fredag 16 april 2021

Dataintrång eller inte - Öppna skolplattformen

Stockholm stad meddelar att de avser polisanmäla utvecklarna bakom "Öppna skolplattformen". De säger sig även ha lämnat in en anmälan om personuppgiftsincident till IMY. Den allmänna responsen bland teknikintresserade tycks vara att man knappt vet vart man ska ta vägen när denna hårresande inkompetens som omgivit Skolplattformen fortsätter galoppera vidare i nya riktningar.

Stockholms stad har dock ägnat åtminstone seriöst menad uppmärksamhet till frågan. En juridisk utredning är gjord där författaren kommit fram till att det kan handla om dataintrång. Och är man en chef som inte har djupare insikt så kan det vara svårt att då ställa rätt motfrågor för att luckra upp och nyansera den inställningen.  

De frågor jag skulle vilja föreslå att berörda chefer ställer är:

  1. Vilken data är det man menar utsatts för intrång?

  2. Är det verkligen vi som är personuppgiftsansvariga när personuppgifter på ett säkert sätt lämnat våra servrar till en autentiserad, behörig mottagare? Om vi har ansvar för klienterna, var går i så fall gränsen där? Webbläsare? Operativsystem? Hårdvara?

  3. Finns det skäl att anta att uppsåt till brott funnits enligt BrB 1 kap. 2 §?


Analys

Första frågan som måste besvaras innan vidare analys kan ske är vilken data är det som Stockholms stad menar utsatts för intrång?

Det tycks vara lite olika resonemang i olika sammanhang. 

  • Å ena sidan tycks staden förfärad över att det är programkod som inte är deras som behandlar personuppgifter. Staden kan därför inte garantera att personuppgifterna längre är skyddade i enlighet med GDPR och därför ska detta anmälas till IMY som en personuppgiftsincident.
  • Å andra sidan så tycks de mena att just dataintrånget har skett när utvecklarna "tillskansa[t] sig automatiserad tillgång till information genom stadens API".

Det ger upphov till två olika spår.

Spår 1

Stockholms stad har inte kontroll över personuppgifterna när automatiserad behandling sker i annans kod.

Analys

Nej, och det är inte heller stadens ansvar. Om någon skickar mig ett brev på ett säkert sätt och jag tar emot det oöppnat så är det inte längre avsändarens ansvar vad jag sedan gör med det. Precis samma situation här. När uppgiften lämnat API:et på ett säkert sätt är det inte längre stadens ansvar. Vill Don Quijote fortsätta slåss mot jättar här så följer det logiskt att staden också ger sig på Google, Apple och Microsoft som nog står för störst andel "incidenter" i det här fallet. Det är ju oftast deras kod som  gör anrop mot API:erna när man som medborgare går till webbsidan som Stockholm stad vill att man ska använda. 


Spår 2

Apputvecklarna har tillskansat sig [otillåten] automatiserad tillgång till information genom stadens API.

Analys

Det här är en lite mer komplicerad historia. Två frågor behöver redas ut. 

  1. Vilken information är det som avses?
  2. Vem står för intrånget? 

Efter att ha läst den juridiska utredning tror jag att Stockholms stad primärt avser samma personuppgifter som i spår 1, men utredningen lägger också in att "Utvecklarna har därmed offentliggjort stadens API:er till allmänheten, vilket innebär att vem som helst som tar del av dessa kan anropa databaserna och ha möjlighet att ta del av informationen.". 

Jag ser därför tre olika scenarion:

Scenario A: Utvecklarna har begått dataintrång när de tillskansat sig information om stadens API. De begår ytterligare brott när de sedan publicerar denna för alla att ta del av.

Analys A: Staden publicerar redan API:et själva. Stadens ordinarie gränssnitt ger varje besökare som besöker sidan med webbläsare instruktioner om var API:et finns och vilken information som finns att hämta var. Att personer bakom öppna skolplattformen har läst den informationen som faktiskt skickats till dem och sedan återger den kan knappast anses vara brottsligt.


Scenario B: Utvecklarna har begått dataintrång när de genom sin app använder API:erna för att komma åt uppgifter de i övrigt är behöriga till inom Stockholms stad.

