill og små-apper inne i Facebook uten å tenke på konsekvenser og på hvilke data man gir appene sjansen til å hente ut. Dessuten kan eksterne apper som man logger seg inn i via Facebook sitt system for identifisering også få tilgang på masse Facebook-data, noe vi gladelig sier ja til under første gangs oppsett/oppkobling.

Facebook vet ufattelig mye om den enkelte og vedkommende sin vennekrets. Når og hvor ting skjer, hvilke linker som trykkes på, likes som gis, samtaler som gjennomføres osv. osv. Ja, Facebook truer virkelig den enkeltes personvern med sin massive innsamling av data.

Selv er jeg spesielt kritisk og skeptisk til enkelte lag og foreningers bruk av Facebook. Enkelte bruker tjenesten til nesten all medlemsadministrasjon, medlemsinformasjon og medlemskommunikasjon. Når man vet hvor slappe Facebook er når det gjelder personvern ser jeg på det som ganske så uansvarlig å bruke Facebook i stor grad til slike ting. Videre er det jo ganske masse vilkårlig moderering eller sensur som finner sted fra Facebook sin side.

Facebook og andre sosiale medier (SoMe) med amerikansk og eventuelt europeisk opphav. Mange har fått panikk relatert til informasjonssikkerheten og personvernet knyttet opp mot de sosiale mediene TikTok (kinesisk opprinnelse) og Telegram (russisk opprinnelse) våren 2023. Det stormer rundt bruken av TikTok- og Telegram våren 2023, og da spesielt innenfor jobbsammenheng. Mange virksomheter vil eller har allerede forbudt bruken for sine ansatte / tilsatte av disse to tjenestene. Mer om dette i innlegget “Personvern, informasjonssikkerhet, internkontroll“.

Nett og nettjenester

Nettjenester slik som Google (søk og andre tjenester), Apple (Apple ID og tjenester der denne benyttes m. m.) og Facebook samler inn ufattelige mengder med informasjon om våre surfevaner, interesser osv. Vi får servert reklame tilpasset våre interesser og leverandørene har god tilgang på personopplysninger om den enkelte. Vi ofrer gladelig noe av personvernet for å få tilgang på gratis nettjenester som vi finner interessante.

Store internasjonale datagiganter / teknologigiganter slik som Google, Facebook, Apple, Microsoft og Amazon kan virkelig true vårt personvern. Flere av disse aktørene mer eller mindre bruker personopplysninger som en handelsvare. Også utveksling av data med OECD samt diverse mektige aktører innenfor internasjonale handelsavtaler kan true personvernet. I Norge har Datatilsynet våknet opp, hvor de blant annet ønsker å se på lovligheten av bruken av Google / Chrome OS / Chromebook i skolene (se lenker i bunnen av min Chromebook-artikkel).

En “harmløse” tjeneste slik som besøksstatistikk via Google Analytics er heller ikke rett fram. Google Analytics får gjennomgå for sitt manglende personvern og sin amerikanske håndtering av personopplysningene. Det hevdes at bruken kan være ulovlig i Europa, og at avsløringene kan bidra at det blir kroken på døra for bruk av løsningen innenfor Europas grenser (“GDPR-riket”). Mer om dette i artikkelen / innlegget “Personvern, informasjonssikkerhet, internkontroll“, hvor det også ligger ei lenke til en artikkel hos Digi.no hvor det virker som om Google Analytics likevel kan bli bli benyttet lovlig i Europa.

Det media i en viss grad har klart å formidle er alle farene som ligger og lurer ute på nettet. Det har vært flere tilfeller der virus og trojanere samt sikkerhetshull i Windows har blitt benyttet til diverse svindelforsøk. Likevel ser det ut for at enkelte ikke lærer og ikke tar dette som har med datasikkerhet på alvor. Det finnes ennå PC-brukere som ikke forstår at de må ha et antivirusprogram (samt beskyttelse mot spionprogramvare) som er oppdatert på sin PC samt viktigheten av å kjøre Windows Update og tilsvarende oppdateringer (Flash, Adobe Reader, Java osv.). Bruk av “brannmur” på sin PC / nett er et must i den mindre snille verdenen vi bor i!

Av og til begynner jeg å lure på om nordmenn er en gjeng med naive nisser med nissehua godt dratt ned over ører og øyne. Folk kan være svært naive i sin bruk av Internett. Stadig blir enkelte nordmenn lurt av sjekketjenester der det sitter en kjeltring i andre enden, folk tror de har vunnet store pengesummer og gir gladelig fra seg personopplysninger for å innkassere pengene (som ikke finnes) og folk går på det gamle trikset med at man får en e-post fra “banken” med beskjed om å oppgi PIN-kode etc. Resultatet er at man blir svindlet for penger eller utsatt for ID-tyveri.

Noen hundretusen nordmenn har blitt utsatt for identitetstyveri (ID-tyveri) i løpet av de siste årene. Noen av disse tyveriene skyldes naivitet og skjødesløshet, men det er heller ikke tvil om at kjeltringene har blitt mer og mer proffe og utkrøpne. De fleste av oss kan oppleve å bli utsatt for identitetstyver.

Svindelforsøk pr. e-post i form av Nigeriabrev går tydeligvis heller ikke av moten. Likeså er det en del annen nettfisking (“phishing”) som innimellom krever sine ofre. Enkelte går på limpinnen etter å ha mottatt beskjed om å ha vunnet en stor gevinst i et lotteri. Diverse personopplysninger må oversendes for å få utbetalt den store gevinsten, og da er det gjort! Man blir svindlet og personvernet har blitt dypt krenket.

Mye kunne også ha vært skrevet om uvøren oppbevaring og utlevering av brukernavn og passord, for enkle passord som lett lar seg knekke osv. Selv har jeg opplevd å finne datamaskiner der brukernavn og passord er klistret opp på skjermen med merketape. Et IKT-system blir ikke sterkere enn det svakeste leddet. Om teknologien i seg selv holder mål klarer ofte vi brukere å rote det til. Vi har gjort oss veldig avhengig av IKT i vår hverdag, noe som gjør oss svært sårbare når teknologien svikter. Ofte skyldes problemene som oppstår med IKT brukerfeil.

Den 21. oktober 2016 var det et massivt dataangrep som medførte at masse nettjenester ble gjort utilgjengelige. Ifølge nyhetene fra var dette det første store Tingenes Internett-angrep. Webkameraer, videospillere, sensorer, målere etc. ble hacket og satt til å kjøre massiv trafikk mot DNS-tjenere i form av et DDOS-angrep. Sikkerheten innebygd i en del av Tingenes Internett-enhetene skal visstnok være svært dårlig. Samfunnet basert på IKT er virkelig sårbart mot ondsinnede teknologikrefter!

