TBERG-2019-141281
| Instans: | Bergen tingrett - Dom |
|---|---|
| Dato: | 2020-02-21 |
| Publisert: | TBERG-2019-141281 |
| Stikkord: | Strafferett, Datainnbrudd, Straffutmåling, Inndragning, Sakskostnader |
| Sammendrag: | Saken gjaldt spørsmål om datainnbrudd, samt straffbarhet og straffutmåling for dette. Tiltalte hadde erkjent de faktiske forhold og spørsmålet var om det var straffbart å hente ut offentlige data om kjøretøy fra Statens vegvesen sine nettsider. Kjøretøydata er offentlig informasjon og tilgjengelig for alle som ber om innsyn.
Tingretten fant det bevist at tiltalte hadde fått tilgang til Statens vegvesen sine data om kjøretøy og kunderegister via tjenesten «Min side». Ved å endre tall i URL-adressen kunne alle få innsyn og hente ut data om andre sine kjøretøy. Dette var mulig fordi Vegvesenet ikke hadde satt opp sikkerhet for å hindre slik tilgang. Retten mente måten tiltalte hadde fått tilgang til kjøretøydata var uberettiget og rammes av Straffeloven (2005) § 204. Videre at det var nødvendig å inndra datautstyr av hensyn til en effektiv håndhevelse av straffebudet. Under tvil ble det ikke idømt sakskostnader. Tiltalte ble dømt til 14 dagers betinget fengsel, med fradrag for 3 dager utholdt varetekt ved eventuell soning, samt inndragning av datautstyr. |
| Saksgang: | Bergen tingrett TBERG-2019-141281 (sak nr. 19-141281MED-BERG/4) - Gulating lagmannsrett LG-2020-40700 |
| Parter: | Påtalemyndigheten (politiadvokat Anja Mathiesen) mot [A-mann] (advokat Alexander Gonzalo Sele) |
| Forfatter: | Tingrettsdommer Morten D Haldorsen, Meddommer Aud Karin Rognø, Meddommer Øystein Kallekleiv |
| Lovhenvisninger: | Straffeloven (2005) §34, §69, §75, §83, §204, Offentleglova (2006) §9 |
[A-mann] er født xx.xx.1986 og bor i xxxxxvei 3, [Postnr] [Poststed].
Ved tiltalebeslutning utferdiget av statsadvokatene i Hordaland, Sogn og Fjordane er han satt under tiltale ved Bergen tingrett for overtredelse av:
Straffeloven § 204
for ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte å ha skaffet seg tilgang til datasystem eller del av det
Grunnlag:
I perioden fra desember 2017 til 9. januar 2018 i Bergen og/eller andre steder, skaffet han seg ved flere anledninger tilgang til deler av Statens Vegvesen sitt datasystem, ved å kjøre et skript som medførte tilgang til og nedlasting av Statens Vegvesen sitt kunderegister, eller ved annen uberettiget fremgangsmåte.
Påstand om inndragning av WD My Passport Ultra Ekstern harddisk på 2 TB, Toshiba M.2 harddisk på 256 GB og Micron 128 GB SSD disk, jf. strl § 69, jf. § 75 første ledd, forbeholdes nedlagt.
Hovedforhandling ble holdt 17. og 18.februar 2020. Tiltalte møtte og erkjente seg ikke skyldig etter tiltalebeslutningen.
Retten mottok forklaring fra fire vitner, og det ble foretatt slik dokumentasjon som framgår av rettsboken.
Aktor la ned påstand om at tiltalte dømmes i samsvar med tiltalebeslutningen til betinget fengsel i 14 dag, samt en bot på kr 10 000. Videre la aktor ned påstand om at tiltalte idømmes sakskostnader etter rettens skjønn.
Forsvarer la ned påstand om at tiltalte frifinnes, subsidiært at han anses på mildeste måte.
Rettens vurdering
Retten har lagt til grunn at påtalemyndigheten har bevisbyrden for tiltaltes skyld og at enhver rimelig tvil skal komme tiltalte til gode. Dette innebærer at retten i tilfeller hvor to eller flere faktiske hendelsesforløp eller situasjoner kan tenkes, og ingen av dem utelukkes, skal legge til grunn det som vil gi det gunstigste resultatet for tiltalte.
