fredag den 31. maj 2019

GDPR 1 år efter

Den 25. maj 2018 trådte EU's nye persondataforordning (GDPR) i kraft i Danmark og de andre EU-lande efter en indkøringsperiode på to år. Den 25. maj 2019 var det 1-årsdagen for GDPR. Hvordan er det så gået med beskyttelsen af persondata i Danmark og EU siden da? Har der været nogle store sager? Er Facebook, Amazon, Netflix, Google, Microsoft og Apple blevet sat på plads?

Den nye databeskyttelsesforordning, der gælder for alle virksomheder (IT- eller ej), myndigheder, private organisationer og endda foreninger, giver de registrerede borgere en række rettigheder og beskyttelse mod de store IT-firmaer. Det sker efter en omsiggribende datahøst fra brugerne, som især Facebook, Google, Amazon, Microsoft og Apple samt en række onlineannoncefirmaer står bag. 

Enkelte såkaldte databrokere har indsamlet detaljerede profiler om brugerne af Internettet med op til 5.000 stykker enkeltdata. Dermed kan købere af sådanne brugerprofiler danne sig et ret omfattende indtryk af en bruger – endda mere omfattende end ægtefællens viden om én – og udnytte den i en for det meste kommerciel sammenhæng.

Persondataforordningen, der også kaldes GDPR (General Data Protection Regulation), giver borgerne ret til bl.a. at få indsigt i persondata; til at få dem rettet; og til at blive glemt. Borgerne skal også give samtykke til, at persondata må indsamles og registreres og kun til et bestemt formål. Skal data bruges i en ny sammenhæng, skal der indhentes fornyet samtykke. Dette gælder dog ikke for offentlige myndigheder.

Det er ikke kun firmaer i EU, der skal leve op til forordningen, men også alle andre udenlandske firmaer, der registrerer persondata om EU-borgere – og dermed også amerikanske firmaer som Facebook, Google, Microsoft, Amazon, Netflix og Apple. Især store IT-firmaer kan idømmes en bøde på op til 4 procent af deres årsomsætning eller 20 millioner euro (ca. 150 millioner kroner) for brud på persondatasikkerheden.

Hvordan er det gået?

Hvordan har firmaerne i Danmark og udenfor landets grænser så forvaltet deres nye forpligtelser i det forgangne år? Du har måske set overskrifter i medierne i det forløbne år, såsom:
Det danske Datatilsynet, der er borgernes vagthund, har udsendt deres rapport om det første år med den nye databeskyttelsesforordning. Status et år efter er, at opmærksomheden har betydet en væsentlig stigning i sager hos Datatilsynet – antallet af klager og spørgsmål er steget med over 150 procent - og borgerne er blevet mere opmærksomme på databeskyttelse.

"Vi er sat i verden for at sikre, at der bliver passet godt på danskernes personoplysninger. Derfor er vi glade for at se, at rigtig mange virksomheder og myndigheder gør et stort stykke arbejde for at efterleve reglerne – samtidig er borgerne blevet mere bevidste om deres rettigheder og gør brug af dem," siger Datatilsynets direktør Cristina Angela Gulisano.

I perioden 25. maj 2018 til 22. maj 2019 har Datatilsynet modtaget 5.962 klager og forespørgsler (heraf 2.294 klager og 3.668 forespørgsler) og 5.215 underretninger om brud på persondatasikkerheden. Til sammenligning var der i perioden 1. januar 2017 til 31. december 2017 2.213 klager og forespørgsler (ikke opgjort separat). Der var ikke pligt til at underrette Datatilsynet om brud på persondatasikkerheden før 25. maj 2018.

Datatilsynene i alle EU-lande har samlet det første år modtaget 89.271 anmeldelser af datalæk.


Lever de store IT-firmaer så op til GDPR?

Facebook har været i krise fra kort før GDPR trådte i kraft til dags dato. Dengang var de ramt af skandalen om Cambridge Analytica – firmaet der havde indsamlet persondata om 57 millioner brugere af Facebook – angiveligt til brug i en holdningspåvirkningskampagne op til det amerikanske præsidentvalg i 2016. Desuden var firmaet også involveret i at finde de mest påvirkelige Facebook-brugere op til Brexit-folkeafstemningen i Storbritannien. Analysefirmaet var overbevist om, at Trump ville blive præsident, og at den britiske folkeafstemning ville falde ud til fordel for Brexit-tilhængerne. Det arbejdede firmaet for, og sådan blev resultatet.

De amerikanske, britiske og EU-parlamenter afholdt i 2017 høringer, hvor Facebooks administrerende direktør, Mark Zuckerberg, blev intenst udspurgt af politikere, som dog selv havde store interesser i holdningspåvirkning via de sociale medier. Facebook-direktøren formåede at smyge sig uden om at svare direkte på spørgsmålene, og han havde egentligt heller ikke tid til det på den korte tid, der var afsat til høringerne. Der var for mange spørgsmål, og han blev spurgt om emner, han ikke helt havde forberedt sig på.

Facebook har oplevet flere datalæk via tredjeparts tjenester i det forgangne år, som har givet potentiel mulighed for andre firmaer at få fat i flere data, end de var berettigede til ifølge deres aftaler med Facebook – og som Facebook-brugerne havde givet samtykke til. Der kan derfor vente Facebook en større bøde fra EU’s konkurrencekommissær.

