Skal forskere som avdekker sårbarheter i samfunnet holde tett om det, og bare varsle myndighetene, så kunnskapen ikke blir misbrukt? Eller har publikum krav på å vite om farene?
Dilemmaet er aktualisert av opplevelsen stipendiat André N. Klingsheim og professor Kjell Jørgen Hole hadde i sommer: De skisserte grovt hvordan eksisterende tjenester kunne utnyttes til ID-tyveri, i en vitenskapelig artikkel.
En datakyndig tenåring ble kjent med metoden i en avisartikkel, laget et program etter oppskriften, og la det ut på nettet. Siden ble programmet lastet ned - og 50.000-60.000 nordmenn fikk stjålet identiteten sin. Burde Klingsheim og Hole heller holdt tett?
Hvor lang tidsfrist?
- Det er klart dette er et dilemma, det er det alltid når du utforsker sårbare sider ved samfunnet. Men vi tror ikke det er noen vei utenom å offentliggjøre det, sier Hole. Han mener det er tre ulike valg forskere i hans situasjon står overfor:
1. Holde tett, og varsle myndighetene 2. Varsle myndighetene, og gi en frist før du publiserer resultatene 3. Publisere med en gang, og stå frem i media
- Vi har valgt alternativet i mellom ytterpunktene. Da blir spørsmålet mest hvor lang tid du skal gi partene å rydde opp, sier han.
Orienterte om feilene i januar
Han forteller at Klingsheim og han orienterte både Datatilsynet og Kredittilsynet i januar i år. Noen av de berørte selskapene ble senere kontaktet direkte. Og mens enkelte av dem responderte raskt, var andre mer avslappet i sin reaksjon. Men da «Lars» på 16 la ut programmet sitt, og det ble misbrukt, kom selskapene raskt på pletten og ryddet opp.
"Kjell Jørgen Hole(Foto: Lars Holger Ursin)"
- Men da kan utspillet deres også sees på som en «hevn» fra dere, for at de ikke tok dere på alvor?
- Det hadde ikke vært i vår interesse. Vi er like sårbare som resten av publikum for slik virksomhet. Poenget er at vi ikke har noen tro på at vi er de første som har tenkt på dette. Risikoen for misbruk går opp når vi påpeker svakhetene, men samtidig blir de raskere rettet opp igjen da. Vårt utspill var derfor et forsøk på å hindre at det ble misbrukt, forklarer Hole.
- Uetisk å ikke varsle
Han får støtte fra professor Dag E. Helland. Han er leder for Den nasjonale forskningsetiske komité for naturvitenskap og teknologi, og mener det ville vært uetisk av Hole å ikke gå ut med funnene sine.
- Tvert om virker det mest korrekt å gjøre nettopp slik Hole har gjort: Han finner svakheter i sikkerhetssystemene, og varsler så de ansvarlige om disse. Men han må også ha lov til å publisere resultatene sine, sier Helland. Han mener det at kunnskap kan misbrukes, ikke er noen grunn til å holde den hemmelig, men tvert om en grunn til å advare mot den. For om du sitter inne med kunnskap, og andre gjør samme oppdagelse og misbruker den, kunne du ha avverget det om du ikke hadde vært passiv:
- På nettet finnes alt fra oppskrifter på atombomber, til hvordan du dyrker giardia-parasitter. Det vi må beskytte publikum mot, er ikke oppskriftene - men mulighetene kriminelle har til å misbruke dem. Det Hole har oppdaget, kan andre oppdage - da er det hans moralske plikt å varsle om det, hevder Helland.
