Per Hellqvist om IT-säkerhet och sånt

You are watchingDet skrivs väldigt mycket i bloggosfären nu om DNs artikel angående de långtgående övervakningsförslag som ligger ute på remiss nu. (Minamoderatakarameller har en hygglig sammanfattning). De flesta är väldigt överrens om att storebrorsamhället och obehagligt inträngande övervakning av medborgare drar allt närmare.

Grunden till diskussionen är att Riksdag och Departement skrivit om ett utredningsdirektiv där regeringen uppdrar åt en utredare att “ta fram regler så att polisen har rätt att få veta IP-adresser även när brottet bara kan ge böter, alla brott så fort det finns en misstänkt.”

Jag har inget emot brottsbekämpning och jag är för nya verktyg för att hitta och stoppa brott. Men många av de förslag som läggs nu är som hämtade ur George Orwells “1984”.

(En tanke slog mig… kombinera ovanstående debatt med detta utredningsförslag. Obehagligt sa Bill… Obehagligt sa Bull)

En vän berättade om ett samtal de haft på en pub för lite sedan. Efter ett tag (och förmodligen ett eller två glas öl) sa en av de vise runt bordet: “1984 är en varning – Inte en manual!”. Sannerligen visa ord. Ironiskt är att gatan George Orwell bodde på i London numera är den gata som har flest övervakningskameror.

Men, problemet är inte lagförslagen. Problemet är heller inte polisens brist på möjligheter till brottsbekämpning. Problemet är att vi är så himla blasé. Ingen verkar bry sig. Vi har personligheter som Pär Ström och Oscar Schwartz, men var är resten? Var är den allmänna debatten? Var är frihetens förkämpar? Var är du? Det är trots allt dig det handlar om.

(tillåt mig glida lite åt sidan från denna debatt)

Aftonbladet tog upp ämnet i en artikel med rubriken “Extremt farligt för den personliga integriteten“. Visst är det så. Visst känns det obehagligt att någon håller ett öga på vilka sajter man besöker, vad man klickar på, vad man söker efter, vad man… Jag egentligen allt man gör när man är online. Eller hur Aftonbladet… det är hemskt… tänk om man hade program kopplade till sin sajt som meddelade dig allt om vad de enskilda besökarna gjorde.. program som Instadias ClientStep till exempel. Men vänta.. det har ju Aftonbladet redan..?

Enligt en partner till Instadia (numera uppköpta av Omniture) kan programmet:

Oops… Med andra ord kolla precis allt du gör på sajten. Säkert kanon för den som har sajten, men inte nödvändigtvis för den som besöker den.

Men vänta nu lite, kanske du säger. Det vet väl alla att om man besöker en sajt så är man där på sajtägarens villkor. Förvisso, men det finns ändå gränser för hur långt man kan tänja på gränser.

Jag började kolla lite extra noga på Instadia när jag såg att min bank använder Instadias program INNANFÖR inloggningen. Alltså skickar ett script ut information från den säkrade överföringen till ett företag i USA. Skumt tänkte jag. Varför gör de så här? Vill de veta vad jag klickar på när jag loggat in? Det finns inte så mycket att klicka på där och de märker väl om jag beställer en tjänst ändå. Då hittade jag något som gjorde mig irriterad. Cookies. Bland de cookies som Handelsbanken lägger in på min dator efter ett besök är en från Instadia. Som är “persistent”, dvs den ligger kvar efter sessionen avslutats. I en cookie jag tittade på idag kommer den tas bort i slutet av december 2009! WTF?

Ur säkerhetssynpunkt kanske det inte är så smart. Det finns ju en möjlighet att påverka sessionen om man kommer in via Instadia-kopplet. Men cookies… som dessutom ligger kvar i flera år? Nä… Det gillas inte.

Jag sökte mig fram till den lagstadgade informationen om cookies som skall finnas på webbar som använder det. På sidan “Cookies på Handelsbankens webbplats“står mycket riktigt att de använder cookies. De använder dem för att hålla reda på vilket bankkontor du tillhör (som om det spelar någon roll när man är på internetbanken…). So far so good. Lite längre ned står dock två små godisbitar:

Vi använder cookies för vår besöksstatistik
För att hjälpa oss få mer tillförlitlig besöksstatistik använder vi också cookies.

