Hackere og hacking

I takt med at teknologi og kommunikasjon i stadig større grad flettes sammen, åpnes det samtidig for nye sårbarheter og fremgangsmåter for å angripe kritiske IT-systemer. Dette har også betydning for hvordan hacking foregår, og ikke minst hvem som hacker. På norsk introduserte Språkrådet for flere år siden alternativet datasnok om den som hacker. Dette norske alternativet spiller særlig på at hackeren snuser rundt i andres saker uten tillatelse.

Dagens hackere er imidlertid en langt mer mangfoldig gruppe, og drives av mer enn bare ren nysgjerrighet og et behov for å teste grenser. Hackere operer ikke bare alene, men danner ofte større fellesskap som ikke bare driver organisert hacking, det utvikles også felles verktøy for å drive med hacking i stor stil. Ved at disse verktøyene gjøres tilgjengelig for andre via ulike kanaler på Internett, åpnes det for at alt fra proffe hackere til såkalte script kids kan laste ned ferdige dataprogrammer som kan brukes til dataangrep og hacking. Tilnavnet «script kids» spiller på at dette åpner for at personer som ikke selv besitter den nødvendige kunnskapen eller kompetansen til å drive med direkte hacking enkelt kan bruke slike verktøy. Et kjent eksempel er hvordan hackere først sprer ondartet programvare som infiserer tusenvis av datamaskiner rundt på Internett. Senere brukes disse infiserte maskinene i koordinerte angrep som bombarderer nettsider eller andre målskiver med gjentatte henvendelser eller kommandoer, slik at mottakeren ikke er i stand til å motta andre henvendelser eller går fullstendig ned for telling.I veiledningen anerkjenner EDPB, i det minste indirekte, at også en kommersiell interesse kan utgjøre en berettiget interesse.

I takt med utviklingen har vi sett mer avanserte angrep vokse frem, der det brukes kombinasjon av overvåkning og spesialutviklede programmer som er i stand til å lamme store virksomheter. Slike programmer kan være utviklet av hackere, som beskrevet ovenfor, men også av private firmaer som selger dette omtrent som leverandører i våpenindustrien. Jeg har i denne spalten tidligere skrevet om hackere som krever løsepenger for å gjenåpne systemer eller for å hindre spredning av nedlastet konfidensiell informasjon. Hack-for-hire er også blitt et kjent begrep, der hackere tar på seg oppdrag for å finne informasjon eller data som kan brukes til ulike formål av oppdragsgiveren gjennom hacking. Dette er et blitt et økende problem knyttet til industrispionasje og rene sabotasjeaksjoner.

Hackere blir også rekruttert som hel- eller deltidsansatte på lønningslisten til ulike land rundt om i verden. Det er lett å forstå at land som driver med dette ønsker å bygge opp kompetanse innen hacking for å forebygge og hindre angrep mot egne nasjonale interesser. Men dette er ressurser som ikke bare brukes defensivt. I media kan vi nokså regelmessig lese om angrep mot digital infrastruktur der det er klar mistanke om at andre land står bak handlingene. Et av de første store angrepene der det ble klart antydet at det sto en fremmed statsmakt bak, var «Operasjon Aurora» som fant sted i 2009 og 2010. Navnet på operasjonen ble gitt av sikkerhetsselskapet McAfee, som oppdaget navnet på binærfilene som hadde båret frem angrepet.^{(1) Wired, artikkel 14. januar 2020 https://www.wired.com/2010/01/operation-aurora/}De mente at dette mest sannsynlig var kodenavnet som var blitt brukt av hackerne. Kanskje utgjør dette navnet samtidig en referanse til panserkrysseren Aurora, som kveldstid den 25. oktober 1917 avfyrte skuddet som signaliserte stormingen av vinterpalasset i Petrograd. Selve granaten som ble skutt var en tom hylse uten eksplosiver, men ringvirkningene av dette ene skuddet ble enorme og markerte starten på oktoberrevolusjonen. Kanskje er det i stedet en referanse til en fargefull soloppgang, en aurora, symbolikken peker i alle fall i retning av en begivenhet som er starten på noe større.

Operasjon Aurora er et spesielt tilfelle, det var et av de første store koordinerte angrepene mot private aktører som kom frem i media og ble formidlet til allmenheten. Angrepet sendte ut sjokkbølger i hele IT-verden. Spesielt omfanget, ressursene og koordineringen som lå bak angrepet var oppsiktsvekkende. Det fortalte om stor kompetanse hos hackerne, og en målrettet plan som styrte det hele.

