Socialdemokratiet: Der er brug for en it-kriminalitetspakke

Hvis risikoen for at blive opdaget er forsvindende lille hjælper hårdere straffe akkurat ingenting. Særligt hvis der samtidigt også er tale om grænseoverskridende kriminelle handlinger.

Det ville klæde Bramsen at undgå den konservative floskel om hårdere straffe for at virke handlekraftig, og i stedet fokusere på hvordan man kan sikre de systemer som bliver udnyttet. Eller melde sig ind i C, det virker alligevel som om hun hører mere hjemme der

Er der nogen evidens for at højere straffe virker? For tilsvarende eller bare en eller anden form for kriminalitet?

Straffe er, uanset deres længde, kun effektive hvis kriminelle rent faktisk bliver dømt. Derfor er der kun en vej: Sørg for at risikoen for at blive opdaget og dømt er relativt stor.

Når politiet, anklagemyndigheden og dommerstanden er blevet opkvalificeret således at behandlingen af IT-kriminalitet ikke er en farce, så kan vi se på hvilken yderligere indsats der skal til for at signalisere at IT-kriminalitet ikek er acceptabelt.

Straffe er, uanset deres længde, kun effektive hvis kriminelle rent faktisk bliver dømt.

En meget vigtig pointe som Folketinget alt for ofte glemmer.

Er det kriminalitet udført med IT? Altså bondefangeri som falske webshops, nigeria mails etc. Eller IT-bårne pædofilinetværk.

Eller er det teknisk betinget rettet mod IT Altså det hacking/malware ...

Eller måske misbrug af IT-systemer uden egentlig teknisk F.eks. Se&Hør videredeling af private billeder

Det er meget forskellige grupperinger og derfor er de også ramt af meget forskellig lovgivning.

Men imho er det der er brug for nok at vi indser at den virtuelle verden træder til hvorfor: 1) vi skal beskytte vores virtuelle værdier - den enkelte er jo også ansvarlig for at låse sit hjem 2) Ordensmagten skal have uddannelse og resourcer til efterforskning 3) Og så lidt vidløftigt; da det jo typisk er grænseoverskridende bør vi overveje overstatslig lovgivning og efterforskning.

Og rent faktisk afsoner deres straf inklusive afsondring fra omverdenen :)

Mon Trine rent faktisk er velkommen i C?

Ja det virker lidt underligt bare at fokusere på hårdere/længere straffe, så da hellere flere blev fanget til den nuværende straf.

Ønsker helt ærligt ikke amerikanske straffe tilstande i DK(*), det koster kassen at have folk i fængsel, og endnu mere hvis det er til længere straffe, tvivler også på længere straffe har nogen videre positiv indflydelse på folk der bliver straffet, de skal trods alt da forhåbentlig tilbage til samfundet igen senere.

*) Det er jo helt dybt godnat med dem der har fået 20-30 år i USA for relativt beskedne ting set med danske øjne.

Vi må uddanne flere dygtige folk der har styr på IT-sikkerhed, få dem fordelt rundt blandt firmaer, styrelser osv. så sikkerhed kan blive en integreret del af vores måde at arbejde på og så skal vi have nogle politikere der kan finde ud af at lytte til dem frem for at fremmedgøre dem med diverse fordomme?

https://www.version2.dk/blog/opraab-til-it-noerderne-smid-tennissokkerne...

Det kan være at en reduceret skat på tennissokker kan hjælpe på sagen.

*) Det er jo helt dybt godnat med dem der har fået 20-30 år i USA for relativt beskedne ting set med danske øjne.

Ja, men derovre er det jo også en industri at sætte folk i fængsel. Det er det heldigvis ikke herhjemme, så der må vi gøre hvad vi kan for at sørge for at folk bruger så kort tid som muligt i fængsler.

Er der nogen evidens for at højere straffe virker? For tilsvarende eller bare en eller anden form for kriminalitet?

Det er der mig bekendt i de typer kriminalitet hvor vi snakker om velovervejede handlinger, som f.eks. svindel i modsætning til handlinger foretaget i affekt som vold oftest er. Men det hænger selvfølgelig sammen med at chancen for at blive opdaget stiger, ellers giver det jo ingen mening

Sløsethed med andres data, dét er IT-kriminalitet!!1 Herunder utilstrækkelig beskyttelse, misbrug, videresalg, alt muligt der ikke er til gavn for dataejeren.

