Download Report

F-SECURE
INTEGRITETSRAPPORT
svenska internetanvändares
kunskaper om övervakning
och integritet
integriteten är under attack
• En undersökning av internetanvändares och konsumenters kunskap om övervakning och integritet.
1Sammanfattning
F-Secure presenterar i denna rapport en undersökning som visar att många människor både tror och oroas
över hur deras surfbeteende kartläggs. Även om diskussionen tidigare främst har handlat om statlig övervakning och mer än en tredjedel oroas av denna, så oroar den kommersiella övervakningen i långt större
utsträckning.
I undersökningen uppger var fjärde svarande att man gjort något på internet som skulle göra att man känner
obehag eller olust om det blev känt för andra. Bland ungdomar svarade varannan så.
Nästan tre av fyra tror att Facebook, Google, Twitter och Instagram har möjlighet att kartlägga surfbeteendet
också på andra sajter än deras egna. Totalt oroas sex av tio i större eller mindre utsträckning av detta.
Misstron mot annonsörer är än större. Tre av fyra oroas av kommersiell kartläggning. Lika många tror att det
faktiskt sker.
Trots känslan av att surfvanor kartläggs, så uppvisar många ett osäkert beteende på nätet. Mindre än hälften
loggar alltid eller ofta ut från sociala nätverk eller gmail sedan man använt tjänsten. Bara drygt var 20:e person
använder fria eller kommersiella tjänster på alla enheter för att blockera övervakningsförsök. Två tredjedelar
använder ingen sådan tjänst, varav flertalet inte visste att sådana tjänster fanns.
Människors oro blir som allra störst då annonsnätverk har möjlighet att koppla ihop vardagliga aktiviteter
utanför nätet med nätaktiviteter, t.ex. genom kundkort. Nästan varannan svarande känner stor oro om
butiker, biografer, restauranger etc där man har kundkort delar med sig om personinformation och köpbeteende till andra aktörer. Totalt känner mer än åtta av tio oro för detta. Lika många anser att den information
som butiker och andra lämnar om hur de använder personuppgifter är otillräcklig.
I den kartläggning rapporten gör av möjligheten att spåra användarbeteende på nätet, både i teorin och vad
som faktiskt görs, står det också klart att det finns fog för den oro många känner. Övervakningsmöjligheterna på nätet är nästan obegränsade och för många tekniker är det svårt att skydda sig, även om man försöker
göra medvetna val.
För att öka den personliga integriteten vill vi se ökad medvetenhet hos användarna, större ansvarstagande
från marknadens aktörer och bättre lagstiftning om hur användarspårning får ske och användas och vilken
information som måste lämnas.
© 2014 F-Secure Corporation All rights reserved
2
Innehållsförteckning
1Sammanfattning2
2Värdet av integritet4
3Privatiseringen av övervakningssamhället4
3.1
Används verkligen övervakningsteknikerna?5
3.2
Annonsnätverken kartlägger surfbeteende5
3.3
Kartläggning via sociala medier och sökmotorer6
3.4
Mobilkartläggning8
3.5
Enhetsoberoende annonsering8
3.6
Initiativ för att begränsa övervakningen respekteras inte
9
3.7
Är Evercookies industrins motdrag när cookien dör?
9
3.8
Fallet Verizon: Operatörsbaserad övervakning
10
3.9
Bortom cookies – du lämnar fingeravtryck överallt
11
3.10
Sakernas Internet – integritetens död?
12
4
Övervakningen har gått för långt i Sverige
13
4.1
Många har något att dölja. Och mest gäller det ungdomar.
13
4.2
Övervakning från sociala nätverk
14
4.2.1
Insikten ger upphov till oro
15
4.2.2
Men oron återspeglas inte i ett säkrare beteende på sociala nätverk
16
4.3
Övervakning från annonsörer17
4.3.1
Större oro för annonsörer än för sociala nätverk
17
4.3.1.1 Få försöker aktivt förhindra övervakning
19
4.3.2
Störst är oron när online och offline sammanfaller
4.4
Många kopplar upp sig utan att tänka på säkerheten
22
4.5
Statlig övervakning oroar var tredje
22
4.5.1
Men beteendeförändringen har varit större än oron indikerar
23
4.6
Analys
24
5
Hur kan skyddet för den personliga integriteten stärkas?
25
5.1
På individnivå behöver vi en säkerhetskultur
26
5.2
Marknadens aktörer måste ta större ansvar
27
5.3
Staten måste ta regleringsuppdraget på allvar
27
6
Konkreta tips för säkrare surfning
28
© 2014 F-Secure Corporation All rights reserved
.
20
3
2 Värdet av integritet
Integritet handlar om att själv få välja hur stor den privata sfären ska vara. Lika väl som dem som förordar mer
övervakning, både statlig och privat, säger att ”den som inte har något att dölja, har inget att vara rädd för”,
kan man säga att ”om jag inte har gjort något fel, varför ska du då övervaka mig?”
Kardinal Richelieu sägs en gång ha yttrat ”Om någon gav mig sex rader skrivna av den mest hedervärda man,
så skulle jag finna något i dem som kunde få honom hängd.” Det sammanfattar väl problemet med övervakning. Data kan missbrukas som helhet eller som utbrutna delar. Missförstånd eller avsiktliga feltolkningar kan
få de flesta människor att framstå som suspekta i olika sammanhang. Fullt mänskliga aktiviteter, som att gå på
toaletten eller ha sex, orsakar skamkänslor om de görs offentliga. Inte för att det är fel, utan därför att de är
privata.
Integritet är en grundläggande mänsklig rättighet, erkänt i FN:s deklaration om mänskliga rättigheter, FN:s
konvention om medborgerliga och politiska rättigheter, Europeiska konventionen om mänskliga rättigheter
och ett otal ytterligare internationella överenskommelser. Det är något som Sverige, liksom varje annat
civiliserat land, förbundit sig att respektera. Bevisbördan ligger inte hos den som värnar integriteten, utan hos
den, som till varje pris, söker efter ursäkter för att underminera den.
Det alltför vanliga argumentet om att vi måste offra vår integritet för ökad trygghet, mot terrorism, mot
fientliga makter, mot miljöförstöring, mot organiserad brottslighet eller något annat skäl, är inget annat än
ett svepskäl. Integritetsskyddet handlar inte om brottslingars rätt att slippa övervakning; det finns många
förbehåll i de nämnda dokumenten som ger stater rätt till långtgående ingripanden ifråga om personlig och
fysisk integritet för att stävja brott. Det handlar om vanliga medborgares rätt att slippa oproportionerligt
stora intrång i den personliga sfären.
Integritet handlar om medborgarens rätt gentemot makten. Ger vi upp den rätten, ger vi också upp idén om
att staten är till för medborgarnas skull, snarare än tvärtom. Det är ett ansvar som vilar på oss var och en, på
våra folkvalda, på företagen och på oss medborgare.
3 Privatiseringen av övervakningssamhället
Debatten om övervakningssamhället har främst handlat om staters övervakning av sina egna och andras
medborgare. Edward Snowdens avslöjanden om NSA:s ambitioner att övervaka hela Internet har gett en
skrämmande inblick i vad som är tekniskt möjligt och faktiskt görs, till synes ofta därför att möjligheten finns,
utan att myndigheter alltid vet vad de ska använda all data till.
Det är en nödvändig och viktig debatt. Frihet från övervakning och kränkningar av den personliga integriteten är en grundval i ett fritt och öppet samhälle.
Samtidigt är en viss övervakning för att upprätthålla lagar och efterforska brott nödvändig. Den statliga
övervakningen är inte heller det största hotet mot den personliga integriteten. I ärlighetens namn är de flesta
personer förhållandevis ointressanta för statliga övervakningstjänster, även om det finns problem förknippade med övervakning som sådan.
© 2014 F-Secure Corporation All rights reserved
4
Däremot är personuppgifter hårdvaluta för företag som tävlar om vår uppmärksamhet och våra pengar på
nätet genom annonsering och riktade erbjudanden. I många avseenden är det en övervakning, som i sin
tillämpning, går långt bortom vad de flesta av oss skulle acceptera i statlig regi.
Motivet för kartläggningen av användare brukar vara att användare vill ha tillgång till tjänster till låg eller ingen
kostnad och att man byter sina personuppgifter mot tillgång till tjänster man vill ha. I princip är det ett riktigt
argument. Problemet är att ytterst få användare är medvetna om vidden av denna kartläggning och vad
annonsörer och sociala nätverk faktiskt vet om sina användare.
Aningslöshet hos användare, bristande förståelse hos beslutsfattare och starka ekonomiska incitament för
marknadens aktörer har lett till en privatisering av övervakningssamhället.
3.1
Används verkligen övervakningsteknikerna?
När man beskriver den teknik som möjliggör övervakning av användare är ett vanligt motargument att tekniken ”inte används för att kartlägga individer” eller att ”individer är ointressanta för annonsörer”. Även om
man skulle godta dessa förklaringar, så är naturligtvis bara möjligheten i sig oroväckande, då annonsörer som
inte följer etiska riktlinjer eller organisationer som vill samla in data i andra syften än marknadsföring mycket
väl kan använda teknikerna för att identifiera användare och koppla samman dem med en fysisk person.