Retten har etter dette funnet følgende bevist:
Tiltalte har mastergrad i informatikk fra Universitetet i Bergen. I 2017 deltok han på «#hack4.no», en samling i regi av Kartverket, hvor en rekke offentlige og private deltakere var til stede, og hvor man presenterte ideer og forslag til digitale løsninger for deling av
Side:2
offentlige data. Retten legger til grunn at en rekke offentlige etater var til stede og ønsket hjelp til å finne gode løsninger for deling av slik informasjon.
Tiltalte hadde en idé til en applikasjon, «[Applikasjonsnavn]», som skulle gjøre brukeren i stand til å komme i kontakt med eier av motorvogner, for eksempel i tilfeller hvor biler var feilparkert. Ved å ta et bilde med mobiltelefonen, kunne applikasjonen sette brukeren i kontakt med bilens eier, uten at det ble utvekslet personopplysninger. For å gjøre applikasjonen effektiv, måtte tiltalte ha opplysninger fra Statens vegvesens databaser. Ideen ble godt mottatt og den ble også tildelt en pris under #hack4.no.
Tiltalte kom i kontakt med Hilde Austlid, overingeniør i Statens vegvesen, som var positiv til ideen. Tiltalte opplyste at han behøvde data om bileiere. Austlid opplyste at det fantes en SMS-tjeneste hvor det gikk an å foreta enkeltsøk. Dette var ikke egnet til tiltaltes formål.
I e-post 1. november 2017 til Austlid, skrev tiltalte at han var invitert til innovasjonscamp i Oslo 17. november og at han trengte å koble seg til databasen med kjøretøyene. Tiltalte kunne ikke betale noe for slik tilgang, men viste til at tjenesten ville være en hjelp for vegvesenet til å publisere åpne data. I sitt svar av 3. november uttrykte Austlid skepsis til om dette ville la seg gjøre gratis, men viste til skjema hvor han kunne søke om å få opplysninger. I den videre dialog med Statens vegvesen, ble tiltalte gjort kjent med at han kunne kjøpe en CD med noen av opplysningene. Dette var ikke aktuelt for tiltalte.
Den 16. november 2017 sendte tiltalte «Søknad om online tilgang til det sentrale motorvognregisteret». Søknaden ble avslått. I den videre dialog ble det opplyst for tiltalte at den type tilgang bare ble gitt til en bestemt type aktører, og at privatpersoner ikke var omfattet – selv om de drev med utvikling av applikasjoner.
I desember 2017, logget tiltalte seg inn på tjenesten «Min side» på Statens vegvesens internettsider. Fra sin ordinære side fikk han tilgang til den URL-adresse som inneholdt hans egne opplysninger, og som sluttet med et tall. Ved å kopiere denne og lime den inn i ny fane i nettleseren, fikk han frem de samme opplysningene i et nytt skjermbilde. Ved å endre tallet sist i adressen, fikk han frem tilsvarende opplysninger for en annen person i vegvesenets kunderegister. Dette var ikke en funksjon eller fremgangsmåte som nettsiden la opp til. Retten legger til grunn at det ikke krevde spesielt store datakunnskaper å gjøre som tiltalte gjorde. Det er for retten likevel klart at tiltalte på denne måten fikk ut opplysninger om andre eiere og at dette lå utenfor det Statens vegvesen mente å tilby av informasjon gjennom den aktuelle tjeneste.
Tiltalte laget deretter et skript som gjorde at hans PC automatisk endret ovennevnte verdi med ett siffer om gangen, og deretter lastet ned den informasjon som lå lagret på den enkelte kunde. Dette var vesentlig tidsbesparende sammenlignet med om tiltalte skulle ha
Side:3
foretatt denne operasjonen manuelt, men endret ikke arten informasjon og ga heller ikke tilgang til andre databaser enn det en manuell inntasting ga.
På denne måten lastet tiltalte ned opplysninger fra Statens vegvesens kunderegister. Den 9. januar 2018 fortalte tiltalte til Austlid at han hadde funnet en løsning for å hente ut informasjonen. Det ble da konstatert sikkerhetshull i datasystemet.
Tiltalte ble pågrepet samme dag og det ble gjennomført ransakning og tatt beslag i datatustyr. Tiltalte erkjente raskt de faktiske forhold, men mente ikke han hadde gjort noe straffbart.
Det er på det rene at de opplysninger tiltalte fikk ut, kunne ha vært tilegnet på lovlig vis. Tiltalte har senere gjennom innsynsbegjæring etter offentleglova § 9 fått kopi av mer omfattende data som har vært utlevert til andre aktører. Tiltalen gjelder imidlertid ikke brudd på personopplysningslovgivning eller lignende.