Google var det første og eneste selskapet som gikk åpent ut og delte informasjon om dette omfattende angrepet. Det er ikke vanlig at virksomheter går ut med denne type informasjon, som man ofte ønsker å holde skjult – så fremt dette er mulig. Analysen i ettertid har vist at angrepet ble gjennomført gjennom flere ledd, og at en viktig faktor var en såkalt «zero-day» sårbarhet i Internet Explorer. Begrepet beskriver en situasjon der det foreligger en sårbarhet eller åpning i et program som foreløpig er ukjent.

Google la selv ut en blogpost til omverden i januar 2010 om det som hadde skjedd, og det ble samtidig gjort klart at Google mistenkte Kina for å stå bak.^{(2) Blogpost fra Google «A new approach to China» 12. Januar 2010 https://googleblog.blogspot.com/2010/01/new-approach-to-china.html}Google har senere laget en serie på YouTube over 6 episoder som blant annet tar for seg denne hendelsen («Hacking Google»). Her beskrives det omfattende arbeidet som ble lagt ned for å kartlegge og stanse angrepet. I innlegget på bloggen tilbake i 2010 fortalte Google selv om omfanget av angrepet:

Allerede på dette tidspunktet hadde man grunn til å tro at minst 20 andre store virksomheter var omfattet. Dette tallet er senere blitt oppjustert kraftig, og inkluderer virksomheter innen finans, teknologi, media osv. I tillegg ble det opplyst at angrepet blant annet var rettet mot gmail-kontoer knyttet til kinesiske menneskerettsaktivister. Det ble også avdekket flere andre angrep.

Google avsluttet dette innlegget med å vise til at man nå måtte vurdere Googles satsning i Kina, som da var godt på vei.

Konklusjonen ble at Google avviklet satsningen og trakk seg ut av Kina. Google har senere gått tilbake inn i Kina, men med en begrenset tilstedeværelse. Det har aldri blitt bekreftet om det er Kina som står bak. Selve hacker-gruppen som antas å stå bak angrepet er blitt kjent under navnet «Elderwood», et annet ord som har gått igjen i datafiler benyttet i forbindelse med angrepene.^{(3)https://www.theverge.com/2012/9/7/3300306/symantec-elderwood-gang-hackers-investigation} Denne gruppen kjennetegnes ved at de har brukt et stort antall slike zero-day sårbarheter som omtalt ovenfor, angivelig flere hundre slike angrep skal ha blitt utført.^{(4)https://www.reuters.com/article/business/hundreds-more-cyber-attacks-linked-to-2009-google-breach-idUSL2E8K7A9E/} Dette er en krevende form for hacking, som i tillegg krever spesiell kompetanse. Alle kjente sårbarheter blir normalt fortløpende utbedret ved patching og nye oppdateringer. Det å avdekke stadig nye svakheter i det omfang som Elderwood tilsynelatende har gjort sier i seg selv mye om slagkraften til disse hackerne.

Som flere andre store IT-virksomheter står Google i dag bak en rekke tiltak mot organisert hacking. Selskapet viser blant annet til at krigen i Ukraina er et eksempel på at hacking nå inngår som en naturlig del av arsenalet til nasjonalstatene og brukes i moderne krigføring:

DDOS er en form for angrep der mottakeren overbelastes med henvendelser fra en rekke ulike avsendere, derav navnet Distributed Denial Of Service attack. Dette ble diskutert kort ovenfor i forbindelse med amatør-hackere omtalt som script kids. Dette er også en angrepsform som kan gjøres langt mer sofistikert, og som raskt kan sette ut et stort antall nettsider og servere som er eksponert gjennom Internett.

Vår moderne verden går altså over i en fase der vi må legge til grunn at ulike nasjonalstater sitter med sine respektive hackere som tester og utfordrer hverandre. De jobber både med forsvar og konsolidering på egen side, men som vi forstår brukes disse også i offensive angrep, spionasje, desinformasjon med mer. Det som gjør denne virksomheten spesielt vanskelig å forfølge er at den som regel utøves innenfor hjemstatens grenser, men rammer mottakeren som kan sitte et helt annet sted på kloden. Det vanskeliggjør ikke bare sporing og etterforskning, men åpner for kompliserte rettslig spørsmål knyttet til jurisdiksjon og det folkerettslige suverenitetsprinsippet. Statsimmunitet er et utslag av dette prinsippet, og innebærer at en konkret stat ikke kan saksøkes for de nasjonale domstoler i en annen stat.