Kjepphesten min som er protest kristendom / kritisk kristen kan også dras inn her i forbindelse med personvern: Enkelte kristne organisasjoner, menigheter og forsamlinger / miljøer tar veldig lett på personvernet. Personvernet blir enkelt og greit ikke vektlagt og ikke tatt hensyn til i det hele tatt. Det er ikke uvanlig at de strømmer arrangementer inkludert filming og eksponering av de fysisk frammøtte i sårbare situasjoner uten å ha innhentet samtykke på forhånd. De kan også være ganske ukritiske og naive når det gjelder bruken av sosiale medier. Noen som har utvist mangel på respekt for personvernet her i Norge er TV Visjon Norge, og ikke minst Levi Jensen (bilder + filmer barn og unge uten samtykke, og legger ut videoene åpent på nettet).

Cybersikkerhet

Man kommer vel nesten ikke unna dette begrepet heller i en slik artikkel som dette. Cybersikkerhet dreier seg om sikring av ting (infrastruktur, utstyr m. m.) som er sårbare via IKT. Det er mange cybertrusler som truer cybersikkerheten. Masse teknologi er knyttet opp mot Internett, og all denne teknologien og teknologibruken gjør oss sårbare for angrep via nettet.

En utfordring er at god cybersikkerhet kan true personvernet. Overvåkning og loggføring innføres (proaktive tiltak) for å få kontroll med sikkerheten, noe som fort kan gå på bekostning av personvernet. Personvern og cybersikkerhet kan ofte være to motstridende hensyn. Å finne en fornuftig og god balansegang er ikke alltid så enkelt.

God brukervennlighet og sikkerhetstiltak er heller ikke alltid bestevenner. Gode tekniske sikringstiltak kan gjøre IKT-løsningene vanskeligere og mer tungvinte å benytte seg av. Masse autorisering og “mas” for å få tilgang på dataene man ønsker å jobbe med.

Stor digital sårbarhet i Norge

Det hevdes at den digitale sårbarheten er stor i Norge. Norge blir mer og mer sårbart når det gjelder IKT-sikkerhet og sikkerhetskompetanse. Blant annet er det forholdsvis akutt mangel på kryptologer. Det pekes på tre hovedutfordringer:

• Behov for flere studieplasser innen IKT og IKT-sikkerhet.
• Behov for digital kompetanseheving for dem som allerede jobber.
• Behov for økt bevissthet rund IKT-sikkerhet blant folk flest.

Overdramatisering av truslene

Nettsiden Digi.no gjengir diverse interessante uttalelser fra Hans Christian Pretorius som jobber hos Nasjonal sikkerhetsmyndighet (NSM). Han hevder blant annet fritt gjengitt:

• Det ropes for mye ulv, ulv!
• Norge har aldri blitt angrepet (ødelegge, skade), men vi har blitt utsatt for spionasje og kriminelle handlinger.
• Det skjer angrep, men ting overdramatiseres.
• Behov for mer presisjon rundt beskrivelsene av truslene.
• Drittlei av å høre om Stuxnet.
• Zerodays sårbarheter/nulldagssårbarheter fokuseres det for mye på. Utnyttelsen av slike er tilnærmet null.
• Det er som oftest kjente sårbarheter som blir utnyttet.
• Fortsatt viktig med sikkerhetsoppdateringer / patcher / feilfikser.

Det er ikke tvil om at det finnes mange trusler mot datasikkerheten “der ute”. Stadig blir både bedrifter og privatpersoner utsatt for mer eller mindre målrettede angrep, data kommer på avveie, tjenestenektangrep gjør ressurser utilgjengelige i perioder og personvernet blir truet. En form for cyberkrig raser, men å stadig rope varsko her og utbrodere truslene med store bokstaver kan virke mot sin hensikt. Til slutt tas ikke truslene på alvor pga. vi har hørt alt for mye mas og store ord om tidligere mindre vesentlige angrepsforsøk.

Datalagringsdirektivet og tilsvarende avtaler/lovforslag

En sak i de senere år som jeg hadde trodd skulle ha skapt mye debatt er datalagringsdirektivet (DLD). Innimellom har direktivet vært nevnt i media, men den helt store samfunnsdebatten og diskusjonen har ikke oppstått i kjølvannet av denne saken. Selv mener jeg at direktivet griper såpass inn i den enkeltes liv og personvern at man bør gjøre seg opp en mening om direktivet. Jeg er skeptisk til direktivet da jeg synes de negative konsekvensene for personvernet er større enn gevinstene som oppnås. Nå har HELDIGVIS EU-domstolen konkludert med at datalagringsdirektivet er ulovlig, så vi får håpe at den ballen legges totalt død for alltid.

Onsdag 21. desember 2016 kom følgende gladnyhet: “Datatilsynets direktør Bjørn Erik Thon er klinkende klar – EU-domstolens kjennelse onsdag om at masselagring av data er ulovlig, er en svært viktig dom og en seier for personvernet.” Det må foreligge konkret mistanke om alvorlige lovbrudd for å kunne masselagre data av typen f. eks. tekstmeldinger og trafikkdata.

Mars 2020 slår statsminister Erna Solberg på stortromma. Hun ønsker at IP-adresser og datatrafikk skal lagres lengre enn de gjør i dag (21 dager). Datalagringsdirektivet i lett-utgave det hun nå presenterer? Små-skeptisk, ja!

Tidligere ble det i USA presentert et lovforslag rundt Stop Online Piracy Act (SOPA) (og PIPA, Protect IP Act). Den opprinnelige hensikten er å forhindre ulovlig spredningen av opphavsrettslig materiale på Internett og stoppe falske varer, men jeg kan godt forstå dem som er negative til forslaget. Det kan nok fort oppleves som aktiv sensur som (delvis) hindrer ytringsfriheten og nettets frihet, samt at overvåkningen delvis vil krenke personvernet. Da mange tjenester og datasentraler ligger i USA vil jo amerikanske beslutninger også påvirke oss i Europa. DNS-blokkering m. m. er også aktuelt som tiltak i Norge. Ifølge Wikipedia har prosessen stoppet opp: “Den 20. januar 2012 erklærte Lamar Smith at utredning av lovforslaget om SOPA, såvel som lovforslaget om PROTECT IP Act, var trukket tilbake på ubestemt tid.”

USA og personvern overfor oss i Europa er og blir en nøtt! Den tidligere “Privacy Shield”-avtalen mellom Europa (EU) og USA er opphevet, da denne avtalen neppe var beskyttende nok for personvernet til europeiske borgere.

Det ble også en periode snakket om avtalen ACTA (Anti-Counterfeiting Trade Agreement), nok en noe kontroversiell avtale rundt håndhevelse av immaterielle rettigheter og opphavsrett. Dette er en WTO-avtale som mange land ønsket å slutte seg til. Denne avtalen vil etter en dels syn innskrenke ytringsfriheten og det frie Internett. Imidlertid ble denne avtalen forkastet av Europaparlamentet etter massive protester.

Frihandelsavtalen for tjenester (TISA, Trade in Services Agreement) og frihandels- og investeringssamarbeid (TTIP, Transatlantic Trade and Investment Partnership) som det foregår lukkede forhandlinger om støttes av dagens regjering. Det skulle ikke undre meg om slike avtaler også kan true personvernet på en eller annen grad hvis de blir gjennomført.

