Huvudboven i den stora dataintrångsmål som idag avslutas är inte hackaren Gottfrid Svartholm Warg – utan myndigheter som Skatteverket och Kronofogden, som inte tar hand om persondata på ett säkert sätt. När personuppgifter kommer på vift borde den som är ansvarig åläggas att informera berörda parter, skriver Marcin de Kaminski.
Idag onsdag äger sista dagen av vad som kommit att kallas ”den största rättegången om dataintrång i svensk historia” rum. Två personer, varav den numera ökände Gottfrid Svartholm Warg är en, står åtalade för att ha hackat sig in i såväl en hel drös superkänsliga svenska myndighetssystem som en av landets största banker.
Det som hänt är allvarligt. Genom lite trixande och fifflande har någon eller några kunnat ta kontroll över centrala myndighetsdata som tillhör bland annat Skatteverket, Kronofogden och personuppgiftshubben Infotorg.
Utifrån förundersökningen tycker jag mig se viss oro för att även andra system varit utsatta, däribland Rikspolisstyrelsens databaser. Man har också försökt, och i ett enstaka fall lyckats, föra över pengar till egna eller målvakters Nordeakonton.
Så långt är jag och utredarna överens. Men när det gäller ansvarsfrågan är vi direkt oense.
Visst, det är rimligt att de som tagit sig in i systemen ska sona eventuella brott. Men är det inte än rimligare att en hyggligt stor del av skuldbördan också läggs på dem som ansvarar för systemen i sig?
Förundersökningen visar nämligen på ett otroligt slarvigt handhavande av vår allas persondata. System som upphandlats utan närmare säkerhetskriterier och databaser som går att samköra med flera decennier gamla och därmed osäkra inloggningar.
Ett digitaliserat samhälle som vårt förtjänar bättre hantering än det som nu uppdagats. Det synliggörandet borde hackarna istället tackas för.
Huvudboven här är de som egentligen är huvudansvariga, det vill säga bland annat Skatteverket, Kronofogdemyndigheten och Polisen. Det är anmärkningsvärt att de inte själva polisanmält intrången. Istället har de skickat fram sin utförare att ta tag i den biten.
Vi ser nu hur vi har myndigheter som inte tar hand om våra mest personliga data. Vi ser också hur stora tjänsteleverantörer som ska rodda de mest grundläggande fundamenten av vår tillvaro inte bryr sig nämnvärt om hur saker egentligen sköts. Nu ligger alltså vår data i händerna på aktörer vi är beroende av, men inte kan lita på.
På den stora internationella konferensen Stockholm Internet Forum som ägde rum för några veckor sedan diskuterades som av en händelse precis samma fråga. Även om frågan där handlade mer om mänskliga rättigheter i repressiva regimer var församligen hyggligt enig. Om man nu inte kan anförtro varken regeringar eller företag med vår data, återstår bara teknikerna att lita på. Tekniker som ofta delar kunskapsbas med de två huvudpersonerna i sveriges största hackerhärva.
Här finns lärdomar att dra. Det som borde åtgärdas är slarvet med vår elektroniska data. Snarare än att statuera exempel genom att åtala hackers måste dataskyddet för uppgifterna i cybern därför prioriteras. En grundpelare här är vad som i det nu i EU omdiskuterade Dataskyddsförordningen kallas ”data breach notification”, som är helt grundläggande och som både måste försvaras och börja användas operativt.
Om, eller kanske snarare när, persondata kommer på vift måste den som är ansvarig för datan åläggas att informera berörda personer. På så sätt skulle det vara lättare att bygga upp en beredskap för vilka åtgärder som bör vara aktuella när olyckan väl är framme. Samtidigt skulle det också tydliggöra vilka aktörer vi inte längre kan lita på.
Att hålla fler led i kedjan ansvariga för dataskyddet är att rycka dem i örat och förklara att datan faktiskt kommit att bli det viktigaste vi har.