Vodafone lekinn: Ábyrgð, skyldur og sök

Við erum ekki örugg og nýjasti lekinn frá Vodafone sýnir það glögglega. Þarna var gögnum 70,000 manns lekið og það án neins yfirlýsts tilgangs frá þeim sem lak. Við eigum það til að kenna innbrotsþjófnum um þegar svona lagað kemst upp, en við þurfum hinsvegar að skoða heildarmyndina. Já, innbrotsþjófurinn, eða hakkarinn, átti aldrei að byrja á því að brjótast inn en með því að brjótast inn sýndi hann að hann þurfti rétt svo að brjóta glugga til þess að aflæsa hurðinni og stela dýrum gersemum.

Það sem lak voru annarsvegar yfirlit um skilaboð og hinsvegar lykilorð notenda.

Hver sendi hverjum hvað? Ekki nóg með að við vitum að Jón og Gunna voru að tala saman, við vitum hvað þau voru að tala um. Það eru heilmiklar upplýsingar fólgnar í því að skoða hverjir tala saman þótt við vitum ekki hvað samtalið snýst um, svo þegar verið erum komin með upplýsingar um innihald samtalsins þá erum við komin á allt annað stig

Ekki nóg með að samskipti fólks eru nú aðgengileg öllum heldur einnig lykilorð.

Lykilorðin að “mínum svæðum” á Vodafone síðunni voru geymd ódulkóðuð á einum stað. Það er eins og að setja alla peningana í eitt bankahólf og læsa með hjólalás þar sem þarf bara þrjár tölur til þess aflæsa. Lykilorð eru dýrmæt, því fólk á það til að nota sömu lykilorðin fyrir allt. Þetta er hluti af mannlegu hliðinni þegar það kemur að tölvuöryggi: Við getum gert tæknina eins örugga og hægt er, en ef fólk notar sama lykilorðið allstaðar þá eru allar dyr opnar, komist lykilorðið í hendur óprúttina aðila. Þetta þarf ekki að vera hakkari, þetta getur líka verið vinur eða fjölskyldumeðlimur sem vill hnýsast.

Ábyrgðin liggur ekki bara á fólki um að vita hvernig það eigi að haga lykilorðamálum. Það er ekki innbrotsþjófinum að kenna að hann þurfti bara að brjóta einn glugga til þess að stela þessum verðmætum. Vodafone átti aldrei að geyma mikið af þessum gögnum til þess að byrja með. Ekki nóg með það, heldur áttu þessi gögn ekki að vera ódulkóðuð, á einum stað.

Við skulum ekki vera svo bjartsýn að ætlast til þess að við getum búið til kerfi sem ekki er hægt að brjótast inn í. Það á jafnt við um hús sem tölvur. Það eina sem við getum gert er að búa til veggi sem er erfitt að komast framhjá. Kerfin okkarf þurfa að vera þannig að ekki allt gullið sé geymt á sama stað og aðeins einn lykil þurfi til þess að nálgast allt saman. Með því að dulkóða lykilorðin þá þarf lykil fyrir hvert lykilorð, sem þýðir að innbrotsþjófurinn þarf að eyða tíuþúsund sinnum meiri tíma í það að brjótast inn. Hann þarf tíuþúsund sinnum sterkari tölvur til þess að keyra öflugari forrit en ef hann þarf bara að komast í gegnum eina dulkóðun eða einn vegg.

Það er ábyrgð Vodafone að reisa múra í kringum okkar viðkvæmustu upplýsingar, að geyma ekki öll verðmætin á sama stað og sjá til þess að það sé erfitt og tímafrekt að brjótast inn. Löggjafinn á ekki að setja gagnageymslulög sem líti gagn er af. Ef ástæða er til setningu slíkra laga þarf að vera gulltryggti að þeim sé framfylgt þannig að friðhelgi einkalífsins sé í hávegum haft. Við þurfum að vera fullviss um að slík gögn séu bara geymd eins lengi og þörf sé á og eins lítið af upplýsingum og mögulegt er geymd.

Ef ekki er hægt að tryggja friðhelgi einkalífsins, ef ekki er hægt að sanna að gögnum sé eytt á fullnægjandi hátt og geymd á eins öruggum stað og kostur er á, þá á ekki að safna þessum upplýsingum saman til þess að byrja með.

Mannlega hliðin verður alltaf sú sama. Við getum prédikað að fólk eigi ekki að nota sama lykilorðið allstaðar. Þrátt fyrir það, þá eiga lykilorðin að vera geymd á öruggum stað — þetta er ekki fólkinu að kenna.

Það að innbrotsþjófurinn gat komist svona léttilega í gegn er fyrst og fremst Vodafone að kenna. Já, hann átti aldrei að brjótast inn í fyrsta lagi, en þá hefði kannski verið gott að læsa aðeins betur á eftir sér. Hafa tvo lása í stað eins og ekki búa til hurðir þar sem einungis þarf að brjóta þunnt gler til þess að smeygja hendinni inn og aflæsa.

Sökudólgurinn hérna er ekki bara innbrotsþjófurinn, heldur líka Vodafone fyrir að tryggja ekki öryggi viðskiptavina sinna betur og ríkið sem krefst þess að gögn séu geymd að óþörfu án fullnægjandi fyrirmæla.