Offentlige myndigheter

Politiets sikkerhetstjeneste (PST), politiet og Nasjonal Sikkerhetsmyndighet (NSM) er stadig på banen og ønsker større muligheter for å overvåke og å drive med dataavlesning (les: hacking) med den hensikt å oppklare/avverge organisert kriminalitet og/eller terror. Fine og edle formål i seg selv, men også dette kan være noe truende mot personvernet. Dette at uskyldige folk kan oppleve å bli overvåket er ikke jeg tilhenger av. Man bør være uskyldig til det motsatte bevist og ikke motsatt.

Oppdatering september 2016: Politiet og PST har blitt gitt lov til å bedrive dataavlesing. Igjen er begrunnelsen jakt på terrorister og kriminelle. Pga. kryptering etc. holder det ikke lenger med bare gammeldags avlytting av kommunikasjonen. Nå har myndighetene blitt gitt lov i enkelte sammenhenger å “hacke” enheter for å få tilgang på informasjon før kryptert forsendelse finner sted. Tidligere justis- og beredskapsminister Anders Anundsen bedyrer at dette ikke utfordrer personvernet eller truer rettssikkerheten. Skeptisk!

Politiet ønsker å få det slik at de med loven i hånden kan tvinge personer mistenkt for kriminelle forhold til å låse opp mobiltelefoner og andre tilsvarende elektroniske enheter. Disse er ofte beskyttet med fingeravtrykk, og pr. dags dato kan ikke politiet kreve at eieren av enheten låser den opp med sin finger.

PST er også ekstreme i sine ønsker ifølge nyhet presentert av Digi januar 2022. I en høring rundt et lovforslag foreslås det en åpning for at Politiet ved Politiets sikkerhetstjeneste (PST) skal kunne lagre alt det nordmenn skriver på sosiale medier og i kommentarfelt i hele 15 år. For et autoritært og negativt menneskesyn, der alle stemples som potensielle kriminelle. Politikken og ønskene minner mest om overvåkningen til autoritære regimer vi normalt sett ikke vil bli sammenliknet med.

Sjefen for etterretningstjenesten, Kjell Grandhagen, er ikke snau i sine uttalelser desember 2015. Han vil ha tilnærmet frie tøyler til å overvåke all tele- og datatrafikk. Dette begrunnes med kampen mot terror, organisert kriminalitet osv. Dette bryter totalt med grunnleggende personvern og tillit. Hvis det lages bakdører som gir etterretningstjenesten tilgang til å kunne snoke og avlytte vil også denne bakdøra fort kunne benyttes av mer tvilsomme aktører som ønsker tilgang på data.

Regjeringen vil gi etterretningstjenesten (e-tjenesten) adgang til masseovervåking, noe som utfordrer rettsstaten, menneskerettighetene og personvernet (privatlivet). Forslaget om ny lov for Etterretningstjenesten har blitt oversendt til Stortinget for endelig behandling april 2020. Regjeringen ønsker og legger opp til at E-tjenesten kan fange opp og lagre metadata som krysser grensen til Norge i 18 måneder.

Ifølge et utvalg nedsatt av Forsvarsdepartement (Lysne II-utvalget) bør E-tjenesten få overvåke innholdet i all internett- og telefontrafikk som krysser Norges landegrense, dvs. digitalt grenseforsvar (DGF) eller “tilrettelagt innhenting“. Dette vil omfatte alle nordmenn, uavhengig om den enkelte er mistenkt eller ei for noe kriminelt. Tydeligvis er det enkelte som ser fanden på veggen og vil bruke alle tilgjengelige midler med begrunnelse at man ønsker å unngå kyberangrep og terrorisme. Demokratiske rettigheter og personvern ofres gladelig av politikerne i kampen mot terror. Det er fare for formålsutglidning og misbruk, og det er vanskelig å se at forholdet mellom kost og nytte er balansert.

Som forventet (og takk og pris!) er Datatilsynet i sin høringsuttalelse negative (klart nei) til et digitalt grenseforsvar / tilrettelagt innhenting slik som Lysne II-utvalget skisserer. Ifølge Datatilsynet er utvalgets forslag både i strid med menneskerettighetene og Grunnloven. Dessuten rokker forslaget hvis det blir vedtatt ved grunnleggende verdier. Tiltakene med storstilt datainnsamling er også lite målrettet. På mange måter framstår planene om et digitalt grenseforsvar som datalagringsdirektivet i ny innpakning. Hvis DGF blir innført vil det ramme vidt, bredt og lite målrettet.

DGF er, navnet til tross, ikke et grenseforsvar. Systemet består i å ta kopi av alle dataene som flyter over grensene våre. Det er et datalagringssystem. Men da regjeringen i 2016 utredet og nå foreslår å innføre dette systemet, valgte de å kalle det noe annet.

Kilde: Morgenbladet: Vi kan ikke se den grense inni nettet (Sigve Indregard)

 

I forslag til ny lov om Etterretningstjenester sendt ut på høring november 2018 legges det opp til at Etterretningstjenesten (E-tjenesten) skal få viljen sin og få innfridd sine ønsker. I lovforslaget gis E-tjenesten vide fullmakter til å overvåke all datatrafikk som krysser den norske grensen (inn/ut av landet). Myndighetene truer informasjonssikkerheten og personvernet, og de stempler den vanlige kvinne og mann som en potensiell lovbryter eller terrorist med denne massive overvåkningen i det “godes” tjeneste. Innsamlede data kan bli misbrukt eller komme på avveie.

At alle nordmenn mistenkes for å være kriminelle til det motsatte er bevis er etter mitt syn et svært negativt menneskesyn, og en form masseovervåkning som jeg finner som lite ønskelig. Overvåkningen truer vår frihet.Vi kan ende opp med storebror ser deg samfunn (Orwellsk overvåkingsstat) tilsvarende lukkede land som vi ikke liker å sammenlikne oss med. Nå gjenstår det å se om utvalgets forslag + lovforslaget blir vedtatt politisk. Med dagens regjering kan det vel tenkes at galskapen til og med blir vedtatt.

Helt enkelt er det ikke dette med grenseforsvar. Vi har nok om vi liker det eller ei behov for et effektivt digitalt forsvar, og det er behov for å modernisere lovverket rundt etterretning og etterretningstjenesten. Det som er problematisk er grensegangene mellom hemmelig overvåkning, internasjonalt forsvar og samarbeidet, personvern og ønsket til normale folk å kunne opptre med anonymitet i en del situasjoner.

Det digitale grenseforsvaret og den massive overvåkningen dette forsvaret medfører kan true ytringsfriheten. Det meste av vår datatrafikk krysser landegrensene på et eller annet tidspunkt, og via grenseforsvaret blir vi alle mistenkeliggjort og stemplet som potensielle kriminelle lovbrytere. Mer overvåkning kan føre til at vi i større grad enn i dag sensurerer oss selv, og på den måten innskrenker ytringsfriheten. Vi får et et overvåkningssamfunn som ingen ønsker å ha – utenom myndighetene, overvåkningen og militæret da.