Det är lätt att inse lockelsen i att göra så, inte minst därför att den möjliggör ett personligt bemötande på en
helt annan nivå. Det är inte otänkbart att bilförsäljaren i framtiden, så snart han/hon får information om dig
som går att identifiera (som ditt körkort då du provkör en bil) kan få fram uppgifter om vilka andra bilmärken
du har sökt på nätet, vilka övriga intressen du har och på så sätt kan effektivisera sitt säljande.
Ett exempel på drivkraften finns i tidskriften Adweeks novembernummer 2014: ”Programmatic (automatiserade annonser, vår anmärkning) has expanded from mostly real-time exchanges to a private marketplace
model. Advances in data are enabling cross-device advertising, giving marketers the ability to target an individual on his or her smartphone, tablet or desktop.” Tydligare kan det inte sägas och om man förenar detta
med insikten att de sofistikerade spårningstekniker som vi beskriver nedan utvecklats av ett skäl, så är det uppenbart att spårning av användare på individnivå sannolikt sker i väsentligt större utveckling än marknadens
aktörer vill medge.
3.2Annonsnätverken kartlägger surfbeteende
För annonsörer är kunskap om vem som ser annonsen och hur de reagerar på den oerhört värdefull. Ju
bättre kunskap de har om målgruppen, desto bättre kan de rikta annonserna och i sin tur ta mer betalt av
annonsörerna. Nyckeln till denna ökade kunskap är användningen av s.k. tredjepartscookies.
© 2014 F-Secure Corporation All rights reserved
5
Enligt lag måste en sajt informera om att den använder cookies. Ofta görs detta via en banner då man kommer in på sidan, något som de flesta klickar bort utan att tänka vidare på det. Men i den policy som finns för
cookies anges ofta också att man genom att använda sajten godkänner inte bara deras egna cookies, utan
också dem från tredje part, i praktiken annonsnätverk eller sociala medier.
För att skydda användares integritet kan cookies, i princip, bara läsas av den sajt som lämnat den på användarens dator. Men i och med att annonsnätverkets cookie faktiskt sätts av annonsnätverket själv, så kommer
nätverket att kunna komma åt denna cookie på alla sajter där annonsen finns1.
När en sida hämtar en annons från ett annonsnätverk, så lämnar den också ifrån sig information om vilken
sida som annonsen visas på. Annonsnätverket kan med den informationen bygga ett mönster av hur användaren (eller snarare den specifika datorn) surfar på många olika sajter. I princip är denna information
anonym, vilket ofta framhålls då övervakningen från dessa nätverk försvaras. Men det räcker i princip med
att man vid något enstaka tillfälle exponerar en mailadress eller ett telefonnummer, t.ex. genom att fylla i ett
formulär, för att all denna data också ska gå att koppla till en fysisk person och öppna för nya möjligheter att
samköra nätverkets data med t.ex. fastighets- och fordonsregister, inkomstuppgifter från Skatteverket eller
betalningsanmärkningar från UC.
Vid besöket på Mediesajt 1 visas
en annons från ett annonsnätverk.
Denna visas genom ett anrop från
Mediesajt 1 (osynligt för användaren). Detta visar också vilken sida
som visas (via http_referrer).
Annonsnätverket skickar tillbaka
annonsen och sätter samtidigt en
cookie på användarens dator.
Annonsnätverk
Anrop: “visa annons”
innehåller http referrer som
talar om vilken sida som visas
Mediesajt 2
Mediesajt 1
Cookie
När användaren sedan går i på
Mediesajt 2 som är anslutet till
annonsnätverket, så skickar
Mediesajt 2 ett anrop för att visa
annonsen. Annonsnätverket sätter
då en cookie, men får samtidigt
information om att cookien redan
finns och kan då koppla ihop de
två besöken och surfhistoriken på
olika sajter.
Figur 1. Hur annonsnätverk kan spåra användare på flera sajter via tredjepartscookies
3.3Kartläggning via sociala medier och sökmotorer
De stora sociala nätverken har en guldgruva av information för att rikta annonsering specifikt mot användare.
I och med att man ansluter sig till Facebook eller Google accepterar man också användarvillkoren och deras
policies för dataanvändning. Några exempel från Facebooks villkor är:
-
Information man skriver in när man registrerar sig (namn, e-post, födelsedag och kön är
obligatoriska).
-
1
Innehållet i alla delningar, inklusive foton. Det gäller också andra aktiviteter, som att lägga till en vän eller gilla en sida.
http://www.pts.se/cookies
© 2014 F-Secure Corporation All rights reserved
6
-
Information som andra delar om användaren, t.ex. genom att tagga i ett foto eller en
statusuppdatering.
-
Platsdata från mobila enheter (behöver inte vara via gps, utan kan vara närmaste basstation i ett
mobilnät) och från uppladdade bilder.
-
Data från samarbetspartners eller annonsörer.
Insamlad data kan användas för Facebooks egna tjänster (föreslå sidor eller vänner), men också för att mäta
och utvärdera annonsering och att tillhandahålla information till annonsörer.
Framförallt i USA samkörs denna data med uppgifter från samarbetspartners, vilket kan användas för att
skapa en mycket precis bild av användaren. Bland dessa märks ett antal företag som kan beskrivas som
”datamäklare”, däribland Axciom och Datalogix, som samlar in information om människor via t.ex. kundkort,
maillistor, annonscookies och offentliga uppgifter. Detta kan sedan användas för att styra annonseringen på
Facebook2.
Kartläggningen av användare sker inte bara på de sociala sajternas egna sidor, utan också via alla sidor som
integrerar deras tjänster. Alla sidor som har en ”gilla”-knapp från Facebook, en sökruta eller en ”+1”-knapp
från Google är tillgängliga för nätverken om du är inloggad på tjänsten. Även om du är utloggad kan de ofta
kartlägga surfbeteende via tredjepartscookies.
Figur 2. Möjligheterna att styra annonsering i Facebook (USA)
2
http://lifehacker.com/5994380/how-facebook-uses-your-data-to-target-ads-even-offline
© 2014 F-Secure Corporation All rights reserved
7
3.4Mobilkartläggning
Mobiltelefoner, där en stor del av användningen och därmed trafiken sker i appar (86 % av användningen i
en smartphone sker i appar enligt analys- och annonsföretaget Flurry), är en utmaning för annonsnätverk. I
princip beter sig varje app som en unik enhet och annonsnätverken skulle därmed ha svårt att koppla samman användningen av olika appar.
I praktiken finns det dock goda möjligheter att gå runt denna begränsning. Särskilt i androidtelefoner
finns flera uppgifter som identifierar en specifik enhet. Några uppgifter som används är IMEI (International
Mobile Equipment Identity) som hårdvarumässigt identifierar en telefon som har simkort, Android_ID, som
skapas i alla androidenheter då de först startas, MAC-adress, som finns i alla enheter med wifi-kapacitet, och
adressträng för Bluetooth3. För annonsörer är de mer användbara än cookies, då telefonen lämnar ifrån sig
dem utan möjlighet till blockering och de dessutom, till skillnad från cookies, inte går att radera.
Apple har gjort några seriösa försök att begränsa annonseringsnätverkens möjligheter att kartlägga enheter.
Tidigare stöd för identifiering av enheter, UDID, drogs tillbaka av Apple, då det visade sig att den användes
för annonsering. Istället har man introducerat en särskilt identifierare för annonsörer, IFA eller IDFA), som ger
användaren möjlighet att radera och begränsa användningen. Trots Apples begränsningar, finns etablerade
tekniker för att koppla ihop olika appar för annonsörer, särskilt vid de tillfällen då en användare klickar på en
annons och därmed (oavsiktligt) delar med sig av information som gör att nätverket kan koppla ihop t.ex. en
app med en surfsession4.
3.5Enhetsoberoende annonsering
I och med att de flesta konsumenter idag finns på många olika plattformar (exempelvis laptop hemma,
stationär dator på jobbet, surfplatta och mobiltelefon) är det en utmaning för annonsörer eller andra som
övervakar internetanvändning att koppla samman användare mellan olika enheter. Förutsättningen för att
det ska vara svårt är givetvis att användaren inte själv delar med sig av unikt identifierbara information (namn,
telefonnummer, e-post eller annan unik data) som gör kopplingen lätt.
Samtidigt är det lätt att se hur attraktivt det vore för en annonsör att kunna koppla samman olika enheter för
att studera det samlade användningsmönstret eller för att t.ex. kunna se hur användningen ser ut vid olika
tidpunkter under dygnet eller för att rikta specifik annonsering beroende på om användaren finns på en
mobil eller stationär enhet. En tänkbar lösning är givetvis att använda sig av Googles eller Facebooks
annonseringslösningar, då dessa ofta används på alla användarens enheter. En annan är att genom statistiska
metoder jämföra användarmönster som man funnit på olika enheter och då få tillräcklig sannolikhet för att
kunna säga att det är en och samma användare (även om man sällan kopplar det till en fysisk person)5.