Straffeloven § 204 rammer det å skaffe seg tilgang til datasystem gjennom «uberettiget» fremgangsmåte. Kvaliteten på datasystemets sikkerhet, er etter rettens vurdering ikke avgjørende for om tilgangen er «uberettiget». Det er heller ikke et vilkår for å anvende straffebudet at tiltalte har benyttet dataverktøy eller at han har hatt til hensikt å skaffe seg opplysninger som ellers ville være utilgjengelige.
Slik retten ser det, er det ikke tvilsomt at tiltalte valgte en «uberettiget» fremgangsmåte for å skaffe seg tilgang til datasystemet. Som det fremgår ovenfor, var fremgangsmåten åpenbart en annen enn den som var ment brukt. Til støtte for sitt syn viser retten til NOU 2007:2 «Lovtiltak mot datakriminalitet Delutredning II» side 64:
Et annet tilfelle hvor løsningen også fremstår som temmelig utvilsom er at et datasystem har et brukergrensesnitt hvor det gis uttrykkelig anvisning på hvilke ressurser som tilbys og hvordan man skal kunne få tilgang til dem. Da er det disse retningslinjene som gjelder. En bruker kan ikke velge å skaffe seg tilgang på annet vis, for eksempel ved et sårbarhetsinnbrudd, selv om formålet er å få tilgang på de samme ressursene. Slik tilgang anses å være rettsstridig og straffbar.
Retten finner videre at han handlet forsettlig. Selv om han opplevde å ha en god dialog med vegvesenet var det åpenbart at denne tekniske fremgangsmåte med endring av URL-adresse, ikke var den fremgangsmåte som var ment for uthenting av data. Tiltalte forstod at det ikke var slik tjenesten skulle brukes. Saken skiller seg her fra Rt-2012-1669 som vist til av forsvarer.
Tiltalte dømmes etter dette i samsvar med tiltalebeslutningen.
Side:4
Ved straffutmålingen legger retten vekt på at tiltalte ikke har fått eller ment å få tilgang til andre opplysninger enn de som var offentlig tilgjengelig gjennom andre kanaler. Han har heller ikke gjort forsøk på å skjule sine spor, og har erkjent de faktiske forhold for politiet. Retten viser til vitneforklaring fra etterforsker Ronny Haldorsen som har redegjort for at tiltalte samarbeidet godt med politiet under etterforskningen.
I formildende retning vektlegger retten også at det har gått mer enn to år fra handlingen til pådømmelse finner sted. Aktor har opplyst at det er tale om ca. ti måneder med ren liggetid hos politiet. Dertil kommer saksbehandlingstid i retten – saken ble oversendt tingretten 25. september 2019, og burde ut fra sitt begrensede omgang ha vært iretteført tidligere.
Retten har etter en samlet vurdering funnet at det skal utmåles en fengselsstraff på 14 dager som i sin helhet gjøres betinget. Han tilkommer et varetektsfradrag på tre dager ved eventuell soning av fengselsstraffen. Retten har vurdert om det også skal idømmes en bot, men finner ut fra de formildende omstendigheter i saken ikke grunn til dette.
Aktor har i medhold av straffeloven § 69 påstått inndragning av WD My Passport Ultra Ekstern harddisk på 2 TB, Toshiba M.2 harddisk på 256 GB og Micron 128 GB SSD disk. Disse tre enhetene inneholder det skript som tiltalte brukte og flere hundre tusen nedlastede filer. Samtlige er i politiets beslag.
Det følger av straffeloven § 69 at ting som har vært brukt ved straffbar handling kan inndras. Retten finner at inndragning er nødvendig av hensyn til en effektiv håndhevelse av straffebudet. Retten finner videre at inndragning ikke utgjør et uforholdsmessig inngrep, også når idømt straff hensyntas.
Det er nedlagt påstand om sakskostnader. Retten finner under noe tvil at slike ikke skal idømmes.
Dommen er enstemmig.
1. [A-mann], født xx.xx.1986, dømmes for overtredelse av straffeloven § 204 til fengsel i 14 – fjorten – dager. Fullbyrding av straffen utsettes med en prøvetid på 2 – to – år jf. straffeloven § 34. Ved eventuell soning av straffen, fragår 3 –tre –dager for utholdt varetekt, jf. straffeloven § 83.
2. I medhold av straffeloven § 69 inndras
- WD My Passport Ultra Ekstern harddisk på 2 TB
- Toshiba M.2 harddisk på 256 GB
- Micron 128 GB SSD disk
3. Saksomkostninger idømmes ikke.