Nyhetsbrev, mars 2012

Månedlig oppsummering av aktiviteter på internettområdet, nasjonalt, europeisk og globalt. Det europeiske og globale innholdet er basert på nyhetsbrev publisert av .SE i Sverige.

1. Norge
   1. Ikke bli lurt på telefonen, melder NorSIS
   2. NorSIS bidrar til god sikkerhetskultur
   3. Domenenavn er en viktig ikke-materiell verdi
2. Europa
   1. EU-kommisjonen og en cybersikkerhetsstrategi for informasjonssamfunnet
   2. Europarådet fastsetter strategi for Internet Governance
   3. Berec undersøker traffic management
   4. Det britiske parlamentet tar for seg balansen mellom integritet og ytringsfrihet
   5. Stockholm Internet Forum on Internet Freedom for Global Development
   6. Eurodig 2012 – who makes the rules on the Internet?
3. Globalt
   1. 19. sesjon for FNs råd for menneskerettigheter – også på nettet
   2. Kontroll av IANA-funksjonen videreføres under ICANN
   3. ICANN bidrar til stenging av domenenavn med uønsket innhold
   4. ICANN fornyer avtalen om toppdomenet .com
   5. Verdensdagen mot internettsensur
   6. Mer lagring av personlig informasjon i USA
   7. India endrer kurs
   8. NATO investerer i cybersikkerhet
   9. Søknadsfasen for nye toppdomene fra ICANN nærmer seg fristen
   10. ICANN offentliggjør hvem som har søkt om hvilke toppdomener
   11. Siste nytt om ”batching” av nye toppdomener
4. Oppsummering av vinteren 2011/2012
   1. Opphavsrettighetsindustriens strategi for angrep på mellomledd
   2. Vern av integritet og eventuelle ulemper
   3. EU-kommisjonen og en cybersikkerhetsstrategi for informasjonssamfunnet
   4. ICANN og IANA-funksjonen
   5. Nye toppdomener
   6. ICANNs bytte av direktør
5. Kalender

Norge

Ikke bli lurt på telefonen, melder NorSIS

Mange blir ringt opp av noen som utgir seg for å være fra for eksempel Microsoft, og som sier at det er avdekket virus på PC-en.

NorSIS bidrar til god sikkerhetskultur

Sikkerhetskulturkonferansen viser hvordan man skaper en organisasjon med kultur for å ta IT-sikkerhet på alvor.

Domenenavn er en viktig ikke-materiell verdi

Aktuell artikkel fra Thea C.Broch i Virke om problemstillinger rundt retten til domenenavn. Broch er også medlem av domeneklagenemnda.

Europa

EU-kommisjonen og en cybersikkerhetsstrategi for informasjonssamfunnet

I mars holdt Neelie Kroes en linjetale om en europeisk strategi for informasjonssikkerhet på Internett.

Kroes sier i sin tale at hun vil omdefinere debatten fra å være en diskusjon om Security in Cyberspace til å bli en European Strategy for Internet Security.

• Medlemsstatene må garantere en minimumskapasitet på nettet. Målet er å kunne dele kritisk informasjon på en trygg måte. Det handler om å kunne reagere på hendelser, der CERT (Computer Emergency Response Team) og andre kompetente aktører i så vel offentlig som privat regi skal kunne utveksle informasjon om pågående hendelser, for eksempel tjenestenektangrep.
• Kroes ønsker en struktur for styring av Internett. EUs medlemsstater skal etablere kompetente organer for styring av Internetts infrastruktur, samt for sentralisering av informasjon. Målet vil være å utvikle en europeisk cyber-incident contingency plan, samt å bidra til å knytte nettsikkerhet, nettkriminalitet og forsvarsinteresser tettere sammen.
• Kroes sier også at den private sektoren som forvalter og driver Internett trenger incentiver til å øke sin egen sikkerhet. Derfor bør EUs medlemsland tilby hjelp fra kyndige, nasjonale organer som kan handle operativt og raskt for å minimere eventuelle angrep. Denne beredskapen bør også inkludere annen samfunnskritisk informasjonssikkerhet, som energi, vann, finansielle transaksjoner og transport.
• Kroes ønsker videre å utvikle et mer integrert indre marked for internettsikkerhet, som i større utstrekning enn i dag også omfatter sikkerhetsteknologi.
• Til slutt ønsker hun å se tiltak mot globale markedshindringer for internettsikkerhet.