3
http://technet.weblineindia.com/mobile/getting-unique-device-id-of-an-android-smartphone/
4
5
http://www.truste.com/developer/?p=86
https://www.admonsters.com/blog/id-key-unlocking-mobile-tracking-cross-device-measurement-part-i
© 2014 F-Secure Corporation All rights reserved
8
3.6Initiativ för att begränsa övervakningen respekteras inte
Som en följd av kritik mot spårning av användare har det tagits flera initiativ. Ett exempel är EU:s cookie-lag,
som kräver att sajter informerar om att de använder cookies på ett sätt som kräver att användaren godkänner användningen. Normalt görs detta via en banner på sidan, med en länk till information om hur cookies
används och hur man gör för att blockera dem.
I praktiken är lagstiftningen dock verkningslös, då den förutsätter att användaren ger ett informerat
samtycke, vilket alltför ofta kräver att man läser en lång och svårbegriplig policy för cookies och hur data från
dessa används. Exempelvis krävs det att användaren inser betydelsen av att sajten tillåter samarbetsföretag
att sätta tredjepartscookies.
Ett annat initiativ är den föreslagna http-headern (information som webbläsaren eller en app sänder till en
server när man begär information, som en webbsida) ”do-not-track” (DNT), som ska tala om huruvida användaren accepterar cookies som spårar användarbeteende eller ej. Det är en frivillig del av http-standarden
och det finns inga sanktioner för att inte respektera den. Det finns dock ett visst tryck då amerikanska Federal Trade Commission (FTC), som har konsumentskydd som huvuduppgift, uppmanat företag att implementera ett sådant system. Det finns därmed ett latent hot om lagstiftning.
En studie utförd vid Stanford University visade 2011 att 33 av 64 medlemmar i Network Advertising Initiative
(NAI), ett samarbete mellan marknadsförings- och analysföretag i USA, fortsatte att lämna cookies för spårning även sedan NAI antagit en policy om att respektera DNT. Endast åtta medlemmar lämnade ett explicit
löfte att inte spåra användare. En orsak till detta är att policyn är svag i så måtto att den inte förbjuder spårning, bara att man sänder riktade annonser6.
3.7Är Evercookies industrins
motdrag när cookien dör?
Trots att cookies varit mest uppmärksammade i diskussionen om övervakning från annonsnätverk, så är det
inte den enda modellen. Affärsmodeller som Apples och Facebooks bygger inte främst på användning av
cookies, utan på att de delar med sig av egen data till annonsörer. Det innebär inte att de är oproblematiska
ur integritetssynpunkt, men väl att de inte är beroende av cookies.
De senaste åren har också allmänhetens uppmärksamhet på cookies ökat och lagstiftares intresse tilltagit.
Det har gått så långt som till att en del debattörer förutspått tredjepartscookiens död. Även om det inte är
omedelbart förestående, så innebär övergången till alltmer mobila enheter och nya användarbeteenden, där
man t.ex. regelbundet raderar cookies, att de om några år inte kommer att vara lika användbara7.
Dessvärre, ur användares synvinkel, så finns flera alternativ tillgängliga för den som vill spåra användarbeteende. Sedan många år finns en funktion i Adobes flashspelare, Local Shared Object, vardagligt kallade flash
cookies, som tillåter sajter att sätta information på användarens dator.
6
http://www.itworld.com/article/2739465/it-management/study--ad-networks-not-honoring-do-not-track-promises.html
7
http://www.businessinsider.com/death-of-cookies-2013-4?op=1
© 2014 F-Secure Corporation All rights reserved
9
Enligt Wired 2009 använde mer än hälften av de 100 största sajterna i USA flash cookies. I de flesta webbläsare rensas inte dessa då användaren raderar cookies och många sajter använder dem för att återställa
vanliga cookies efter att de raderats av användaren. Flash cookies är dock bara ett av många alternativ som
företag har för att lagra beständiga uppgifter på användarens
dator8.
Andra möjligheter är att lagra
beständig information i en bild
som är osynlig för användaren,
men som ligger kvar i webbläsarens cacheminne och kan läsas
av på flera sajter. Man kan lagra
information i olika HTML5-objekt på nyare webbläsare
eller i identifieringssträngar i
http-protokollet.
Figur 3. Evercookie lämnar identifierare med ett tiotal olika tekniker
Evercookie är ett program i javascript som förenar ett tiotal av dessa tekniker för att placera unikt identifierbar information på användarens
dator. Det innebär också att uppgifterna blir svåra, eller nästintill omöjliga, att radera, då ett lämnat spår kan
användas för att återställa de övriga spåren9.
3.8Fallet Verizon:
Operatörsbaserad övervakning
Nyligen avslöjades i media att den amerikanska operatören Verizon möjliggjort för annonsörer som deltar
i företagets annonseringssamarbete att spåra alla företagets mobilkunder genom att förändra den header
som skickas varje gång mobiltelefonens webbläsare (och många andra appar) begär information från nätet.
Genom att lägga till en egen header, som är kopplad till abonnemanget hos Verizon och därmed inte förändras, har man i praktiken skapat vad som beskrivs som en ”supercookie” som inte går att radera 10.
Tekniskt sett är det inte alls en cookie, då inget lagras på enheten, utan en förändring just av http-headern.
Men effekten är densamma, med den viktiga skillnaden att abonnenten inte har någon möjlighet att radera
eller stänga av denna unika identifiering. Den enda möjligheten att skydda sig mot detta är att använda sig av
säker http-anslutning (https), vilket inte alla sajter stödjer, eller att använda sig av en tjänst som anonymiserar
IP-adressen (som TOR eller en kommersiell vpn-tjänst).
Motsvarande teknik finns hos konkurrenten AT&T, men förefaller ännu inte har rullats ut i stor skala. Användningen av dessa ”supercookies” har fått hård kritik och det har ifrågasatts om det överhuvudtaget är lagligt
att använda dem, då användaren inte kan blockera dem.
8
http://www.wired.com/2009/08/you-deleted-your-cookies-think-again/
9
https://en.wikipedia.org/wiki/Evercookie
http://www.extremetech.com/extreme/193625-verizons-latest-privacy-wrecking-ploy-an-unblockable-supercookie-that-lets-anyone-trackyou-on-the-internet
10
© 2014 F-Secure Corporation All rights reserved
10
3.9Bortom cookies – du lämnar fingeravtryck överallt
Även om de flesta användare fortfarande accepterar cookies och är förhållandevis omedvetna om andra
spårningstekniker, som Flash cookies, så har medvetenheten ökat och allt fler raderar regelbundet cookies i
sin dator. Det är sannolikt också endast en tidsfråga innan olika verktyg för att gömma spår på en dator, som
Ad Block (som blockerar annonser och därmed spårningskod), utvecklas för att upptäcka också evercookies
eller andra former av spårningskod. Att använda webbläsaren i anonymt läge är också en förhållandevis väl
fungerande metod att begränsa spårning (även om man inte, vilket många tycks tro, är anonym i förhållande
till t.ex. arbetsgivare eller internetleverantör).
Då det ligger oerhört
stora värden i att
kunna spåra användare
och rikta annonser så
precist som möjligt är
det ingen överraskning att det utvecklats
teknik för spårning
som är oberoende av
möjligheten att lämna
spårningsdata på datorn. Nyckeln till detta
ligger i att webbläsare
lämnar ifrån sig mycket
information, som exakt versionsnummer,
datorns operativsystem, skärmupplösning,
installerade typsnitt,
version av Adobe Flash och mycket mer. Sammantaget kan dessa användas för att skapa ett ”fingeravtryck”
av den webbläsare man använder 11.
Enligt Electronic Frontier Foundations forskningsprojekt Panopticlick 12, som låter användaren testa om den
läsare man använder har ett unikt fingeravtryck, så lämnar 84 % av alla webbläsare unikt identifierbar information (94 % för läsare som stödjer Flash eller Java).
För användare är det svårt, för att inte säga i praktiken omöjligt, att skydda sig mot denna form av kartläggning av webbläsare. Även om det finns motdrag, som att dölja vissa http-headers eller att installera tillägg
som skickar falsk information, så finns det goda möjligheter för den som verkligen vill identifiera en läsare att
genomskåda dessa tekniker.
11
http://spectrum.ieee.org/computing/software/browser-fingerprinting-and-the-onlinetracking-arms-race
12
https://panopticlick.eff.org/
© 2014 F-Secure Corporation All rights reserved
11
3.10
Sakernas Internet – integritetens död?
”Sakernas internet”, fenomenet att allt fler apparater självständigt är uppkopplade och kommunicerar via
internet, betraktas av många som nästa internetrevolution. Det kan handla om klockor som övervakar vårt
hälsotillstånd och våra sömnvanor och i sin tur kommunicerar med badrumsvågen för att ge en mer heltäckande bild. Eller om Google Glasses, som använder sig av platsinformation (och delar med sig av denna) för
att själv kommunicera med webbplatser och presentera information för användaren. Det kan vara smarta
tvättmaskiner, som startar då elpriset är lågt, och mycket mer.
Samtidigt som sakernas internet har en revolutionerande potential, kan de också sudda ut gränserna mellan den fysiska och den digitala världen, också ifråga om övervakning. Tillverkare av larm-, temperatur- och
övervakningssystem har appar som också genererar data som kan användas. Apple har ingått partnerskap
med exempelvis Honeywell, som bland mycket annat tillverkar termostater, inom ramen för sin standard för
automatisering av hemmet HomeKit13.