Hvad synes I andre er IT-kriminalitet? Hvad er cyber vs. IT ? Hvad er cyber crime? Hvad er cyber terror? Hvad er cyber warfare? Var NotPeyta det ene eller andet? Er det vigtigt? Hvem vælger det?

Skal vi vædde på dette bliver et springbræt til flere forsøg på at indskrænke og angribe personlig frihed for almindelige borgere; ved yderlig overvågning, mere censur, angreb på kryptering og brugen af VPN m.m., som vi jo allerede ved en række politikerer er meget sultne efter at gøre?

Det er der mig bekendt i de typer kriminalitet hvor vi snakker om velovervejede handlinger, som f.eks. svindel i modsætning til handlinger foretaget i affekt som vold oftest er.

Mig bekendt (og du bliver nødt til at tro mig på mit ord, for jeg orker ikke finde kilder), så er der to effekter, som er på arbejde, hvis vi snakker "velovervejede handlinger":

1) mennesker har en tendens til at overvurdere sikre nutidige gevinster, og undervurdere mulige fremtidige tab. 2) mennesker undervurderer generelt hændelser med lille sandsynlighed og stor konsekvens.

Derfor er det langt mere effektivt at kigge på at konsekvenser falder hurtigt og med højere sandsynlighed, end det er at øge selve konsekvensen - for velovervejede handlinger (for "velovervejet" er ikke det samme som "rationelt") - affekthandlinger har en anden logik.

Men jeg kan godt mistænke politikere for at ræsonnere sig frem til, at større straffe er en "gratis omgang" (man tænke nok, at nogle vil skulle sidde mere i fængsel, men at det nok bliver opvejet af, at der bliver færre af dem), hvorimod højere effektivitet i håndhævelsen rammer direkte ind i næste finanslovsforhandling (fik jeg lige sagt, at politikere også er mennesker, fordi selvom de måske er velovervejede, så betyder det ikke, at de er rationelle?).

Hvordan finder man det rette strafniveau? Man hæver straffen indtil folk holder op med at begå den kriminelle handling enten fordi de lader være af egen fri vilje eller sidder i fængsel og derfor ikke kan. Såfremt kriminaliteten derefter forsvinder, da kan man langsomt reducere strafniveauet.

Der er dog en række afvigelser:

• Såfremt man har svært ved at bevise folks individuelle skyld, da skal man overveje at ændre kravet til skyld (CSC sagen in mente).
• Såfremt folk begår kriminalitet af objektiv nød, da er sociale foranstaltninger mere anvendelige end straf.
• Såfremt strafniveauet bliver ude af proportioner med samfundskonsekvenserne af den kriminelle handling, da skal man overveje afkriminalisere handlingen (fx narkotika).

Til alle dem der siger højere straf ikke virker, har jeg spørgsmålet: Hvad er det magiske ved det nuværende strafniveau? Hvorfor er det det optimale niveau? Hvis vi ikke har det optimale niveau nu, hvordan kommer vi så derhen?

Trine udtaler sig, og der er under 70 kommentarer.

Eftersom der tit er tale om grænseoverskridende kriminalitet bestemmer vi faktisk ikke hvilken straf der bliver givet. Men det er ikke problemet. Østlandene ( Hvor mange kommer fra ) har udmærkede høje straffe for IT kriminalitet og deres lange straffe koster ikke os Danmark noget. Det er deres eget land der kommer til at betale.

Til gengæld så skal vi ikke forvente nogen selv ringer og beder om at blive dømt for deres ugerninger. Der skal præsenteres en sag for en statsanklager. Og det bliver der ikke hvis der ikke er nogen der efterforsker sagen.