Europarådet fastsetter strategi for Internet Governance

I mars 2012 vedtok Europarådet en strategi for styring av Internett for perioden 2012-2015. Strategien tar spesielt for seg rådets grunnleggende vurderinger rundt menneskerettigheter, pluralistisk demokrati og kriminalitetsbekjempende virksomhet gjennom loven («rule of law»). Strategien baserer seg på avtalen om Internet governance principles og anbefalingene ministerrådet vedtok i 2011.

- protecting the Internet’s universality, integrity and openness;

- maximising rights and freedoms for Internet users;

- advancing data protection and privacy;

- enhancing the rule of law and effective co-operation against cybercrime;

- maximising the Internet’s potential to promote democracy and cultural diversity;

- protecting and empowering children and young people.

Berec undersøker traffic management

Fellesorganet for europeiske telekomregulatører – Berec – presenterte i mars en foreløpig rapport om forekomsten av såkalt traffic management i Europa.

Generelt kan traffic management beskrives som en metode for prioritering av visse typer internettrafikk framfor annen trafikk. Avhengig av hvordan man ser det, kan slik håndtering også kalles trafikkdiskriminering. En positiv beskrivelse av slik håndtering vil for eksempel være at internettleverandører prioriterer YouTube-trafikk framfor e-post for å sikre uavbrutt nedlasting av video. En negativ beskrivelse av slik håndtering vil være at teleoperatører for eksempel struper IP-telefoni, fordi slik trafikk konkurrerer med andre tjenester fra selskapet og inntekter fra telefoni.

Ifølge rapporten har 400 internettleverandører svart på Berecs rapport. I den foreløpige konklusjonen melder Berec at man har funnet store variasjoner i hvordan traffic management praktiseres.

Det britiske parlamentet tar for seg balansen mellom integritet og ytringsfrihet

Storbritannia har de siste årene blitt rammet av ulike avisskandaler, blant annet ulovlig telefonavlytting og andre tvilsomme aktiviteter. Disse skandalene har ført til at balansegangen mellom integritet og ytringsfrihet har blitt diskutert i det britiske parlamentet. Selv om skandalene i stor grad stammer fra eldre medier, er debatten også aktuell for store internettselskaper. I rapporten diskuteres det blant annet å styrke forbrukernes innflytelse både på tradisjonelle og nye medier. Rapporten peker spesielt på Google som et selskap som oppfordres til å innføre praktiske tiltak for å beskytte internettbrukernes integritet.

Stockholm Internet Forum on Internet Freedom for Global Development

Forberedelsene til konferansen er i full gang. Programmet er nesten klart, og man fokuserer nå på logistikken for å få ulike parallelle seminarer på plass. Les mer om programmet på http://www.stockholminternetforum.se/

Eurodig 2012 – who makes the rules on the Internet?

Globalt

19. sesjon for FNs råd for menneskerettigheter – også på nettet

Som tidligere beskrevet, har Sverige jobbet aktivt for å sette spørsmålet om menneskerettigheter på Internett på kartet, også i FNs formelle strukturer. I FNs råd for menneskerettigheter har det svenske utenriksdepartementet arrangert en paneldiskusjon om ytringsfrihet på nettet. På regeringen.se finnes en oppsummering av diskusjonen.

Kontroll av IANA-funksjonen videreføres under ICANN

Det amerikanske motstykket til Post- og teletilsynet (NTIA) har tidligere varslet at den amerikanske statens kontroll av den såkalte IANA-funksjonen skulle legges ut på anbud.

