130 likes | 297 Views
Oppgave 1 a). IT- kriminalitet. I dag veit Økokrim at mange gjør ulovligheter i forbindelse med IT, blant anna innbrudd i datasystemer og piratkopiering av programvarer, er noen av dei mest alvorligste lovbrudda som er i dagens samfunn innenfor IT- virksomhet.
E N D
Oppgave 1a) IT- kriminalitet • I dag veit Økokrim at mange gjør ulovligheter i forbindelse med IT, blant anna innbrudd i datasystemer og piratkopiering av programvarer, er noen av dei mest alvorligste lovbrudda som er i dagens samfunn innenfor IT- virksomhet. • Straffelova § 145, omhandler om uberittiget adgang til datasystemer. Dei som bryter denne lova kan bli straffet med bøter eller med med fengsel inntil 2 år. Det er ikke bare personer som utfører denne handlinga, men også personer som er medvirket, kan få like streng straff. • Det kan være veldig skadelig for dei som opplever å bli hacket på. Tenk visst en av dei var du, korleis ville du ha følt det visst noen bryter seg inn på dine private ting, som for eksempel e-posten din? Eg trur ikke du ville ha likt det.
Det at IT- kriminalitet er blitt mer tatt i bruk i dagens samfunn, gjør at vi i Økokrim har øynene våre meir åpne, og reagerer strengt på denne typen kriminalitet. Grunnen til at vi er så pass strenge er at dette er et veldig alvorlig brud ovenfor personvern og opphavsrett. • Visst dere står ovenfor en situasjon dere trur kan være straffbar, så ikke utfør det. Ta heller kontakt med noen som har kjennskap til dette. Du kan også kontakte oss i Økokrim visst du lurer på noe. Vi tar gjærne i mot spørsmål frå dere. • Dere får ha en hyggelig tid på The Gathering i år, og eg håper ikke eg møter dere i en eventuell retsak innenfor IT- kriminalitet.
b) • Det går rykter i lokalmiljøet om at en navngitt person via Internet har klart å trenge inn i dataanlegget til bedriften der du arbeider. • Etter å ha undersøkt dataanlegget ser det ikke ut til at innbruddet har ført til noen skader denne gangen.
Konsekvenser av en anmeldelse for bedriften og for personen det gjelder. • Utgangspunkt i Straffeloven § 145. • Den som uberettiget bryter brev eller annet lukket skrift eller på liknende mate skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder. Det samme gjelder den som ved å bryte en beskyttelse eller på lignende måte uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektronisk eller andre tekniske midler. • Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes. Medvirkning straffes på samme mate. • Offentlig påtale finner bare sted når allmenne hensyn krever det. • Kilde: Innføring i informasjonsteknologi, 2000. Bård Kjos, kapittel 4 – IT og lovverk.
Drøfting av en anmeldelse for bedriften og for personen det gjelder. • Det taes ikke hensyn til at denne personen er en del av, og kjent medlem av lokalmiljøet.. Personen det gjelder vil ikke bli anmeldt i først omgang siden følgende: Bedriften ikk har tatt skade av innsynet i datanettverk. • Denne personen har kjennskap til eksisterende nettverk og kan gi vital informasjon om hvordan ANDRE kan klare det samme. • Strafferammen er for stor i hensyn til at vi ikke har blitt voldet skade. Konsekvensen derimot er at vi må (uansett) gå igjennom de eksisterende mottiltak vi har. De er for dårlig og fungerer ikke til sitt formål og må oppdateres. • Konklusjon: Siden en (noen) kan komme inn i nettverket pr. i dag, ansees situasjonen for kritisk. Vi må oppdatere vår sikkerhet slik at vi kan forhindre slike ting i fremtiden. Denn personen har vist at vår sikkerhet er for svak. Dersom dette skjer igjen vil forhold bli anmeldt iforhold til handlingen fra vår side.
Tiltak som kan gjøre bedriften mindre sårbar for slik aktivitet i framtida. • En straffeforfølgelse utover en åpen dialog med vedkommende vil koste oss mer penger enn nødvendig (siden det ikke er voldet fremtidsrettet skade). • Disse pengene som skulle vært brukt på straffeforfølgelse vil bli satt av og dirigert på oppdatering av nåveærende systemer. Samtidig vil et fond bli satt av til og disponert av informatikkavdelingen, til å ligge foran i kampen mot slike innsyn. • En detaljplan vil bli laget og fulgt fra første dag. • Bedre kryptering av tilgang for våre ansatte på nettsidene. • Interne nettverk vil bli skjermet av fra Internet. Informasjonvil bli lagret på en maskin mot Internet, men ikke innad i bedriften. • Sikkerheten mellom maskinen internt og den mot Internet vil bli meget høy.
Konklusjon: • Denne gangen ble det ikke tappet informasjon (vital eller ikke) til omverdenen. Siden kobling mot en ekstern server krever fast tilsyn og oppdatering må dette ansees som en fast kostnad. • Vi kan kutte dette helt ved bare å bruke Internet-serveren som en dialog-server mot kunder og for bedriftens kommunikasjon. All vital informasjon (kan) holdes helt internt i bedriften ved å kobles bort fra Internet. • Ved å definere hvordan vi kommuniserer horisontalt og vertikalt innad og med kunder/leverandører kan vi begrense/åpne for andre måter å kommunisere på som begrenser innsyn slik som denne (personen) har tatt seg friheten til.
Oppgave 2a) • Deler av registeret er unntatt meldeplikt. For eksempel navn, adresse, telefonnummer, stilling og fødselsdato. • De sensitive personopplysningene er konsesjonspliktige fordi de ikke holder de forutsetningene for unntak fra konsesjonsplikt. • Dersom de ansatte samtykker eller opplysningene behandles som ledd i personaladministrasjonen blir de sensitive opplysningene underlagt meldeplikt.
b) Det bør være frivillig å levere opplysninger som: • Lønn • Fagforeningstilknytning • Klesstørrelse • Bilde • Sivilstand • Barn
c) • Hver enkelt i bedriften får et registreringsskjema der det er et markant skille mellom det som er obligatorisk, og det som er frivillig. • Bedriften bør informere de ansatte om hva informasjonen skal brukes til, og hvorfor de vil ha den. • Frivilligheten i registreringen bør også utmerkes, slik at ingen føler seg tvunget. • Skjemaet må underskrives av de ansatte og personalsjefen, og alle opplysninger om bruk skal stå oppført på skjemaet.
Obligatorisk del – utfylles av samtlige ansatte • Navn (Kontaktinformasjon) • Adresse (Kontaktinformasjon) • Telefonr (Kontaktinformasjon) • Stilling (For firmapresentasjoner) • Fødselsdato (For å markere fødselsdager)
Frivillig del – må ikke utfylles • Lønn (I forbindelse med lønnsberegning) • Fagforenings- tilknytning (I forbindelse med lønnsberegning) • Klesstørrelse (Ved innkjøp av T-skjorter osv.) • Utdanning (Hva kan den ansatte brukes til) • Kompetanse (Hva kan den ansatte brukes til) • Bild (For firmapresentasjoner) • Sivilstand (For invitasjon til firmafester) • Barn (For å gi julegaver fra firmaet og tilbud om sommerjobb) • Underskrift ansatt: Underskrift personalsjef:
e) Personalsjefens plikter: • Sørge for at uvedkommende ikke får tilgang til registeret. • Ha kjennskap til, og overholde, personvernloven. • Sørge for at alle opplysningene er korrekte. • Sørge for ”privatlivets fred”, dvs. ikke gi opplysningene videre til noen.