Lita inte mer på datalistor än på manuellt framtagna och skrivna dokument – förvånande många litar nämligen automatiskt mer på datalistor än på annat material. Utdata från datarutiner används inte sällan som om de vore tillförlitliga utan att man först förvissat sig om att rutinerna har en tillfredsställande kontrollnivå. Detta konstaterar Lars Lundberg som studerat vad den svenska fack- och dagspressen rapporterat beträffande datamisstag och databrott alltsedan hösten 1976.
I en inledande artikel benämnd ”databrott kan förebyggas” (Balans nr 1/83) behandlade jag mer allmänt frågan om databrott och gav några synpunkter på bl a företagsledningens, de anställdas, dataleverantörernas och revisorernas ansvar och uppgifter i sammanhanget. I denna artikel redovisar jag några erfarenheter från studiet av artikelsamlingen, Rikspolisstyrelsens databrottskartläggning och internationella databrottsexempel.
Genialitet är att ensam upptäcka det som alla kan se
Tikkanen
Pressen saknar exempel på ”smarta” databrott
Under perioden hösten -76 till våren -83 har betydligt över tusen artiklar om behandlat databrott eller datamisstag förekommit i svensk fack- och dagspress. Flertalet är debattartiklar, men materialet innefattar även något över 200 fall av inträffade databrott eller datamisstag. Av de 200 fallen kan endast en mindre del karaktäriseras som databrott. De flesta rapporterade brotten och misstagen var dessutom tekniskt ganska enkla och metodmässigt förhållandevis ointressanta.
På grund av materialets natur måste statistiska bearbetningar från artikelsamlingen användas med stor försiktighet. Visserligen har journalisternas rapportering i de ca 40 fall vi kontrollerat med berörda företag visat sig tillförlitlig, men artikelsamlingen innefattar endast fall som journalisterna dels fått kännedom om och dels ansett intressanta att publicera.
Ett statistiskt samband torde dock kunna föras fram som representativt, nämligen att minst två av tre rapporterade brott beror på dålig kontroll. Med utgångspunkt från pressens rapportering är misstag, bristande kontroller och tillfälligheter förklaringarna bakom det som kallas databrottslighet. Svensk press saknar exemplen på de tekniskt geniala brottslingarna som plockar miljoner ur systemen – och som ofta beskrivs i debattartiklarna.
Ett typfall på rapporterat ”databrott” är pensionären som får en miljon insatt på sitt postgirokonto. Han frestas, börjar använda pengarna – och blir brottsling. Andra typfall bland de 200 fallen är medvetet eller omedvetet oriktigt ifyllda indatablanketter och på olika sätt felaktiga rättningar. Materialet domineras av fel i samband med systeminförande. Många av fallen hade bort undvikas genom bättre systemutveckling, t ex effektivare uttestning före införandet. I flera fall skulle denna extra insats ha varit en god investering.
Databrott polisanmäls sällan
I sin undersökning frågade Rikspolisstyrelsens arbetsgrupp (se föregående artikel) samtliga 118 polisdistrikt om kända databrott under åren 1977–1982. Endast 19 distrikt rapporterade något fall av databrott. Totalt erhölls information om 33 fall.
Följande typexempel belyser de rapporterade 33 fallen.
1. Användning av dataregister utan tillstånd.
2. Förstörelse av utrustning.
3. Stöld av utrustning.
4. Oauktoriserad tillgång till universitetsdatacentral genom manipulation av tillträdeskontroll (password).
5. Luftgubbar i socialförsäkringssystem.
6. Försäljning av en speciell datautrustning som möjliggjorde erhållande av gratis gas från datoriserade gasstationer.
7. Fristående (remote) dataterminal användes för att beordra felaktig överföring av 300.000:- kronor.
8. Stöld av databas och försäljning av information till konkurrenter.
9. Oauktoriserad användning av ”passerkort”.
10. Inlägg av falsk indata i datorstött auktionssystem i syfte att öka auktionistens provision.
11. Stöld av kunddata på magnetband för användning i annat företags verksamhet.
12. Manipulerad ifyllning av indatablankett för att påverka turordningen vid tilldelning av lägenheter.
13. Stöld av information.
Det finns inga vattentäta system men ........
I debatten om databrott påpekas ibland att man inte kan uppnå 100 %-ig kontroll eller försvar mot datorstödda brott. En potentiell brottsling med tillräckliga resurser och kunskaper är det omöjligt att skydda sig mot.
Detta är visserligen sant, men förhållandet är egentligen inte så intressant i sammanhanget. Med stor sannolikhet är det mycket få brott eller misstag som är av den karaktären att det hade behövts en 100 %-ig kontroll för att förhindra eller upptäcka dem. I varje fall ger såväl pressens som polisens bevakning samt allmän erfarenhet stöd för att flertalet databrott har skett i miljöer där den interna kontrollen inte varit godtagbar. Slutsatsen blir att en god intern kontroll i datasystemen är den väsentliga åtgärden för att minska problemet med databrott.
