IT-sikkerhet
Island
Baggrundsdokument for MR-IT møte den 27.09. 2001
Landenes tiltak for å forhindre den digitale todelingen
IT-sikkerhet
I. Situasjonen på Island
Juridiske omgivelser
Den islandske regjeringen har lagt vekt på å avskaffe de juridiske hindringer for elektronisk handel samtidig som man har prøvd å sikre forbruker- og personvernet. I den forbindelse la for eksempel handelsministeren frem en proposisjon om elektroniske signaturer på Alltingets siste sesjon. Proposisjonen bygde på et direktiv fra Den europeiske union (EU) om samme sak, og ble vedtatt som lov i løpet av vårmånedene 2001 (lov nr. 28/2001). I lovens paragraf (§) 4 heter det at en gyldig elektronisk signatur er alltid likestilt med en signatur som er skrevet for hånd. I tillegg heter det at andre elektroniske signaturer kan ha legal effekt ifølge loven. På denne måten har lovgivningen på dette området blitt gjort klarere, og man har fått et grunnlag for bruk av elektroniske signaturer som er noe som blir ansett som en forutsetning for økt tillit når det gjelder elektronisk kommunikasjon og elektroniske transaksjoner.
I tillegg er det blitt nedsatt en komité på vegne av Finansdepartementet som skal komme med forslag om en offentlig nøkkel-teknologi, PKI (Public Key Infrastructure), for hele det statlige apparatet og legge hovedlinjene for hvordan bruken av elektroniske signaturer i staten skal være. Komitéen vil komme med sin innstilling i løpet av høstmånedene 2001.
Lov om personvern og behandling av personopplysninger ble vedtatt i år 2000 (lov nr. 77/2000). Den bygger på et direktiv fra Den europeiske union (EU) om samme sak. I samsvar med denne loven er det blitt opprettet en ny institusjon, Persónuvernd, Personvernet (tilsvarende Datatilsynet i Norge), som skal føre kontroll med gjennomføringen av loven. De som arbeider med personopplysninger, skal gi melding til Personvernet før 1. juli 2001.
I Handelsdepartementet arbeides det nå med en proposisjon om elektronisk handel og andre elektroniske tjenester som bygger på et direktiv fra Den europeiske union (EU) om elektronisk handel. Ifølge proposisjonen skal de som yter tjenester og har fast tilhold på Island, følge islandsk lov når det gjelder opprettelse og drift av slike tjenester. Videre i proposisjonen er det en del bestemmelser som tar sikte på å skape økt tillit hos dem som benytter seg av elektroniske tjenester, for eksempel gjennom bestemmelser som forplikter de tjenesteytende til å gi opplysninger om seg selv og om hvordan det er mulig å komme i kontakt med dem.
Til slutt har Statsministerens kontor nedsatt en komité som skal gjennomgå den nåværende forvaltningsloven med hensyn til elektronisk forvaltning. Etter planen skal komitéen legge frem sin innstilling i løpet av høstmånedene 2001.
Adgang til Internett – en todeling?
Etter å ha vært igjennom store økninger i de siste år, måles det i dag små endringer når det gjelder islendingenes bruk av datamaskiner og Internett. Det kan virke som om man har nådd et visst metningspunkt. De nyeste undersøkelsene, som er fra i april 2001, viser at 77% av alle islendinger har adgang til datamaskin med Internett-tilkobling, og at det ikke har skjedd noen signifikant endring fra forrige undersøkelse som ble foretatt i september 2000.
Det kommer heller ikke frem noen signifikant forskjell i adgangen målt etter kjønn, men folk eldre enn 55 år har ikke så god adgang som de som er yngre. De som har fullført videreutdanning, har bedre adgang til Internettet enn de som har mindre utdannelse. Det vekker oppmerksomhet at over 90% av alle ledere, spesialister, teknikere og elever har adgang til Internettet. Og beboerne i hovedstadsområdet (Reykjavikområdet) har bedre adgang til Internettet enn de som er bosatt ute på landet.
