USA:s lag giltig även i andra länder

USA:s lag giltig även i andra länder - pga internet

"En massiv utvidgning av amerikansk suveränitet"

DDR nr 3/2003 - utgiven 3 mars 2003. Nyhetsbrevet om Den Digitala Revolutionens (DDR) konsekvenser. Skickas till dig eftersom du begärt abonnemang.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
- Skicka vidare: Det är tillåtet att vidarebefordra DDR.
- Abonnera på DDR (gratis): Skicka ett tomt mail till ddr@atomerochbitar.se
- Avsluta abonnemang: Skicka ett tomt mail till ej-ddr@atomerochbitar.se
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Om du skickar ett "olämpligt" email till din bror i Arboga kan du bli åtalad och dömd till fängelse i USA, även om ditt email är lagligt i Sverige. Detta är en konsekvens av sektion 814 i den nya amerikanska så kallade Patriot-lagen - ett faktum som märkligt nog inte tagits upp av svenska media (mig veterligen).

Det amerikanska lagstycket innebär att personer i vilket land som helst på jorden som begår datorrelaterade brott kan åtalas i USA, om bara någon del av den datakommunikation som har med brottet att göra råkat "routas" över en amerikansk server (vilket kan inträffa även det gäller trafik inom ett annat land). I så fall anses brottet nämligen begånget på amerikansk mark, och amerikanska åklagare har full frihet att väcka åtal. Det gäller även om brottet inte har berört några amerikanska intressen.

- Det är en massiv utvidgning av amerikansk suveränitet", säger Mark Rasch, f.d. åklagare på det amerikanska Justitiedepartementet, i en artikel på den amerikanska TV-kanalen CBS:s webbplats.

- Det här innebär att vi tillämpar våra värderingar på vad som helst som händer var som helst i världen om det bara passerar genom våra gränser", säger Rasch vidare.

I artikeln exemplifierar han faktiskt med en tänkt ägare av en pornografisk webbplats i Sverige som skulle kunna skicka en "het" bild till en vän i Norge. Om något av datapaketen i den överföringen till exempel skulle råka passera genom en server i Fairfax i den amerikanska delstaten Virginia (en stor knutpunkt) skulle en delstatsåklagare där kunna begära svensken utlämnad och väcka åtal mot vederbörande för brott mot lagen i staten Virginia, under tillämpning av de sedlighetsvärderingar som råder där.

Alternativt, som Rasch säger i en artikel i den engelska tidningen The Register:

- Enligt [det amerikanska] Justitiedepartementets tolkning av den här lagen kan en hackare i tyska Frankfurt som bryter sig in i en dator i tyska Köln åtalas i Eastern District of Virginia i Alexandria [i USA] om ett datapaket relaterat till brottet transporterats genom America Online's servrar. Då anser sig USA ha rätten att begära hackaren utlämnad även om han inte brutit mot tysk lag, eller också, som USA gjort i andra fall, helt enkelt föra bort förövaren med våld för åtal.

En annan amerikan som är kritisk mot lagen är David Sobel, chefsjurist på den amerikanska medborgarrättsorganisationen Electronic Privacy Information Center (EPIC). Han säger att lagändringen är särskilt problematisk när den kombineras med möjligheten att skicka amerikanska federala agenter utomlands för att röva bort en person och med våld föra honom till USA.

- Det är en kraftig utvidgning av amerikansk jurisdiktion vad gäller så kallade datorrelaterade brott. Lagen antogs med kampen mot terrorismen som förevändning, men den är faktiskt tillämpbar för alla typer av brott, säger han.

En annan kommentar kommer från Michael Erbschloe, som bland annat är författare till boken "Information Warfare": "Om de börjar jaga människor som inte är terrorister har vi ett problem av typ McCarthy" [USA:s kommunistjakt på 50-talet]. Erbschloe är också oroad för att hackare av den typ som av moraliska skäl gör intrång hos företag, exempelvis företag som använder försöksdjur vid utprovning av kosmetika, av USA ska bedömas som terrorister. "Det verkar inte som om Justitiedepartementet gör någon åtskillnad", säger han.

