I början av förra sommaren kunde vi läsa om att polisens hemsida låg nere efter att ha utsatts för en Ddos-attack. Ddos är en akronym för Distributed Denial of Service, vilket innebär en form av blockering där flera parter (kanske tusentals) samtidigt attackerar offret (exempelvis en server).
Polisens hemsidan blev anropad en halv miljon gånger i sekunden. Servrarna klarade inte av trycket och medborgare kunde under en torsdagskväll inte nå polisen på nätet. Från den första juni blir Ddos-attacker och andra så kallade tillgänglighetsattacker straffbara i och med att 4 kap 9c § brottsbalken utvidgas.
– Grunden är ett EU-rambeslut om angrepp mot informationssystem, berättar Gunilla Berglund på justitiedepartementet. Beslutet ger en minimistandard för vad som ska vara straffbart på Internet, vad gäller intrång, systemstörningar och datastörningar.
Tillgänglighetsattacker går ut på att förövaren skapar så mycket trafik på mottagarens server att servern inte kan fylla den funktion den ska. Attacken kan gå till på en mängd olika sätt, exempelvis kan ett enkelt program anropa målet för attacken med stor frekvens, andra sätt är att uppmana många människor att till exempel mejla till en specifik adress. Den här sortens attacker är relativt vanliga och kommer nu att omfattas av dataintrångsbestämmelsen. Visserligen finns redan några straffstadganden i brottsbalken som beroende på omständigheterna i det enskilda fallet kan passa in på den här typen av verksamhet, exempelvis skadegörelse och sabotage. Gunilla Berglund förklarar dock att bestämmelserna inte fullt ut täcker det som krävs för att EUs rambeslut ska vara uppfyllt. – det är till exempel tveksamt i vilken utsträckning skadegörelse och sabotage är tillämpliga vid tillgänglighetsattacker där skadan endast är tillfällig.
– Skadegörelse förutsätter till exempel mer än bara tillfällig skada. Tillgänglighetsattacker pågår oftast en kortare period och det kan vara svårt att definiera skadan.
Ett problem är också att Internet är globalt. Förövaren kan sitta på andra sidan jordklotet och skicka en attack mot en server i Sverige. Detta ställer stora krav på lagstiftningens internationella räckvidd. I rambeslutet regleras lagstiftningens internationella räckvidd. Har flera medlemstater behörighet att döma för ett brott anvisar rambelutet till ett samrådsförfarande.
– Det beror mycket på hur det ser ut i det enskilda fallet om vi kan döma förövaren för dataintrång här i Sverige, säger Gunilla Berglund.
Så vad kommer att hända den första juli? Kommer en uppsjö av förövare att ställas inför rätta i och med den nya bestämmelsen?
– Det är svårt att säga, säger Gunilla Berglund. Vi uppfyller i alla fall EUs rambeslut om angrepp mot informationssystem. Hur många som lagförs blir en senare fråga.
Gunilla Berglund har varit med och utarbetat propositionen och lagrådsremissen till den nya lagparagrafen. Riksdagen beslutade i enlighet med propositionen.
Ellinor Nilsson
