Security in Internet Governance and Networks: Analysing the Law (SIGNAL)

Sikker internettbruk avhenger ikke bare av teknologiske faktorer, men også av et godt tilpasset juridisk rammeverk. Derfor undersøker SIGNAL rettslige krav til nettsikkerhet, særlig tilknyttet kritisk infrastruktur og bruk av skytjenester. Prosjektet analyserer bl.a. krav til bekjempelse av datakriminalitet. For dette spiller nasjonal straffelovgivning en betydelig rolle, men det finnes også en internasjonal konvensjon om datakriminalitet som setter en ramme for de nasjonale reglene. Et delmål med prosjektet er å vurdere hvorvidt denne konvensjonen er levedyktig, tatt i betraktning den teknologiske utviklingen. Prosjektet har hittil funnet at konvensjonen ikke holder tritt med en rekke teknologi-trender og at den derfor bør oppdateres. Prosjektet har samtidig avdekket at krav om nettsikkerhet («cybersecurity») muligens er i ferd med å få status som grunnleggende rettighet i Europa. Dette kan i så fall få betydning for arbeid med nye regler om datakriminalitet. Selv om en slik rettighet ennå ikke har fått full anerkjennelse på tvers av Europa, er lignende rettigheter anerkjent av enkelte viktige nasjonale domstoler. Full anerkjennelse av nettsikkerhet som en grunnleggende rettighet i EU vil kunne få betydelige konsekvenser for både myndigheter og private aktører, da de vil måtte justere sin politikk og praksis for å sikre at rettigheten respekteres. Prosjektet ser også nærmere på krav til kryptering. Kryptobruk kan være et viktig redskap for å ivareta nettsikkerhet. Samtidig kan kryptering også brukes av kriminelle, hvilket reiser en rekke betente spørsmål. I denne forbindelse drøfter prosjektet bl.a. i hvilken grad politiet bør gis tilgang til ukrypterte eller dekrypterte data som sendes over internett, samt hvilke tilgangsbegrensninger som da må kreves i lys av menneskerettighetene. Forskningen vår har vist at nyere forslag om å tvinge frem «bakdører» som åpner opp krypterte data utgjør et brudd på grunnleggende menneskerettigheter, særlig retten til privatliv. Prosjektet har også pekt ut andre systemiske hindringer for lovgivers evne til å «løse» dilemmaer knyttet til private aktørers kryptobruk. På verdensbasis finnes det ingen organisasjon som alene har særskilt mandat for å ivareta alle aspekter ved nettsikkerhet. I stedet finnes det flere mellomstatlige organisasjoner som kan påvirke feltet, men de har alle mer begrensede mandater. Enkelte av dem har imidlertid planer om å utvide sitt mandat for å innlemme flere sikkerhetsaspekter. Forskningen vår viser derimot begrensede muligheter for at mellomstatlige organisasjoner vil klare å bli enige om hvordan vi best kan oppnå tilstrekkelig nettsikkerhet. Dette skyldes en rekke faktorer knyttet til «multilateral gridlock» generelt sett, samt særskilte faktorer som er spesifikke for nettsikkerhet. Forskningen vår viser imidlertid også at mellomstatlige organisasjoner med tilnærmet lik ideologi - så som Europarådet og EU - kan samarbeide med hverandre vedrørende visse aspekter ved nettsikkerhetspolitikk på måter som kan fremme større global enighet på feltet. I løpet av de siste årene har mange lands myndigheter, også i Norge, i økende grad vektlagt behovet for «innebygd sikkerhet» («security by design»). Det innebærer at sikkerhetshensyn skal være en integrert del av utvikling av informasjonssystemer og andre produkter/tjenester gjennom hele utviklingsprosessen. Prosjektet har undersøkt nærmere hva dette «mantraet» betyr -ikke minst som rettslig krav - og om det er nyttig. Vi konkluderer med at kravet om innebygd sikkerhet er prinsipielt viktig, og at det til og med er blitt et grunnleggende regulatorisk prinsipp i EU-retten. Den praktiske implementeringen av kravet hemmes imidlertid av usikkerhet rundt kravets innhold, samt av visse trekk ved dagens måte å utvikle programvare på. Myndigheter kan dermed ikke forvente at lovfesting av kravet nødvendigvis vil føre til at prinsippet blir etterlevd i praksis. Prosjektet har også avdekket lignende vanskeligheter med rettslige krav til «innebygd personvern» («data protection by design»). Selv om datatilsynsmyndigheter har nylig kommet med veiledning om hvordan disse krav kan realiseres, viser SIGNAL-prosjektet at myndighetenes råd på visse punkter kunne vært klarere og tydeligere. Mange fokuserer på nettsikkerhet i forbindelse med bruk av PCer og smarttelefoner. Sikkerhet er imidlertid også viktig i andre typer maskiner, som f.eks. selvstyrte kjøretøy og roboter. Et av spørsmålene prosjektet undersøker er derfor hvordan jussen bidrar, og burde bidra, til å sikre slike maskiner. Et annet spørsmål er om rettsregler om maskinsikkerhet og produktansvar bør integreres med rettsregler om nettsikkerhet. Forskningen vår viser at regler om maskinsikkerhet og produktansvar ikke er tilstrekkelige til å håndtere nettsikkerhetsutfordringer, og at forholdet mellom disse reglene og regler om nettsikkerhet ellers er lite forutberegnelig. Derfor argumenterer vi for at EU bør utarbeide et mer heldekkende sikkerhetsregelverk.

The SIGNAL project has made major and in some cases seminal contributions to cybersecurity scholarship on a range of "cutting edge" issues, including the development of a fundamental right to cybersecurity, the regulatory challenges posed by encryption, the legal implications of "security by design", and the legal responsibilities of domain name service actors in relation to security of critical internet infrastructure. In tackling these issues, the project has helped define and lift the status of cybersecurity regulation as a field of research in its own right. The project has also helped establish new university courses in the field. Moreover, the project has made significant contributions to the development of concrete regulatory policy outside the academic sphere, both internationally and nationally.

The project examines the legal regulatory structures for internet security by focusing on established, new and proposed legal security requirements, at both international and national levels, for critical internet infrastructure and cloud computing. The project has four main prongs of research. The first prong studies legal requirements relating to use of cryptography. The second prong studies legal rules concerning the prevention of cybercrime. The third prong examines the role of intergovernmental organisations and international law in establishing security frameworks for critical internet infrastructure and cloud computing. The fourth prong assesses rules on the development and use of privacy-enhancing technologies.