INNSPILL FRA EFN TIL SAMFERDSELSDEPARTEMENTETS IDEDUGNAD OM UØNSKET EPOST

OSLO, 21. AUGUST 2003 - I løpet av omtrent de siste ti år har Internett gått fra å være noe nerder og forskere beskjeftiget seg med til å være blant de viktigste kanalene for kommunikasjon, betalingsformidling og i økende grad underholdning for vanlige mennesker. I takt med økt utbredelse har også misbruk av teknologien, for eksempel elektronisk søppelpost eller "spam" blitt til et synlig problem for offentligheten. EFN ønsker å sette fokus på noen forslag til tiltak.

Tekniske tiltak

Rene tekniske tiltak har vært forsøkt. Et nokså utbredt og relativt vellykket tiltak har vært å avvise epost som kommer fra 'åpne releer' altså systemer videresender epost for andre enn sine egne og kunders brukere. Se [1] og [2] for bakgrunnsmateriale.

Systemer for vekkfiltrering av reklamepost er i bruk mange steder, til dels med gode resultater. Dessverre vil slike systemer alltid være i en tilstand preget av "våpenkappløp" mellom spammerne og de som utvikler og bruker filtreringssystemene, med en viss andel feilkategoriseringer.

Det har også vært foreslått endringer i måten e-post overføres på, enten med nye tekniske krav, for eksempel av godkjenning på både sender- og mottakerside, bruk av elektroniske signaturer eller annet, og endelig en mikro-avgift som skulle kreves opp for hver sendte melding. Disse forslagene har til felles at hele infrastrukturen for sending og mottak av e-post måtte skiftes ut. Dersom dette i det hele tatt lar seg gjennomføre, ville det i beste fall kreve lange overgangsperioder, da man måtte utvikle og drive løsninger for overføring av legitim trafikk mellom gammelt og nytt system inntil man var sikker på at all legitim trafikk fantes bare innenfor det nye systemet.

Juridiske tiltak

Antispam-lovgivning er nødvendig, men etter alt å dømme ikke tilstrekkelig. For eksempel er epostreklame til privatpersoner ulovlig uten forhåndsgodkjenning etter norsk lovgivning, mens det ikke er tilsvarende begrensinger som gjelder epost til samme personen på arbeidsstedet[3]. Åpningen for spam til jobb-adresser er noe EFN vil anbefale fjernet, gjerne i arbeidet med å innarbeide det relevante EU/EØS-direktivet i norsk lovgivning[4].

I tillegg har vi sett at konflikten mellom ytringsfriheten og den enkeltes behov for og rett til fred i privatlivet kan være et reelt problem både for lovgiver og håndhever. Det kunne for eksempel oppstå en situasjon der visse typer reklame i e-post ble lovlig, samtidig som organiserte e-postaksjoner rettet mot bedrifter på grunnlag av dårlige forhold for arbeidstakere eller slett miljøpraksis kunne bli ulovlige.

I praksis er norsk lovgivning heller ikke anvendbar mot spam fra utlandet. Likevel kan det være nyttig å se på to områder der lovgivning kan være nyttig:

Klare aktsomhetskrav ved kobling av utstyr til Internett
Tiltak for å minimalisere salgsrespons ved spamkampanjer

Wired[5] har en interessant oppsummering av antispam-lover, blant annet med uttalelser fra EFNs amerikanske søsterorganisasjon EFF.

Aktsomhetskrav ved kobling av utstyr til Internett

Internettsamfunnet fungerer ut fra en slags samlet forståelse av hva som er akseptabel adferd på nettet. Det er vanlig at tilbydere av Internett-tjenester har en oppsummering av dette i sine kontrakter med brukere, der det blant annet sies eksplisitt at spamming og annen plagsom eller skadelig adferd ikke tolereres.

EFN mener at det tilsvarende bør stilles aktsomhetskrav på linje med det som gjelder for kobling av utstyr til strøm- og telenett til de som kobler utstyr til Internett, med bøter som mulig sanksjonsmiddel. Dette vil i første rekke gjelde professjonelle aktører som ISP-er og bedrifters driftsavdelinger, men også krav overfor sluttbrukere bør vurderes. Aktsom adferd ved tilkobling og bruk av utstyr tilkoblet internett bør forstås å omfatte grunnleggende tiltak for å sikre seg mot at utstyret blir brukt på slik måte at det medfører skade eller vesentlig ulempe for andre.