Egentligen sätter bara fantasin gränserna för vad som kan automatiseras och samordnas, redan med dagens
teknik. Men frågetecknen kring integritet är långtifrån utredda och lagstiftningen har inte på långa vägar
förutsett en utveckling där våra hem, bilar och personliga prylar genererar otroliga mängder personlig data
som kan användas för att i detalj kartlägga våra liv.
13
http://appleinsider.com/articles/14/06/11/apple-homekit-partner-honeywell-takes-on-googles-nest-with-lyric-smart-thermostat
© 2014 F-Secure Corporation All rights reserved
12
4 Övervakningen har gått för långt i Sverige
Novus har, på uppdrag av F-Secure, gjort en undersökning av människors kunskap om och attityd till olika
former av övervakning. Genom en webbenkät genomfördes undersökningen i ett riksrepresentativt urval av
män och kvinnor 18-79 år från Novus slumpmässigt rekryterade Sverigepanel. Undersökningen omfattar 1013
intervjuer med en deltagarfrekvens på 60 % och genomfördes under peridoen 16/10-21/10 2014.
4.1Många har något att dölja. Och mest gäller det ungdomar.
24%
0%
10%
73%
20%
30%
40%
50%
60%
2%
70%
80%
90%
Ja
Nej
100%
Figur 4. Har du någon gång gjort något på internet som skulle göra att du kände olust eller obehag om det blev känt för andra? Bas: samtliga
(1013)
Totalt uppger var fjärde deltagare i undersökningen att de har gjort något på internet som skulle göra att de
kände olust eller obehag om det blev känt för andra. Bland de yngsta svarande var andelen signifikant högre
och varannan i åldern 18-29 år svarade ”ja” på frågan. Även andelen som inte ville svara, 5 %, var väsentligt
högre än i övriga grupper.
Var fjärde tillfrågad (24 %) säger att de någon gång har gjort något på internet som skulle göra att de kände
olust eller obehag om det blev känt för andra. Även en signifikant högre andel män (32 %) svarade jakande.
Resultatet pekar i samma riktning som flera
omdebatterade fenomen på senare år, som alla
handlar om att ungdomar använder nät och
mobila enheter på ett annat sätt än de som var
unga för bara 10-15 år sedan, där det digitala
rummet är en förlängning av det fysiska och
där man också gör högst privata saker på nätet.
Ett exempel är fenomenet ”sexting”, att skicka
sexuellt innehåll i text eller bild via mobilen.
60%
Vill ej svara
50%
Ja
40%
30%
20%
10%
0%
18-29 år 30-49 år
Alla
50-64 år 65-79 år
Figur 5. Andel per åldersgrupp som svarat “ja” eller ”vill ej svara” på frågan om man
gjort något på internet som skulle vara obehagligt om det blev känt för andra
© 2014 F-Secure Corporation All rights reserved
13
Svaren på frågan visar att integritet har väldigt lite att göra med ”rent mjöl i påsen”, som ibland används som
argument för att tillåta övervakning. För stora grupper av befolkningen är internet en del av den privata
sfären, där man själv vill ha kontroll över vilken information som andra får tillgång till.
4.2Övervakning från sociala nätverk
71%
0%
10%
20%
30%
5%
40%
50%
60%
70%
25%
80%
90%
100%
Ja
Nej
Vet ej
Figur 6. Tror du att Facebook, Google, Twitter och Instagram har möjlighet att kartlägga ditt surfbeteende på andra webbplatser än deras egna?
Bas: samtliga (1013)
Drygt sju av tio (71 %) uppger att de tror att sociala tjänster, som Facebook, Google, Twitter och Instagram
har möjlighet att kartlägga surfbeteendet också på andra sajter. Bland svarande upp till 49 år uppger åtta av
tio (78 %) att de tror så. Bland dem i åldern 50-79 är andelen jakande svar något lägre (61 %).
Det är dock ytterligt få (5 %) som tror att dessa tjänster inte har möjlighet att övervaka surfbeteendet, oavsett ålder. Skillnaden mellan de yngre och äldre åldersgrupperna är istället andelen som uppger ”vet ej” (17
respektive 34 procent).
100%
90%
17%
34%
80%
70%
60%
50%
40%
78%
61%
Vill ej svara
30%
Ja
20%
Vet ej
10%
0%
5%
5%
18-49 år
50 - 79 år
Figur 7 Svar på frågan “tror du att Facebook, Google, Twitter och Instagram har
möjlighet att kartlägga ditt surfbeteende även på andra webbplatser än deras egna?”
© 2014 F-Secure Corporation All rights reserved
14
4.2.1 Insikten ger upphov till oro
18%
0%
10%
45%
20%
30%
40%
31%
50%
60%
70%
80%
7%
90%
100%
Ja, stor oro
Ja, liten oro
Nej, ingen oro
Vet ej
Figur 8. Oro för att Facebook, Google, Twitter och Instagram har möjlighet att koppla samman surfbeteende på andra webbplatser än deras egna 14
Andel som känner oro
Ser man till de svarande totalt, är det inte uppseendeväckande skillnader mellan olika åldersgrupper. Den
äldsta gruppen (65-79 år) avviker genom en lägre total andel som känner oro (58 %). En intressant iakttagelse
är dock att i den yngsta gruppen är det en större andel som uppger att de känner ”stor oro” (20 % bland dem
65
64
63
62
61
60
59
58
57
56
55
54
64
62
58
Nej / Vet ej
Ja
Alla
Svar på frågan om man tror att sociala
nätverk har möjlighet att kartlägga surfbeteende
Figur 9. Andel som uppger att de känner oro (liten/stor) fördelat på grupper beroende på hur de svarat på frågan ovan om de tror sociala nätverk
kan övervaka. Bas: 1013 (alla), 715 (ja), 298 (nej/vet ej)
som tror att övervakningen är möjlig) jämfört med övriga svarande (14 %). Det förstärker bilden i den inledande frågan om man har gjort saker på internet som skulle kunna orsaka obehag om de blev kända, och
indikerar även att obehaget inte bara har att göra med huruvida dessa aktiviteter blev allmänt kända, utan
också är något som man inte nödvändigtvis vill delge annonsörer via sociala nätverk.
Drygt sex av tio svarande (62 %) uppger att de känner oro om sociala nätverk har möjlighet att övervaka
deras beteende på andra webbplatser än deras egna.
Svaren mellan dem som tror/respektive inte tror att detta sker skiljer sig åt något. 64 % av dem som tror att
det sker känner oro, jämfört med 58 % av dem som inte vet om eller inte tror att det sker.
Figuren återger de sammanlagda svaren på två frågor, något olika ställda beroende på svaret på fråga n om man tror att de har den möjligheten.
Frågorna lyder ”Skulle du känna oro om Facebook, Google, Twitter och Intagram hade möjlighet att koppla samman ditt surfbeteende på andra
webbplatser än deras egna?” respektive ”Känner du oro för att Facebook, Google, Twitter och Instagram har möjlighet att koppla samman ditt
surfbeteende på andra webbplatser än deras egna?”. Bas: samtliga (1013)
14
© 2014 F-Secure Corporation All rights reserved
15
Ser man till de svarande totalt, är det inte uppseendeväckande skillnader mellan olika åldersgrupper. Den äldsta
gruppen (65-79 år) avviker genom en lägre total andel som känner oro (58 %). En intressant iakttagelse är dock
att i den yngsta gruppen är det en större andel som uppger att de känner ”stor oro” (20 % bland dem som tror
att övervakningen är möjlig) jämfört med övriga svarande (14 %). Det förstärker bilden i den inledande frågan
om man har gjort saker på internet som skulle kunna orsaka obehag om de blev kända, och indikerar även att
obehaget inte bara har att göra med huruvida dessa aktiviteter blev allmänt kända, utan också är något som
man inte nödvändigtvis vill delge annonsörer via sociala nätverk.
4.2.2 men oron återspeglas inte i ett säkrare beteende på sociala nätverk
29%
0%
15%
10%
20%
Ja, alltid
Ja, ofta
30%
32%
40%
50%
Nej, oftast inte
60%
Nej, aldrig
10%
70%
80%
13% 1%
90%
100%
Använder ingen dylik tjänst
Vet ej
Figur 10. När du har använt tjänster som Facebook, Gmail, Instagram och Twitter på en dator, surfplatta eller mobiltelefon, brukar du logga ut från
dem när du är färdig med ditt besök? Bas: samtliga (1013)
Även om skyddet inte är fullständigt vid
en utloggning, då många nätverk även
använder sig av tredjepartscookies ( i
Facebooks och Googles fall exempelvis
via ”gilla-” eller ”+1-knappar”), så minskar
åtminstone möjligheten till spårning. Då
många användare dessutom inte är medvetna om att spårningen sker även då man
är utloggad, borde det finnas anledning
att anta att användare som är oroliga för
övervakning i större utsträckning skulle
logga ut efter varje session.