I mars ga myndighetene beskjed om at anbudsprosessen skulle kanselleres. Begrunnelsen var det ikke fantes noen part som oppfylte de kriteriene NTIA hadde satt. Senere kom det beskjed om at anbudsprosessen er planlagt gjenopptatt på et senere tidspunkt, og at den løpende avtalen med ICANN blir forlenget til slutten av september 2012. Dette er andre gangen avtalen forlenges. I henhold til de opprinnelige planene skulle avtalen fornyes i slutten av september 2011. Nå har NTIA forlenget ICANNs avtale om å drive rotsonen for Internett til slutten av september 2012. Mer informasjon her:
http://news.dot-nxt.com/sites/news.dot-nxt.com/files/iana-rfp-cancellation.pdf
http://news.dot-nxt.com/2012/03/10/iana-rfp-cancelled
http://news.dot-nxt.com/2011/11/10/iana-rfp-deliverables
http://www.stephanevangelder.com/archives/396-US-government-extends-current-IANA-contract.html

ICANN bidrar til stenging av domenenavn med uønsket innhold

I mars meldte ICANN om intensivert samarbeid med internasjonale rettshåndhevende myndigheter (law enforcement agencies, LEA) for å stoppe det man anser for å være brudd på opphavsretten gjennom nedstenging av domenenavn. For enkelte er dette mer kjent under betegnelsen Notice and take down procedure.

Det har vært mulig å styrke samarbeidet fordi ICANN via sine avtaler med registrarer i større grad enn tidligere kontrollerer og styrer hvordan ønsker fra ulike LEA og regjeringer som har synspunkter på innholdet på enkelte websider, faktisk følges opp. Forslaget er kontroversielt, dels fordi slik innsats tidligere har vist seg å ha uønskede bivirkninger (flere nettsteder enn tiltenkt ble stengt), dels fordi ordningen med å stenge ned innhold på Internett også kan benyttes i en mer undertrykkende sammenheng. At amerikansk rett på denne måten får økt innflytelse i mange andre land innvirker også på mer komplekse verdier, som for eksempel rettssikkerheten til internettbrukerne.

ICANNs ledelse har gjort rede for denne ordningen i myndighetenes rådgivende organ, GAC, hvor også Sveriges regjering er representert. Regjeringen synes dermed å ha gitt et stille samtykke til den foreslåtte ordningen.

ICANN fornyer avtalen om toppdomenet .com

Innen slutten av november 2012 kommer ICANN til å fornye sin avtale med Verisign om driften av toppdomenet .com. Dermed vil de planlagte endringene i avtalevilkårene bli utsatt til 26. april. Blant annet planlegges det støtte for IPv6 for alle .com-domener, støtte for DNSSEC, samt et bedre register for .com-domenenes kunder, slik at den som publiserer innhold under et .com-domene kan spores og nås på en gyldig e-postadresse. Forretningsmodellen for domenene gjøres også om, fra dagens modell med en kvartalsvis, fast sum, til en modell med USD 0,25 per transaksjon under toppdomenet. ICANN skriver at «this is a substantial increase in Verisign’s contribution». Det finnes i dag over 100 millioner domenenavn under .com.

Verdensdagen mot internettsensur

12. mars arrangerte Reportere uten grenser en spesiell «World day against cyber-censorship».

Mer lagring av personlig informasjon i USA

Den amerikanske regjeringen endrer reglene for myndighetenes anledning til å samle inn og søke etter informasjon om sine innbyggere. Nye retningslinjer for bekjemping av terrorisme er vedtatt. De nye retningslinjene tar blant annet for seg hvor lenge personlig informasjon skal kunne lagres. Perioden er utvidet fra 180 dager til fem år.

India endrer kurs

I løpet av høsten 2011 har vi i dette nyhetsbrevet vist hvordan India i FN har argumentert for opprettelsen av et separat FN-organ med det formål å drive og kontrollere Internett. Ifølge samme kilde har India nå gitt slipp på disse ambisjonene.