For å illustrere denne problemstillingen skal vi her se nærmere på en ny og viktig avgjørelse fra Storbritannia. Den engelske Court of Appeal avsa 4. oktober 2024 avgjørelse i saken Shehabi & Anor v Kingdom of Bahrain(2024 EWCA Civ 1158 (Shehabi)). Dette er den første saken der en engelsk appelldomstol anser hacking utført fra utlandet som en «act in the UK» i lovens forstand. Loven det er snakk om i denne saken var State Immunity Act fra 1978 (SIA).

I Norge følger vi som kjent det dualistiske prinsipp, der det må en særskilt gjennomføringsakt til før en konvensjon kan anvendes direkte i norsk rett. Dette har vi kombinert med presumsjonsprinsippet, som innebærer at norsk lov skal tolkes og forstås slik at den på best mulig vis samsvarer med våre internasjonale forpliktelser. Ved direkte motstrid vil likevel norsk lov måtte gå foran.

Prinsippet om stats- og diplomatisk immunitet er en viktig del av folkeretten, og gir vern mot fremmede staters domstoler og andre maktutøvende myndigheter. På dette området legger norsk rett til grunn en annen tilnærming, der folkeretten ved motstrid med norsk internrett har forrang. Dette omtales gjerne som sektormonisme, der den utenlandske regelen gjøres til norsk rett innenfor et avgrenset område.

Shehabi-saken handlet nettopp om en fremmed stats angivelige bruk av hacking for å overvåke individer som nå var bosatt i England. De to saksøkerne, Dr. Saeed Shehabi og Moosa Mohammed, hevdet at agenter fra Bahrain tok i bruk programmet FinSpy for å hacke eller infiltrere deres datamaskiner. Programmet skal deretter ha blitt brukt til å overvåke alt som skjedde på de infiserte enhetene. FinSpy er en avansert form for spyware som lar operatøren få kontroll over et målrettet system. I dette tilfellet skal programmet ha blitt brukt til å samle omfattende data og muliggjøre sanntids avlytting og overvåkning.

Ifølge de to saksøkerne ble hackingen utført ved å sende infiserte e-poster, som installerte FinSpy-programvaren på den lokale bærbare datamaskinen da de ble åpnet. Dette ga agentene tilgang til private filer, kommunikasjon og nettleserhistorikk, chat logger, kontaktlister, bilder, databaser og annet materiale. I tillegg kunne de samtidig aktivere mikrofoner og kameraer for å overvåke saksøkernes fysiske omgivelser når de hadde med seg maskinen. Hackingen muliggjorde også sporing av lokasjon og bevegelser ved hjelp av lokasjonsdata, så lenge en infisert bærbar datamaskin var med en av saksøkerne.

Denne muligheten til å overvåke omgivelsene er verdt å merke seg. Bakgrunnen for overvåkningen skal ha vært at begge saksøkerne har vært fremtredende medlemmer av den politiske opposisjonen til Bahrains regime og har markert seg i pro-demokratiske bevegelser. Dr. Saeed Shehabi er journalist og grunnlegger av Al Wefaq, et politisk parti i Bahrain. Shehabi har bodd i Storbritannia siden 1973, hvor han ble innvilget asyl og senere britisk statsborgerskap. Fra sitt eksil i England skal han ha fortsatt sitt engasjement for politisk reform i Bahrain. Moosa Mohammed er også en bahrainsk opposisjonsfigur som har vært involvert i ulike politiske aktiviteter. Etter å ha flyktet fra Bahrain i 2006, ble han innvilget flyktningstatus i England. Han har jobbet for å synliggjøre menneskerettighetsbrudd i Bahrain og har vært en tydelig kritiker av regimet, særlig i forbindelse med Bahrains behandling av politiske dissidenter.

Saksøkerne skal ha blitt klar over hackingen i kjølvannet av at WikiLeaks i august 2014 publiserte dokumenter som omhandlet Bharains bruk av FinSpy-programvaren. En organisasjon med navnet Bahrain Watch identifiserte deretter saksøkerne som en av målene for denne operasjonen.

Staten Bahrain bestred alle anklagene fra saksøkerne. I underinstansen ble det likevel vist til sakkyndigrapporter som etter rettens vurdering sannsynliggjorde et hendelsesforløp i tråd med saksøkernes påstander. I ankeomgangen var dette bevisspørsmålet imidlertid ikke et tema til behandling. Det må understrekes at ankedomstolen altså ikke skulle ta stilling til om Bahrain rent faktisk hadde utført handlingene. Samtlige spørsmål gjaldt altså den prejudisielle vurderingen av immunitetsspørsmålet. Det materielle spørsmålet knyttet til ansvar for selve handlingen vil dermed bli avgjort i den etterfølgende hovedsaken.