100%
90%
80%
70%
23%
53%
49%
41%
Vill ej svara
69%
Ja
60%
50%
40%
77%
Undersökningen visar dock att oron inte
59%
30% 51%
återspeglas i ett medvetet säkrare be47%
teende. Totalt loggar varannan användare 20%
31%
ut efter att ha använt tjänster som Face10%
book, Google, Twitter och Instagram.
Skillnaderna mellan olika åldersgrupper
0%
är dock stor och bland de yngsta, de som
Alla
18-29 är 30-49 är 50-64 är 65-79 är
faktiskt visar större oro och som dessutom
Figur 11. Andel som loggar ut efter att ha använt tjänster som Facebook, Google,
har en större andel som gjort saker på internet Twitter och Instagram (bas: användare av tjänsten som svarat ja eller nej)
som man inte vill ska bli kända, så är andelen
som loggar ut bara en knapp tredjedel.
© 2014 F-Secure Corporation All rights reserved
16
4.3Övervakning från annonsörer
75%
0%
10%
20%
30%
40%
6%
50%
60%
70%
80%
19%
90%
100%
Ja
Nej
Vet ej
Figur 12. Tror du att det finns annonsörer på nätet som har möjlighet att koppla samman ditt surfbeteende med dina personuppgifter?
Bas: Samtliga (1013)
Vetskapen om att annonsnätverk kan övervaka surfbeteende och även har möjlighet att koppla samman
surfbeteende med personuppgifter är likartad den för sociala nätverk. Totalt uppger tre av fyra att de tror
att detta kan ske, medan andelen som inte tror det endast uppgår till 6 %. En intressant iakttagelse är att det
är fler (75 %) som svarar ja på frågan om annonsörer har denna möjlighet än vad som svarar ja på frågan om
sociala nätverk kan göra det (71 %), trots att det i praktiken är väsentligt lättare för de sociala nätverken att
koppla surfbeteende till personuppgifter.
Även om man ska vara försiktig med att tolka svar ligger det nära till hands att anta att resultaten återspeglar
en större misstro mot annonsörer och deras intentioner än mot de sociala nätverken.
Till skillnad från övertygelsen om att de sociala nätverken övervakar surfbeteende, så är andelen (12 %) bland
de yngre användarna, 18-29 år, som inte tror att övervakning sker betydligt större än för resterande grupp (4
%) bland de svarande då det kommer till annonsering. Om det återspeglar en större acceptans för målgruppsanpassade annonser eller något annat går inte att utläsa ur undersökningen. Tidskriften AdWeek hade i
oktober 2014 en intressant artikel just kring frågan hur annonsörer och varumärken når ut till denna grupp
(Generation Y eller ”millennials”), som antyder just att för mottagaren relevant och underhållande annonsering kan fungera15.
4.3.1 större oro för annonsörer än för sociala nätverk
30%
0%
10%
Ja
47%
20%
30%
Ja, liten oro
40%
50%
17%
60%
70%
80%
7%
90%
100%
Nej, ingen oro
Figur 13. Oro för att annonsörer har möjlighet att koppla samman ditt surfbeteende med personuppgifter16
http://www.adweek.com/news/advertising-branding/attention-brands-how-you-get-millennials-you-160575
15
Figuren anger de sammanlagda svaren på två frågor, något olika formulerade, beroende på vad respondenten svarat på frågan om man tror att
annonsörer har den möjligheten. Frågorna lyder ”Skulle dku känna oro om du visste att det finns annonsörer på nätet som hade möjlighet att
koppla samman ditt surfbeteende med dina personuppgifter?” respektive ”Känner du oro för att det finns annonsörer på nätet som i vissa fall kan
ha möjlighet att koppla samman ditt surfbeteende med dina personuppgifter?” Bas: samtliga (1013)
16
© 2014 F-Secure Corporation All rights reserved
17
Tre av fyra (77 %) känner oro för annonsörers möjlighet att koppla samman surfbeteende med personuppgifter. Det är något fler än vad som uttrycker oro för sociala mediers och andra tjänsteleverantörers
möjligheter att övervaka surfbeteendet.
En markant skillnad är dock att andelen som uttrycker ”stor oro” respektive ”ingen oro” skiljer sig rejält och
att balansen mellan dem som känner stor oro och ingen oro därför blir mycket större.
Om man jämför dem som känner stor oro med dem som inte känner oro, så visar det sig att förtroendet för
annonsörer på nätet är väsentligt lägre än för de sociala nätverken.
Överlag är det fler som inte känner oro än vad som känner stor oro för övervakning i sociala medier. Det
innebär inte att människor inte är oroliga (som visats ovan, så finns en stor grupp som känner ”viss oro”). För
annonsörer är situationen dock den omvända. Väsentligt fler personer känner ”stor oro” än ”ingen oro”.
40%
30%
20%
31
10%
er
0%
-10%
17
la
ia
Soc
-20%
-30%
di
e
m
18
rer
ö
s
on
n
An
-30
Stor oro
Ingen oro
Balans
-40%
Figur 14. Balansmått (skillnaden mellan stor oro och ingen oro) för samtliga svarande avseende sociala mediers och annonsörers möjligheter att
övervaka surfbeteende. Positivt är större förtroende. (Bas 1013, sammanlagda svar på två frågor i båda fallen)
© 2014 F-Secure Corporation All rights reserved
18
4.3.1.1 Få försöker aktivt förhindra övervakning
6%
0%
10%
10%
42%
2%
20%
30%
40%
24%
50%
60%
70%
15%
80%
90%
100%
Ja, på alla mina enheter
Ja, men bara på min dator
Ja, men bara på mina mobila enheter
Nej, visste inte att sådana tjänster fanns
Nej, anser inte att en sådan tjänst behövs
Vet ej
Figur 15. Använder du någon form av kommersiell eller fri tjänst för att blockera övervakningsförsök på internet? Bas: samtliga (1013)
Totalt var femte tillfrågad (18 %) uppger att de använder en kommersiell eller fri tjänst för att blockera övervakningsförsök. Av dessa är det drygt hälften (10 % av de tillfrågade) som bara använder det på en stationär
dator. Just denna fråga finns dock anledning att vara försiktig i tolkningen, då den grupp som uppger sig
använda sådana verktyg i störst utsträckning är den äldsta gruppen, 65-79 år. Givet frågans art kan man misstänka att ett antal respondenter förväxlat övervakningsskydd med virusskydd.
Intressant är också att en tredjedel (35 %) av den yngsta gruppen 18-29 år, uppger att de inte använder sådana
skydd, därför att de inte anser att de behövs, vilket kan jämföras med alla respondenters andel på 24 %.
Frågan om tjänster för att blockera övervakningsförsök är en av få frågor med tydliga skillnader i svar beroende på kön. Användningen av sådana tjänster på alla enheter är tre gånger större hos män (10 %) än hos
kvinnor (3 %). Totalt användningen skiljer sig mer än två gånger, där drygt var fjärde man (27 %), men endast
var tionde kvinna (10 %) nyttjar sådana tjänster.
Uppdelningen på kön blottar också en kunskapslucka, där mer än hälften (52 %) av de svarande kvinnorna
uppger sig inte känna till sådana tjänster, jämfört med en tredjedel (33 %) av svarande män. Samtidigt är det
en väsentligt lägre andel (17 %) kvinnor än män (30 %) som inte tycker att en sådan tjänst behövs.
© 2014 F-Secure Corporation All rights reserved
19
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
69%
62%
52%
33%
10%
3%
30%
27%
20%
17%
15%
6%
11%
11%
2% 1%
Ja, på alla Ja, men
mina
bara på
enheter min dator
Ja, men
bara på
mina
mobila
enheter
Nej, visste Nej, anset
inte att
inte att en
sådana
sådan
tjänster
tjänst
fanns
behövs
Vet ej
Ja
Nej
Kvinnor
Män
Figur 16. Användning av tjänster för att blockera övervakningsförsök på internet, uppdelat på kön
4.3.2 Störst är oron när online och offline sammanfaller
46%
0%
10%
Ja, stor oro
20%
37%
30%
Ja, liten oro
40%
50%
60%
Nej, ingen oro
14%
70%
80%
90%
4%
100%
Vet ej
Figur 17. Skulle du känna oro om de butiker, biografer, restauranger el dyl där du har kundkort delade med sig av din personinformation och ditt
köpbeteende till utomstående aktörer? Bas: samtliga (1013)
Jämfört med oron för såväl sociala nätverks som annonsörers spårning är oron för att fysiska verksamheter
läcker kunddata väsentligt högre. Närmare hälften av respondenterna (46 %) uppger att de känner stor oro
inför detta. Jämför man balansmåtten (differensen mellan ”ingen oro” och ”stor oro”), blir skillnaden markant.
Användningen av kundkortsdata visar också tydligare skillnader mellan könen än synen på spårning av
beteende på internet. Totalt uppger nästan nio av tio kvinnor (86 %) att de skulle känna oro om så var fallet.
Endast var tionde (11 %) uppger att de inte känner någon oro.