Det vi skal er altså først og fremmes at sikrer: - at hvis noget har noget værdifuldt liggerne, som ikke tilhører dem selv, så skal de huske at passe godt på det. - at der bliver efterforsket imod de leverandører der ikke gør. - at hardware/software der markedsføres til n00bs, skal passe godt på dens data. - at der bliver efterforsket imod producenter som ikke gør. - at der sker en efterforskning imod dem som bliver anmeldt for at typosquatting og lignende kriminalitet. Også selv om de i et specifik tilfælde blev forhindret i deres forehavende imod en specifik virksomhed betyder det jo ikke at de ikke også er i gang med at gøre det samme imod 999 andre virksomheder, som endnu ikke har opdaget det.

Det vi ikke skal: - Forbyde folk at passe på deres data med kryptering. - Kun fange de små n00bs der har cracket danskere fra et sted i Danmark. Ud over Se&Hør sagen, så er det sjældent at dem der cracker deres venner computere i folkeskolen er et særligt stort problem i forhold til dem der cracker cracker 1000-vis af computere. - Stirre os blinde på spektakulær som fx WannaCry2. Der er selvfølgelig spændende og en god måde at minde nogen om at passe deres arbejde. Men hvis du ikke er det udpegede mål for sådan et angreb, så er det bare endnu en Virus/Orm/Pest som du kunne beskytte dig imod. Hvis du er målet for sådan en kampagne, så er det næppe nogen vej uden om at genopbygge din infrastruktur, så du bedre kan overleve næste gang.

Hvordan finder man det rette strafniveau? Man hæver straffen indtil folk holder op med at begå den kriminelle handling enten fordi de lader være af egen fri vilje eller sidder i fængsel og derfor ikke kan. Såfremt kriminaliteten derefter forsvinder, da kan man langsomt reducere strafniveauet.

I lande med dødsstraf sker der stadig kriminalitet. Det er en kende mere komplekst end blot "mere staf".

Så selvom jeg personligt synes Danmark ofte er for blød mht straf afgivelsen, så ser det ikke ud til at hårdere straffe virker præventivt. Staf er en efterfølgende afstraffelse, ikke en præventiv funktion.

Og især når politikerer kommer på banen med vage udtalelser for at underbygge frygten i samfundet. Kombineret med hvad vi ved hvad flere politikerer godt kunne tænke sig af overvågning, registreringer m.m. af befolkningen. Og også sammenholdt med hvordan det "offentlige" Danmark har håndteret en række sager over de sidste par år, hvor svagheder er blevet udstillet omkring bl.a. CPR registeret; Så er det tid til at være lidt opmærksom på hvad der foregår og ikke blot falde i den oplagte "slemme folk" fælde.

Jeg har ikke et problem med at man eventuelt hæver en strafferamme for IT-kriminalitet. Men det er proviso at man begynder med at behandle IT-kriminalitet seriøst i den danske "retsstat". Det går simpelthen ikke at køre endnu en CSC-sag, hvor man skal bruge tid på at afgøre om vi sidder med en IPv6 addresse eller en MD5 checksum(!). IT-kriminalitet kræver at du har eksperter i politiet der er i stand til at varetage den tekniske side af sagerne. Og lige pt forekommer det mig ikke at det er tilfældet.

Et andet problem er at meget IT-kriminalitet -- specielt det nylige ransomware mod Mærsk og NHS i UK -- lader til at være statsstøttet arbejde. Formentlig fra Nordkorea og/eller Rusland. Ingen hårdere straffe vil hjælpe her, da der er tale om koldkrigsmetoder og angreb mod infrastruktur for at teste den. Hvis jeg kender Trine ret, så er det meste en modreaktion på hvad der for nylig er sket, og derfor er min bekymring at hun ikke har overvejet den side af sagen.

Det eneste vi kan gøre er at stille højere krav til IT-sikkerheden hos store virksomheder. Det hjælper også når vi skal forsvarer os mod hacker angreb fra fremmede nationer.

Hvordan man lige opnår det i praksis, uden negative side effekter er ikke nemt...

Måske en lov der pålægger KMD eller Frederiksberg kommune en bøde straf for ikke omgående at hive stikket på deres IT system, efter at være blevet oplyst om alvorligt sikkerheds hul.

Note: højere straf er sjælent en løsning, højere opklarings rater er det eneste der har en præventiv virkning. Desuden er der kun tale om penge, ingen vold eller person skade.