Saudi Arabia har for øvrig vært gjennom en lignende sak, som også ble behandlet av den samme dommeren i første instans. Dette endte med et lignende resultat, der nasjonalstaten ble felt. Saudi Arabia anket avgjørelsen, men anken ble avvist grunnet manglende sikkerhet for sakskostnader, slik at spørsmålet om immunitet aldri ble realitetsbehandlet av ankedomstolen. Shehabi-saken er altså første en gang en ankedomstol i Storbritannia ser nærmere på forholdet mellom statlig immunitet og hacking av denne typen.

SIA paragraf 5 sto sentralt i saken, ettersom det er denne bestemmelsen som oppstiller unntaket fra immuniteten som fremmede stater nyter under engelsk rett.

Saken gjaldt altså tolkning og anvendelse av bestemmelsen på denne konkrete saken.

Ankesaken var avgrenset til tre konkrete spørsmål knyttet opp mot selve hackingen, som alle gjaldt rettslige forutsetninger for å kunne holde Bahrain ansvarlig.

1. Hvorvidt handlingene til Bahrains agenter i det hele tatt utgjorde en handling i Storbritannia etter SIA
   
   Bahrain anførte at de påberopte handlingene uansett ikke hadde skjedd i Storbritannia, ettersom hacking var utført fra utlandet. Dermed skulle det være Bahrain, og ikke Storbritannia, som hadde jurisdiksjon over saken. For en britisk dommer å avgjøre saken ville dermed utgjøre et brudd suverenitetsprinsippet og den underliggende jurisdiksjonslæren. Bahrain holdt altså fast ved sin immunitet. Domstolen måtte dermed vurdere om fjernmanipulasjonen av datamaskiner i Storbritannia, utført fra utlandet, kunne regnes som en handling som fant sted i Storbritannia.

2. Hvorvidt oppheving av Bahrains immunitet etter SIA var avhengig av at samtlige av de skadevoldende handlinger måtte anses å være utført i Storbritannia
   
   Bahrain mente også at unntak fra immunitet etter bestemmelsen kun er aktuelt der handlingen «an act» i sin helhet foregår i Storbritannia. Her måtte man anse i det minste deler av handlingen for å være utført i eller fra Bahrain.

3. Hvorvidt psykiske skader utgjør «personskade» etter § 5 i State Immunity Act 1978
   
   Som et siste punkt mente Bahrain at slik psykologisk skade som var anført av saksøkerne, ikke omfattes av SIA § 5 ettersom dette ikke utgjorde «injury» i lovens forstand.

Til det første spørsmålet landet ankedomstolen på at handlingene måtte anses å ha funnet sted i Storbritannia. Dette til tross for at det ble lagt til grunn at agentene ikke på noe tidspunkt hadde vært fysisk til stede i Storbritannia. Retten tar utgangspunkt i lovens ordlyd, gir i avsnitt 34 av avgjørelsen ikke uttrykk for noen tvil rundt dette spørsmålet. Retten slår fast at det ville være oppkonstruert og lite prinsipielt å trekke opp et skille mellom handlingen i utlandet og virkningen i Storbritannia, og fremhever at handlingen griper direkte inn i Storbritannias jurisdiksjonsområde:

I den videre analysen viser retten til at rettsanvenderen her må være varsom ved bruken av rettskildene, ettersom spørsmålet om immunitet er et eget rettslig spørsmål med eget kildemateriale i folkeretten og internretten. Rettskilder knyttet opp mot andre jurisdiksjonsspørsmål, som for eksempel utleveringsregler og prosessuelle regler om forkynning i utlandet, kan ikke uten videre legges til grunn i spørsmål om unntak fra immunitet etter SIA § 5. På den annen side viser praksis fra slike saker at hacking fra utlandet mot Storbritannia er blitt vurdert å finne sted i Storbritannia. Dette innebærer etter rettens skjønn at ordlyden i SIA § 5 rent språklig bør omfatte hacking på samme måte.

