EFNs logo
INNSPILL FRA EFN TIL SAMFERDSELSDEPARTEMENTETS IDEDUGNAD OM
UØNSKET EPOST
*OSLO, 21. AUGUST 2003 - *I løpet av omtrent de siste ti år har
Internett gått fra å være noe nerder og forskere beskjeftiget seg med
til å være blant de viktigste kanalene for kommunikasjon,
betalingsformidling og i økende grad underholdning for vanlige
mennesker. I takt med økt utbredelse har også misbruk av teknologien,
for eksempel elektronisk søppelpost eller "spam" blitt til et synlig
problem for offentligheten. EFN ønsker å sette fokus på noen forslag til
tiltak.
Tekniske tiltak
Rene tekniske tiltak har vært forsøkt. Et nokså utbredt og relativt
vellykket tiltak har vært å avvise epost som kommer fra 'åpne releer'
altså systemer videresender epost for andre enn sine egne og kunders
brukere. Se [1 <#note1>] og [2 <#note2>] for bakgrunnsmateriale.
Systemer for vekkfiltrering av reklamepost er i bruk mange steder, til
dels med gode resultater. Dessverre vil slike systemer alltid være i en
tilstand preget av "våpenkappløp" mellom spammerne og de som utvikler og
bruker filtreringssystemene, med en viss andel feilkategoriseringer.
Det har også vært foreslått endringer i måten e-post overføres på, enten
med nye tekniske krav, for eksempel av godkjenning på både sender- og
mottakerside, bruk av elektroniske signaturer eller annet, og endelig en
mikro-avgift som skulle kreves opp for hver sendte melding. Disse
forslagene har til felles at hele infrastrukturen for sending og mottak
av e-post måtte skiftes ut. Dersom dette i det hele tatt lar seg
gjennomføre, ville det i beste fall kreve lange overgangsperioder, da
man måtte utvikle og drive løsninger for overføring av legitim trafikk
mellom gammelt og nytt system inntil man var sikker på at all legitim
trafikk fantes bare innenfor det nye systemet.
Juridiske tiltak
Antispam-lovgivning er nødvendig, men etter alt å dømme ikke
tilstrekkelig. For eksempel er epostreklame til privatpersoner ulovlig
uten forhåndsgodkjenning etter norsk lovgivning, mens det ikke er
tilsvarende begrensinger som gjelder epost til samme personen på
arbeidsstedet[3 <#note3>]. Åpningen for spam til jobb-adresser er noe
EFN vil anbefale fjernet, gjerne i arbeidet med å innarbeide det
relevante EU/EØS-direktivet i norsk lovgivning[4 <#note4>].
I tillegg har vi sett at konflikten mellom ytringsfriheten og den
enkeltes behov for og rett til fred i privatlivet kan være et reelt
problem både for lovgiver og håndhever. Det kunne for eksempel oppstå en
situasjon der visse typer reklame i e-post ble lovlig, samtidig som
organiserte e-postaksjoner rettet mot bedrifter på grunnlag av dårlige
forhold for arbeidstakere eller slett miljøpraksis kunne bli ulovlige.
I praksis er norsk lovgivning heller ikke anvendbar mot spam fra
utlandet. Likevel kan det være nyttig å se på to områder der lovgivning
kan være nyttig:
* Klare aktsomhetskrav ved kobling av utstyr til Internett
* Tiltak for å minimalisere salgsrespons ved spamkampanjer
Wired[5 <#note5>] har en interessant oppsummering av antispam-lover,
blant annet med uttalelser fra EFNs amerikanske søsterorganisasjon EFF.
Aktsomhetskrav ved kobling av utstyr til Internett
Internettsamfunnet fungerer ut fra en slags samlet forståelse av hva som
er akseptabel adferd på nettet. Det er vanlig at tilbydere av
Internett-tjenester har en oppsummering av dette i sine kontrakter med
brukere, der det blant annet sies eksplisitt at spamming og annen
plagsom eller skadelig adferd ikke tolereres.
EFN mener at det tilsvarende bør stilles aktsomhetskrav på linje med det
som gjelder for kobling av utstyr til strøm- og telenett til de som
kobler utstyr til Internett, med bøter som mulig sanksjonsmiddel. Dette
vil i første rekke gjelde professjonelle aktører som ISP-er og
bedrifters driftsavdelinger, men også krav overfor sluttbrukere bør
vurderes. Aktsom adferd ved tilkobling og bruk av utstyr tilkoblet
internett bør forstås å omfatte grunnleggende tiltak for å sikre seg mot
at utstyret blir brukt på slik måte at det medfører skade eller
vesentlig ulempe for andre.