Redan innan den kontroversiella Patriot-lagen antogs har den amerikanska rättvisan visat sig ha mycket långa armar. År 2000 tog sig den amerikanska federala polisen FBI an två ryska medborgare som från sin bas i Ryssland bland annat stulit ett stort antal kontokortsnummer från amerikanska företags datorer. Intrången spårades till två "hackers", Alexei Ivanov och Vasily Gorshkov.

För att lägga vantarna på dessa skapade FBI ett falskt datasäkerhetsföretag, kallat Invita. FBI-agenter kontaktade i detta bolags namn ryssarna och erbjöd dem jobb som hackers. Glada i hågen flög de till Seattle, och åkte raka vägen från flygplatsen till Invitas tillfälliga låtsaskontor i centrala staden för en anställningsintervju. Där ombads de bevisa sin hackningsförmåga, och försågs med en dator från vilken de bland annat kontaktade sin server i den ryska staden Chelyabinsk.

Vad de unga männen inte visste var att FBI i hemlighet utrustat datorn med en så kallad "key-logger", en programvara som lagrar alla tangentnedtryckningar. Därmed fick FBI tillgång till hackarnas användarnamn och lösenord för den ryska servern, och började omedelbart ladda över 1,5 Gigabyte data till USA. I detta material fanns bevis för flera brott mot amerikansk lag. Gorshkov sitter nu i amerikanskt fängelse på tre år, medan Ivanov (åtminstone enligt den information jag kunnat införskaffa) fortfarande väntar på sin dom.

FBI har fått kritik för att intrången i ryssarnas server gjordes utan fullmakt för genomsökning, husrannsakan eller annan liknande fullmakt som normalt krävs. "FBI gick förbi de legala kraven", säger bland annat advokat John Lundin, en av ryssarnas försvarare. Domstolen avvisade dock kritiken och sa att fullmakt inte krävs när servrarna står utomlands.

Det hela fick ett intressant efterspel när den ryska polisen FSB med anledning av det inträffade anklagade den amerikanska polisen FBI för illegalt intrång i ryska datornät. Den ryska polisen har därför inlett en förundersökning mot FBI-agenten Michael Schuler, som anklagas för "icke sanktionerat tillträde till datorlagrad information", något som är straffbelagt enligt artikel 272, del 2 i den ryska brottsbalken. FSB:s generaldirektorat för Chelyabinsk-regionen har också skickat en officiell förfrågan om saken till det amerikanska Justitiedepartementet. När den ryska tidningen Gazeta skrev om det hela i augusti 2002 hade inget svar ännu kommit.

Kanske är det dags för ryska FSB att sätta upp ett låtsas-företag och sen ringa den där FBI-agenten och erbjuda honom ett riktigt välbetalt jobb :-)

I det här nyhetsbrevet har vi mest avhandlat så kallad hackning, men det finns ju många andra datorrelaterade brott. Vilken kan utvecklingen bli om USA fortsätter på den inslagna vägen? Exempelvis lär ju brott mot upphovsrättsregler vara ganska lätta att spåra upp via internet. Många av de programvaror, musikstycken och filmer som idag kopieras vänner emellan är ju faktiskt amerikanska.

En reflexion - nyhetsbrevet DDR distribueras via en amerikansk så kallad listserver, och jag har inte hunnit läsa in mig på lagarna i delstaten Virginia ännu. Så om det inte dyker upp någon mer DDR i din inbox vet du vad som har hänt med mig...

Bollplank eller föredrag? Jag jobbar som bollplank åt företagsledningar och andra på konsultbasis, samt håller tankeväckande föredrag/seminarier om den digitala revolutionens spännande konsekvenser. På svenska eller engelska. Något för er kick-off eller kundträff? Begär info!

Tipsa mig gärna! Jag tar tacksamt emot information om spännande projekt, studier, forskningsrapporter, white papers, pressinformation etc som berör mina områden.

Diskutera detta med andra? Gå med i min epost-baserade diskussionslista Stromlist (gratis). Det görs snabbt, utan några frågor, på www.atomerochbitar.se/stromlist. Nu 420 entusiastiska medlemmar.

Hälsningar

Pär Ström
Strategikonsult och key-note speaker
Atomer och bitar AB
www.atomerochbitar.se
par@atomerochbitar.se
Tel 0709-699 411

AVSLUTA abonnemang på DDR: Skicka ett tomt mail till ej-ddr@atomerochbitar.se (måste göras från den epost-adress med vilken du är abonnent).