NATO investerer i cybersikkerhet

NATO skal oppgradere sine cybersikkerhetsegenskaper. Det er NATO Computer Incident Response Capability (NCIRC) som investerer ca. 58 millioner euro for å oppnå full operativ kapasitet.

Søknadsfasen for nye toppdomene fra ICANN nærmer seg fristen

29. mars var den siste dagen ICANN tillot registrering av selskaper som ønsker å søke om et nytt toppdomene. Det er en forutsetning for å kunne søke at man er registrert i det såkalte TAS-registeret. Søknadsfristen løper ut 12. april. For flere opplysninger se http://www.icann.org/en/news/announcements/announcement-29feb12-en.htm

ICANN offentliggjør hvem som har søkt om hvilke toppdomener

30. april publiserer ICANN listen over hvem som har søkt om hvilke toppdomener. Rod Beckstrom, CEO i ICANN, understreker imidlertid at publisering av listen kan bli utsatt dersom ICANN mottar et overveldende antall søknader.

Siste nytt om ”batching” av nye toppdomener

ICANN har utviklet et system for i hvilken rekkefølge søknader om nye gTLDer skal behandles. I henhold til ”søknadsmanualen” (Applicant Guidebook) vil søknadene bli behandlet i ”bunker” dersom antall søknader i vesentlig grad overstiger 500.
http://www.icann.org/en/news/announcements/announcement-2-30mar12-en.htm

Oppsummering av vinteren 2011/2012

Opphavsrettighetsindustriens strategi for angrep på mellomledd

I løpet av vinteren 2011-2012 har vi sett tydelige tegn på den globale såkalte opphavsrettighetsindustriens strategi for å forhindre ulovlig kopiering av immaterielle verdier gjennom å angripe mellomledd (intermediaries).

I internasjonal internettsammenheng har debatten vært dominert av diskusjoner om de amerikanske lovforslagene SOPA, PIPA osv. Disse lovforslagene ble frammet etter press fra amerikanske lobbyister, og ble sluset veldig raskt gjennom det amerikanske byråkratiet.

I Europa og USA ser vi stadig flere eksempler på hvordan domstolene beordrer nedstenging av domener på bakgrunn av at de bidrar til illegal spredning av digitalt innhold. Det betyr at ulike registreringstjenester, som for eksempel .se, .be, .nl og .fi, har blitt inkludert i gruppen av såkalte intermediaries. Selv ICANN har forsterket innsatsen med forsøk på å forhindre publisering av slikt innhold.

Tidligere tiltak har først og framst fokusert på regulering av digitalt innhold overfor internettleverandører som har et kundeforhold til en sluttbruker, såkalte ISP-er. Det nye er altså at selv infrastrukturleverandører, som registreringstjenestene som er nevnt over, i økende grad har blitt brukt i en denne blokkeringsstrategien. Denne utviklingen strider mot den grunnleggende verdien knyttet til brukernes integritet, formulert av Information Society (ISOC), organisasjonen hvor .SE har sitt verdimessige utgangspunkt.

Vern av integritet og eventuelle ulemper

Både det amerikanske senatet og EU-kommisjonen har presentert hvitbøker/strategier om individets integritet på nettet. Det handler om individers «rett til å bli glemt på nettet», dvs. retten til å kunne styre sin digitale identitet.

En slik retorisk elegant «rettighet» har selvfølgelig en mer komplisert bakside. For å kunne styre mitt personlige innhold på nettet, må noen logge eller på andre måter registrere all informasjon om nettopp min person. Problemet ligger i innsamling av informasjon fra så vel offentlige som private aktører.

EU-kommisjonen og en cybersikkerhetsstrategi for informasjonssamfunnet

Som nevnt begynner det å bli klart at EU-kommisjonen har planer om en mulig regulering av Internetts infrastruktur gjennom direktiver. Innholdet offentliggjøres i tredje kvartal 2012, melder IT-kommisjonær Kroes.