Et slikt aktsomhetsregime bør uten tvil medføre at profesjonelle aktører
som ISP-er og bedrifters driftsavdelinger får plikt til å sikre seg mot
at deres epostservere brukes til masseutsendelse av spam. Det er viktig
å understreke at dette må være en del av generelle krav til aktsomhet
når det gjelder egen og andres sikkerhet. Se BestPrac.org[6 <#note6>]
for eksempel på slike kriterier.
EFN ser en vesentlig forskjell på anonymiseringstjenester for epost og
åpne epost-releer, og vil advare mot at disse kategoriseres sammen.
Anonymiseringstjenester bør etter EFNs syn være tilgjengelige uten at
brukerne av slike tjenester skal frykte for rettslig forfølgelse som
følge av bruken.
Internett og epost bør etter EFNs syn ikke begrenses til kontrollert og
kontrollerbar kommunikasjon etter forhåndsgodkjenning, men fortsatt være
en åpen teknologi med mulighet for førstegangskontakt og anonym
meldingsformidling.
Tiltak for å mimimalisere salgsrespons ved spamkampanjer
En annen angrepsvinkel tar utgangspunkt i at spam eksisterer fordi det
faktisk finnes noen som kjøper de produktene som markedsføres på denne
måten. I tillegg er en spamutsendelse ekstremt mye billigere per sendt
melding enn alle andre kjente masseutsendelser.
Derfor kan det være grunn til å tro at en heving av den initielle
terskelen ved førstegangs kjøp fra en ny leverandør kan være et mulig
virkemiddel. Dette kan for eksempel gjøres ved å kreve signatur første
gang man kjøper fra en bestemt selger på nett.
Svarandelen med kjøp som følge av spam-kampanjer ligger antakelig på
mindre enn tre per million utsendte meldinger. Dersom det ble innført et
ekstra godkjenningssteg for bestilling fra nye leverandører, kan det
være grunn til å tro at svarandelen for spam ville synke så lavt at
spamming ikke lenger ville være lønnsomt.
En slik ekstra godkjenning ville i tillegg kunne bidra til å forhindre
kortmisbruk, og gi kortselskapene mulighet til å varsle kortbrukerne ved
mistanke om svindelforsøk. Det er viktig å understreke at dette må
gjennomføres på en slik måte at forbrukernes rettigheter ikke blir
svekket. EFN vil oppfordre til at ulike alternativer blir utredet.
Illustrerende presseklipp om de økonomiske sidene ved spam finner vi
blant annet i Wired[7 <#note7>] og Dagbladet[8 <#note8>].
KILDER
[1] /The Open Relay Database/, http://www.ordb.org/, spesielt
http://www.ordb.org/faq/#what_is_ordb
[2] /The Mail Abuse Prevention System/, http://www.mail-abuse.org/,
særlig http://www.mail-abuse.org/rbl/candidacy.html#ByRelaying,
[3] /Markedsføringsloven, § 2b/,
http://www.lovdata.no/all/tl-19720616-047-001.html#2b
[4] http://www.euro.cauce.org/en/index.html
[5] /Antispam Bills: Worse Than Spam?/, Ryan Singel, Wired 31. juli 2003
http://www.wired.com/news/politics/0,1283,59840,00.html
om arbeidet med antispam-lover i USA se også http://www.cauce.org/,
http://law.spamcon.org/us-laws/index.shtml, og
http://www.spamlaws.com/federal/index.html.
En internasjonal oversikt finnes på http://www.spamlaws.com/.
[6] /Principles of Best Practice in Email Spam Prevention and
Eradication/, http://www.bestprac.org/principles.htm
[7] /Swollen Orders Show Spam's Allure/, Brian McWilliams, Wired 6.
august 2003,
http://www.wired.com/news/business/0,1367,59907,00.html
[8] /Spammerne forteller/, Even Teimansen, Dagbladet 14. mai 2003,
http://www.dagbladet.no/dinside/2003/05/14/368766.html
* Om EFN:* Elektronisk Forpost Norge er en elektronisk
rettighetsorganisasjon som jobber med medborgerskap og juridiske
rettigheter i nettsamfunnet, med fokus på forbrukerrettigheter,
personvern, og tekniske, politiske og kulturelle aspekter ved
datastøttet kommunikasjon såsom Internett. EFN arbeider for åpne og
demokratiske infrastrukturer for bruk og tilgjengelighet av informasjon
i datanett.
www.efn.no.
Dette dokumentets adresse:
http://www.efn.no/anti-spam.html
------------------------------------------------------------------------
*Sist oppdatert av Peter N. M. Hansteen
20. august 2003.*
Support the Blue Ribbon Campaign for Free Speech!
Best Viewed With Any Browser
Valid XHTML 1.0!
Frames Free! Ribbon Campaign
Created with GNU Emacs
www.linux.org - a GNU and
better computer for you