Att det finns fog för oron framgår av många villkor för kundkort/lojalitetsklubbar och liknande. Personuppgiftslagen förbjuder spridning av sådana uppgifter, med mindre än att kunden har samtyckt, men att
© 2014 F-Secure Corporation All rights reserved
20
underteckna en ansökan om kundkort är synonymt med samtycke, oavsett om man verkligen läst hela
användaravtalet eller ej. Några exempel från svenska företags användaravtal:
- ”Kontohavaren lämnar även sitt samtycke till att uppgifterna får lämnas ut till samarbetsparter”
(livsmedelskedja)
- ”Inom ramen för våra marknadsföringsåtgärder kan vi lämna dig information om egna, koncernens (koncernen med moderbolaget) samt särskilt utvalda samarbetspartners varor och tjänster, vilket också
kan innebära att dina personuppgifter kan användas/behandlas för att utgöra underlag för marknadsoch kundanalyser, affärsuppföljning samt affärs- och metodutveckling.” (mekaniker/reservdelar)
- ”[Vi] kan genom samkörning med andra personregister komma att uppdatera personuppgifter och
tillföra personuppgifter för utveckling och upprätthållande av en effektiv och god kund- och registervård.” (livsmedelskedja)
- Kunden samtycker även till att [vi] inhämtar personuppgifter från annan än Kunden och samkör dessa
uppgifter med [våra] egna uppgifter och därefter delar resultatet av sådan samkörning med part från
vilken informationen som samkördes inhämtades. (statligt företag)
- Personuppgifterna kan – om kunden inte begärt direktreklamspärr – komma att användas av [oss]
och [oss] närstående företag, anslutna ombud, samarbetsparters samt andra seriösa företag inom ramen för gällande lagstiftning för att rikta direktreklam och erbjudanden av olika slag till kunden via brev,
telefon, e-post, sms, etc (bank som hanterar kundkort)
I allmänhet göms dessa regler om datadelande i långa användarvillkor, ofta 4-6 tätskrivna sidor långa. Det är
inte förbluffande att åtta av tio av de tillfrågade i undersökningen menar att företag inte informerar tillräckligt
om hur de samlar in och använder kunddata.
14%
6%
Ja
Nej
Vet ej
80%
Figur 18. Anser du att företag generellt informerar tillräckligt tydligt om hur de övervakar dina vanor för att dela med sig av ditt köpbeteende? Bas:
samtliga (1013)
© 2014 F-Secure Corporation All rights reserved
21
4.4
6%
0%
Många kopplar upp sig utan att tänka på säkerheten
8%
14%
10%
20%
41%
30%
40%
50%
30%
60%
70%
80%
1%
90%
100%
Ja, flera gånger varje vecka
Ja, någon gång i vecka
Ja, någon gång varje månad
Ja, mer sällan
Nej
Vet ej
Figur 19. Brukar du koppla upp dig mot öppna trådlösa nätverk (s.k. gratis wifi) för att komma åt internet med din dator, surfplatta eller
mobiltelefon, när du är på hotell, restaurang, café eller dylikt? Bas: samtliga (1013)
Trots att bara var tionde använder tjänster för att blockera övervakning på alla enheter och att mindre än var
tredje har skydd på någon enhet, så exponerar användare sig för dataintrång och övervakning genom att
använda oskyddade fria wifi-uppkopplingar.
Användningen av fri wifi följer det förväntade mönstret i olika åldrar, där var fjärde (25 %) i den yngsta
gruppen kopplar upp sig via detta minst en gång i veckan, medan detsamma bara gäller en av tjugo (5 %) i
den äldsta gruppen, 65-79 år.
Opinionsundersökningen bekräftar i stora delar den undersökning som F-Secure nyligen lät göra i Storbritannien, där man testade benägenheten att koppla upp sig och skicka känslig data över fria wifi-nätverk. I det
aktuella försöket hade man ”förgiftat” uppkopplingen, så att det var möjligt att i realtid övervaka användningen. På 30 minuter anslöts 250 enheter till nätverket, de flesta troligen automatiskt utan att användaren var
medveten om det. 33 personer sände aktivt internettrafik genom webbsökningar och genom att sända data
och mail.
Undersökningen visade också att människor inte läser användarvillkor, då ett absurt krav om att ”ge upp sitt
förstfödda barn” ingick i de villkor som många godkände utan vidare eftertanke17.
4.5
Statlig övervakning oroar var tredje
30%
0%
10%
20%
64%
30%
40%
50%
60%
7%
70%
80%
90%
100%
Ja
Nej
Vet ej
Figur 20. Känner du oro över statlig övervakning av dina aktiviteter på internet? Bas: samtliga (1013)
https://www.f-secure.com/documents/996334/1036149/Konsumenter+g%C3%B6r+vad+som+helst+f%C3%B6r+ett+gratis+wifi+2014-09-30.pdf/
d638b88e-e197-4ef6-82ec-41829ea2acf8
17
© 2014 F-Secure Corporation All rights reserved
22
Trots att den offentliga debatten främst har handlat om statlig övervakning och de avslöjanden om internationellt underrättelsesamarbete som gjorts av Edward Snowden, så är oron för statlig övervakning väsentligt
lägre än för privat övervakning. Att så många som en tredjedel (30 %) känner oro är naturligtvis en siffra som
bör tas på allvar, men det är också en indikation på att integritetsfrågor måste breddas från den statliga till
den privata sfären.
I och med att den offentliga debatten varit intensiv, så syns också vissa skillnader i svaren beroende på politisk
sympati. I undersökningen är de högre resultaten för oro över statlig övervakning från Vänsterpartiets och
Sverigedemokraternas väljare signifikanta.
60%
40%
20%
26%
27%
23%
32%
28%
43%
32%
41%
M
FP
C
KD
S
V
MP
SD
0%
-20%
-40%
-69% -73%
-72%
-58% -64% -54% -63%
-55%
-60%
Ja
Nej
-80%
Figur 21. Oro över statlig övervakning, fördelad efter partisympati
4.5.1 Men beteendeförändringen
har varit större än oron indikerar
7%
0%
29%
10%
20%
60%
30%
40%
50%
60%
70%
7%
80%
90%
100%
Ja absolut
Nej, något
Nej
Figur 22. Har rapporteringen i media om statlig övervakning lett till att du är mer försiktig i hur du agerar på nätet? Bas: samtliga (1013)
Även om oron över statlig övervakning är begränsad, så har det upplevda hotet om övervakning påverkat
beteendet. En något förbluffande upptäckt är att fler har förändrat sitt beteende än vad som uppger att de är
oroliga över statlig övervakning. Flertalet uppger dock att de förändrat sitt beteende ”något”. Resultatet är i
enlighet med en tysk studie från 2008, som visade en betydande påverkan på beteendet18.
- Tre fjärdedelar (73 %) kände till datalagring
- 11 % uppgav att de redan hade avstått från att använda telefon, mobiltelefon eller mail vid något tillfälle
- Drygt hälften (52 %) sade att de troligen inte skulle använda telekommunikation för kontakter som
drogrådgivning, äktenskapsrådgivning eller psykoterapi på grund av datalagring
18
http://www.vorratsdatenspeicherung.de/images/forsa_2008-06-03.pdf
© 2014 F-Secure Corporation All rights reserved
23
Att mer än en tredjedel av de svarande (36 %) uppger ett förändrat beteende är oroväckande, då det
indikerar att övervakning faktiskt har en återhållande effekt på människors beteende. Det kan naturligtvis
handla om det offentliga samtalet, men också, som i den tyska studien, om att man avstår från att använda
nätet för att förmedla personlig information. Det är, kortfattat, ett intrång i integriteten som också begränsar
människor i deras vardag.
4.6Analys
Även om resultaten i många avseenden var väntade, så är de likväl oroande. Det finns en betydande medvetenhet om att vår kommunikation på internet kan övervakas av sociala nätverk, annonsörer och av staten.
Trots detta avstår många från att försöka skydda sig, antingen därför att man inte menar att det behövs eller
för att man inte känner till möjligheterna. En ytterligare närbesläktad möjlighet är naturligtvis att tröskeln för
att skapa ett adekvat skydd upplevs som alltför hög, det vill säga att arbetsinsatsen inte motsvaras av nytta i
tillräcklig utsträckning.
Framförallt bland de yngsta svarande, men också i de något äldre grupperna, finns en större acceptans för
den privata övervakningen. Vi kan här se en effekt av en generation som växt upp i en digitaliserad värld,
där informationsdelning och vardaglig övervakning inte setts som något lika konstigt. I delningsekonomin
accepterar många också att man betalar med sina egna personuppgifter för att varor och tjänster ska vara
billiga eller gratis.
Det finns dock en betydande skillnad mellan sociala nätverk och annonsörer, där acceptansen för de förra
är mycket större. I alla åldersgrupper, skillnaderna till trots, måste attityden till annonsörer beskrivas som ett
djupt misstroende.
Detta misstroende och oron över övervakning blir än större då det blir möjligt att förena spårning på nätet
med uppgifter från den fysiska verkligheten. Övervakningen kryper då närmare och upplevs som oroande
av mer än åtta av tio svarande. Det är värt att påminna sig att detta ligger närmare tillhands än vad man kan
tro. Kodorden ”spårning över flera enheter (cross-device)” förutsätter just det identifieringsmoment som
branschen ogärna talar om. Den oro många känner över detta är alltså mer än befogad.