EU-kommisjonens planer tar for seg om og eventuelt hvordan man bør regulere et stabilt og sikkert Internett innenfor unionen. Det er ikke klart hvor initiativet egentlig kommer fra. I løpet av vinteren har kommisjonens planer blitt diskutert grundig også i den svenske regjeringen. Debatten dreier seg om hvordan Sverige skal tolke en slik regulering av et stabilt og sikkert Internett. Initiativet kan komme til å bli et svært viktig spørsmål for utviklingen av Internett.

Unionen må med andre ord bestemme seg for hvor man skal sette grensen for cybersikkerhet. Det er for eksempel klart at Kroes i sin tale også retter seg mot andre europeiske kommisjonærer når det gjelder hvordan en eventuell regulering bør organiseres. Hva forslagene skal innebære i praksis har man bare så vidt begynt å diskutere.

Det er under alle omstendigheter urovekkende at Kroes sidestiller Internett med samfunnskritisk infrastruktur som vann, elektrisitet osv., da en slik sidestilling vil være et hovedargument for statlig regulering av innhold på nettet, på samme måte som staten regulerer annen kritisk infrastruktur. Hun skisserer videre en ordning med omfattende myndighetskontroll over infrastrukturen. Kroes befinner seg i den delen av det politiske landskapet som har størst interesse av å forsvare det sivile samfunnets interesser. Hvis hun har omfattende statlig regulering i sikte, kan dette forslaget komme til å bli en alvorlig trussel mot et åpent Internett hva angår brukernes integritet

Det er en dårlig skjult fordom at ethvert forslag til regulering av Internett som benytter seg av forstavelsen cyber-security, er motivert av militære interesser eller av forsvarsmyndigheter. Det er nærmest en retorisk tradisjon at forsvarsdepartementer fortsatt benytter forstavelsen cyber. I fortsettelsen av denne konspirasjonsteorien ligger det at det er militær sikkerhet som definerer kommisjonens planer, noe som ofte viser seg å stå i sterk motsetning til den definisjonen av internettsikkerhet det sivile samfunnet ønsker seg. Med foliehatten (tin foil hat) på hodet kan man til og med forestille seg at det forserte EU-samarbeidet drives av viljen til å regulere seg til kontroll over nettet via EU-samarbeidets grunnpilarer. En militær definisjon av cybersikkerhet er et svakere argument for regulering, og derfor vil man ganske enkelt skaffe seg en snarvei til unionens lovgivning.

ICANN og IANA-funksjonen

IANA-funksjonen handler grovt sagt om kontroll over IP-adresseallokering og kontroll over domenenavnsystemet. ICANN har driftet IANA-funksjonen siden organisasjonen ble til. Det amerikanske motstykket til Post- og teletilsynet (NTIA) har tidligere meldt at den amerikanske statens kontroll av den såkalte IANA-funksjonen skulle legges ut på anbud.

I mars meldte myndighetene imidlertid at anbudsprosessen skulle kanselleres. De fleste tolket dette slik at anbudet ble kansellert fordi det ikke fantes noen part som oppfylte de kriteriene NTIA hade satt. Senere kom det beskjed om at det var planlagt å gjenoppta anbudsprosessen på et senere tidspunkt, og den løpende avtalen med ICANN ble forlenget til slutten av september 2012. Dette er den andre forlengelsen av den eksisterende avtalen. I henhold til de opprinnelige planene skulle avtalen fornyes i slutten av september 2011.

Nye toppdomener

Hvem som har søkt om nye toppdomener blir offentliggjort av ICANN 30. april. I skrivende stund vil ICANN ikke fortelle hvor mange nye toppdomener det er søkt om. Det meldes om at 839 personer er registrert i søkesystemet (TAS), noe som betyr at det minst er søkt om 839 nye toppdomener. Ettersom hver søknad koster USD 135 000, bør ICANN i denne omgang minst hanke inn en inntekt på 113 millioner dollar. Hver person som er registrert i TAS kan søke om maks 50 toppdomener, så det teoretiske taket (i skrivende stund) er knappe 42 000 nye toppdomener.