Personvern, masseovervåkning og digitalt grenseforsvar (DGF) / tilrettelagt innhenting er beklageligvis temaer som i liten grad opptar normale innbyggere samt politikere. Mange er likegyldige, mens andre godtar alle former for overvåkning så lenge det kan bidra til å bekjempe terrorisme og kriminalitet. Litt mer nyansering og kritisk tenkning rundt slike problemstillinger hadde ikke vært å forakte.

Forslaget om et utstrakt grenseforsvar viser hvordan målet helliger middelet. Når samfunnssikkerhet settes opp mot privatlivet og personvern er det fort samfunnssikkerheten som vinner. Når det er snakk om å ta potensielle kjeltringer eller terrorister som truer rikets sikkerhet tillates de fleste midler brukt. Å få til en bra grensegang mellom sikkerhet og vern rundt privatlivet er slettes ikke lett.

Uansett pr. juni 2020: Kampen er tapt! Masseovervåkning av nordmenns bruk av nettet vil bli innført, og et bredt flertall på Stortinget sørger for at det blir masselagring av nordmenns nett-trafikk, inkludert digitalt grenseforsvar. E-tjenesten er nok godt fornøyd med dette. Loven: Prop. 80 L (2019–2020) Lov om Etterretningstjenesten (etterretningstjenesteloven).

Bakdører bygget inn i teknologiprodukter – tiltenkte og ikke-tiltenkte – kan være en stor trussel mot sikkerheten og personvernet. Dette at enkelte lands myndigheter ivrer for innføringen av slike bakdører i terrorbekjempelsens navn beroliger ikke meg. Slike bakdører kan fort bli utnyttet til andre formål enn de tiltenkte.

Rett skal være rett: En stor og alvorlig trussel mot Norge (og andre land!) er digital etterretning og spionasje utført av ulike utenlandske aktører, inkludert myndigheter og terrororganisasjoner. E-tjenesten med venner prøver å bekjempe slik virksomhet, men alt vil ikke la seg stoppe.

Nå er det ting som tyder på at E-tjenesten allerede i ganske stor detaljgrad overvåker nordmenns telefonsamtaler og sosiale medier-bruk fra Eggemoen utenfor Hønefoss, Ringerike kommune.

Storesøster ser deg

Svein Egil Omdal, journalist i Stavanger Aftenblad, har skrevet et interessant fripenn-innlegg. Blant annet er han innom at ny og effektiv teknologi er i ferd med å gjøre opprør mot makten og overvåkningen tilnærmet umulig. (Hans beundring av partiet Venstre velger jeg å hoppe bukk over.)

Det snakkes om innføring av digitalt grenseforsvar. Vår frihet innskrenkes jevnt og trutt med stadig mer overvåkning. Det skjer stadig avveininger mellom sikkerhet kontra personvern, hvor ofte den angivelige sikkerheten gjerne vinner. Innsamlet informasjon kan være gjenstand både for vanlig bruk og misbruk.

Etter å ha framsatt en del eksempler på situasjoner hvor personvernet er truet pga. avansert overvåkning basert på ny og effektiv teknologi avslutter han med:

• “Alt dette blir gjort i aller beste hensikt. Det trengs derfor flere som innser at veien til det undertrykkende samfunn er brolagt med gode begrunnelser.”

Kilde: Stavanger Aftenblad (Svein Egil Omdal): Storesøster ser deg

 

I forbindelse med FrP sitt landsmøte våren 2017 dukket saken om lagring av IP-adresser i 1/2 år opp (i dag maksimalt 21 dager). Justisminister Per-Willy Amundsen med flertallsstøtte i partiet ønsker seks måneders lagring av IP-adressen (hvem som var knyttet til en konkret IP-adresse på et gitt tidspunkt). Justisminister Per-Willy Amundsen (Frp) sier han ikke har noen forståelse for at noen skal ha behov for å skjule IP-adressen sin. Med andre ord skal alle bli mistenkeliggjort, eller sagt på en annen måte: Alle er kjeltringer til det motsatte er bevist. Målet er å beskytte mot terror, overgrep, pedofili osv., og det virker som om målet helliger middelet. Nå er dette pr. dags dato kun et forslag fra FrP og ikke gjennomført politikk.

Nå har også Tollvesenet kastet seg inn i “kampen” med ønsker om å overvåke all biltrafikk som krysser grensen til Norge. Tollvesenet ønsker å få lov til å fotografere og registrere alle biler som krysser landegrensen med lagring av dataene i 1/2 år. Datatilsynet sier på sin side at dette er masseovervåking av uskyldige mennesker, og at de er bekymret for at opplysningene skal bli brukt av andre offentlige etater.

Personvernet under press

Personvernet er støtt og stadig under press fra mange kanter. Det er mange gode argumenter for å samle inn, bearbeide og oppbevare større og større mengder med personopplysninger. Imidlertid går dette gjerne på bekostning av personvernet og privatlivets fred. Jeg som innbygger ønsker ikke at samfunnet skal bli slik at alle i utgangspunktet blir mistenkeliggjort for ulovligheter som medfører behov for økt overvåkning. Selv er jeg mer tilhenger av at det må foreligge en konkret grunn til mistanke før personovervåkning settes inn som virkemiddel. Til det motsatte er bevis er vi alle gode medborgere som ikke trenger å bli overvåket og kontrollert.

BlackVue dashcam

Bilkamera eller dashbordkamera begynner å bli ganske normalt å ha i bilen, ikke minst for å kunne dokumentere og bevise sin uskyld i eventuelle kollisjoner og/eller forsikringssaker. Vel og bra i seg selv.

Høsten 2018 har det vært litt berettiget fokus mot bilkameraene fra BlackVue. Disse røper – som et standardvalg – bilens posisjon (GPS), fart, retning og presenterer video- og lydopptak i sanntid uten at sjåførene vet om det til hvem som helst. Disse tingene blir delt offentlig. Via en nettside med kart på kan man søke opp og gå inn på hvilken som helst bil.

Dette er selvsagt helt krise for personvernet. Slik overvåkning vil folk flest ikke ha noe av, uten å ha gitt sitt helt klare og spesifikke samtykke. Det er helt hull i hodet at den koreanske produsenten legger opp til at dette skal være standardvalget på deres leverte utstyr. Etter at fokus har blitt rettet mot saken – via media – blir det selvsagt en ordning på disse problemene.

Etter TV 2 sine avsløringer har dashcam-giganten BlackVue valgt å legge seg paddeflate, og de ber brukerne sine om unnskyldning. Det gjøres nå endringer slik at man selv aktivt må velge å dele videostrømmen offentlig via innstillinger. Standardinnstillingen blir at denne delingen er skrudd av.

Lenker:

• Digi: BLACKVUE – Røper bilenes posisjon, fart, retning og video- og lydopptak i sanntid – uten at sjåførene vet om det
• TV 2: Først da TV 2 dukket opp, ble Anthony klar over at dashbord-kameraet hans sendte direkte til hele verden
• TV 2: Dashcam-gigant legger seg paddeflat etter TV 2-avsløring

 

Alle trenger og bør ha ønsker om å få beskyttet sitt privatliv og sine personopplysninger. Enkelte hevder at de har “ingenting å skjule”. Dette er en kraftig forenkling og en misforståelse. I Norge som er et fritt land går det greit enn så lenge, men det er slettes ikke bra i totalitære land at alle personopplysningene er i hendene på myndighetene med medfølgende straffereaksjoner osv.

