Per Hellqvist om IT-säkerhet och sånt

3d illustration of chrome paragraph sign on white backgroundI nyheterna härom dagen kunde man läsa att åklagare vill kriminalisera installation av “egna” program på arbetsgivarens dator. Man hänsyftar förmodligen till nionde paragrafen i Brottsbalkens fjärde kapitel:

Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift

Man vill alltså pröva om det är dataintrång när du installerar Spotify på din arbetsgivares dator. Straffpåföljden kan bli böter eller fängelse. Det kan låta hårt, men låt oss bena ut det hela.

Först kanske det är värt att påpeka något som de flesta glömmer:

Din arbetsdator är inte din. Den ägs av din arbetsgivare.

Här menar åklagaren att om du utan tillstånd gör ändringar i den så är det alltså att likna vid dataintrång eftersom du “olovligen […] ändrar […] eller i register för in en sådan uppgift”.

Åklagaren menar att man genom att utan arbetsgivarens godkännande installerar ett program gör ändringar i datorn och i Registret. Och då ska man dömas för dataintrång.

Lagen är nämligen lite oklar eller gammaldags. Läser man ordagrant och ser ordet “register” så kan man tolka det som “Registret” i datorn (jag skriver det med stort R för att du ska se skillnaden). Med ett register menas i dagligt tal en databas eller en förteckning över något. Och det är såklart elakt om man ändrar eller förstör i ett sådant utan tillstånd. Men Registret i Windows innehåller konfigurationsinformation om de program som installerats. Det är automatiskt maskinskapat och innehåller normalt inte affärskritisk information (i en del undantagsfall innehåller vissa poster i Registret känslig information). Varje gång du använder datorn skrivs en hel massa till Registret. En del tas bort, annat tillkommer, vissa poster ändras. Installerar du ett program tillkommer en massa information till Registret. Avinstallerar du program raderas en hel massa ur Registret.

Frågan är om det är kriminellt? Var går gränsen och vad gör brottet så allvarligt att det bör kriminaliseras?

Vi fortsätter bena i problematiken:

Arbetsgivaren vill inte att du ska installera en massa okända program i datorn av flera anledningar:

Igen: Det är inte din dator. Det är din arbetsgivares egendom.

Ser man det ur användarens synpunkt så kan man ha viss förståelse för beteendet. Jag har under mina år hört alla ursäkter i boken. Några exempel:

Alla rätt förståeliga och mänskliga argument. Men de ändrar inte grundfakta: Det är inte din dator. Det är din arbetsgivares egendom.

Så, till frågan: Ska detta kriminaliseras?

Jag tycker inte det.

Högst personligen tycker jag att detta ska regleras av arbetsgivaren. Om man i policyn skrivit att man inte får installera “egna” program på datorn får man inte det. Gör man trots policyn det så ska företaget reglera det med den anställde. Tycker jag.

Har arbetsgivaren missat att skriva ut det i policyn gäller regeln att om det inte uttryckligen är tillåtet så är det inte tillåtet. Då frågar man först.

Det är dock såklart en helt annan sak om den anställde med flit infekterat företaget med elak kod. Det har förekommit fall då personer som sagts upp lagt in fjärrstyrningstrojaner eller logiska bomber, ett slags tidsinställd elak kod, i syfte att hämnas på sin uppsägning. Detta är solklart en kriminell handling i min bok.

Men en kriminell handling att t ex installera ett “vanligt” program? Tveksamt.

En kompis till mig påpekade visserligen att allt som är kriminellt hamnar inte i domstol. Men det är ändå en enorm skillnad i att bryta mot en regel uppsatt av arbetsgivaren och att utföra en enligt svensk lag kriminell handling.

Och förresten: Allt ovan gäller även mobiltelefoner och surfplattor du får av arbetsgivaren. Det är inte “din”. Det är din arbetsgivares egendom.

När det kommer till “Bring Your Own”-prylar blir det snårigare. Men det är en annan historia.

Det ska bli spännande att följa hur detta slutar.

Taggar: Allmänt, Intressant, Och sånt

Kommentarer

En kommentar to “Din dator är inte din”

  1. Wordpress Tema gjennomgangr og sammenligninger on November 12th, 2020 11:42

    WordPress Tema gjennomgangr og sammenligninger

    Säkerhet & Sånt | Per Hellqvist om IT-säkerhet och sånt

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.