Retten legger ikke bare vekt på den rent språklige betydningen av SIA § 5 i forhold til hacking, men viser i avsnitt 40 også til det underliggende prinsippet om immunitet som hele loven bygger på. Dersom en fremmed stat utfører ulovlige handlinger innenfor en annen stats jurisdiksjon, er dette i realiteten en krenkelse av suvereniteten under folkeretten. Grunnlaget for immunitet faller da bort:

Bahrains advokat i saken påberopte en ny avgjørelse fra den Europeiske Menneskerettsdomstolen (EMD) av 12. september 2023 (EMD sak 64371/16 og 64407/16, her omtalt som Wieder-saken) . Denne dommen hadde ikke vært tilgjengelig for underinstansen (se avsnitt 30), slik at dette var en ny anførsel i ankeomgangen. Klagerne i saken var en amerikansk statsborger bosatt i USA og en italiensk statsborger bosatt i Tyskland. Det sentrale spørsmålet til behandling var hvorvidt Storbritannia hadde gjort inngrep i den europeiske menneskerettskonvensjon (EMK) artikkel 8 ved å utføre masse-innsamling av elektronisk kommunikasjon. Det spesielle med dette tilfellet var at ingen av klagerne var bosatt i Storbritannia eller hadde sendt noen kommunikasjonen derfra. Storbritannia anførte at det ikke forelå jurisdiksjon eller ansvar under jurisdiksjonen i et tilfelle der hverken avsender eller mottaker befant seg i Storbritannia. EMD var ikke enig i dette, og skriver i avsnitt 93 i Wieder:

EMD viser også til andre saker som ikke gjelder hacking eller overvåkning, men der det samme prinsippet får anvendelse. Hannover-saken (EMD 59320/00) gjaldt publisering av bilder tatt av prinsesse Caroline av Monaco i ulike dagligdagse situasjoner. Prinsessen vant frem mot tysk presse, ettersom bildene var av privat karakter og det blant annet manglet noen offentlig interesse som kunne underbygge noe berettiget behov for publisering. EMD viser til at flere elementer i en persons privatliv ikke lar seg skille fra den fysiske personen, for eksempel fysisk integritet. I Hannover-saken hadde EMD likevel lagt til grunn at fotografier tatt i Østerrike og publisert i tyske magasiner i Tyskland og lest av tyske lesere, gjorde inngrep i prinsessens privatliv - selv om hun var bosatt i Frankrike og med offisiell residens i Monaco.

I anvendelsen av disse prinsippene om forholdet mellom skadested og jurisdiksjon på den foreliggende saken uttalte EMD i Wieder avsnitt 94:

Tilbake til vår sak og den britiske ankedomstolen, så kommer det klart frem at førstvoterende ikke er overrasket over at EMD ikke lot seg overbevise av Storbritannias argumenter i Wieder-saken. Videre understreker retten at saken ikke gir noen støtte til Bahrains argumenter om manglende jurisdiksjon. I stedet fremheves avsnitt 93 fra Wieder-saken som delvis er sitert ovenfor, og konkluderer med å sammenligne hacking med et tradisjonelt innbrudd:

Det var således klart at handlingen skjedde i Storbritannia i SIA § 5s forstand.

Det neste spørsmålet var da om samtlige deler av handlingen som har forårsaket skaden etter SIA § 5 må skje i Storbritannia. Underinstansen hadde her konkludert med det var tilstrekkelig at «anact or omission» forårsaket skaden, altså at det forelå et årsaksforhold mellom enhandling og skaden. Denne tolkningen innebar at det ikke var nødvendig å se på hele handlingen i et større perspektiv, det vil være tilstrekkelig at det foreligger en handling som gjør skade. En mindre del av et handlingskompleks vil altså kunne være tilstrekkelig til å fjerne immunitet dersom denne anses å være utført i Storbritannia etter SIA § 5. Det har da ingen betydning for spørsmål om immunitet om ytterligere eller andre deler av handlingen i vid forstand er blitt utført i utlandet.

Retten bygger opp om den språklige tolkningen ved å vise til at denne også er i samsvar med rettstilstanden i flere andre land, og også følger av flere konvensjoner – uten at retten angir noen kilder på dette punktet. Fra dette utleder retten et generelt prinsipp om begrensningene på immunitet i avsnitt 55:

Deretter følger en interessant rettskildeanalyse knyttet til et argument fra Bahrain om formålet og historikken bak SIA § 5. Blant annet drøftes et internt notat som ble gjort tilgjengelig for medlemmer i overhuset i det britiske parlamentet i forbindelse med lovsaken knyttet til State Immunity Bill i 1978. Retten påpeker at notatet etter sin art er en svært spinkel rettskilde, og at mye har endret seg siden 1979 knyttet til hacking og jurisdiksjon. Retten viser også til at det underliggende argumentet om formålet med lovgivningen her ikke kun var å videreføre internasjonale konvensjoner, ettersom det ble gjort flere konkrete endringer og tilpasninger som del av det nasjonale lovarbeidet.

