Ställ krav!

Vissa delar av den här guiden har handlat om att skydda sin egen dator mot angrepp. Men i takt med att vi lägger ut allt mer av vår information på nätet – i “molnet” som man ibland säger – blir det viktigare att även ställa krav på företagen vi anlitar.

Kanske har du redan ett konto på till exempel lagringstjänsten Dropbox för säkerhetskopiering av filer. Din e-post ligger med största sannolikhet redan ute hos ett företag. För att inte tala om webbaserade kalendrar och ordbehandlingsprogram som Google Docs (numera kallad Google Drive) eller Microsofts Office 365.

Många av dessa tjänster är gratis, men inte desto mindre tjänar företagen pengar på att vi använder dem, till exempel genom att visa reklam. Därför är det inte mer än rätt att ställa frågor om hur de har det med säkerheten. Nöj dig inte med flummiga löften om “säkra servrar” – sådant kan alla säga utan att det betyder någonting i praktiken. Begär konkreta svar på vilka säkerhetsmekanismer de använder!

Troligtvis kommer du inte att få svar om du mejlar till något av de större företagen, men försök läsa på deras webbplats och se om de svarar på nedanstående frågor där.

Hur lagras mitt lösenord?

  • Kommer lösenordet jag väljer att ligga krypterat eller i klartext (som okrypterad text kallas)?
  • Ställerföretagetkravpåattjagväljerett starkt lösenord? Många erbjuder en slags mätare som varnar för dåliga lösenord medan man skriver dem. De är dels en god hjälp för dig, men också ett tecken på att företaget tar säkerhet på allvar.
  • Om det krypteras (eller “hashas” för att använda den korrekta termen) – med vilken metod? Om företaget lovar “saltad hash” så betyder det kryptering som har gjorts extra svår att knäcka. Mer än så är svårt att begära.
  • Testa själv. De flesta sajter har en knapp för den som har glömt sitt lösenord. Om du klickar på den och fyller i din e-postadress, vad dyker upp? Om lösenordet du valde står utskrivet så saknas kryptering helt. Om det är ordentligt krypterat så ska inte ens företaget kunna få fram ditt lösenord, vilket mejlet bevisar att de kan. Om du däremot får ett mejl som innehåller en länk till sida där du kan välja ett nytt lösenord är systemet troligtvis byggt på rätt sätt.

losenord
Använd alltid ett starkt lösenord om du vill vara på den säkra sidan.

Hur lagras mina filer?

  • Att lägga ut sina filer till ett företag är praktiskt. Även om din egen hårddisk går sönder kan du räkna med att få tillbaka semesterbilderna. Men det är viktigt att kunna lita på att företaget håller dem skyddade.
  • Ställ frågor om kryptering, och om vem som får ta del av filernas innehåll.
  • Används innehållet till exempel för att bygga en profil av dina intressen för att senare kunna rikta reklam därefter? Sådant ska den som tillhandahåller tjänsten kunna svara på.
  • Om du inte får de svar du vill ha men inte vill eller kan byta tjänst så kan du alltid kryptera den känsligaste informationen själv, redan innan den laddas upp. Tipsen om hur du innesluter filer i en krypterad “låda” (se kapitel 6, “E-post är som vykort”) kan appliceras även på lagringstjänster på nätet.

Vad händer med min information?

Att samla information om användare och använda den för att rikta reklam till “rätt” personer är en jätteindustri på nätet idag. Bland andra Google och Facebook bygger hela sin verksamhet, som omsätter miljarder, på detta. Ibland kallas detta att de “säljer användarnas information” till annonsörer. Men det är en överdrift. Snarare säljer de möjligheten att nå just dig. För att lyckas med det måste deras kartläggning vara så detaljerad som möjligt. Ställ frågor om hur de skapar den.

  • Vilken information kommer att användas för att rikta reklam? Om tjänsten är gratis kan du utgår från att det är allt du lämnar ifrån dig, inklusive innehållet i dina mejl och privata meddelanden.
  • Äger jag fortfarande informationen? Hur konstigt det än låter kan en lagringstjänst faktiskt anse att det är de – inte du – som äger information du har laddat upp. Kontrollera villkoren för att säkerställa att du inte ger bort din information.
  • Vem får tillgång till min e-postadress? Det är inte ovanligt att bli överöst med reklam i mejllådan efter att man har registrerat sig på en webbsida med sin e-postadress. Det gäller framförallt mindre, oseriösa tjänster. De seriösa ska deklarera hur adressen kommer att användas, och erbjuda möjlighet att avsluta utskick man har tröttnat på.
  • I vilket land finns tjänsten? Webbtjänster är globala och kan ha användare spridda över hela världen. Men företaget har sin hemvist någonstans, och i regel är det detta lands lagar och regler som gäller. Det är alltså inte självklart att du i efterhand kan komma med klagomål baserade på svensk lag. Dessa är inte värda någonting om företaget är baserat i till exempel Kalifornien.