Det kommer frem at menn bruker nettet betydelig mer pr. uke enn det kvinner gjør. Og det kommer ikke som noen overraskelse at det er de eldste som bruker nettet minst. Med stigende inntekt og mer utdannelse øker folks bruk av Internett.
Den vanlige islendings adgang til datamaskiner og Internett er blitt så allmenn at det ikke er riktig å snakke om todelingen som noe stort problem. Eldre mennesker, folk på landsbygda og enkeltmennesker med lav inntekt og dårlig utdannelse er de grupper som det likevel er nødvendig å legge særlig merke til. I denne diskusjonen må man imidlertid ha i tankene at det er en del som ikke er interessert i datamaskiner og Internett i det hele tatt, og heller velger å unngå denne teknikken av forskjellige grunner.
Elektroniske handel og sikkerhet
Man skulle anta at under de forhold som nå hersker på Island, ville transaksjoner via nettet vokse raskt og i takt med den økte adgangen til Internett som er vanlig blant folk flest. I virkeligheten er det imidlertid bare en liten andel av dem som har adgang til Internett, som til nå benytter seg av nettet til å gjøre forretninger.
Det er sannsynlig at den negative diskusjonen om personvern og sikkerhet som vi har hatt når det gjelder Internett, har influert på de som velger å ikke bruke datamaskiner i det hele tatt, og ført til en begrenset bruk av Internett hos mange som dog er aktive brukere. Folk kan ha mange slags bekymringer; det være seg på grunn av:
- a) en mulig direkte økonomisk skade (f. eks. dersom man har betalt for en vare som så ikke blir levert)
- b) ubehageligheter (f. eks. dersom det er nødvendig å stenge et kredittkort fordi kortnummeret er stjålet.)
- c) en uklar rettslig stilling fordi folk ikke kjenner de regler som gjelder for netthandel, f. eks. når det gjelder tilbakelevering av en vare og garanti.
- d) personvernet fordi det ikke alltid er klart hvordan de opplysninger som gis i forbindelse med bestemte transaksjoner, blir behandlet.
Nye islandske undersøkelser viser at folk flest har voksende bekymringer for sikkerheten når det gjelder transaksjoner via nettet. I en undersøkelse som ble foretatt i mars 2000, kommer det frem at sikker betaling er den faktor som folk flest anser som den ene av de to viktigste faktorene når det gjelder handel via Internett. Bekymringer for eller bevisstheten om IT-sikkerhet ser ut til å øke. I september 2000 nevner 30% av Internett-brukerne sikker betaling, mens tallet har økt til 39% i en lignende undersøkelse i mars 2001.
Forbrukerne ser ut til å ha betydelig mindre bekymringer når det gjelder personvern og netthandel. Bare 5% nevner det som den ene av de to viktigste faktorene i forbindelse med transaksjoner på nettet. Andre faktorer som ble ansett for å være viktigere, var f. eks. tidsbesparelse, varepris, "åpningstid", vareutvalg og varens leveringsmåte.
Er bekymringene i forbindelse med IT-sikkerhet ubegrunnet?
I all debatt om utviklingen av elektronisk handel snakkes det om nødvendigheten av å bygge opp tilliten til denne måten å drive handel på. Og det er ingen tvil om at en slik tillit er en forutsetning for at størsteparten av allmennheten skal bruke Internettet til annet enn å skaffe seg informasjon og sende e-post.
Det er imidlertid ennå mange bedrifter og offentlige institusjoner som ikke er rede til å opprette en gjensidig sikker korrespondanse med brukere av Internett. Det kan derfor være betenkelig å presse bedrifter og institusjoner til å yte slike tjenester dersom sikkerheten ikke er god nok. Det er nødvendig for bedriftsledere og ledere av offentlige institusjoner å innse at IT-sikkerhet er en forutsetning for driften av elektronisk handel eller elektronisk forvaltning. Dette er imidlertid en faktor som helt sikkert er blitt undervurdert.