I den følgende drøftelsen går retten gjennom et vidt spekter av internasjonale rettskilder, herunder EMD (Al-Adsani, EMD sak 35763/97) Canadas høyesterett, FN-konvensjonen artikkel 12 og amerikansk lovgivning og rettspraksis på dette området. Retten finner imidlertid ikke grunnlag for å avvike fra ordlydsfortolkningen som innledet drøftelsen, og avviser således ankepunkt nummer 2.

Det siste spørsmålet gjaldt hvorvidt klagerne hadde lidt skade som følge av hackingen. I dette tilfellet var det snakk om psykisk skade som følge av å ha oppdaget hackingen og omfanget av personverninngrepet. Bahrain anførte at slik skade ikke var omfattet av SIA § 5 og vilkåret om «personal injury».

Saksøkerne hadde lagt frem bevis i form av ekspertrapporter som underbygget påstanden om psykisk skade. Dette bevistemaet var ikke i seg selv påanket til behandling. Som omtalt ovenfor omfattet ikke ankesaken det materielle spørsmålet om Bahrain rent faktisk hadde utført de aktuelle handlingene, herunder selve hackingen med tilhørende overvåking.

Bahrain anerkjente under dette punktet at britisk rett i dag har utviklet en lære som anerkjenner «personal injury», slik at begrepet omfatter både fysisk og psykisk skade. Det ble imidlertid vist til at den aktuelle bestemmelsen i engelsk rett ble introdusert i 1978, og derfor ikke omfattes av senere utvikling av begrepet. Her skjærer retten raskt gjennom og konstaterer i avsnitt 91 at engelsk rett følger et alminnelig dynamisk tolkningsprinsipp under betegnelsen «always speaking»:

Dersom det hadde foreligget en klar og etablert forståelse i internasjonal rett ville dette kunne ha påvirket dette utgangspunktet og låst fast en forståelse av innholdet i personal injury. Noen slik praksis finner retten ikke spor av. I stedet viser retten til en sak i overhuset fra 1998, der et spørsmål gjaldt hvorvidt «the Person Act» fra 1861 omfattet psykisk skader. Det ble lagt til grunn at nyere praksis inkluderte psykisk skade, mens den aktuelle loven kom forut for denne utvidelsen – altså et veldig relevant eksempel opp mot vår sak. Lord Steyn førte ordet i saken, og uttalte om dette (sitert i avsnitt 93 i vår avgjørelse):

Lord Steyn gir også en god oppsummering av historikken bak «always speaking», som det er verdt å lese. For vår sak var det altså klart at utgangspunktet måtte være å legge til grunn en dynamisk tolkning av SIA§ 5, som dermed også omfattet psykisk skade. Spørsmålet ble dermed om det var noe grunnlag fra å fravike dette utgangspunktet. I denne analysen ser retten på flere andre saker på området, som likevel ikke rokker på den dynamiske tolkningsmodellen.

Retten viser i tillegg til at saksøkerne uansett hadde påvist at begrepet«personal injury» allerede i 1978 og tidligere ble ansett å omfatte også psykisk skade. En rekke ulike lovbestemmelser som ble introdusert i perioden 1948 til 1980 definerer skadebegrepet slik at dette omfatter psykisk skade. Retten finner det således sannsynliggjort at dette var tilfelle allerede ved introduksjonen av SIA § 5 i 1978, og at lovgivers intensjon må ha vært at psykisk skade omfattes.

Underinstansen gjorde en analyse av flere internasjonale rettskilder, herunder Europakonvensjonen, Europarådets tolkningsuttalelser, den internasjonale spesialrapporten som la grunnlaget for FN-konvensjonen, artikkel 12 fra FN-konvensjonen og rettskilder som behandler denne bestemmelsen. Konklusjonen fra underinstansen, som ankedomstolen tiltrer fullt ut, er at det ikke foreligger holdepunkter for å anse psykisk skade for å falle utenfor skadebegrepet. Retten gjør deretter en selvstendig vurdering av en rekke andre internasjonale rettskilder, slik vi har sett på de andre punktene. I kanadisk rett dukker det opp noen rettsavgjørelser som går i motsatt retning, men retten konkluderer med at disse ikke tar utgangspunkt i internasjonal rett og spørsmålet om begrepets tolkning i spørsmålet om immunitet for nasjonalstater.