Personopplysninger som benyttes til tilpasset markedsføring er irriterende nok i seg selv. En mye verre ting er muligheten for hackere til å få tilgang på lagret informasjon. Ikke minst vil tingenes internett med alt fra strømmålere til alle slags sensorer på nett gi utfordringer for personvernet. Automatiske strømmålere med rapportering tilbake til energiverket har vekket litt debatt, og da mest pga. påståtte helseproblemer (stråling). Det finnes også dem som mener av personvernet er truet, gjennom at energileverandøren via de automatiske rapporteringene får mye innsikt i den enkeltes hverdagsmønster og liv.

 

Smartklokker for barn/GPS-klokker for barn

Ifølge artikkel på Datatilsynets nettside:

“Forbrukerrådet har avdekket alvorlige sikkerhetsbrister i smartklokker/mobilklokker for barn. Fremmede kan enkelt ta kontroll over klokken og bruke den til å spore og avlytte barnet.» Klokkene har “alvorlige sikkerhetshull, upålitelige trygghetsfunksjoner og manglende forbrukervern”.

“Disse klokkene hører ikke hjemme i butikkhyllene, og enda mindre på en barnearm.”

Problemene gjelder ikke bare for smartklokker. Samme utfordringer finnes med diverse andre Internett-tilkoblede produkter og “Internet of things” (IoT)/tingenes internett generelt. Andre produktkategorier med tilsvarende utfordringer: Leketøy, babycall-utstyr, overvåkingskameraer, helseutstyr og lignende.

Datatilsynet griper inn desember 2017. Gator får pålegg om å stanse all behandling av personoppplysninger om sine kunder pga. ikke god nok informasjonssikkerhet i smartklokkene de leverer. Lignende vedtak blir også gitt overfor PepCall AS og GPS for barn – Smartprodukt AS. Behandlingen og flyten av personopplysninger virker å være helt ute av kontroll for enkelte av produsentene/leverandørene.

For egen regning: For en del produsenter er nok de kommersielle interessene betydelig viktigere enn personvern, forbrukervern og data-/informasjonssikkerhet.

Kilder:

• Datatilsynet: Elendig sikkerhet i smartklokker for barn
• Datatilsynet: Smartklokker for barn – all behandling av personopplysninger må avsluttes
• CW (ComputerWorld): Datatilsynet griper inn
• ITavisen: Datatilsynet med alarmerende funn: Fremmede kan ta kontroll GPS-klokker og bruke dem til å spore og avlytte barn
• Aftenposten: Slår alarm etter sjekk av GPS-klokker for barn

 

Smartklokker for barn og mobiltelefoner / mobiltelefoni gir utfordringer relatert til personvern og overvåkning. Det samme gjelder for biler:

Dagens biler har blitt de reneste datamaskinene på hjul (eller eventuelt smartmobiler med hjul), og dessuten er de ofte tilkoblet nettet tilnærmet hele tiden. Masse data samles inn av bilenes sensorer, og en del av disse dataene blir igjen overført til bilprodusent og eventuelt tredjepart. Min bil og mine data gjelder ikke, og “storebror” ser oss og vår bilkjøring. Bilindustrien utfordrer definitivt personvernet! Digi.no (#bilteknologi) har hatt en artikkelserie om denne problematikken eller utfordringen sommeren 2022.

Undersøkelse viser at mange kunder frykter for personvernet ved bruk av fordelsapper hos matvarekjedene, f. eks. Rema 1000 sin Æ-app. Det fryktes for at matvarekjedene misbruker innsamlede personopplysninger. Hele 69 % av de som har lastet ned appene er i en viss grad bekymret for eget personvern.

Det skjer masse innsamling, lagring og bearbeiding av personopplysninger, både i privat og offentlig (statlig) regi. En god del av overvåkningen er både i gråsonen og til tider langt over på feil side av det akseptable.

Både personvernet og informasjonssikkerheten trues av spionasje, utenlandske statsmakters etterretning, dataangrep og sabotasje. Mye finner sted i kulissene som kan være truende og kompromitterende mot personvernet. Informasjon er makt og innflytelse.

Den kjappe teknologiske utviklingen har åpnet nye muligheter. Økt utbredelse av AI (kunstig intelligens), “big data” og dyp dataanalyse av digitale spor som vi etterlater oss truer personvernet. Noen går så langt og sier at personvernet (allerede) har tapt.

NorSIS: Trusler og trender 2017-18

Norsk senter for informasjonssikring (NorSIS) presenterer hvert år en vurdering av trusselbildet innen IKT-sikkerhet. Den nyeste vurderingen når dette skrives er: “Trusler og trender 2017–18 – Trusler i vår digitale hverdag – mot individer og virksomheter.” NorSIS har valgt ut ti trusler som rammer norske privatpersoner og virksomheter:

1. Informasjonstyveri
2. Vanvare (personlig ubetenksomhet m. m.)
3. Løsepengevirus
4. Direktørsvindel
5. Industrispionasje
6. Sabotasje
7. Identitetstyveri
8. Datingsvindel
9. Personutpressing
10. Krenkelser

Disse ti truslene truer definitivt også personvernet.

 

Personvernundersøkelse:

Datatilsynet: Personvernundersøkelsen 2019/2020 blant befolkningen

Sitat: “Funnene viser en gjennomgående følelse av mangel på kontroll, varierende grad av tillit og tydelige tegn på nedkjøling.”

Lenke til undersøkelsen: Datatilsynet: Personvernundersøkelsen 2019/2020.

 

Personvernet i krisesituasjoner

Korona-pandemien (COVID-19) våren 2020 har framstått som en trussel mot et forsvarlig personvern. I desperasjon har det blitt foreslått og tatt i bruk løsninger som samler inn over en lav sko personopplysninger. I desperasjonen for å stoppe virusspredningen har det kommet på banen en del alternativer der personvernet har måttet vike plass eller i hvert fall tilsidesatt i en birolle. Sjeldent har vel uttrykket målet helliger middelet passet bedre inn.

 

Selvsagt har siste kommentator ovenfor et poeng. Vi gir jo noen og enhver av oss gledelig ifra oss store datamengder – inkludert personopplysninger – til aktører slik som Google, Facebook, Apple, Microsoft, Amazon + flere. Videre legger vi igjen elektroniske spor så det holder både ved bruk av mobiltelefoner og Internett generelt. Likevel er jeg noe redd at det nå legges en mal for framtiden med svekket personvern som en konsekvens av redselen under koronavirus-pandemien. Redselen eller frykten for en liknende situasjon kan bli en unnskyldning for svekket personvern i kampen mot pandemi eller tilsvarende krisesituasjoner.