Det er helt nødvendig å opplyse allmennheten om slike sikkerhetsspørsmål. Og ikke mindre viktig er det at bedriftsledere og annet personale blir informert om IT-sikkerhet, om den juridiske ramme som gjelder (og som er temmelig innfløkt), om de standarder som man kan støtte seg til, og om annet som er nødvendig for å drive e(lektronisk)-business.
Det er klart at det er vanskelig for små og mellomstore bedrifter eller institusjoner å skaffe seg den nødvendige kunnskap og den teknikk som det er nødvendig å ha for å kunne drive sikker elektronisk handel.
II. Det offentliges rolle og ansvar
En av de grunnleggende plikter som det offentlige har, er å sikre at de juridiske omgivelser er fornuftige. Når det gjelder elektronisk handel og kommunikasjon, er det nødvendig at loven er i overensstemmelse med den tekniske utvikling samtidig som den rettslige stilling til forbrukere og bedrifter er sterk. På den annen side har handelsministeren lagt vekt på at det ikke skal gjelde flere særregler på dette området enn strengt tatt nødvendig.
Det offentliges rolle når det gjelder IT-sikkerhet er mangesidig:
- Å sikre de vanlige juridiske omgivelser og den rettslige stilling som allmennhet og bedrifter skal ha, gjennom å utvikle en lovgivning om elektroniske signaturer, elektronisk handel, forbrukervern, personvern osv.
- Å bidra til innføring og allmenn bruk av standarder som f. eks. ISO/IEC 17799 (BS 7799).
- Å bidra til at det blir utarbeidet forskrifter om forbrukervern og informasjon til forbrukerne.
Men er rollen kanskje enda mer omfattende? Er det ønskelig at det offentlige rydder veien for elektronisk handel og innfører interaktiv kommunikasjon i forvaltningen, fremskynder installasjonen av sikkerhetssystemer og tar i bruk elektroniske signaturer? På den måten kunne man tenke seg at det ble skapt tillit til disse måtene å drive forretning på, og fastsatt de sikkerhetsnormer som bedrifter og allmennhet senere ville anse som akseptable (og formodentlig bli et forbilde på andre områder).
III. Hvilke muligheter finnes det?
I dag er mangelen på sikkerhet den største hindringen for en fortsatt utvikling av netthandel; i det minste i de land som har nådd lengst.
Det er mye som er avhengig av det samme: Det er ikke ønskelig (verken for selger eller kjøpere) å inngå forretningsavtaler eller yte offentlige tjenester uten at den juridiske stilling er klar, at den tekniske sikkerhet er til stede, at det er klart hvor det blir av de personopplysningene som er knyttet til forretningene, og at folk har tillit til denne måten å drive forretninger på.
Den vanlige borgers muligheter eller gevinst når det gjelder økt IT-sikkerhet, ligger i at det på sikt vil bli mulig å fortsette utviklingen av informasjonskanaler, tjenester og handel med sikker betaling og sikker behandling av (ømfintlige) personopplysninger. Dette innebærer at forbrukerne får adgang til et større marked med økt konkurranse og et større vareutvalg, og at man er uavhengig av sted og tid når forretningene skjer. Næringslivets muligheter ligger i at det blir mulig å nå frem til og yte tjenester overfor en betydelig større kundegruppe og det med liten påkostning, dersom det er mulig å benytte elektroniske, sikre metoder. Dermed åpnes nye markeder, mellomleddene blir færre, og muligheten for rasjonalisering blir stor.
Det er meningsløst å snakke om å overføre alle transaksjoner til nettet dersom det ikke er skapt tillit og sikret tilfredsstillende sikkerhet når det gjelder kommunikasjon via nettet.
IV. Hva kan det offentlige gjøre?
Det offentlige må selvsagt utvikle den juridiske ramme og fastsette de spilleregler som er nødvendige på området IT-sikkerhet. Som vi tidligere var inne på, er utbredelsen av elektronisk handel, allmennhetens tillit og reell sikkerhet når det gjelder handel, samvirkende faktorer. Offentlige organer burde derfor bidra til at:
- det tilbys variert opplæring om alle de faktorer som angår IT-sikkerhet, innføres elektronisk handel og elektronisk forvaltning – både når det gjelder den juridiske ramme, tekniske løsninger, standarder o.l.