Heller ikke det tredje ankegrunnlaget kunne dermed føre frem. Det ble da ikke nødvendig å ta stilling til et siste spørsmål som lå i saken. Saksøkerne hadde fremmet en anførsel om at en avvisning av hovedkravet under henvisning til immunitet, altså at SIA § 5 ikke fjernet immuniteten til Bahrain, ville utgjøre en krenkelse av EMK artikkel 6. Denne bestemmelsen sikrer som kjent retten til rettferdig rettergang.

EMD har i en lang rekke avgjørelser slått fast at artikkel 6 må leses slik at den også gir en like sterk rett til adgang til domstolene– access to court. Uten en slik rett ville prinsippet om rettferdig rettergang miste mye av sin funksjon. EMD har vært klare på at artikkel 6 skal være en effektiv og slagkraftig bestemmelse, og har således slått ned på urimelig høye rettsgebyrer, krevd at saken må behandles innen rimelig tid osv.

Saksøkerne hadde anført at avvisning av saken grunnet immunitet kun var akseptabelt dersom avvisningen fullt ut var i samsvar med internasjonal rett og sedvane på dette området.

Retten trengte ikke ta stilling til dette spørsmålet, ettersom konklusjonen allerede var at Bahrain ikke hadde immunitet ettersom vilkårene i SIA § 5 om opphevelse var tilstede. Ettersom en drøftelse med motsatt utfall uansett hadde hensyntatt det internasjonale rettskildebildet, skal det nok mye til for at EMD ville ha opphevet en avgjørelse med motsatt resultat. Dette forutsatt at den nasjonale domstolen hadde hensyntatt artikkel 6 i sin vurdering, og samtidig foretatt en proporsjonalitetsvurdering mellom prinsippet om immunitet og saksøkernes behov for å prøve sin sak. Anførselen er likevel interessant, og den har en klar virkning ved at domstolen anspores til å gjøre en grundig drøftelse av det internasjonale rettskildebildet.

I en artikkel av undertegnede i Lov & Data nr 158 (2/2024 side 36) ble det vist til hvordan EMD i saken Podchasov v Russland (EMD sak 33393/19) i avsnitt 50 og utover slår fast at alene det å kreve lagring av data som knytter seg til en enkeltpersons privatliv, utgjør et inngrep etter EMK artikkel 8, her sitert fra avsnitt 51:

Dette gjelder uavhengig av en eventuell etterfølgende bruk av den innsamlede informasjonen, likevel slik at blant annet konteksten for overvåkningen og hva slags data som hentes ut har betydning for vurderingen. I Podchasov-saken var det spørsmål om et påbud om utlevering av data, ikke hacking. Spørsmålet som ble drøftet var også et annet spørsmål enn hvorvidt psykisk skade omfattes av en nasjonal lovbestemmelse. Samtidig ser vi at konvensjonskravet om access to court inneholder en forventning om at sterke konvensjonskrenkelser medfører en sterkere prøvingsintensitet fra EMD. I dette ligger at den nasjonale margin of appreciation, altså det slingringsmonn som den enkelte medlemsstat har sin i tolkning og anvendelse av konvensjonen i den konkrete saken, kan reduseres betraktelig. For den nasjonale domstolen innebærer dette et skjerpet krav til å følge den metodikk og de vurderingstema som EMD har foreskrevet gjennom sin praksis. Dette er nødvendig for at EMD senere skal kunne vurdere saken i en eventuell klagesak. Dersom det ikke er gjort en konkret internrettslig vurdering av om et inngrep er necessary in a democratic society, i praksis formulert av EMD som et krav om at det foreligger en pressing social need, så vil dette kunne tale for at den internretteslige proporsjonalitetsvurdering ikke holder mål. Da ser vi også at den subsidiære anførsel knyttet til artikkel 6 omtalt ovenfor antakeligvis vil stå sterkere.

Dommen er enstemmig, men med en tilleggskommentar fra Lord Justice Warby. Han påpeker først det paradoksale i at agentene som hacker og overvåker for sin del ønsker å holde dette skjult. Det er først når dette ikke slår til og at det hele blir kjent at det forårsakes skade på saksøkerne. Den skadevoldende handling skjer altså i strid med skadevolderens plan og ønsker.