Et slikt aktsomhetsregime bør uten tvil medføre at profesjonelle aktører som ISP-er og bedrifters driftsavdelinger får plikt til å sikre seg mot at deres epostservere brukes til masseutsendelse av spam. Det er viktig å understreke at dette må være en del av generelle krav til aktsomhet når det gjelder egen og andres sikkerhet. Se BestPrac.org[6] for eksempel på slike kriterier.

EFN ser en vesentlig forskjell på anonymiseringstjenester for epost og åpne epost-releer, og vil advare mot at disse kategoriseres sammen. Anonymiseringstjenester bør etter EFNs syn være tilgjengelige uten at brukerne av slike tjenester skal frykte for rettslig forfølgelse som følge av bruken.

Internett og epost bør etter EFNs syn ikke begrenses til kontrollert og kontrollerbar kommunikasjon etter forhåndsgodkjenning, men fortsatt være en åpen teknologi med mulighet for førstegangskontakt og anonym meldingsformidling.

Tiltak for å mimimalisere salgsrespons ved spamkampanjer

En annen angrepsvinkel tar utgangspunkt i at spam eksisterer fordi det faktisk finnes noen som kjøper de produktene som markedsføres på denne måten. I tillegg er en spamutsendelse ekstremt mye billigere per sendt melding enn alle andre kjente masseutsendelser.

Derfor kan det være grunn til å tro at en heving av den initielle terskelen ved førstegangs kjøp fra en ny leverandør kan være et mulig virkemiddel. Dette kan for eksempel gjøres ved å kreve signatur første gang man kjøper fra en bestemt selger på nett.

Svarandelen med kjøp som følge av spam-kampanjer ligger antakelig på mindre enn tre per million utsendte meldinger. Dersom det ble innført et ekstra godkjenningssteg for bestilling fra nye leverandører, kan det være grunn til å tro at svarandelen for spam ville synke så lavt at spamming ikke lenger ville være lønnsomt.

En slik ekstra godkjenning ville i tillegg kunne bidra til å forhindre kortmisbruk, og gi kortselskapene mulighet til å varsle kortbrukerne ved mistanke om svindelforsøk. Det er viktig å understreke at dette må gjennomføres på en slik måte at forbrukernes rettigheter ikke blir svekket. EFN vil oppfordre til at ulike alternativer blir utredet.

Illustrerende presseklipp om de økonomiske sidene ved spam finner vi blant annet i Wired[7] og Dagbladet[8].

KILDER

[1] The Open Relay Database, http://www.ordb.org/, spesielt http://www.ordb.org/faq/#what_is_ordb
[2] The Mail Abuse Prevention System, http://www.mail-abuse.org/, særlig http://www.mail-abuse.org/rbl/candidacy.html#ByRelaying,
[3] Markedsføringsloven, Â§ 2b, http://www.lovdata.no/all/tl-19720616-047-001.html#2b
[4] http://www.euro.cauce.org/en/index.html
[5] Antispam Bills: Worse Than Spam?, Ryan Singel, Wired 31. juli 2003
    http://www.wired.com/news/politics/0,1283,59840,00.html
    om arbeidet med antispam-lover i USA se også http://www.cauce.org/,
    http://law.spamcon.org/us-laws/index.shtml, og     http://www.spamlaws.com/federal/index.html.
    En internasjonal oversikt finnes på http://www.spamlaws.com/.
[6] Principles of Best Practice in Email Spam Prevention and Eradication, http://www.bestprac.org/principles.htm
[7] Swollen Orders Show Spam's Allure, Brian McWilliams, Wired 6. august 2003,
    http://www.wired.com/news/business/0,1367,59907,00.html
[8] Spammerne forteller, Even Teimansen, Dagbladet 14. mai 2003,
    http://www.dagbladet.no/dinside/2003/05/14/368766.html

Om EFN: Elektronisk Forpost Norge er en elektronisk rettighetsorganisasjon som jobber med medborgerskap og juridiske rettigheter i nettsamfunnet, med fokus på forbrukerrettigheter, personvern, og tekniske, politiske og kulturelle aspekter ved datastøttet kommunikasjon såsom Internett. EFN arbeider for åpne og demokratiske infrastrukturer for bruk og tilgjengelighet av informasjon i datanett.
www.efn.no.

Dette dokumentets adresse:
http://www.efn.no/anti-spam.html

Sist oppdatert av Peter N. M. Hansteen 21. august 2003.