…men inte ett ord om att informationen skickas ut från den säkra arean till ett företag i USA (som lyder under amerikank lagstiftning och inte svensk). Nästa sektion säger:

Stänga av cookies i din webbläsare
Om du inte accepterar användandet av cookies kan du stänga av cookies via din webbläsares (Internet Explorer, Netscape m fl) säkerhetsinställningar. Det innebär dock att funktionaliteten på www.handelsbanken.se begränsas och det är inte möjligt att använda Handelsbankens Internettjänst.

Ok, så om jag vägrar acceptera en cookie som skickar min högst privata information innifrån den säkrade arean till ett utomstående företag i USA, som är övervakningens högborg, så kan jag inte använda Handelsbankens Internetbank? Ajdå.. Det är som att stå inne i bankvalvet och ha folk som tittar över axeln när du stuvar om i din bankbox.

Men bryter inte detta mot Lagen om Elektroniskt Kommunikation kap 6 §18? Jag citerar:

Elektroniska kommunikationsnät får användas för att lagra eller få tillgång till information som är lagrad i abonnents eller användares terminalutrustning endast om abonnenten eller användaren av den personuppgiftsansvarige får information om ändamålet med behandlingen och ges tillfälle att hindra sådan behandling.

Blä..

Jag vill dock passa på att påpeka att Instadia inte är ensamt. Det finns gott om liknande företaget med liknande tjänster (exempelvis WebTrends, SiteCatalyst, Vizzit, Xtractor, LiveSTATS, ClickTracks, HBX Analytics, ProspectFinder och AWStats. Läs mer här). De råkar bara vara bland de största, om inte de största, i Sverige.

Handelsbanken är heller inte ensamma om detta ofog, jag bara råkar vara kund hos dem och det var där jag uppmärksammade det hela. Bland Instadias kunder i Sverige kan nämnas SEB, Nordea, SJ, SL, Aftonbladet, Allt för föräldrar, Hittapunktse, Aftonbladet, Dustin, Tele2, TryggHansa, Tre, Glocalnet, Bredbandbolaget, TDC, Telia, Arla med flera. Enligt en uppgift från slutet av 2006 hade de över 400 kunder med ca 2500 webbar.

Jag vill slutligen bara påpeka än en gång att det de gör inte är olagligt. Det är bara oerhört påträngande. Du kan t ex inte se vad som sänds om dig för databearbetning till USA och du kan heller inte hindra det.

Nog övervakas du redan idag alltid.

När tänker du reagera?

Taggar: Allmänt, Korkat, Läsvärt, Personlig integritet

Kommentarer

5 kommentarer to “Övervakning eller konsumentanalyser?”

  1. Många bloggare ger sin syn på saken vad gäller avlyssning av IP-nummer och fildelning - en länksamling | Bloggtidningen on January 3rd, 2008 22:40

    […] Per Hellqvist 1 […]

  2. Yang on January 7th, 2008 12:52

    Aftonbladet två gånger? Är de så viktiga? 😉

  3. Fulton on January 29th, 2008 13:04

    Intressant artikel!

    Du missar en synnerligen väsentlig punkt och det är skillnaden om mätningen sker med en 1:a parts cookie (FPC) eller 3:e parts cookie. Den senare delas ofta mellan sajter (i.e. ful-cookie), vilket är ett problem som det talas mycket lite om. En FPC ger inte den sammanknytning av webbläsares rörelser över multipla webbplatser!

    Din egen sajt sänder ut sådana om du inte visste det… 😉

    Dock intressant att du skrivit om fenomnet, detta har t.ex. IDG inte lyckats av någon anledning.

    Läsvärt om detta ful-cookie delande:

    http://www.webbanalys.se/docs/2007/SEP/18/

    http://search.atomz.com/search/?sp-q=ful-cookie&sp-a=sp1003603d&sp-p=all&sp-f=ISO-8859-1

  4. Uppdaterad länksamling om fildelning/integritet/IP-nummer mm | Bloggtidningen on February 7th, 2008 18:03

    […] och polisstaten Poliser som spanar förutsättningslöst Förtryckt, förtrycktare, förtrycktast Övervakning eller konsumentanalyser? Tips på hur man kommunicerar på ett förtroendegivande sätt Varför tiger gammelmedia om […]

  5. LindaLundahl on July 1st, 2008 02:42

    Läste precis ett inlägg som löd “Stekare mot FRA – utläggningen” WTF?! Det verkar vara rätt seriöst dessutom. Kolla själva: http://www.finest.se/userBlog/?uid=6&beid=1009278

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.