100%
100%
90%
90%
80%
80%
70%
70%
60%
60%
50%
40%
30%
20%
10%
0%
50%
40%
30%
20%
10%
0%
Nej
Ja
37%
27%
Ja
Nej
Tror du att Facebook, Google, Twitter och Instagram har möjlighet
att kartlägga ditt surfbeteende på andra webbplatser än deras egna?
Figur 23. Svar på frågan om man gjort något som skulle orsaka olust eller
obehag om det blev känt för andra
© 2014 F-Secure Corporation All rights reserved
18%
30%
10%
48%
50%
42%
Ja stor oro
Nej, ingen oro
Använder
ingen sådan
tjänst
Nej
Ja
Känner/skulle känna stor oro om Facebook, Google, Twitter och
Instagram har/hade möjlighet att följa surfbeteendet på andra
platser än deras egna.
Figur 24. Andel som brukar logga ut efter att ha använt Facebook,
Google Twitter, Instagram eller liknande tjänster.
24
Det är också uppenbart att sociala nätverks och, i än högre grad, annonsörers spårning av användarbeteende
upplevs som långt mer hotande än statlig övervakning. Det förändrade beteende som kan ses som en följd
av rapportering om statlig övervakning går också att notera ifråga om t.ex. sociala nätverk och annonser. Ett
exempel är att andelen som inte använder Facebook eller andra liknande tjänster är i det närmaste dubbelt så
hög bland dem som känner stor oro som bland dem som inte känner någon oro.
Samma tendens är tydlig om man studerar svaren på frågan om man gjort något som skulle orsaka olust eller
obehag om det blev känt för andra. Bland dem som tror att sociala nätverk kan spåra beteendet svarar drygt
var fjärde ”ja” på frågan. Bland dem som inte tror att denna möjlighet finns är andelen ”ja” nästan fyra av tio.
Denna tydliga påverkan på beteendet är dock väsentligt mindre om man studerar hur användare skyddar sin
information. I huvudsak är skillnaden mellan dem som inte känner oro och dem som känner stor oro över
övervakning liten. En väsentlig skillnad är dock andelen som inte anser att tjänster som blockerar övervakningsförsök behövs, där var tredje som inte känner oro menar att så är fallet.
Diskrepansen mellan kunskap och beteende talar starkt för såväl ökade informationsinsatser som översyn av
lagstiftningen för att skärpa den personliga integriteten.
50%
40%
30%
43%
20%
10%
0%
33%
38%
16%
10% 8%
Ja, på alla
mina
enheter
Nej, visste
inte att
sådana
tjänster
fanns
Känner stor
oro över
övervakningsmöjligheter
Känner ingen
oro över
övervakningsmöjligheter
Nej, anser
inte att en
sådan
tjänst
behövs
Figur 25. Svar på frågan om man använder någon kommersiell eller fri tjänst för att blockera övervakningsförsök
5 Hur kan skyddet för den personliga integriteten stärkas?
Ett stärkt skydd för den personliga integriteten kräver åtgärder på flera plan. Idag tenderar det ansvaret att
helt och hållet läggas på individen. Den som vill skydda sin kommunikation mot statlig övervakning tvingas
själv lära sig hur kryptering fungerar. Den som vill begränsa annonsörers kartläggning kan inte på ett enkelt
sätt tacka nej till detta, utan måste ofta installera flera olika programvaror som skyddar mot olika spårningstekniker. Som framgår av rapporten räcker ofta inte ens detta. Det finns goda möjligheter för annonsörer
och sociala nätverk att kringgå de skyddsåtgärder som användaren kan ta till.
© 2014 F-Secure Corporation All rights reserved
25
Det krävs därför ett större ansvarstagande från
marknadens aktörer, både i form av återhållsamhet i
försöken att spåra användare och i den information
man lämnar till användare.
En förutsättning för den vilda västern-situation som
idag råder i Sverige och många andra länder är dock
bristfällig lagstiftning. Trots många vackra ord om
integritet, så lämnar lagstiftningen i stort sett fritt
spelrum för kommersiell och statlig övervakning.
Figur 26. Storebror ser dig... / Foto: Candida.Performa / CC-BY-2.0
5.1 På individnivå behöver vi en säkerhetskultur
Det viktigaste skyddet för den personliga integriteten handlar om vårt eget beteende. Oavsett hur lagstiftning utformas och hur företag lovar att skydda personlig information, så är internet ett öppet nätverk och
det kommer alltid att finnas risk att information läcker ut och kan spåras av obehöriga.
Grunden för ett säkrare beteende är vad man kan
kalla en säkerhetskultur, där vi är medvetna om
möjligheten till övervakning och att information
kan missbrukas. De flesta av oss är det då vi använder kreditkort på nätet och medvetenheten
har ökat om att vi måste vara vaksamma när vi får
mail där avsändaren efterfrågar kontoinformation
under förespegling att det är från banken.
Som medlem i vår kundklubb får du bland annat
personliga erbjudanden, poäng på alla dina inköp,
särskilda medlemspriser och exklusiva erbjudanden från
våra partners.
Genom ditt medlemskap samtycker du också till att
vi kartlägger köpmönster, samkör med andra register
och även säljer den information vi har om dig till andra
företag.
På samma sätt förhåller det sig med annan inforJag vill bli medlem
mation. Lägger vi upp privata uppgifter på Facebook eller skickar dem via Gmail, så finns innehållet tillgängligt för företagen och kan användas för Figur 27. En hypotetisk varningstext om spårning för den som ansöker om
att kartlägga oss som individer. I många fall är vi kundkort.
beredda till det och vi är beredda att acceptera att
informationen används för att vi ska kunna utnyttja tjänsterna. I andra sammanhang är vi kanske inte det, och
bör då avstå från att lägga upp informationen.
Att öka medvetenheten skulle kunna misstas för att odla rädsla för nätet, men det handlar inte om rädsla,
utan om att tillämpa det slags sunda förnuft vi använder till vardags utanför nätaktiviteterna, då vi naturligt är
medvetna om hur vi exponerar personliga uppgifter för andra.
Tillsammans med en ökad kunskap om hur man skyddar information, genom t.ex. krypterings- och anonymiseringstjänster, är det ett stort steg mot ett säkrare internet med färre kränkningar av den personliga
integriteten.
© 2014 F-Secure Corporation All rights reserved
26
5.2 Marknadens aktörer måste ta större ansvar
Trots att frågan om personlig integritet återkommer
med jämna mellanrum och marknadens aktörer då
gör nya utfästelser om hur integriteten ska värnas, så
går utvecklingen av teknik för att kartlägga och identifiera individer i ett rasande tempo. Löften om att
skydda användaruppgifter urholkas av obegripliga
användaravtal, som ytterst i många fall inte skyddar
integriteten alls, utan kunden luras att frånsäga sig all
rätt till sina egna personliga uppgifter.
I finansbranschen finns en regel som säger att upplysningar om risken med investeringar måste finnas i
omedelbar anslutning till marknadsföringen och ha en minst lika framträdande position som uppgifterna om
de möjliga vinsterna i en investering. Det är värt att tänka tanken att företag med kundkort, sociala nätverk
och alla andra aktörer som tillhandahåller internettjänster med personuppgifter skulle åläggas att presentera
information om spårning på det sättet.
Även om det inte är en realistisk tanke, så finns det ett uppenbart behov i branschen av att utveckla
uppförandekoder, såväl kring vilken information som man spårar som hur denna information får användas
för att koppla samman spårningsdata med en individ. En sådan kod måste också inkludera krav på tydligare
information än i dag till kunderna och ge information om hur man kan välja bort eller blockera spårning.
5.3
Staten måste ta regleringsuppdraget på allvar
Digitaliseringen har på några få år revolutionerat sättet vi använder nätet på. Det innebär också att
lagstiftningen är hopplöst på efterkälken, då man överhuvudtaget inte förutspådde vare sig explosionen av
sociala nätverk eller av de spårningsmöjligheter som privata företag har. Det kanske är i sin ordning att man
inte förstod för tio år sedan. Vad som är värre är att det idag verkar saknas en vilja att åtgärda de gapande
hålen i integritetsskyddet.
Ett exempel är personuppgiftslagen, som i princip lämnar frikort för kommersiell användning av personuppgifter. Då lagen antogs 1998 var detta förvisso kontroversiellt, men ingen kunde då se hur tekniken skulle
utvecklas och möjliggöra totalövervakning från kommersiella aktörer.
Ett ytterligare exempel är informationsplikten om cookies. Å ena sidan är den märkligt sträng, då ”oskyldiga”
cookies som används för att bevara data under en och samma session jämställs med tredjepartscookies i
syfte att kartlägga användares beteende på flera sajter.
Å andra sidan finns inget krav på att, annat än i allmänna termer, beskriva vad dessa cookies gör. Det finns
inte heller någon tydlig och teknikoberoende reglering av andra tekniker för att identifiera enskilda datorer,
webbläsare och, ibland, personer.
© 2014 F-Secure Corporation All rights reserved
27
Även om enskilda måste ta större ansvar för sitt nätbeteende och man kan begära mer från marknadens aktörer, så ligger ansvaret för den i stort sett helt oreglerade situationen på lagstiftaren, som inte har följt med i
den tekniska utvecklingen.