Det andre synspunktet er knyttet til det første spørsmålet i saken, der han gir uttrykk for at Bahrains anførsel virker kunstig og oppkonstruert. Han viser til et spørsmål under forhandlingene, der Bahrains prosessfullmektig ga et konkret eksempel:

Lord Justice Warby var tydeligvis ikke imponert over svaret. Denne kommentaren viser for øvrig hvordan et uheldig eksempel kan virke mot sin hensikt, og fremhever svakheten i en argumentasjonsrekke.

Jeg har brukt en del plass i denne artikkelen på å gå gjennom argumentasjon og rettskildebruk i denne saken. Avgjørelsen er svært godt egnet til å fremvise det internasjonale rettskildebildet og de særskilte spørsmål rundt jurisdiksjon som fort blir aktuelle når hacking skjer på tvers av landegrenser, og desto mer når det er nasjonalstater som angivelig står bak. Hvorvidt Bahrain har utført hackingen i denne saken er altså ikke avgjørende, og rettens vurderinger av samtlige tre spørsmål står ved lag uansett utfall i hovedsaken.

Når hackere opererer under statlig kontroll, minner dette mye om seiltidens kaperpirater. Det skjer en slags legitimering av en virksomhet som ellers er sterkt uønsket og forårsaker stor skade. I 1243 utstedte England det første kjente kaperkommisjon, en slags «license to pirate» som tillot private fartøy å angripe, borde, ransake og beslaglegge skip fra fiendtlige stater. Et privat fartøy ble umiddelbart gjort om til en militær ressurs, og fikk samtidig et økonomisk insentiv til aktivt å oppsøke fiendtlige skip. Selv nøytrale skip kunne anholdes, og lasten beslaglegges, dersom det var snakk om våpen og annet krigskontrabande. Kapere skulle i prinsippet ikke straffes som sjørøvere dersom de ble tatt til fange av fienden, de nøt en slags strafferettslig immunitet som legitime utøvere av statsmakt. I stedet for å innlede direkte krig med hverandre, er det eksempler på at skipsmaktene i stedet engasjerte hverandre i begrensede trefninger mellom kapere. Senere vokste det frem konvensjoner og internasjonale regler som i større grad formaliserte kaperrollen. Den amerikanske grunnloven fra 1787 bemyndiget kongressen til å utstede slike kaperbrev, slik det fremgår av Article 1 Legislative Branch – Section 8 Enumerated Powers – Clause 11 War Powers:

I Norge kjenner vi kaperbrev både fra den store nordiske krigen (1700–1721), og krigen med Storbritannia (1807–1814).

De rettslige spørsmålene som diskuteres her ligger i et bredt spenn mellom blant annet personvern, ytringsfrihet, datakriminalitet og folkerettens suverenitetsprinsipp.

Proceedings er et tidsskrift fra US Naval Institute. Instituttet er en privat organisasjon som har gitt ut Proceedings helt tilbake til 1874. I en kronikk publisert i oktober 2019 diskuteres the Active Cyber Defence Certainty Act^{(5)https://www.congress.gov/bill/116th-congress/house-bill/3270/text}, som i praksis ville gi private virksomheter kaperbrev. Ikke bare for rene defensive tiltak, men også mer aktiv og oppsøkende virksomhet.^{(6)https://www.usni.org/magazines/proceedings/2019/october/grant-cyber-letters-marque-manage-hack-backs} Forfatteren beskriver et tenkt angrep mot en bank på Wall Street, som engasjerer et sikkerhetsfirma for bistand. Dette firmaet har et fått et moderne kaperbrev som tillater motangrep rettet mot hackerne. Brevet er nødvendig, ettersom slike angrep normalt ikke er tillatt ettersom dette i seg selv utgjør ulovlig hacking. Forfatteren ser for seg prosessen videre slik:

Som vi allerede kan utlede fra Shehabi-saken som er omtalt ovenfor, vil et slikt kaperbrev innebære en rekke vanskelige avgrensninger, men debatten og lovforslaget er illustrerende for tiden vi lever i.

De rettslige spørsmålene som diskuteres her ligger i et bredt spenn mellom blant annet personvern, ytringsfrihet, datakriminalitet og folkerettens suverenitetsprinsipp. Dette er store og viktige prinsipper, samtidig som de berørte vil kunne være private virksomheter eller enkeltpersoner som i liten grad kan verne seg mot denne typen handlinger. Det blir spennende å følge rettsutviklingen på dette området, og ikke minst det endelige utfallet av denne konkrete saken.