Siden har Facebook i nogen grad tilpasset den europæiske del af det sociale medie, så det overholder GDPR. For nyligt har Mark Zuckerberg udtalt sig til fordel for global gennemførelse af GDPR – således også i USA. Problemet er, at det kan gå ud over forretningsmodellen og dermed shareholder value. Men selv aktionærerne er ikke glade for den påvirkning, som Facebook har på deres egne familier og samfund, så der er bevægelse internationalt for mere etiske måder at behandle og indsamle data på samt påvirkning via sociale medier. Der har endda været advokeret for at splitte Facebook op.

Facebook forsøger desuden også at dæmme op for den alvorlige og tiltagende kritik ved at ændre på Facebook, Messenger, Instagram og WhatsApp, som den børsnoterede virksomhed ejer. Budskabet fra topchef Mark Zuckerberg er, at nu skal folk kunne kommunikere privat. Med Facebooks historie om massiv dataindsamling med henblik på målrettet reklame er det måske et udsagn, der skal tages med et gran salt. 

Google har lukket deres Facebook-klon, Google+, efter at flere sikkerhedsbrud er blevet opdaget, og datalæk er sket. Det er dog næppe den fulde grund til, at de lukker deres sociale medie. Google+ blev ikke anvendt i nært samme omfang som Facebook. Derfor kan Google have benyttet sikkerhedsbruddene som en undskyldning for at lukke tjenesten.

Google har for nyligt lanceret en ny funktion, hvor indsamlede data automatisk og løbende kan slettes efter enten tre eller 18 måneder. 

EU har uddelt tre store milliardbøder til Google i tidens løb, men disse er ikke relateret til GDPR, men derimod til misbrug af Googles dominerende stilling på markedet over for konkurrenter.

Facebook og Google lever begge af deres viden om brugerne og deres adfærd. De indsamlede datamængder, som er massive, bruges til at sælge målrettede annoncer, der vises, når man bruger f.eks. Googles egne tjenester som søgemaskinen, eller når man besøger andre netsteder, der har en annonceaftale med Google, f.eks. via Google Analytics. Giganternes tiltag sker derfor med meget stort fokus på ikke at skade deres egen forretning for meget, men skandalesagerne gør de politiske og officielle indgreb til stadig mere præcise nålestiksangreb.

Kort efter GDPR trådte i kraft indførte Microsoft ved installering eller opgradering af Windows 10 seks spørgsmål, som brugeren skulle svare på, før Windows 10 blev aktiveret. Disse spørgsmål handlede alle om at afgive samtykke eller ej til en mere eller mindre omfattende dataindsamling om brugeren af Windows og styresystemets apps. Det gælder f.eks. spørgsmål som sending af alle indtastede data, oplysninger om pc’en lokation, diagnostiske data og oplysninger om, hvordan apps anvendes til Microsofts servere. Desuden skal man også vælge, om man vil acceptere at få målrettede reklamer eller ej i apps. Microsoft indsamler dermed en større mængde data om brugeren for at forbedre brugeroplevelsen, som de siger, og for at gøre det muligt at dele de samme oplysninger mellem alle ens Windows-enheder – hvilket øger brugervenligheden noget. Et af spørgsmålene er, ligesom i Facebooks brugervilkår, formuleret på en sådan måde, at sending af diagnostiske data (som man måske ikke vil have noget imod) er koblet sammen med sending af data om, hvordan appsene bruges. Man kan således ikke vælge den ene del fra og beholde den anden. Sammenkoblingen er uden tvivl gjort med hensigt for at få brugerne til alligevel at acceptere den omfattende dataindsamling. Her er et punkt, som EU med rette kunne tage et kig på – både for Microsoft og Facebooks vedkommende.  

Apple, der blandt andet sælger iPhones og iPads, har udtalt, at "privatlivsbeskyttelse er en menneskeret". Teknologigiganten har lagt mærke til, at der ved log-ind med Google- og Facebook-konti undertiden overføres en mængde data til disse firmaer - oplysninger, som de egentligt ikke er berettigede til at få. Det gælder f.eks. Facebook-appen, der høster alle ens SMS-beskeder, når man logger på. Apple har taget et nyt initiativ til kryptering af SMS-beskeder for at standse denne datahøst. Desuden lægger Apple op til, at der kan skabes en ny e-mailadresse for hver tjeneste, der logges på, så data fra e-mailkonti som f.eks. din gmail-kontos e-mailkontakter ikke kan høstes. De vil heller ikke længere tillade apps, der ikke har tilladelse til at bruge din placering at scanne Wi-Fi- eller Bluetooth-netværk for alligevel at finde ud af, hvor du befinder dig. Så Apple vil gerne sælge sig på, at dine data er mere trygge på Apple-udstyr, og at du har større kontrol med dem end på andre platforme - uanset om app-leverandørerne vil det eller ej. 

Er det svært at leve op til persondataforordningen?

Store virksomheder har kunnet hyre konsulenter til at analysere brug af data i virksomheden, og som har udfærdiget omfattende dokumenter om databeskyttelse og vilkår for brug af virksomhedens tjenester, som kunderne har skullet give samtykke til. De har også bistået med både konsulentbistand samt software til varetagelse af persondata om nuværende medarbejdere og jobansøgninger, som der er skærpede krav til efter indførelsen af GDPR. Det er alt sammen noget, som virksomheden har kunnet betale sig fra, og ansætte en DPO (Data Protection Officer eller Databeskyttelsesrådgiver, som det hedder på dansk) til varetagelse af databeskyttelsen fremover. Det kan have betydet ændringer og betydelige stramninger i behandlingen af persondata for såvel private virksomheder som offentlige myndigheder.