Analys B: TL;DR - Förefaller vara Don Quijote, sannolikt inte brottsligt, Om det anses brottsligt väcks frågan om det bara varit brottsligt för utvecklarna eller om det varit brottsligt för samtliga som använt appen.

Här skulle det då handla om sättet som utvecklarna kommer åt information som de i övrigt är behöriga till. Brott sker om någon "olovligen bereder sig tillgång till en uppgift". I det här scenariot så har utvecklarna lov att komma åt uppgifterna, men inte på det sättet.  Kan sättet vara brottsligt? Det är väl det som åklagaren då behöver rikta in sig på om det ska gå vidare. Jag tror man kan argumentera för att det är brottsligt. Men jag tror också att det går att argumentera ännu starkare för att det inte är brottsligt i det här fallet.

Jag undrar också om utgångspunkten är att användning av API:er är tillåtet och att det bara är otillåtet för de fall där Stockholms stad pekar ut att det är otillåtet, eller om utgångspunkten är att det är otillåtet förutom de fall där Stockholms stad meddelat att det är tillåtet   Båda vägarna kommer med otroliga problem när det kommer till specificitet. För en lekman kanske det tycks enkelt att säga att man ska använda webbsidan som staden har lagt upp, men i praktiken är det en teknisk situation där olika klientprogramvaror gör olika tolkningar av hur den ska bete sig när den får koden från webbsidan. Det är så pass klurigt att det till och med finns en utmärkt bok skriven om hur de här olika tolkningar ger effekter i säkerhetssammanhang. Och tolkningen varierar mellan olika versioner av samma webbläsare.

Jag kan konstatera att oavsett vad så är min uppfattning att normen på Internet är att om man publicerar ett API som används av klientkod i webbläsaren och det API:et är åtkomligt från Internet, så är det underförstått inte bara tillåtet utan även i många fall avsett att tredjepartsprogram ska kunna använda det. Det kan vara förenat med användningsvillkor, i vilket fall det brukar regleras genom avtal och autentisering när respektive app gör sin åtkomst. Vad som är unikt här är att Stockholms stad i någon form meddelat en part om att viss åtkomst inte är tillåten, men ändå har den åtkomsten fortsatt. Den exakta formuleringen är viktig, för OM det är så att det här varit olagligt, så kan det vara så att alla användare av appen också begått dataintrång. Stockholms stad borde då rimligen polisanmäla samtliga personer som har använt appen.  


Scenario C: Utvecklarna har begått dataintrång när andra personer har använt deras app att komma åt information som endast appanvändarna - men inte utvecklarna - har behörighet till.

Analys C: Det verkar faktiskt vara det här som Stockholms stad menar är huvudscenariot, åtminstone är det här huvudscenariot avseende personuppgiftsincidenten. Och ja, det är så man häpnar. Hur är det möjligt att någon landar i en sådan här tolkning? Samtliga programvaruleverantörer och datortillverkare skulle enligt den här tolkningen begå dataintrång eftersom deras utrustning och program används för att  komma åt information som de företagen inte har behörighet till. 

Det här fallet innebär att någon har gjort ett verktyg. Staden vill få det till att skapandet av det verktyget innebär dataintrång. Detta eftersom trots att verktygstillverkaren inte har tagit del av information har denne ändå berett sig åtkomst till den. Utvecklaren skulle kunna ha lagt in kod som tankade ut informationen och laddade upp den någon annanstans. Och även om man då inte gjort det, så har en mening från en lagproposition här tolkats som att det därför ska vara brottsligt. 

Hur mycket det än tar emot får man säga att det finns logik i det resonemanget. Vad som saknas är ett kompletterande resonemang om varför det INTE skulle vara brottsligt. Rapporten skjuter ensidigt in sig på en vinkel utan att ens överväga om det finns andra rimliga vinklar.

Jag vill därför föreslå att berörda chefer inom Stockholms stad kommer med den här motfrågan till rapportförfattaren: Finns det skäl att anta att uppsåt till brott funnits enligt BrB 1 kap. 2 §?