Uken 12.-16. mars pågikk ICANN 43 i Costa Rica. Et av hovedtemaene der og i tiden framover er prosessen med å lansere nye toppdomener.

På møtet presenteres begrepet «batching», dvs. kriterier for utvelgelsesprosessen hvor man skal velge de toppdomenene ICANN anser for å være mest passende, og den prioritetsordningen man skal bruke for å føre dem inn i rotsonen.

• Etter 12. april kommer søkere til nye toppdomener til å bli bedt om å velge et tidspunkt (dato og klokkeslett) for den videre prosessen.
• Søkerne velger tidspunktet ved å registrere seg i TAS. Jo nærmere tidspunktet søkerne trykker på send (regnet i mikrosekunder), jo høyere prioriteres deres søknad i deres batch/omgang med søknader. Målet med dette er å rangere søkerne, slik at man kan få fram de foretakene som har den mest nøyaktige – og dermed også beste – teknologien. Denne utvelgelsessekvensen gjennomføres deretter i alle fem verdensdeler for å sikre en geografisk spredning.
• På denne måten eliminerer man også utvelgelsesprosesser basert på loddtrekning eller annen slump.

At kriteriene for batching presenteres såpass sent i prosessen har blitt kritisert både av EU-kommisjonen og av en koalisjon for online accountability. ICANN har presentert en detaljert beskrivelse om hvordan batching vil foregå

ICANNs bytte av direktør

Det har blitt stadig mer åpenbart for alle at Rod Beckstrom har trukket seg fra sin stilling som direktør for ICANN. En rekrutteringsprosess for ny direktør pågår nå.

Under vinterens høringer i det amerikanske senatet var det visedirektør Kurt Pritz i ICANN som opptrådte som de-facto direktør for ICANN ved å forestå hele prosessen med nye toppdomener, ved å delta i senatets spørrerunder, og ved å representere ICANN utad. Innen ICANN 44 i Praha i juni vil en ny direktør være på plass, og det vil meget snart bli klart hvem dette blir.

Kalender

FN: Human Rights Council (HRC)

27/2-23/3, Genève

FN: ITU: WG WCIT formøte 1:

27.-29. februar

RGIG: Referansegruppe for Internet Governance,

6. mars, PTS i Stockholm

ICANN 43 (San Jose, Costa Rica)

11.-16. mars 2012

ICANN – siste frist for å søke om nye toppdomener, første omgang:

12. april

Stockholm Internet Forum on Internet Freedom for Global Development (SIF12)

18.-19. april 2012 (Twitter: #fxinternet)

Internet Society (ISOC) fyller 20 år (INET), Genève,

22.-24. april 2012

FN: ITU: WG WCIT formøte 2:

23.-25. april

Finnish Internet Forum

25. april2

FN: MAG, Genève,

mai 2012 (?)

FN: WSIS Forum

14.-18. mai3, Genève

FN: CSTD: 15. konsultasjon om «Enhanced cooperation», Genève

18. mai

FN: CSTD: ordinært CSTD-møte, Genève

21.-25. mai

Eurodig 2012 (Stockholm)

14.-15. juni 2012

.Nxt-konferanse om nye toppdomener, London

20.-22. juni 2012

FN: ITU: WG WCIT formøte 3:

20.-22. juni

ICANN 44, Praha, Tsjekkia

24.-29. juni 2012

FN ECOSOC juli:

MAG, Genève,

september 2012 (?)

Internet Governance Forum (IGF), Baku, Aserbajdsjan,

6.-9. november 2012

WCIT Dubai,

3.-14. desember 2012

Sikkerhetstoppmøte. Møtet er en rundebordskonferanse og arrangeres av NorSIS og Høgskolen i Gjøvik tre ganger pr år.

19. april 2012