Men hvad med mindre virksomheder? Hvad hvis det er en håndværker eller endog en terapeut med en enkeltmandsvirksomhed? Forfatteren har talt med en kvinde, der praktiserede kiropraktik og massage, som var så voldsomt påvirket af kravet om at skulle leve op til forordningen, at hun psykisk var ved at gå ned på det. Hun overvejede alvorligt at lukke sin virksomhed. Hun registrerede personfølsomme oplysninger om sine klienter i en bog med blanke sider og ikke på en computer. Hun kunne ikke gennemskue, hvordan hun skulle leve op til loven. Det var helt kafkask for hende. Hendes hoved var slet ikke indrettet til at beskæftige sig med abstrakte, administrative procedurer. Hun tænkte på behandlingen af sine klienter og kunne netop det.

Hertil kan siges, at hun kunne have deltaget i et af behandlernetværkene, som tager imod ordrer for behandlere via Internettet. Disse netværk har skullet leve op til forordningen og har ressourcerne til det. For en behandler ville det således kun kræve en mindre indsats at leve op til persondataforordningen via disse.

Persondatabeskyttelse for foreninger

Nogle er måske ikke klar over, at den nye persondataforordning også gælder for private foreninger som f.eks. skak-, hygge-, pensionist- eller fotoklubben. Men det gør den. Forfatteren til bogen ”Bliv sikker på nettet” har selv medvirket til at implementere GDPR i en gruppe pensionistforeninger. Det har været rigtigt svært – ikke mindst fordi det ligger seniorer fjernt at beskæftige sig med det abstrakte stof, som loven er gjort af. Forfatteren har selv som formand for en foto- og videoklub sat sig ind loven og fået skrevet alle de nødvendige dokumenter, implementeret procedurer med samtykke for nye medlemmer og lagt klubbens dokumenter, der beskriver, hvordan den beskytter medlemmernes oplysninger, ud på dens hjemmeside, så alle kan få adgang til dem.

Men det er ikke lykkedes at engagere andre medlemmer i klubben og heller ikke de ni andre klubber i klubfællesskabet i udarbejdelse af procedurer for varetagelse af databeskyttelse samt skrivning af de nødvendige dokumenter. Så de kører her et år efter indførelsen af loven videre, som de plejer – flere af dem med en lommebog over medlemmernes navne og telefonnumre som medlemskartotek og eventuelt også lagt ind i smartphonens kontaktbog. De har svært ved at indse, hvorfor de skal gennem alt dette bureaukratiske besvær blot for at styre en forening – noget som de har klaret igennem mange år uden problemer.

Andre foreninger, som forfatteren har været i kontakt med, har været bekymret over den bøde på 4 procent af årsomsætningen, de kan blive idømt, hvis Datatilsynet kommer på inspektion og finder, at der ingen nedskrevne procedurer er for behandling af brud på datasikkerheden. Andre igen siger, ”Pyt,” for hvad er 4 procent af de få tusinde kroner, som foreningen har i årsomsætning? Det er lettere at betale bøden end at leve op til persondataforordningen.

Spørgsmålet er også, hvor interessante små private foreninger med 10-40 medlemmer er for Datatilsynet, og om de kan finde på at komme på uanmeldt inspektion hos dem …

Hvor glade er danskerne for GDPR?

To ud af tre danskere udtrykker i en undersøgelse, at de er glade for EU's databeskyttelsesforordning. Mange har desuden sat sig ind i, hvilke rettigheder de har fået med den nye lov.

Resultaterne fremgår af en ny undersøgelse blandt 2.000 danskere gennemført af Userneeds for Ingeniørforeningen, IDA.

IDAs it-sikkerhedsekspert Jørn Guldberg er positivt overrasket over, at så mange danskere på bare et år har taget GDPR til sig.

”Når hver anden svarer, at de rent faktisk forstår de rettigheder, de som borgere og forbrugere har fået i forbindelse med GDPR, synes jeg, at der er tale om en succeshistorie på EU-fronten. Det øgede fokus på, hvordan vores persondata opbevares og behandles, er vigtigere end nogensinde før. Hvis vi skal høste fordelene ved digitaliseringen, kan det kun ske, hvis brugerne føler sig trygge ved, at deres oplysninger behandles ordentligt,” siger han i en pressemeddelelse.

Det absolut mest slagkraftige ved EU's databeskyttelseslov er ifølge Jørn Guldberg, at der sammenlignet med tidligere nu kan blive uddelt bøder i en helt anden størrelsesorden, hvis en myndighed, organisation eller virksomhed ikke har styr på, hvordan og hvor længe de opbevarer persondata.

”Det er mit indtryk, at bøderne for at sjuske med persondata har været en øjenåbner for mange virksomheder. Før GDPR fik private virksomheder herhjemme typisk bøder på mellem 2.000 og 25.000 kroner for overtrædelse af persondataloven. Altså et rap over nallerne. Det seneste år har der været mulighed for at udskrive bøder på 20 millioner euro, svarende til 150 millioner kroner, eller fire procent af den årlige globale omsætning til private virksomheder. Desuden er det besluttet, at offentlige myndigheder vil kunne få bøder på op til fire procent af den såkaldte driftsbevilling, dog maksimalt 16 millioner kroner, hvis de ikke har styr på persondata. Det har uden tvivl har haft en effekt,” siger han.

I marts politianmeldte Datatilsynet for første gang en dansk virksomhed for brud på databeskyttelsesforordningen, og tilsynet har indstillet en bøde på 1,2 millioner kroner: Taxa 4x35 har ifølge Datatilsynet brudt reglerne ved at opbevare kunders telefonnumre i mere end de tilladte to år.