Vi kan kun: * øge IT sikkerheden, * gøre det sværer at begå IT kriminalitet, * forenkle oprydningen efter identitets tyveri, * flytte omkostningerne til banker og butikker som kan øge deres IT sikkerhed.

Opklaring er næsten umuligt, og straf ligegyldigt.

Måske en lov der pålægger KMD eller Frederiksberg kommune en bøde straf for ikke omgående at hive stikket på deres IT system, efter at være blevet oplyst om alvorligt sikkerheds hul.

Her er hvorledes Folketinget lovgav om tilsynsmyndigheder for en anden ny teknologi:

"§ 7. Miljøstyrelsen og sundhedsstyrelsen har adgang til at fordre sig meddelt enhver oplysning, der af disse myndigheder skønnes af betydning for sikkerheden. De kan til enhver tid uden retskendelse mod behørig legitimation fordre adgang til at udøve tilsyn på anlægget under bygning og drift eller hos leverandører til anlægget. De kan meddele pålæg, som er fornødne til at sikre overholdelsen af opstillede vilkår og betingelser, eller som i øvrigt skønnes nødvendige af sikkerhedsmæssige grunde, ligesom de i påtrængende tilfælde af sikkerhedsmæssige grunde kan forlange brugen af anlægget standset, indtil der er taget stilling til, om og i bekræftende fald hvornår brugen af anlægget kan genoptages. "

https://www.retsinformation.dk/forms/r0710.aspx?id=49336

At CSC ikke fik klippet internetforbindelsen da "hackersagen" dukkede op er det ultimative bevis på at Kongeriget ikke tager IT sikkerhed seriøst.

Trine udtaler sig, og der er under 70 kommentarer.

Don't feed the Tr***

Desuden er der kun tale om penge, ingen vold eller person skade.

"Kun tale om penge..." - tja, bum.

Der er en grund til at bankrøveri og falskmøntneri straffes relativt hårdt, også selvom "der kun er tale om penge". Der er også nogle som mener at finanskrisen er den væsentligste forklaring på i omegnen af 10k yderligere selvmord i Europa og Nordamerika. Sammenlign lige det med "terror".

Med IT-sikkerhed er der sjældent "kun tale om penge" - og jo færre penge du starter med at have, jo hårdere bliver du ramt. Der er slet ikke "kun tale om penge", når vi rammer persondataloven; det er rigtige menneskers rigtige liv, som kan blive voldsomt ødelagt.

PS: Og i øvrigt virker Trines seneste udtalelser på mig, som om at hun slet ikke har forstået problemet. Den følelse er ikke ny.

Det Trine mener er naturligvis at Esben og hans kumpaner skal bures inde så længe som muligt.

Straffe er, uanset deres længde, kun effektive hvis kriminelle rent faktisk bliver dømt.

Er der nu også evidens for, at straffen virker blot fordi den kriminelle bliver dømt? Er det ikke blot samfundets ønske om gengæld, der bliver tilfredsstillet?

Og de glemmer at Det kriminalpræventive Råd ALDRIG har anbefalet højere straffe eller fundet evidens for at det virker afskrækkende. Men facts are dead...

Det er meget forskellige grupperinger og derfor er de også ramt af meget forskellig lovgivning.

Ja, og det er helt OK. Vi skal netop væk fra at IT er noget magisk. Det er i mange tilfælde helt "almindelig" gammeldags kriminalitet, hvor man bare har skiftet brækjernet ud med en computer.

Og så er det netop, at hvis noget har værdi, så er det også værd at passe på. Kunne man forestille sig at Nationalbanken bare sendte guldbarrer med almindelig pakkepost ? Som man sender personlige oplysninger på en CD med posten. Kunne man forestille sig at den ansvarlige for afsendelsen af guldbarerne kunne nøjes med at sige at det ikke stod i procedurerne ? Kunne man forestille sig at nationalbankdirektøren kunne blive siddende, når/hvis der fandtes en procedure, hvor det ikke var specificeret ?

Der er plads til megen forbedring i forbindelse med kriminalitet, der har en form for tilknytning til IT. Men højere straffe er vel ikke det mest presserende.