- offentlige og private bedrifter skaffer seg datasystemer og arbeidsprosesser som gjør det mulig for dem å drive elektronisk handel på en sikker måte. Man kan for eksempel benytte seg av standarder som f. eks. BS 7799.
- bruken av elektroniske signaturer blir allmenn.
- det til vanlig blir arbeidet etter den nye loven som ble vedtatt om elektronisk handel, elektroniske signaturer, forbruker- og personvern.
Gjennom et fortsatt målbevisst arbeid mot en todeling av samfunnet, og gjennom å aktivisere så mange som mulig i opplysningssamfunnet, åpnes mulighetene til å fremskynde innføringen av elektronisk forvaltning og til smått om senn å redusere forskjellige irrasjonelle "papirtjenester". På sikt vil dette føre til en stor rasjonalisering i den statlige drift, og i tillegg vil det bli mulig å yte betydelig bedre tjenester enn det var etter gamlemåten. Fra skattebetalernes synspunkt er dette derfor av svært stor interesse.
Mangel på juridisk grunnlag og sikkerhet i elektronisk kommunikasjon har frem til i dag hindret utviklingen av en elektronisk interaktiv forvaltning, men nå burde det skje en endring når det gjelder dette.
V. Hvilke oppgaver er det mulig å arbeide med på den nordiske arena?
De nordiske lands særstilling når det gjelder allmennhetens adgang til datamaskiner og Internett, gjør at det er realistisk å gå løs på andre oppgaver enn det er i de land som har dårligere adgang. I de nordiske land arbeides det med mange progressive prosjekter innenfor elektronisk handel og elektronisk forvaltning der det virkelig stilles store krav til IT-sikkerheten. Som eksempel på et slikt prosjekt kan nevnes et forsøksprosjekt på Island om elektronisk valg.
Det er viktig at det er lett adgang til opplysninger om slike (forsøks)prosjekter slik at også andre land kan lære av den erfaring man har fått. Det ville være ønskelig at opplysninger om slike prosjekter fantes på fellesnordiske nettsider. Men det må mere til. Det er nødvendig å skape en arena for formidling av kunnskap og erfaring når det gjelder IT-sikkerhet og flere spørsmål knyttet til det. En slik arena kunne skapes under den elektroniske forvaltnings faner. Det er nemlig et kjempesvært prosjekt som alle de nordiske land nå arbeider med.
På de nordiske forbruker- og handelsministres møte som ble holdt i Helsinki (Helsingfors) den 20. juni 2001, la den islandske industri- og handelsminister Valgerður Sverrisdóttir frem et forslag om å opprette en tverrfaglig embetsmannskomité (EK-Kons og EK-Næring) om forbruker- og handelsspørsmål. Komitéen fikk i oppdrag å sette i gang et forsøksprosjekt som skal bidra til økt personvern i forbindelse med netthandel. IT-sikkerhet er et av temaene i dette arbeidet. Man regner med at rapporten med resultatene av dette prosjektet vil foreligge i løpet av et år.
Det er viktig at MR-IT og (EK-IT) får denne rapporten og tar opp til behandling andre spørsmål under IT-sikkerhet som denne gruppen ikke behandler.
VI. Spørsmål for diskusjon
- Bør offentlige instanser i de nordiske land rydde veien for IT-sikkerhet – ikke bare når det gjelder lovgivning – men i enda større grad ved å innføre sikkerhetsstandarder (som f. eks. den britiske standarden BS 7799 eller den internasjonale standarden ISO/IEC 17799) og deretter gå foran med et godt eksempel og arbeide i henhold til disse standardene i den offentlige forvaltning? Ville det gjennom dette være mulig å skape et godt eksempel for behandling av alle typer opplysninger?
- Bør offentlige instanser i de nordiske land fremskynde oppbyggingen av elektronisk forvaltning og innføre elektroniske signaturer for å skape et forbilde og den tillit som generelt sett er nødvendig for utviklingen av elektroniske transaksjoner?