Overholder andre lande GDPR?

I Danmark har de fleste virksomheder spurtet for at opfylde GDPR-kravene. Det er dog stadig hver sjette af Dansk Erhvervs medlemsvirksomheder, der kæmper med at leve op til kravene. De siger, at to procent af virksomhederne meddeler, at de ikke på noget tidspunkt kommer til at overholde databeskyttelsesloven med dens dokumentationskrav.

Der har hersket mange rygter og myter om bøder og straffe for overtrædelse af de nye regler. Men de lader vente lidt på sig – også i Danmark.

I Danmark modtog Datatilsynet som nævnt ovenfor 2.780 GDPR-anmeldelser i 2018 – vel at mærke efter 25. maj, hvor den nye lovgivning trådte i kraft.

Hvor meget er det i forhold til andre EU-lande? Det er dobbelt så mange som i Frankrig. Det sender Danmark ind på top tre over flest anmeldelser i forhold til indbyggertal i Europa. På førstepladsen finder vi Holland, og på andenpladsen har vi Irland.

Tidligere på året har tilsynschef i det danske datatilsyn, Jesper Husmer Vang, udtalt sig om mængden af anmeldelser: ”Vi havde nok regnet med, der ville komme mange, men ikke så mange.”

Der er endnu ikke udstedt bøder i Danmark, men den første retssag skal dog føres mod et taxaselskab. De første bøder har fundet deres vej ude i Europa:
  • Den tyske chathjemmeside www.knuddles.de blev idømt en bøde på 20.000 euro (150.000 kr.)
  • Det portugisiske hospital Centro Hospitalar Barreiro Montijo fik to bøder på i alt 400.000 euro (3 millioner kr.)
  • Google modtog en bøde fra det franske datatilsyn i januar 2019 på hele 50 millioner euro (373 millioner kr.)
  • Senest har et lille ungarsk firma modtaget en bøde på 3.135 euro (23.512,5 kr.)
Lande som Polen og Grækenland har andre ting at tænke på. De skænker ikke GDPR så mange tanker, og de gør måske heller ikke så meget for at leve op til EU-lovgivningen som danskerne.

Det tager tid at finde frem til de rette fortolkninger af databeskyttelsesloven. Det kræver, at sager prøves ved domstole for at skabe præcedens. 

Hvis du vil vide mere

Du kan læse mere om IT-sikkerhed generelt, men også GDPR i særdeleshed i bogen ”Bliv sikker på nettet”:
  • Side 409-421: Overvågning på nettet
  • Side 428-430: Hvad går EUs nye persondataforordning ud på?
Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet – PC- og onlinesikkerhed”.

Kilde: IDA – EU-beskyttelse af privatlivet tiltaler danskerne

lørdag den 18. maj 2019

Skal vi have elektronisk afstemning ved valg i Danmark?

Hvis vi indfører elektronisk afstemning i Danmark, vil stemmemaskiner så kunne hackes? Denne stemmemaskine er fra primærvalget i USA i 2016.

Det lyder besnærende: I disse tider, hvor mange ting sker via Internettet, hvorfor kan man så ikke stemme til EU-parlamentsvalget og folketingsvalget med smartphonen, iPad eller pc’en?

Hver gang, der bliver udskrevet valg i Danmark, lyder spørgsmålet: Hvorfor stemmer vi ikke bare via nettet? Så skal vi ikke stå i kø ved valgstedet, vi sparer tid, og måske vil flere også stemme end nu. Desuden vil optællingen af stemmerne også foregå meget hurtigere.

Ifølge Carsten Schürmann, der forsker i valgsikkerhed på IT-Universitetet, og som bl.a. har studeret digitale valg i USA, Egypten og Estland, skal vi tænke os grundigt om, før vi indfører internetafstemninger. Dette skyldes, at der på nuværende tidspunkt ikke findes it-løsninger, som er sikre nok til at bevare tilliden til valgprocessen. I USA har vi nu set to gange set, hvad det kan føre til, hvis præsidentkandidaterne ved et præsidentvalg ikke accepterer valgresultatet. I USA stemmer man ikke via Internettet men via valgmaskiner på valgstedet. Og senest var det ikke valgmaskinerne, der var problemet, men derimod hvem man tillod at stemme – f.eks. illegale indvandrere, der angiveligt skulle stemme fortrinsvist på det demokratiske parti.

I Danmark er det andre ting, der ligger valgforskere på sinde.

”Vi skal være sikre på, at du kan stemme hemmeligt, at det virkelig er dig, der har stemt, og at der kun er én stemme fra dig – ikke to eller tre. Vi arbejder på teknologiske løsninger på dette område, men vi er ikke færdige,” siger Carsten Schürmann.

Papirspor giver tillid

Et vigtigt element, som ville forsvinde i en internetbaseret valgproces, er papirsporet, som giver mulighed for at dobbelttjekke resultatet. Og det kan gå ud over tilliden til valghandlingen.

”I papir-valghandlingen har vi tillid, fordi vi har et papirspor. Der er noget, vi kan tælle op - og det tælles faktisk op to gange i de danske valg - og i alle valgbøgerne skriver man på papir. Der er en elektronisk del, men der er også en papirdel, og det er papirdelen, der er den vigtige. Hvis man har et internetvalgsystem, har man ikke noget papir, så hvordan kan man tjekke, om der har været et hackerangreb?” siger han.

Derfor mener Carsten Schürmann ikke, at tiden er moden til at sende papir og blyant på pension.

