Därför är IIS ingen internetpolis

Jag tror inte att det går en vecka utan att jag minst en gång behöver förklara varför IIS inte har möjlighet att agera mot webbsidor som misstänks bedriva oseriös eller olaglig verksamhet. Det sker i alla våra kontakter med privatkonsumenter, företagare och med myndigheter.

Read this blog entry in English.

Men med anledning av att Svensk Handels säkerhetschef på Twitter nyligen menade att IIS borde göra mer än vad vi gör, tänkte jag förklara det här med adressering och innehåll lite mer ingående.

Vi börjar med den första lilla puckeln som vi behöver ta oss över, som brukar låta nåt i stil med:

  1. “–Vaddå, domännamn och webbsida, det är ju samma sak!”

Nej, så är det inte, utan domännamn är endast vägvisare (alias) som underlättar för besökare att hitta webbinnehåll / webbsidor / hemsidor. Det är egentligen så att våra datorer besöker varandra genom att IP-adresser berättar var de finns, men eftersom vi människor i regel kommer ihåg ord bättre än sifferkombinationer så skapades DNS, Domännamnsystemet som översätter domännamn till IP-adresser.

Exempelvis är alltså iis.se bara ett alias eller vägvisare till IP-adressen 91.226.36.46, som är IPv4-adressen för denna hemsida och även om adressen iis.se skulle försvinna så finns hemsidan kvar. För att göra det än mer komplicerat finns det ingen begränsning i hur många “alias” en webbsida kan ha, besök exempelvis nic.senic-se.se eller varför inte iis.nu. Vem som helst kan länka sitt domännamn till någon annans webbsida utan att denne känner till det. Ett exempel är hjalpa.nu.

För den som vill lära sig mer om domännamn eller hur DNS (domännamnssystemet) fungerar, har vi två bra guider. Domännamn samt DNS – internets vägvisare.

  1. IIS och lagarna

IIS är ett domännamnsregister (Registry) för alla registrerade domännamn som slutar på .se eller .nu. (som är så kallade landstoppdomäner för Sverige och den lilla önationen Niue). Registreringsvillkoren skiljer sig ganska lite åt mellan båda, men för .se så lyder IIS under en speciell svensk lag, som kallas för “Toppdomänlagen” (SFS 2006:24) och som IIS måste följa. PTS, Post- och Telestyrelsen, är tillsynsmyndighet gällande lagen.

Utöver det så behöver IIS förhålla sig till PUL, Personuppgiftslagen, vilket innebär att IIS är förhindrade att visa personuppgifter för innehavare som endera är privatperson eller enskild firma via kontaktinformationen på iis.se.

IIS jobbar i vår tur genom ett återförsäljarled, eller registrarer som våra ackrediterade partners kallas. Det är många gånger webbhotell som tillhandahåller andra tjänster som webbhotellsutrymme och e-mail. Men en partner kan lika gärna vara en ren domännamnsregistreringstjänst, eller en advokatfirma som skyddar sina klienters varumärken för att ta ett exempel. Dessa registrarer finns sedan runtom i hela världen, i skrivande stund 147 stycken .se-registrarer i 13 länder och 88 stycken .nu-registrarer i 13 länder.

Det är genom dessa registrarer som kunderna registrerar domännamn och blir innehavare (även kallat registrant) till domännamnen. Det är här villkor accepteras och avtal ingås mellan registrar (partner) och registrant (innehavare). I samma skede som registraren registrerar domännamnet, skickas uppgifterna till IIS som registrerar dem i databasen över innehavare. Det gör IIS till registerhållare för .se-domäner, på samma sätt som Bolagsverket för register över bolagsnamn och Transportstyrelsen register över fordons registreringsnummer.

  1. ”–Men, innehavaren står ju på bedrägeriwebbsidan!”

Vi har alltså en innehavare av ett domännamn. Det är denne innehavares frihet att använda sitt registrerade domännamn på det sätt hen finner det lämpligt, men även dennes ansvar. För de svenska lagarna gäller ju såväl utanför som på nätet (där de är tillämpliga). Men innebär det att innehavaren av domännamnet behöver vara densamma som innehavaren av webbsideinnehållet? Nej, inte alls, en innehavare kan hyra ut domännamnet eller det kan vara registrerat på en privatperson medan innehållet drivs av ett bolag eller annan person eller tvärtom.

I rollen som abuseansvarig på IIS får jag ärenden som kan handla om försäljning av piratkopior av läkemedel eller kläder, narkotikaförsäljning, bild- och textstölder, ärekränkningar och förtalsbrott, vapenförsäljning och hatbrott, stöldgods och spam, trojan- och virusspridningar, phishing och smishing, renommésnyltning och “ID-kapning”, bedrägerier och mycket, mycket mer i olika allvarsgrad.

Men här finns det saker som kan och bör nämnas: Om vi säger att valfrittvarumarkeoutlet.seär adressen till en sida som det klagas mycket på eftersom de tar emot beställningar och betalningar av attraktiva teknikprylar utan att leverera dem, så är det ju inte adressen som är bedräglig, utan webbsidans innehåll.
Som jag visade tidigare försvinner inte innehållet för att någon tar ner en adresskylt, utan den går ju snabbt att ersättas av valfrittvarumarke-outlet.sevalfritt-varumarkeoutlet.se eller varför inte valfrittvarumarkeoutlet2.se.

  1. ”–Ni måste ju kunna stänga av dem?”

Det händer att olagligt eller bedrägligt innehåll på nätet anmäls till polisen, men även då kan det finnas försvårande omständigheter. I vissa fall bryter webbinnehållet mot webbhotellets avtal som förbjuder “speciellt webbinnehåll”, vilket gör att webbhotellet kan ta ner innehållet från nätet. Men det kan likväl vara så att webbinnehållet ligger på en server i annat land där svensk lag och svensk polis saknar mandat att verka.

I dessa fall kan det tyckas naturligt att vända sig till IIS, men det är absolut inte självklart att IIS ska agera. Just nu prövas vilket ansvar IIS kan ha i sin roll som toppdomänadministratör.

Det är egentligen ganska enkelt: IIS är ingen internetpolis och domare som själva kan avgöra “lagligt från olagligt webbinnehåll”, utan förlitar oss precis som alla andra på svensk rättsordning. Vilket innebär att den som anser sig ha blivit utsatt för brott bör polisanmäla detta. Den svenska polisen är polis på och utanför svenskt internet och tillämpar svenska lagar där det är möjligt.

Efter det att ett avgörande beslut om att ett domännamn ska avregistreras har vunnit laga kraft, kan IIS agera enligt 6.4 i IIS registreringsvillkoren.

Summa summarum. Oavsett vad som skrivs på Twitter är min bedömning att IIS och jag själv gör vad vi kan i form av tips, utbildning och samverkan, mot bland annat bluffakturor.

Artikeln har inga etiketter Foto: STOP av planetlight (CC BY 2.0)

Om bloggaren

Peter Forsman Abuseansvarig på IIS Hanterar abuse-ärenden för hela .se-zonen och är en av Sveriges främsta experter på nätbedrägerier. Peter har varit verksam inom IT-sektorn sedan mitten av 90-talet och har erfarenheter från flera olika roller i domän- och webbhotellbranschen.