De store plattformene – Big Tech-firmaene / teknologigigantene Amazon, Apple, Google, Facebook og Microsoft – kan bli beskyldt og anklaget for å bruke personvern som et omdømmegrep og konkurransefortrinn, og for å styrke bunnlinja. Verstinger kan prøve på å sminke på sitt eget omdømme gjennom å ha fokus på personvern, uten å bøte på de reelle skadene.

Et sitat fra et innlegg (om grønnvasking) i lenkesamlingen i slutter av denne artikkelen:

• “Apple, Google og Facebook lover på tro og ære at personvern er viktig for dem. For de spesielt interesserte kan det oppleves litt ironisk. At de som har tjent gode penger på å minimere den private sfære, nå skal bli personvernets forkjempere.”

App-en til FHI og systemet bak har kommet på banen i løpet av veldig kort tid. Tenker at andre faktorer enn personvern og sikkerhet har veiet tyngst i den hastige prosessen. Jeg er skeptisk til at personvernet og informasjonssikkerheten (datasikkerheten) er bra nok ivaretatt. Noe nytt er også dette at lokaliseringsdata kobles mot helsedata, og at alt dette lagres via skyen (skytjeneste) i utlandet (Irland).

Litt mer om saken ble diskutert på min Facebook-vegg:

 

Det loves dyrt og hellig at lagringen av data kun skal finne sted i en kortere periode, og at man når som helst kan trekke sitt samtykke + data tilbake. De som har programmert løsningen er også en kjent og seriøs aktør fra Norge.

Datatilsynet har på sett og vis godkjent og “gått god” for app-en, men bare pga. inntruffet situasjon. Direktør i Datatilsynet Bjørn Erik Thon har uttalt at de aldri ville godkjent en slik applikasjon i vanlig “fredstid”. Å kartlegge befolkningen på en slik måte som “Smittestopp”-appen til Folkehelseinstituttet (FHI) er normalt sett strengt forbudt.

Oppdatering: Etter at alt dette ble skrevet har Datatilsynet fått satt en (foreløpig) effektiv stopper for Smittestopp-appen. Versjon 2 av Smittestopp-app-en skal visstnok være mye bedre når det gjelder personvern og datalagring, men jeg velger fortsatt å ikke installere “dritten”. Og pr. august 2022 (10.) tas ut av bruk / legges Smittestopp-appen ned.

 

Nei, jeg er nok fortsatt noe skeptisk og kaster meg ikke på bruken av dette systemet nå i første omgang. Den delen av dugnaden velger jeg å stå over. Men på sikt kan det jo tenkes jeg endrer syn, hvem vet… Setter heller min lit til ekstrem religiøsitet for å unngå korona-smitte, f. eks. gaver til TV Visjon Norge (IRONI!).

Smittesporings-appen er en ting. Ellers har både offentlige virksomheter, næringsliv og innbyggere “fort og galt” tatt i bruk en drøss av nye digitale løsninger for video m. m. Ikke alltid tenkes det noe særlig over konsekvensene av slike valg. Både informasjonssikkerheten og personvernet kan bli truet, da slettes ikke alle app-er, programmer eller løsninger bare er “gode” og sikre. Både informasjonssikkerheten og personvernet kan bli truet av “dårlige” løsninger. Når det gjelder virksomheter må det tenkes på forhold slik som databehandleravtaler, risiko- og sårbarhetsanalyser (ROS-analyse) og vurdering av personvernkonsekvenser (DPIA), selv om til og med Datatilsynet midlertidig har “slakket litt på kravene” pga. krisen vi er inne i.

Konklusjon og avsluttende kommentarer

Jeg savner litt mer debatt og fokus på dette som har med personvern og datasikkerhet / informasjonssikkerhet å gjøre. Vi nordmenn bør bli litt mer bevisste og kritiske til de farer som lurer innenfor bruk og utnyttelse av IKT. I dagens samfunn med fokus på analyser av “big data” blir det litt vel enkelt å overdrive innsamlingen og bearbeidingen av personopplysninger som i neste omgang kan medføre krenkelser av personvernet eller den personlige integriteten. Oss innbyggeres blåøydhet på området (vi bryr oss ikke om temaet!) kan fort straffe seg med at vi får et skremmende samfunn hvor storebror ser alt hva vi foretar oss! Blir Norge et Orwellske samfunn hvor alt vi foretar oss blir overvåket og styrt av myndighetene? Blir Norge til slutt et land av den typen som vi ikke ønsker å sammenlikne oss med, f. eks. Nord-Korea (eller Kina)?

Hoveddelene av denne artikkelen ble skrevet før PRISM-, Edward Snowden (Snowden-saken)– og NSA-avsløringene. NSA (National Security Agency) har gjennom PRISM-programmet (NSA sitt topphemmelig elektronisk overvåkingsprogram/spionasjeprogram) kunnet overvåke det meste av data- og datatrafikk, både i USA og ellers i verden. USA har til og med spionert på europeiske toppledere, f. eks. Angela Merkel. Disse avsløringene som har nok vekket interessen for personvern hos enkelte. Greit at det kommer noe bra ut av nevnte sak!

Lenker:

• blogg.brr.no: Personvern, informasjonssikkerhet og internkontroll på bedriftsnivå (inkludert GDPR / Personvernforordningen)
• blogg.brr.no: Informasjonssikkerhet og cybersikkerhet
• http://www.personvern.net/
• Wikipedia: Datasikkerhet
• Wikipedia: Personvern
• Datatilsynet
• Datatilsynet: – Internettøkonomien har blitt en ren overvåkingsøkonomi
• Store norske leksikon: Personlighetsvern
• Nettvett
• ID-tyveri
• Slettmeg.no – rådgivning for deg som føler deg krenket på nett
• ITavisen: Se Facebooks sjokkeliste over hva de vet om deg – vet også når og hvem du ringte
• Lovdata: Lov om behandling av personopplysninger (personopplysningsloven)
• Stopp Datalagringsdirektivet (tverrpolitisk uavhengig kampanjeorganisasjon) nettside
• Stopp Datalagringsdirektivet (tverrpolitisk uavhengig kampanjeorganisasjon) på Facebook
• Digi.no: RISIKO 2017: – Det ropes for mye ulv, ulv. Dessuten er jeg drittlei av Stuxnet (Hans Christian Pretorius, NSM)
• Digi.no: Datatilsynet: EU-dom om masselagring svært viktig
• Digi.no: EU-domstolen: DLD er ugyldig
• Digi.no: Rapport kritisk til datalagringsdirektivet
• digi.no: Ekom-bransjen oppgitt over E-sjefens terroruttalelser
• digi.no: Men SOPA-loven var ikke død
• ITavisen: – Dataavlesning strider mot grunnloven
• Trails by Gisle Hannemyr: Tiltak mot ulovlig fildeling
• Trails by Gisle Hannemyr: ACTA – en analyse
• Digi.no: Utvalg går inn for overvåking av all datatrafikk ut og inn av Norge
• Aftenposten Debatt: Dataavlesing vil gjøre hverdagen tryggere | Anders Anundsen
• Digi.no: Tollvesenet vil overvåke all biltrafikk som krysser grensen
• Aftenposten.no: Politiet vil tvinge mistenkte til å låse opp mobiltelefon
• Digi.no: Paris-erklæring: 50 land enige om å bekjempe datakrim. USA, Russland og Kina sa nei takk
• Computerworld: Frykter at AI (kunstig intelligens) vil true personvernet (Europarådet)
• Digi.no: Ny rapport: – Norge er nest best på personvern
• ABC Nyheter: Forsker: – Det finnes ikke privatliv på internettet
• Digi.no: Nordmenn verst i Norden til å blindt akseptere brukervilkår | I Norge aksepterer vi brukervilkår og deler persondata til nordisk gullmedalje
• Aftenposten kronikk (Bjørn Erik Thon): Barn fortjener bedre personvern i skolen | løsning på nasjonalt nivå?
• DinSide Data: Chromebook | Datatilsynet gransker lovligheten av Google-bruk i skolen (informasjonsbruk og personvern)
• DinSide Data: NorSIS advarer: Hjemmekontor sårbare for angrep
• Digi.no: PST og E-tjenesten tause om Clearview (omstridt app for ansiktsgjenkjenning)
• NRK: Avslørt av mobilen (sporing og salg av posisjonsdata)
• NRK: Datatilsynet opnar gransking etter mobilsporing (Datatilsynet skal undersøke eit britisk selskap sitt sal av nordmenn sine posisjonsdata på den opne marknaden)
• NRK Vestland: Vigilo-saka | Datatilsynet varslar bot på 3 millionar kroner til Bergen kommune
• Digi.no debatt GDPR (Tore Tennøe): Nordmenn til salgs: Overvåkningsøkonomien er fortsatt ute av kontroll | GDPR skulle gi makten tilbake til brukerne og stoppe kommersiell profilering av oss. Men to år etter innføringen overvåkes vi som aldri før.
• Computerworld Norge leder: Vi trenger mye mer enn GDPR for å stagge utviklingen | Overvåkingssamfunnet er her, men det kan reguleres.
• Digi.no – debatt personvern (Vivi Ringnes Wilhelmsen): – Blir personvern den nye grønnvaskingen?
• NDLA: Personvern
• NRK: Teknologirådet mener mange offentlige aktører bør forlate Facebook
• Digi.no: Gjør seg klar til å stramme grepet om teknologi-kjempene | Et knapt år etter at de nye reguleringene ble lansert, nærmer det seg enighet i EU. Teknologigigantene går tøffere og dyrere tider i møte. (Digital Services Act – DSA – og Digital Markes Act – DMA)
• NRKbeta: Datatilsynet kan ikke stå inne for å være på Facebook
• Digi.no: Personvern | Politiet vil lagre alt du skriver i sosiale medier i 15 år | Kritiserer lovforslag: – Som om PST fikk en oversikt over alle som deltok på politiske møter og hva de sa | Datatilsynet reagerer på forslag som lar PST bruke data fra sosiale medier og kommentarfelt til å drive etterretning mot norske borgere
• Digi.no: Endringer i politiloven kan i verste fall underminere rettsstaten | Vær varsom med datainnsamling, advarer Nito-president Trond Markussen.
• Digi.no: – Åpner for masseovervåking: Hele data-Norge frykter den nye politiloven
• Persondata inkludert personnummer til 3,3 millioner nordmenn kan være på avveie, ID-tyverier neste! | Digi.no: Dataangrep mot Norkart | Persondata på avveie.
• Digi.no: Økt bekymring for at samfunnsinstitusjoner skal slås ut av et cyberangrep | 78 prosent av de spurte i en ny undersøkelse er bekymret for at norske samfunnsinstitusjoner skal kunne slås ut av et cyberangrep.
• Digi.no: IKT-Norge og E-tjenesten: Cybertruslene gjør at vi må tenke nytt om personvern
• Digi.no: Datatilsynet om ny EU-dom mot masseinnsamling av data: – E-tjenestens planer tilfredsstiller ikke kravene
• Digi.no: Personvernkommisjonen | Kommisjon bekymret for håndtering av personvern i skoler og barnehager – etterlyser strakstiltak | Det er ikke nødvendige ressurser og kompetanse i skolene for å tilstrekkelig ivareta personvernet, ifølge kommisjon
• Digi.no: Microsoft med ny databehandleravtale: – Ja, det nytter å stå på for personvernet | Norsk helsenett har utfordret myten om at de store skyleverandørene er umulige å rikke. I dette innlegget forteller personvernombudet (Marit Larsen Haarr) om kampen.
• Digi.no: Stortinget sier ja til masseovervåking i regi av PST | Med støtte fra Høyre får regjeringen flertall for forslaget om å gi PST mulighet til å overvåke, lagre og analysere alt som skjer på det åpne internettet i Norge.
• Datatilsynet 2023: Midlertidig forbud mot adferdsbasert markedsføring på Facebook og Instagram | Datatilsynet nedlegger forbud mot at Meta kan tilpasse reklame basert på overvåking og profilering av brukere i Norge. Forbudet varer i første omgang til oktober.
• NRK Vestland: Dødsulukka i Florø: Over 30 personar filma på staden rett etter ulukka | Politiet måtte jage vekk folk som filma dødskrasjen i Florø. Fleire videoar blei delte i sosiale medium.
• Digi.no: Digitaliseringen av Norge har gått på bekostning av personvernet | Bønn til ny digitaliseringsstrategi: – Trenger konkrete virkemidler, ikke festtale | – Retten til personvern er en bærebjelke i demokratiet vårt, og må inn i ny digitaliseringsstrategi, mener Datatilsynet.
• Nettavisen Norsk Debatt (Bernhard A. Steen): Slutt å dele dette kjedebrevet på Facebook | Kjedebrevet som er lagt ut av titusener av nordmenn gir ingen reell beskyttelse.
• Datatilsynet: Datatilsynets vedtak mot Meta utvides til EU/EØS og gjøres permanent | Det europeiske personvernrådet har nå bestemt at det norske forbudet mot adferdsbasert markedsføring på Facebook og Instagram skal bli permanent og utvides til å gjelde hele EU/EØS.
• Datatilsynet: Datatilsynet følger med på Metas nye løsning | Mange får nå opp spørsmål om de vil betale for å slippe annonser eller bruke en gratisversjon på Facebook eller Instagram. De europeiske datatilsynene er i prosess med Meta og følger med på utviklingen.
• Digi.no debatt (Alexandra Kubiak og Jon von Tetzchner): Personvern: Ingen kommer for å redde oss fra teknologigigantene | Vi håper 2024 er året brukere endelig tar tilbake sin kollektive makt over gigantene og personvernet.