”Danmark er faktisk verdensmester i valgintegritet, og det skal bevares. Derfor skal man arbejde meget forsigtigt med modernisering af valgsystemet. Det er tilliden, der er på spil,” siger han.

”Papir og blyant – og et kryds på papir – er lige nu den bedste måde at afgive sin stemme på i Danmark.”

Problemer ved afstemning via nettet

Et problem ved at stemme derhjemme foran pc’en, via smartphonen eller tabletten er bl.a., at det kan være svært at sikre den hemmelige afstemning – altså at du selv frit afgiver din stemme. I nogle familier er det den ene ægtefælle, der tager sig af begges sager over for kommune og stat, og som således er i besiddelse af begges nøglekort. Det må man ikke ifølge reglerne for NemID, som alle har accepteret, men det sker i praksis alligevel. En ægtefælle kan f.eks. sige, ”Jeg kan ikke finde ud økonomi, så du må tage dig af vores fælles pengesager,” eller ”Jeg har ikke tid til at betale regninger, tage kontakt til børnenes læge eller Forældreintra, så gør du det på vores begges vegne.” Således overlader den ene ægtefælle disse vigtige opgaver, der normalt varetages med NemID og nøglekort, til den anden part. 

Dermed kan en ægtefælle også stemme på begges vegne, hvis der i internetvalgsystemet benyttes NemID til at sikre, at man er berettiget til at stemme. Eller en anden situation kan være, at en ægtefælle vil sikre sig, at begge ægtefæller stemmer det samme. Så vedkommende kigger med over den andens skulder, mens denne stemmer via Internettet. Ægtefæller kan have forskellige synspunkter for, hvad der er vigtigt både på det nære plan og i samfundet, og kan derfor også stemme forskelligt ved et valg. Ifølge grundloven skal dette respekteres. Den nuværende metode, hvor man møder op på et valgsted og træder alene indenfor forhænget, sætter sit kryds og derefter går ud på den anden side af stemmeboksen for at lægge stemmesedlen i valgurnen, er stadig den bedste måde at sikre afstemningshemmeligheden.

Der er også problemet med elektronisk afstemning, at de afgivne stemmer skal lagres elektronisk, så de er anonyme og ikke kan ændres. Der er blevet foreslået, at blockchain-teknologi, som virker tillidsskabende ved elektroniske valutaer som Bitcoin, kan anvendes til at sikre dette. Men kun it-eksperter forstår rigtigt ting som blockchain-teknologi.

I Danmark gør vi ikke som i Sverige: Her beder den svenske vælger på valgstedet i fuld offentlighed om en bestemt farvet stemmeseddel for et bestemt parti, hvor han eller hun så kan sætte sit kryds ud for en kandidat. Det svenske system er blevet kritiseret for ikke at respektere afstemningshemmeligheden fuldt ud. Det kan endda benyttes til udskamning og få nogle til at stemme på et andet parti, end det ønskede; for vælgeren kan føle sig påvirket af de valgtilforordnede eller naboer og bekendtes misbilligelse på valgstedet.

I Danmark har vi via papirafstemning faktisk opnået en meget transparent afstemnings- og optællingsproces, der gør det svært at svindle med stemmerne. Og som sagt tælles stemmerne op hele to gange – første gang af de valgtilforordnede, siden af kommunalt ansatte, før det endelige resultat sendes til Indenrigsministeriet.

Det manuelle, papirbaserede valgsystem i Danmark er så enkelt at forklare, at selv et barn på 10 år kan forstå det. Når vi benytter internetafstemning eller valgmaskiner, kan kun specialister virkeligt forstå, hvordan det foregår i detaljer. Kan befolkningen ikke forstå valghandlingens detaljer, har vi et demokratisk problem.

Problemer med afstemning med valgmaskiner

I USA anvender man valgmaskiner på afstemningsstedet. Der er to slags: de maskiner, der identificerer, at du har meldt dig til afstemningen, og de maskiner der registrerer selve valghandlingen – altså hvordan man stemte. I USA skal man ved hvert valg selv melde sig til – myndighederne sender ikke som i Danmark valgkort ud til at alle, der er registreret i folkeregistret, er mindst 18 år og stemmeberettiget.

Der er en grund til, at amerikanerne anvender valgmaskiner. I Danmark stemmer vi kun til kommunal-, folketings-, regions-, EU-parlamentsvalg og ved folkeafstemninger. I USA derimod kan der være helt op til 40 forskellige ting, der skal stemmes om på én gang: valg af den lokale sherif, guvernør, statsanklager, folkeafstemninger om nye love, osv. At få udleveret 40 stemmesedler, gå til stemmeboksen og udfylde dem alle, og til sidst aflevere dem i 40 forskellige valgurner er for stor en byrde at pålægge vælgerne. Det er noget enklere med stemmemaskiner, der præsenterer de enkelte valg og kandidater på en skærm for vælgeren, så han eller hun kan trykke på dem.


EViD - Electronic Voter ID. En amerikansk maskine
 til at tjekke om vælgeren er registreret til valget.
IT-professionelle dataloger og -sikkerhedsfolk ved rigtigt meget om, hvordan computere kan hackes. I USA er valgmaskinerne koblet til et lokalnet med en mindre risiko for angreb udefra. Men programkoden (softwaren) til maskinerne skal ved hvert valg lægges ind på maskinerne. Det kan ske via en USB-nøgle. I USA har man ikke offentliggjort afstemningssoftwaren, så alle interesserede kan undersøge den for sikkerhedsbrister og svindel. Det skyldes bl.a., at der er flere firmaer, der leverer sådanne programmer, men også at man er bange for at give hackere og fremmede magter indsigt i afstemningsproceduren og dermed mulighed for at finde angrebspunkter.