Felaktiga datalistor tvingade företag permittera
Ett företag som installerade ett nytt datasystem för order, lager och fakturering fick felaktiga uppgifter om order- och lagerutveckling. Den felaktiga informationen användes som beslutsunderlag för nyanställningar. Felaktigheterna upptäcktes först vid årsskiftet i samband med den fysiska inventeringen av varulagret. Upptäckten kom som en kalldusch och medförde att företaget tvingades permittera personal. Om felet upptäckts tidigare hade permitteringarna kunnat undvikas enligt företaget.
Systemets utdatalistor visade vid upptäckten av felet en 10 mkr för stor orderstock.
De felaktiga uppgifterna berodde rent tekniskt på att samma order i vissa fall registrerades dubbelt eller tredubbelt i det nya systemet.
Fallet är ett drastiskt exempel på brister i införanderutinerna.
Konkurs efter 13 års fiffel
Datorstödd saltning av uppgivna lagervärden under 13 års tid bidrog till ett företags konkurs.
Bolaget genomförde regelbundna fysiska inventeringar av lagren. Inventeringsresultaten summerades på en datalista med uppgift om antal, à-priser och lagerplatser, men utan summerade beloppsuppgifter. Beloppsberäkningen utfördes i en andra datakörning, som således enbart multiplicerade antal med à-priser och summerade det totala lagervärdet. Den andra listan (med beloppsberäkningarna) innehöll ett större antal artiklar och enheter än den första (med volymuppgifterna). Den andra listan hölls ”hemlig” inom en liten grupp, medan den första utnyttjades i olika sammanhang. Skillnaden mellan listorna ökade för varje år. Vid upptäckten var antalet artiklar i lagervärdet ungefär dubbelt så stort som det verkliga antalet.
Exemplet indikerar visserligen ett olämpligt kontrollsystem, men framförallt är fallet ett exempel på att revisorerna okritiskt litade på en datalista utan att kontrollera eller stämma av mot underlag.
En amerikansk klassiker
Ett ofta refererat fall av mer avancerat databrott i USA är exemplet med mannen som i en soptunna hittade en förmögenhet – i form av hemliga kodord han behövde för att via en telefonansluten terminal gratis skaffa teleutrustning från ett stort telefonbolag. Mannen byggde upp ett eget försäljningsföretag med gratis anskaffade varor (teleutrustning).
Även i s k helintegrerade order, lager och faktureringssystemen behöver man självfallet stämma av att samtliga beordrade utleveranser blir fakturerade. Dessutom är effektiva attestrutiner beträffande ändringar av fasta data ytterst väsentliga. Att denna avstämning, effektivt utförd, innebär utnyttjande av för ändamålet maskinellt beräknade kontrolltotaler i de löpande bearbetningarna och kräver en relativt grundlig kontrollanalys är en annan sak. Min bedömning är att detta databrott kunde ha förhindrats eller upptäckts på ett tidigt stadium om man haft en rekommendabel kontrollnivå i datarutinerna hos det stora telefonbolaget (bättre ordning på soporna inte att förglömma).
Situationen förbättras
Min personliga uppfattning och erfarenhet är att datoriseringen i sig inte behöver försvåra situationen jämfört med den manuella tiden. Jag anser att datoriseringen ökar kontrollmöjligheterna i systemen i minst samma grad som riskerna för misstag och brott ökar. För närvarande utnyttjas dock inte kontrollmöjligheterna tillräckligt.
Sårbarhetsberedningen (SÅRB) presenterade nyligen ett paket för sårbarhetsanalys av datoriserade informationssystem (SBA). (Se artikel på sidan 12.) Betydande resurser har satsats på framtagning av såväl paketet som introduktionsmaterial etc. Projektet kan förväntas höja den allmänna kontrollnivån i datasystemen och förtjänar uppbackning ute i företagen av företagsledning, anställda och revisorer.
Den tekniska utvecklingen ger möjligheter till effektivare indatakontroll. Felfrekvenserna i inmatningen av uppgifter till datasystemen kan säkerligen minskas. Exempelvis kan kanske talomvandlare kopplas till inmatningsprogrammen, varigenom datorn i tal upprepar allt som registreras.
En förbättrad intern kontroll ger dessutom en bättre arbetsmiljö som biprodukt. Den som dagligen sitter och via en terminal hanterar överföringar av miljontals kronor utan att någon annan person är inblandad måste till sist känna sig pressad. Situationen kan dessutom tänkas locka till frestelser. Visserligen är de flesta personer – vid 99,9 % av alla tillfällen – i en sådan position att de inte låter sig frestas. Jag menar att det handlar om olämpliga eller lämpliga rutiner istället för om ohederliga eller hederliga människor. Det är varje anställds rättighet att jobba med rutiner som ger en lugn och trygg arbetsmiljö och inte frestar till oegentligheter. En sådan arbetsmiljö är säkerligen också på sikt en förutsättning för väl fungerande datarutiner.
Det behövs ingen moral för att vara hederlig, men däremot ett gott förstånd.
J. L. Saxon, Umgängeskonst 1911
Lars Lundberg är medlem i FARs databehandlingskommitté