Det är hög tid för riksdag och regering att ta snabba initiativ för att värna den personliga integriteten
genom en tydligare och mindre teknikberoende agstiftning om hur personuppgifter får användas, vilken
information sajter och annonsörer måste lämna om hur personuppgifter används och om skyldigheten att
lämna ut uppgifter och på begäran av användaren radera dem. I stor utsträckning förutsätter detta naturligtvis internationella beslut, men mycket kan också åstadkommas nationellt, inte minst som en modell för
europeisk lagstiftning. Utgångspunkten måste vara att användare har rätt att ge ett informerat samtycke, om
än implicit, till all användning av personliga uppgifter som framkommit genom spårning av nätbeteendet.
6 Konkreta tips för säkrare surfning
Fullständig anonymitet på nätet är sannolikt nästan omöjligt att uppnå idag. Med våra tips nedan kan du
komma långt för att förhindra spårning, men det är också viktigt att använda sunt förnuft när du lämnar ifrån
dig information.
1. Sökmotorn har både koll på nätet och dig
Inte ens din familj eller dina bästa vänner vet lika mycket om dig som sökmotorerna. När du inte vet svaret
på något så använder du säkert ofta Google, eller någon annan av de stora sökmotorerna för att leta upp
ett svar. Alla dessa sökningar sparas och är du dessutom inloggad på sökmotorn så kopplas sökningarna
direkt till de personuppgifter du angett i din profil. Sökningar och historiken används dessutom för att visa
annonser. Vill du minska din synlighet i sökmotorerna är ett första steg att aldrig vara inloggad när du gör en
sökning.
Det finns idag också flera sökmotorer där du kan söka utan att göra avkall på din integritet som Startpage.
com eller DuckDuckGo.com.
2. Sociala medier
Sociala medier är en fantastisk kanal för att hålla kontakt med kompisar, diskutera de senaste händelserna
eller dela bilder. Det är också oftast tjänster som är gratis att använda, men du betalar med din integritet. Det
enklaste sättet att minska nätverkens tillgång till dina surfvanor är att logga ut från nätverket när du är klar,
annars kommer de att fortsätta följa dig på alla sajter där det finns knappar för att dela innehåll. Det är också
viktigt att tänka på till vem du delar din information. Sedan har du naturligtvis ett eget ansvar i vad du delar.
Tänk på att en rolig festbild som läggs upp för dina vänner snabbt kan spridas vidare och sedan dyka upp
många år senare när en potentiell arbetsgivare googlar på ditt namn.
Kolla dina integritetsinställningar på Facebook. https://apps.facebook.com/safeprofilebeta/
3. Logga ut - men fortsätt att surfa
Det finns flera internationella internetjättar som Microsoft, Google, Apple och Facebook. De vill alla att vi är
inloggad på så många av deras tjänster som möjligt, för då kan de både samla mer information om dig, även
på andra sajter än deras egna, bara det finns en ”gilla” eller ”+1”-knapp. Sedan kan de koppla den informationen till de personuppgifter de redan har. Så fort du är inloggad delar du med dig av ytterligare information.
Då vet dom exakt vem du är och behöver inte gissa.
© 2014 F-Secure Corporation All rights reserved
28
Hur många tjänster är du inloggad på nu? Passa på att logga ut innan du surfar vidare.
4. IP-adressen - ditt digitala personnummer
När du surfar på internet kopplas din dator, eller telefon till ett ip-nummer. Det är nödvändigt för att de sajter
du besöker ska veta vart de ska skicka information. Men adressen används också för att koppla dig och din
dator eller telefon till det du gör på internet. Den avslöjar vilken internetleverantör du har och går också att
koppla till den plats du befinner dig på. Många sajter sparar din adress så de vet hur ofta du besöker dem,
hur länge du är där och vad du läser. IP-numret avslöjar också vilket land du surfar från och gör det därför till
exempel möjligt för tjänster att stoppa användare. Det finns inget sätt att göra IP-adressen osynlig, eftersom
den är nödvändig, men det finns idag flera tjänster som kan dig en anonym ip-adress genom så kallad VPN.
Här är några tjänster som är gratis att testa: Tor, Ultrasurf, Freedome.
5. Så spåras du på nätet
Den information du lämnar ifrån dig på en webbplats sparas i så kallade cookies. Det är små filer med, oftast
kryptisk, text, som länkar din dator till information hos den server du besöker. Du måste enligt lag godkänna
detta första gången du kommer in på en sajt du inte besökt tidigare. Cookies är nödvändiga i många fall, t.ex.
för att hålla reda på din varukorg om du handlar, för att veta vilket språk du föredrar eller om du är inloggad. Men med cookies kan sajten och dess samarbetspartners få tillgång till vad du besöker på sajten, hur
länge du stannar och vad du klickar på. De gör att sajter kan anpassa både reklam och innehåll till nästa gång
du besöker. Många sajter låter dessutom samarbetspartners som annonsnätverk sätta cookies, så kallade
tredjepartscookies, på din dator. Om du går in på en stor sajt med annonser kan du räkna med att de sätter
mellan 20 och 50 cookies. Detta går lätt att stoppa genom att ändra inställningarna i din webbläsare.
Gå in i inställningsmenyn för din browser och testa att stänga av tredjepartscookies.
6. Uppdatera dina program
Det kommer hela tiden nya versioner av dina appar och program. Den vanligaste anledningen till en mindre
uppdatering är att utvecklaren har hittat en bugg eller en säkerhetslucka i programmet. Genom att uppdatera minskar du därför möjligheten att någon obehörig kan få tillgång till dina filer. Enklast är att använda
ett programs inbyggda uppdateringsfunktion. De viktigaste programmen och plug-insen att uppdatera är
operativsystemet, webbläsaren, Flash, Java och Acrobat Reader.
Kolla om alla dina program du använder just nu är uppdaterade.
7. Byt lösenord
Lösenordet är nyckeln in till din dator och de tjänster och program du använder. Idag använder vi ett stort
antal tjänster och appar och det är därför bekvämt att använda samma lösenord till alla. Men det gör också
att en utomstående kan komma åt väldigt mycket känslig information om din dator, telefon eller surfplatta
skulle hamna i orätta händer. Känns det övermäktigt att byta lösenord på alla tjänster? Börja med dina kritiska
tjänster som e-post, e-handelsplatser och prenumerationstjänster där du kopplat ditt kreditkort och sociala
medier som till exempel Facebook, Twitter och Instagram. Välj unika och starka lösenord för dessa konton.
© 2014 F-Secure Corporation All rights reserved
29
Med unika menas att varje tjänst har ett eget lösenord och ett starkt lösenord består av en kombination av
stora och små bokstäver, siffror och symboler – ju längre desto bättre.
Ett trick att komma ihåg sitt långa lösenord med stora och små bokstäver, siffror och specialtecken är att
jobba med meningar. Tiil exempel: ”Jag har 3 barn och är född 1970 i Uppsala ” Jh3boäf1970!U (vänd upp och
ner på i:et så det blir ett utropstecken).
Är det svårt att hålla reda på många lösenord, så kan en tjänst för att förvara lösenord på nätet vara värt att
pröva. Dessa lagrar inte lösenorden så att andra kan komma åt dem, utan de måste varje gång låsas upp med
ditt unika lösenord till tjänsten. Några exempel på lösenordstjänster är 1Password, Last Pass och F-Secure Key.
Börja med att byta lösenord på ditt e-postkonto om du inte gjort det på länge.
8. Se upp när du använder gratis wifi
Gratis wifi är oerhört smidigt när man är på resande fot. Men det är ett utmärkt verktyg att använda för en
person som vill tanka av dig personliga uppgifter. Vi på F-Secure gjorde nyligen ett experiment i London där
vi satte upp ett wifi-nät som vi kunde avlyssna. Det visade sig att det var enkelt att plocka upp både lösenord
och läsa e-post. Vi testade också att skriva ett bisarrt användaravtal där man fick lova att ge bort sitt förstfödda barn mot gratis wifi, något som många faktiskt accepterade. Slutsatsen av vårt experiment är att använd
bara gratis wifi om du till exempel ska läsa tidningen eller spela spel. Ska du läsa mejl, eller logga in på din
internetbank – se till att din trafik är krypterad.
Här finns några tjänster som är gratis att testa: Ultrasurf, Freedome.
9. Ha koll på vilka appar du laddar ner
Runt 90 procent av all användning av en smartphone sker i appar. Det spelar ingen roll om du vill kolla
nyheter, mäta dina framgångar i löparspåret, lyssna på musik eller spela spel. Det finns appar för alla olika
intressen, men även apparna samlar information om dig som användare. De drar nytta av telefonens funktioner som kamera, gps, kalender etc. Hur de sedan använder dina uppgifter regleras i användaravtalet som
de flesta användare inte ens ögnar igenom.
Behöver alla appar veta var du befinner dig? Stäng av platstjänster så ökar du din integritet och sparar dessutom batteritid. Har du en telefon eller surfplatta som använder Android? Ladda ner appen App Permissions
och få en enkel överblick över vilka appar som kan hota din integritet.
© 2014 F-Secure Corporation All rights reserved
30