Men dermed kan man heller ikke være sikker på, at der ikke alligevel er pillet ved den software, der lægges på maskinerne. Den ene person, der gør det, kan lægge noget andet på dem. Det betyder, at det for den almindelige borger eller de valgtilforordnede er umuligt at bedømme om valghandlingen er forløbet korrekt. Som vi har set det i USA med valget af George Bush Jr. og Donald Trump, er tilliden til valgprocessen også af yderste vigtighed for legitimiteten af valget. Hvis en af kandidaterne bestrider resultatet, kan der opstå kaos. 

Der er andre it-systemer, der formidler de endelige valgresultater fra valgstederne til det amerikanske Indenrigsministerium, hvorfra tv-stationer kan få valgresultater til visning på valgaftenen. Der er heller ingen gennemskuelighed for sammentællingen og videreformidlingen af disse tal. Det er der for så vidt heller ikke i Danmark. 

Under det seneste præsidentvalg i 2016 blev der registreret forsøg på fra en fremmed magts side (Rusland) at pille ved i hvert fald de maskiner, der identificerer vælgerne, når de møder op på valgstedet. I princippet kan disse maskiner meddele, at en fremmødt vælger ikke er registreret og dermed ikke kan stemme. En fremmed magt eller organisation kan i princippet omhyggeligt udvælge sig valgkredse i USA, hvor det lokale valgresultat kan tippe landsresultatet til den ene eller den anden side, og inficere deres valgmaskiner på forhånd. Der har været to præsidentvalg, hvor det kun var få tusinde stemmer, der afgjorde resultatet.

Når det handler om stemmecomputere, kan hackere i princippet ikke kun ændre enkelte stemmer men millioner uden større besvær. Svindel med den manuelle papirstemmeafgivelse skalerer ikke særligt godt, og blot én persons tvivl om resultatet kan medføre omtælling.

Hør mere om elektronisk afstemning

Se denne engelsksprogede video, som en datalog, Tom Scott, har lavet til YouTube-kanalen Computerphile. Den redegør for de mange faldgruber, der er ved både internetafstemning og valgmaskiner. Han kommer endda ind på, at man ved valg i Storbritannien er så paranoide, at hver vælger får sin egen kuglepen til at sætte sit kryds med for at undgå, at en anden vælger kan udskifte den med én, hvis blæk bliver usynligt efter kort tid, hvorved efterfølgende stemmesedler kan blive erklæret som blanke eller ugyldige. Så langt er vi dog ikke gået i Danmark.

Videoen herunder, der er 8 minutter lang, har titlen, Why Electronic Voting is a BAD Idea – Hvorfor elektronisk stemmeafgivning er en DÅRLIG idé. Den er god at blive klog af.


Hvis du vil vide mere

I bogen ”Bliv sikker på nettet” er beskrevet, hvordan valgmaskiner i USA op til præsidentvalget i 2016 blev forsøgt hacket. Et NSA-dokument om dette blev lækket til et tidsskrift, der offentliggjorde uddrag af det. I bogen fortælles også om andre metoder til påvirkning af valghandlinger via Internettet, som listet herunder:
  • Side 255-257: Falske nyheder i den amerikanske præsidentvalgkamp i 2016
  • Side 263-264: Russisk indblanding i den amerikanske valgkamp
  • Side 264-265: Astroturfing – Falske græsrødder
  • Side 269-270: At lægge ord i munden på kendte personer: DeepFakes
  • Side 366-370: Folketingspolitikere og efterretningstjenesterne i lækagesag
  • Side 392-394: Verdens bedste cyberhær tilhører ikke Rusland
  • Side 396-402: Hemmelig NSA-rapport redegør for russisk hackerangreb dage før 2016-valg
Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet”.



lørdag den 11. maj 2019

Tre tyskere, som angiveligt drev en markedsplads på det mørke net med over 1 million brugere, står over for narko- og hvidvaskanklager i USA og Tyskland

Fra markedspladsen Wall Street Markets hjemmeside på det mørke net. Klik for større billede.
3. maj 2019. LOS ANGELES – Efter næsten to års international efterforskning, som inddrog amerikanske, tyske og hollandske myndigheder, har forbundsanklagere anklaget tre tyskere for at være administratorer af Wall Street Market (WSM), som var en af verdens største markedspladser på det mørke net, der gjorde det muligt for sælgere at forhandle et bredt udvalg af kontrabande, bl.a. en række illegale narkotiske stoffer, forfalskede varer og hacker malware.
Markedspladsens hjemmeside efter det tyske forbundspolitis beslaglæggelse.
Tre tyskere sagsøges
En stævning, der blev sendt til den amerikanske distriktsret i Los Angeles, anklager de tre sagsøgte, som aktuelt er i forvaring i Tyskland, for at være administratorer af WSM, en sofistikeret onlinemarkedsplads tilgængelig på seks sprog, der tillod ca. 5.400 forhandlere at sælge ulovlige varer til omkring 1,15 millioner kunder verden over. Som andre markedspladser på det mørke net, der tidligere er blevet lukket af myndighederne – f.eks. Silk Road og AlphaBay – fungerede WSM som et konventionelt kommercielt websted, men det var en skjult tjeneste udenfor rækkevidde af traditionelle webbrowsere – kun tilgængelig via brug af netværk beregnet på at skjule brugernes identitet såsom TOR-netværket.  