Korona og personvernet:

• Vårt Land: Frykter varige innskrenkninger av personvernet etter epidemien (korona-pandemien)
• NRK: Solberg: – Om vi vil ha meir fridom raskare – då er dette vegen å gå (den mykje omtalte smitteappen har blitt lansert)
• TV 2: FrPs helsepolitiske talsperson: – Ikke last ned smittestopp-appen
• ABC Nyheter: Politikere nekter å laste ned Smittestopp-appen: – Jeg er livredd
• TV 2: Datatilsynet: – Vi ville aldri godkjent en slik app i “fredstid” (om “Smittestopp”-appen til Folkehelseinstituttet, FHI)
• Computerworld kommentar (Stig Øyvann): Derfor har jeg installert smitteappen på mobilen min (pest eller kolera-valg, hvor valget ble kolera)
• NRK Beta: Teknologi-gigantene (Apple og Google) vil nekte smitteapper å spore hvor brukerne befinner seg
• Digi.on: Datatilsynet gir varsel om pålegg til Folkehelseinstituttets smitteapp (mangler ved FHIs behandlingsprotokoll og risiko- og sårbarhetsanalyse gjort før lanseringen av Smittestopp-appen)
• TV 2 Nyheter: Ekspertgruppe om smittestopp-appens sikkerhet: – Vi er ikke i mål | Ivaretar ikke personvernet på en forsvarlig måte
• Digi.no: FHI sletter alle data fra appen | Folkehelseinstituttet har fått varsel om midlertidig forbud mot datainnsamling i Smittestopp fra Datatilsynet og sletter alle data fra appen
• NRK: Amnesty: Norges Smittestopp-app blant de verste i verden på personvern | Sammen med Kuwait og Bahrain
• Digi.no: FHI har mottatt vedtak: Datatilsynet forbyr databehandling i Smittestopp
• Nytt forsøk desember 2020 (versjon 2): NRK: Tre uker til lansering: Slik skal FHI unngå ny Smittestopp-flopp
• Digi.no: Smittestopp er nå lansert i en utgave Datatilsynet kan like – Foreløpig har vi ingen grunn til å reagere, sier tilsynet.
• Digi.no: Personvern i skolen | Fersk rapport om norsk skole: Elevenes personopplysninger kan utnyttes kommersielt. Selskapet har tatt tempen på personvernet etter hastedigitaliseringen av norsk skole i pandemien.

Lenker relatert til det digitale grenseforsvaret (DGF) / tilrettelagt innhenting m. m.:

• Datatilsynet: Klart nei til digitalt grenseforsvar
• Computerworld: Valget står mellom pest eller kolera – et digitalt grenseforsvar er uunngåelig
• Morgenbladet: Vi kan ikke se den grense inni nettet (Sigve Indregard)
• Digi.no kommentar (Grunde Almeland, Venstre): Digitalt grenseforsvar: Masseovervåkning truer ytringsfriheten
• Digi.no DEBATT (Eivind Arvesen): Digitalt grenseforsvar – Ubalanse mellom sikkerhetsillusjoner og personvern
• NRK: Datatilsynet mener forsvarsministeren (Frank Bakke-Jensen, H) ikke forstår seg på personvern
• Digi.no: Overvåking av datatrafikk: Ny e-lov foreslår å gi e-tjenesten mulighet til å tappe signaler direkte fra norske nettilbydere
• P4: Vil lagre nettrafikk inn og ut av landet
• Adresseavisen meninger: Overvåkningssamfunnet banker på døren
• Digi.no (Christian Frøystad, SINTEF): Personsikkerhet og personvern er ikke det samme (om ny e-tjenestelov, personvern, personsikkerhet, justisminister Tor Mikkel Wara og digitalt forsvar/grenseforsvar)
• Dagbladet Debatt (Roy Steffensen): Det kontantfrie samfunn | Stå opp for personvernet – si ja til kontanter
• Dagbladet meninger: Forslag til ny lov om Etterretningstjenesten: Den siste skansen
• Steigan.no: Vil Norge overlate sensitive pasientdata til OECD?
• NRK: Ny lov: Vil la E-tjenesten drive med masselagring av metadata
• Dagsavisen: Stortinget sier ja til masselagring av nordmenns nettrafikk
• ITavisen: Dette er den nye loven som skal masseovervåke deg
• Digi.no: Eksperter innen teknologi, sikkerhet og personvern har signert opprop mot e-loven
• Digi.no: Tilrettelagt innhenting | Ny E-lov vedtatt i Stortinget – Den omstridte loven om Etterretningstjenesten ble i første behandling vedtatt i Stortinget
• Børsen (Dagbladet): Max (32) knuste Facebook | Data Privacy Shield-avtalen beskytter ikke EU-borgeres personopplysninger i USA godt nok
• E24: EU-dom nekter selskaper å overføre data til USA
• Datatilsynet: Privacy Shield-avtalen mellom USA og EU/EØS er opphevet
• Digi.no: E-loven og innsamling i bulk | EU-dom slår fast at masseovervåkning er ulovlig: – Den nye loven Stortinget vedtok må skrotes før den trer i kraft – Regjeringen må stanse innføringen, sier Datatilsynet.
• Digi.no: Regjeringen utsetter E-lovens tilrettelagte innhenting | utsettes etter at EU-domstolen fastslo at masseovervåkning er ulovlig.
• Digi.no: Lagringsplikt for IP-adresser og portnummer | Lovforslag (endringer i ekomloven) vil endre fra dagens sletteplikt til pliktlagring av IP-adresser i opptil ett år | Noen kaller det “omkamp om datalagring”. Flere er bekymret for nedkjølingseffekt, ytringsfrihet og kildevern.
• Skeptisk: VG: PST ber om lovendring for å registrere deltagere på nettfora | Politiets sikkerhetstjeneste ønsker lovhjemmel til å samle og systematisere data fra chattegrupper, blant annet for å identifisere personer bak anonyme, ekstreme ytringer.
• Digi.no debatt (Eivind Arvesen). Tilrettelagt innhenting – E-sjefen tviholder på skylappene
• TI-Opprop: Opprop mot Tilrettelagt Innhenting
• Vårt Land kommentar (Berit Aalborg): Mer overvåkning er kanskje et nødvendig onde i naive Norge | I Norge er vi opptatt av personlig frihet. Men vi er også naive. Over tiår har vi derfor vært utsatt for påvirkning utenfra. Det er på tide at vi tar denne trusselen på alvor – også i lovverket.
• Digi.no debatt (Eivind Arvesen): Personvern: Den brysomme menneskeretten | Selv ikke realitetsorientering tøyler norsk overvåkningslyst | Bryr norske myndigheter seg i det hele tatt om borgernes grunnleggende rett til personvern?
• Digi.no: Flertall på Stortinget: E-tjenesten kan starte masseovervåking i Norge | Et flertall på Stortinget sikrer at den militære E-tjenesten kan starte det som kalles tilrettelagt innhenting av datakommunikasjon.

Normalt sett en høyst tvilsom informasjonskilde, men akkurat her har de publisert noen gode artikler til ettertanke:

• Steigan.no: Staten vil vite alt om deg og dine – og lagre informasjonen
• Steigan.no: Total overvåking av nordmenn i løpet av 2023 | Etterretningstjenesten og Politiets sikkerhetstjeneste får full frihet til å samle og lagre alt av informasjon om deg. Privatlivets fred er historie, staten ser alt du gjør.