Lovråd slår fast: ‘URL-hacking‘ er ikke hacking

Hvis du lægger noget på internettet, er du selv ansvarlig for, at det ikke kan tilgås med den direkte URL-adresse, lyder vurderingen fra Straffelovrådet.

Det er ikke ulovligt at tilgå offentligt indhold på internettet - selv hvis det kræver, at en helt specifik URL-adresse indtastes i browseren.

Sådan konkluderer det såkaldte Straffelovråd, der har til opgave at lave løbende serviceeftersyn af straffeloven - blandt andet med henblik på at holde lovteksten aktuel i forhold til den teknologiske udvikling.

I rådets seneste betænkning, der blev udgivet 1. maj, tages regler for privatlivets fred under kærlig behandling. Herunder reglerne for, hvornår man tiltvinger sig 'uberettiget adgang til et datasystem'.

Konklusionen fra rådet er, at personer, der tilkobler en enhed til internettet, 'som udgangspunkt selv bærer ansvaret for, hvad man ved anvendelse af sædvanlige programmer til internetkommunikation kan læse på den, herunder ved direkte indtastning af URL-adressen«.

Straffelovrådet Straffelovrådet blev nedsat som et stående udvalg i 1960 og har til opgave på anmodning at afgive indstilling om strafferetlige lovgivningsspørgsmål. Rådets medlemmer var ved betænkningens udarbejdelse: Landsretspræsident Bent Carlsen (formand)

Rigsadvokat Ole Hasselgaard

Højesteretsdommer Poul Dahl Jensen

Professor, lic.jur. Gorm Toftegaard Nielsen

Advokat Jakob Lund Poulsen

Politidirektør Elsemette Cassøe

Direktør for Kriminalforsorgen (indtil 31/1-17) Johan Reimann

Afdelingschef i Justitsministeriet Johan Legarth

Så længe du ikke ændrer noget

Straffelovrådet lægger i vurderingen vægt på, at der er adgang til f.eks. en server fra det åbne internet, og at alle potentielt kan få adgang med en almindelig webbrowser.

Den form for adgang bør 'som et klart udgangspunkt ikke anses for uberettiget adgang til en andens oplysninger', skriver rådet, der består af otte advokater, dommere og offentlige chefer.

»I forlængelse heraf kan den adgang, man skaffer sig til en sådan enhed med henblik på at tilgå sådanne oplysninger, ikke anses som uberettiget adgang til et datasystem,« fortsætter rådet i den over 300 sider lange betænkning.

Vurderingen baserer sig på den antagelse, at man blot læser information og ikke hverken ændrer eller sletter data. I så fald er der ifølge rådet tale om en mere alvorlig handling.

Som en mail sendt forkert

Straffelovrådet nævner specifikt 'direkte indtastning af en URL-adresse' som en metode til at få adgang til indhold, som måske var tænkt som privat. Det kan f.eks. ske, hvis serverens ejer har et 'utilstrækkeligt kendskab til, hvordan en webserver fungerer'.

Den situation er ifølge Straffelovrådets opfattelse sammenlignelig med andre situationer, hvor oplysninger gøres tilgængelige eller offentlige ved en fejl.

»Eksempelvis hvor en e-mail (eller for den sags skyld et papirbrev) sendes til en forkert adressat eller med en forkert vedhæftet fil, hvor man lægger en forkert version ud på internettet, eller hvor man, før det var tilsigtet, offentliggør noget på internettet.«

I knibe for URL-hacking

Uklare grænser for hvad man må foretage sig i browserens adressebar, har tidligere spiret debat blandt Version2’s læsere - og bragt tech-kyndige i problemer.

Meldingen fra Straffelovrådet kommer kort tid efter, at Version2 har kunne fortælle om Jonas Boserup, der som gymnasieelev i 2015 modtog en advarsel fra sit gymnasium, efter han påviste, at sikkerhedssystemet kunne omgås ved at fjerne ‘_secure’ fra URL-adressen.

Boserup, der i dag læser til softwareingeneniør på SDU, blev i april ‘renset’ af Datatilsynet, der udtalte en kritik af systemet, som Styrelsen for IT og Læring står bag.

I marts blev den såkaldte børnehavehacker Henrik Høyer frifundet i landsretten for anklager om at have skaffet sig uretmæssig adgang til sin søns børnehaves intranet. Høyer havde blandt andet foretaget stikprøver af systemets sikkerhed ved at redigere i URL-adressen.

Læs også: Derfor blev Henrik Høyer frifundet

Straffeloven skal være tidssvarende og beskytte den enkeltes privatliv, siger justitsminister Søren Pape Poulsen. Illustration: Rasmus Flindt Pedersen

Sendt til høring

Betænkningen blev mandag sendt til høring, og herefter vil regeringen tage stilling til forslagene.

Justitsminster Søren Pape Poulsen (K) har ikke kommenteret på de specifikke præciseringer om URL-hacking.

I en meddelelse udtaler ministeren dog, at man som borger skal have sikkerhed for at 'vores kommunikation, vores hjem og i det hele taget vores privatliv kan holdes utilgængeligt for andre'.

»I en moderne digital verden er det vigtigt, at straffelovens regler er tidssvarende og beskytter den enkeltes privatliv,« bemærker ministeren.