I næsten tre år blev WSM angiveligt drevet på det mørke net af de tre mænd, som nu står over for anklager i både USA og Tyskland. En såkaldt “exit scam” gennemførtes angiveligt for en måned siden, da WSM’s administratorer tog alle de virtuelle penge, der blev opbevaret i markedspladsens spærrede konti og brugerkonti – vurderet af efterforskerne til at beløbe sig til ca. $11 millioner (73 millioner kroner) – og så overførte pengene til deres egne konti. Exit scams er almindelige blandt store markedspladser på det mørke net, som typisk opbevarer penge, mens forhandlerne leverer deres ulovlige varer.

De tre sagsøgte, der er anklaget i USA, blev arresteret i Tyskland den 23. og 24. april 2019. De er en 23-årig indbygger i Kleve, Tyskland; en 31-årig indbygger i Würzburg, Tyskland; og en 29-årig indbygger i Stuttgart, Tyskland. Anklageskriftet anklager mændene for to tilfælde af alvorlig kriminalitet ­– konspiration om at hvidvaske monetære instrumenter og udbredelse og konspiration om at udbrede kontrollerede substanser. Disse tre sagsøgte står også over for anklager i Tyskland.

En fjerde sagsøgt
En fjerde sagsøgt forbundet til Wall Street Market blev anklaget i et anklageskrift i distriktsretten i Sacramento, Californien. Marcos Paulo de Oliveira-Annibale, 29 år, fra São Paulo, Brasilien, står også over for anklager om narkodistribution og hvidvask af penge og for at virke som moderator på WSM, som bl.a. mæglede uenigheder mellem forhandlere og deres kunder. Annibale, som benyttede onlinenavnet MED3LIN (Medelin), agerede også som PR-repræsentant for WSM ved bl.a. at fremme WSM på websteder som Reddit, ifølge anklageskriftet.

De to sager indgivet i USA er et resultat af en efterforskning foretaget af FBI, DEA, US Postal Inspection Service, Det amerikanske skattevæsens kriminalefterforskning og Det amerikanske immigrations og toldhåndhævelses Homeland Security Investigations (HSI).

Myndighederne kan holde trit med de IT-kriminelle
”Vi vedbliver at holde trit med sofistikerede aktører på det mørke net ved at øge vores tekniske evner og arbejde endnu tættere med vores internationale lovhåndhævningspartnere,” sagde den amerikanske Statsadvokat Nick Hanna. ”Selvom de lurer i Internettets dybeste hjørner, viser denne sag, at vi kan jagte disse kriminelle, hvor end de skjuler sig.”

”Vi er på jagt efter blot de mindste spor for at identificere kriminelle på det mørke net,” sagde den amerikanske statsadvokat McGregor W. Scott for Californiens Østlige Distrikt. ”Den strafferetlige forfølgning af disse sagsøgte viser, at selv den mindste fejl kan føre til, at vi finder ud af en cyberkriminels sande identitet. Som med den sagsøgte Marcos Annibale tillader flere år gamle forumposteringer og onlinebilleder af ham os at forbinde punkterne mellem ham og hans onlinepersona Med3l1n. Uanset hvor de bor, vil vi efterforske og retsforfølge kriminelle, som skaber, vedligeholder og fremmer markedspladser på det mørke net for at sælge ulovlige narkotiske stoffer og anden kontrabande.”

”Lige da internationale lovhåndhævende partnere begyndte at demontere Wall Street Market og handle mod dets medlemmer, som beskrevet i anklageskriftet, besluttede webstedets administratorer at stjæle deres kunders penge via en exit scam,” meddelte vicestatsadvokat Brian Benczkowski. ”Denne operation sender en krystalklar besked: mørke markeder tilbyder intet sikkert tilflugtssted. Arrestationen og retsforfølgelsen af de kriminelle, der angiveligt drev denne markedsplads på det mørke net, er et storartet eksempel på vort partnerskab med lovhåndhævende myndigheder i Europa med støtte fra Europol, og det demonstrerer, hvad vi kan gøre, når vi står sammen.”   

”Efterforskere fra mange lande overvandt de nationale, retslige og diplomatiske udfordringer ved at bringe de ansvarlige sofistikerede aktører, der drev en af de største kendte, krypterede markedspladser i det mørke nets skyggemiljø, til ansvar,” forklarede vicedirektør Paul Delacourt fra FBI’s Los Angeles Feltkontor. ”Denne sag er et eksempel på et succesfuldt globalt samarbejde blandt lovhåndhævende organer, som deler de mange udfordringer med at retsforfølge transnational kriminel aktivitet, der gennemføres af enkeltpersoner, som opererer anonymt på tværs af grænserne.”

Anklageskriftet
Den beedigede skriftlige erklæring til støtte for anklageskriftet indgivet i Los Angeles skitserer, hvordan de sagsøgte drev en sofistikeret onlinemarkedsplads, som tilbød krypteret kommunikation mellem købere og sælgere, såvel som et onlineforum til at diskutere med forhandlere og kvaliteten af deres varer. Den skriftlige beedigede erklæring beskriver også en international efterforskning, som kunne identificere de tre administratorer af WSM, og viser, hvordan de tidligere drev en anden tyskbaseret markedsplads på det mørke net, som lukkede ned i 2016 og forbinder dem til computerservere i Tyskland og Holland, som blev brugt til at drive WSM og behandle virtuelle valutatransaktioner.

