Ekkert ferli stoppar ásetning til illra verka - Málið er að uppgötva illvirkin í tæka tíð

Færslan var fyrst birt á Moggabloggi höfundar 17.2.2011. Efnisflokkur: Icesave, Upplýsingaöryggi, netöryggi og persónuvernd

Ég var beðinn um að fara yfir ferlið við skráningu nafns og kennitölu þeirra sem eru fylgjandi því að Icesave-lögin hin þriðju fari í þjóðaratkvæðagreiðslu.  Leituðu aðstandendur undirskriftarsöfnunarinnar til mín, þar sem upplýsingaöryggi og persónuvernd er það sem ég fæst við í mínu starfi.  Eftir skoðun á ferlinu, þá kom ég með fjölmargar spurningar, sem aðstandendur söfnunarinnar svöruðu af kostgæfni.  Ein sneri að möguleika fólk til að skrá inn bull nöfn og kennitölur.  Til að hafa ferlið eins einfalt og hægt er, þá er samanburður á nöfnum og kennitölum gerður þegar lokað hefur verið fyrir söfnunina.  Kjánaprik, prakkarar og skemmdarvargar geta því eytt tíma sínum í að skrá inn Bart Simpson eða Kaptein Kirk hafi þeir einhverja friðþægingu út úr því, en þessum skráningum er öllum eytt í yfirferð skráninga.  Þá óskaði ég eftir því að skoðaðar væru margfaldar skráningar frá sömu IP-tölu til að koma í veg fyrir að einhver sæi sér leik í því að hrúga inn undirskriftum án þess að hafa til þess heimild viðkomandi aðila.

Vegna skamms undirbúningstíma fyrir þessa söfnun var ákveðið að fara ofangreinda leið.  Hefur hún ekki hingað til þótt orka tvímælist og margoft viðgengist.  Spurningar sem má spyrja sig, eru hvers konar ferli hefði verið æskilegt og hvers konar ferli hefði komið í veg fyrir skemmdarverk illa þenkjandi aðila á svona framtaki.

Svo ég svari síðari spurningunni fyrst, þá hefði ekkert ferli komið í veg fyrir tilraunir til skemmdarverka.  Sumir eru bara ekki stærri persónur en svo, að þeir hafa þörfina til að skemma fyrir öðrum.  Þeir verða að eiga það við sína siðgæðisvitund.  Ekkert ferli stoppar einstakling í þeim eindregna ástendingi sínu að koma fram illum vilja.  Hlutverk öryggisráðstafana í þessu tilfelli er ekki að koma í veg fyrir bullskráningar, heldur að uppgötva þær áður en listinn er sendur forseta Íslands.

Hvernig er æskilegt ferli?  Í fyrsta lagi, þá er ekki til neitt fullkomlega öruggt ferli.  Jú, það hefði verið gott að láta viðkomandi staðfesta skráninguna.  Sá háttur hefur kosti og galla.  Kostirnir eru að meiri líkur væru á því að staðið væri heiðarlega að öllum skráningum (gert er ráð fyrir að stærsti hluti skráninga sé í lagi frá upphafi) og hægt væri að koma upp um falsaðar skráningar.  Ókostirnir eru að ekki eru allir með tölvupóst eða netbankaaðgang til að fá slík staðfestingarboð, flækjustig skráningarinnar eykst og meiri líkur eru á villum við innslátt.  Næst þá hefði verið gott að gefa fólki kost á að sjá hvaða aðilar hefðu skráð sig, svo einstaklingar sem hafa verið skráðir ranglega gætu krafist leiðréttingar.  Slíkt ferli kallar líka á misbeitingu, þ.e. óprúttnir aðilar gætu sagst vera réttilega skráður aðili og krafist þess að nafnið væri fjarlægt, meiri umgjörð hefði þurft til að sannreyna strax að nafn og kennitala væri til í þjóðskrá og það sem mestu máli skiptir, fleiri hefðu haft aðgang að gögnum sem þar með hefði leitt af sér ríkari kröfur um röklægt öryggi.

Næst má spyrja hvort núverandi fyrirkomulag sé fullnægjandi.  Það er mín skoðun að núverandi fyrirkomulag uppfylli þær kröfur sem gerðar eru til undirskriftar á borð við þessa.  Aðstandendur söfnunarinnar munu láta framkvæma skoðun á skráningum með það í huga að finna dæmi um þar sem nöfn og/eða kennitölur eru a) ekki til í þjóðskrá, b) eiga ekki saman.  Eftir munu standa einhver dæmi um nöfn og kennitölur sem til eru í þjóðskrá, en voru misnotuð af óheiðarlegum aðilum.  Ómögulegt er að segja til um hve stór hluti skráninga falla undir þennan hóp.  1% er um 389 skráningar og 10% um 3.886 skráningar.  Ég er viss um að fjöldinn er vel undir 10% mörkunum og mjög líklega vel undir 5%.  Ég held nefnilega að Íslendingar séu upp til hópa heiðarlegir og það séu nær eingöngu þeir sem vilja skemma sem búa yfir þeim óheiðarleika að skrá inn rangar upplýsingar.

Er söfnunin marklaus, ef allt að 10% skráninga er skemmdarverk?  Nei, alveg afdráttarlaust ekki.  Þó svo að 20% skráninga væri skemmdarverk, þá er söfnunin ekki marklaus.  Hin 80-90% eru þó a.m.k. heiðarlegar skráningar.  Ekki skiptir meginmáli hvort heiðarlegar skráningar eru 30.000, 34.500 eða 39.000.  Komið hefur fram eindreginn vilji umtalsverðs hluta kjósenda að málið fari í þjóðaratkvæði.  Sé aftur 40 - 50% skráninga óheiðarlegar, þá tel ég kröfuna um þjóðaratkvæði ekki njóta nægilegs stuðnings og söfnuna ómarktæka.

Sorglegast finnst mér í þessu, að ekki sé hægt að treysta á heiðarleika manna.  Ítrekað gerist það, að andstæðingar einhverrar hugmyndar reyna að skemma fyrir fylgjendum hennar. Ekki með því að koma með sannfærandi rök fyrir ágæti sinnar skoðunar.  Nei, með skemmdarverkum.

Svo vill til að söfnun, eins og sú sem hér um ræðir, nýtur verndar fjarskiptalaga og raunar líka laga um persónuvernd.  Rangar skráningar eru því brot á þessum tvennum lögum.  Hafa skal í huga, að kjosum.is er ekki sá sem skráir upplýsingarnar, heldur tekur við skráningum.  Sá sem skráir upplýsingar ranglega er skyldugur samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga að sjá til þess að rangar upplýsingar séu leiðréttar.  Aðstandendur kjosum.is eiga að gera það sem í þeirra valdi stendur til að tryggja að skráðar upplýsingar séu réttar og fjarlægja þær sem ekki standast skoðun.  Með því eru þeir að uppfylla skyldur sem persónuverndarlögin setja þeim.  Það er aldrei hlutverk aðstandenda kjosum.is að tryggja heiðarleika við skráningu. Slíkt verður hver og einn að eiga við sig.


Færslan var skrifuð við fréttina:  Telur söfnunina marklausa