De tre sagsøgte skabte angiveligt WSM, vedligeholdt webstedet og drev markedspladsen for at sikre, at købere kunne få adgang til forhandlersider, og at økonomiske transaktioner blev behandlet rigtigt. Efterforskningen skitseret i anklageskriftets beedigede erklæring forbandt de tre sagsøgte til WSM på flere måder, bl.a. deres adgang til WSM’s computerinfrastruktur. En af de sagsøgte benyttede f.eks. virtuelle private netværk til at få adgang til WSM’s computere, men når en VPN-forbindelse fejlede, blev hans IP-adresse afsløret, og myndighederne kunne identificere hans opholdssted.

De tre sagsøgte, der er sigtet i Los Angeles, blev arresteret i Tyskland efter WSM-administratorerne gennemførte en exit scam i kølvandet på, at WSM for nyligt blev anset som verdens førende markedsplads på det mørke net og opnåede en betydelig indstrømning af nye forhandlere og brugere, ifølge anklageskriftet. Den 16. April 2019 blev forhandlerne klar over, at de ikke kunne overføre de virtuelle midler, der var anbragt på spærrede konti fra deres kunder, hvilket fik tyske myndigheder til at gennemføre en række arrestationer og ransagninger.

Anklageskriftet identificerer flere tilfælde, som er blevet indgivet til retten i USA mod WSM-forhandlere. En forhandler på det mørke net, som reklamerede på WSM, sidder aktuelt inde med en 12 år lang fængselsstraf efter at være blev dømt i Wisconsins Vestlige Distrikt for at sælge en fentanyl-analog, der resulterede i en Florida-borgers død ved en overdosis. Denne havde købt en næsespray med det kraftfulde opioid fra forhandleren.  

To topsælgere på handelspladsen
To af topforhandlerne på WSM – identificeret ved onlinenavnene Platinum45 og Ladyskywalker – var baseret i Los Angeles-området og var større narkoforhandlere. En sælger, Ladyskywalker, opererede på flere markedspladser på det mørke net, hvor vedkommende reklamerede for og solgte opioider såsom fentanyl, oxycodone og hydrocodone. Den anden topforhandler – som benyttede onlinenavnet Platinum45 og opererede på mindst to markedspladser på det mørke net, bl.a. WSM – reklamerede for og solgte narko såsom metamfetamin, Adderall og oxycodone til kunder i USA og verden over, bl.a. Tyskland og Østrig. Platinum45 fremstillede også Adderall-tabletter og reklamerede for salget af op til 1 kg’s mængder af metamfetamin på WSM.

Politiets tekniske evner gør, at det mørke net ikke sikrer anonymitet
”Markedspladsen på det mørke net, Wall Street Market, var en de største værter for forhandlere, der falbød ulovlige varer,” sagde DEA's ledende specialagent fra San Francisco Chris Nielsen. ”Lovhåndhævningen tilpasser sig altid teknologiske forandringer og sender i denne sag et klart budskab til dem, der bryder loven og forsøger at skjule sig bag anonymitetens illusion – vi vil identificere og finde dig. Denne sags succes skyldes det fremragende samarbejde mellem lovhåndhævende myndigheder rundt omkring i verden, som leverede endnu et slag mod kriminelle netværk, der drives i cyberspace’s undergrund.”

”Alle, der mener, at det mørke net er et sikkert sted at gennemføre ulovlig handel, bør vide, at de ikke er anonyme,” advarer ledende inspektør Michael Ray fra Postal Inspection Service. ”De vil blive fundet, og de vil blive bragt for retten. Postal Inspection Service har en højt uddannet og engageret cyberenhed, som arbejder utrætteligt med andre lovhåndhævende myndigheder for at beslaglægge markedspladser og standse forhandlere fra at benytte det amerikanske postvæsen til at sende ulovlige varer og farlige stoffer.”

”Nedtagningen af dette websted er en kæmpe gevinst for tidligere og fremtidige ofre for kriminalitet begået pga. distributionen af ulovlige produkter og tjenester, der sælges,” konkluderer chef Don Fort for det amerikanske skattevæsens Kriminalefterforskning. ”Vi er engagerede i at benytte vores unikke økonomiske efterforskningsmidler til at takle denne slags trusler lige på for at beskytte borgere, for at fremme cybersikkerhed og for at oplyse det globale samfund.”

”HSI og vores partnere er på forkanten med at bekæmpe narkohandel, økonomisk kriminalitet og ulovlige aktiviteter leveret af sorte onlinemarkeder,” kan HSI’s fungerende administrative direktør Alysa D. Erichs meddele. ”Mens kriminelle operatører kan fortsætte med at øge rækkevidden af deres forretninger gennem disse markedspladser på det mørke net, kan de i sidste ende ikke undslippe lovens lange arm. Vi fortsætter med at efterforske, beslaglægge og demontere skjulte ulovlige netværk, der udgør en trussel i cyberspace.”

Hvis du vil vide mere
Du kan læse mere om det mørke net og politiets efterforskning af salg af narko og malware dér i bogen ”Bliv sikker på nettet”, der bl.a. indeholder sider med disse emner:
  • Side 74-77: FBI fanger russiske hackere
  • Side 78: It-kriminelle opfører sig som big business
  • Side 99-11: Dansk gennembrud: Narkohandlere kan ikke længere gemme sig bag bitcoin
  • Side 422: FBI: ”Vores hidtil mest succesfulde indsats mod TOR-brugere”
  • Side 426-427: Dansk politi jagter kriminelle brugere af hemmelig webhandelsplatform - AlphaBay og Hansa
  • Side 444: Fentanyl: Livsfarlig medicinspray sælges lovligt på nettet
Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet

Kilde: Pressemeddelelse fra Statsadvokatens kontor i Californiens Centrale Distrikt