Kan information både skyddas och tillgängliggöras?

2009-08-31

En hel bransch brottas med utmaningen att både skydda och samtidigt på bred front tillgängliggöra information bestående av upphovsrättsskyddade verk. Med facit i hand är det inte långt borta att dra slutsatsen att hel bransch kan ha misslyckats i sitt informationssäkerhetsarbete och därmed försvårat för upphovsrättsinnehavaren att fortsatt kunna tjäna sitt levebröd. Detta är ett mycket laddat ämne och därför vill jag redan inledningsvis lyfta fram det självklara att upphovsrättsinnehavarna skall ha ersättning för sina verk. Låt oss för en stund studera detta ur ett informationssäkerhetsperspektiv.

När CD ersatte LP för snart tre decennier sedan så blev det ett faktum att digital lagrad musik tillgängliggjordes för konsumentledet. Ingen kunde då ana vilken spridning digitalt lagrad information skulle kunna få. Vid den tiden litade upphovsrättsinnehavaren blint på att mellanleden, exempelvis skivbolagen, hanterade deras alster på bästa tänkbara sätt. Hur det gick sedan vet vi alla och det kanske är här historien börjar, men låt oss först backa bandet lite till.

Studerar man utvecklingen innan CD lanserades så kan man konstatera att det ägnades 10-15 år till diverse teknikval där främst Philips och SONY var tongivande. Arbetet genomsyrade allt från lagring till lämpligt bit-antal i analog-digital-omvandlarna. Nu har det gått ungefär lika lång tid sedan Internet fick det verkliga fotfästet och vi kan konstatera att skivbolagen ännu inte lyckats anamma den nya infrastrukturen. Vill man vara riktigt krass kan man konstatera att skivbolagen stark bidrog till att tillgängliggöra upphovsrättsägarnas verk i digitaliserad form men att de inte agerade för skydda verken i takt med teknikutvecklingen varvid verken så småningom hamnade i orätta händer. Ett mönsterexempel på ett mindre lyckat informationssäkerhetsarbete.

Om teknikdrivet saknades så borde det blivit en affärsmässig reaktion när man ser potentialen att kunna sälja digitaliserade alster över en digitaliserad infrastruktur som når i princip varje tänkbar konsument. Vilket drömscenario! Dock verkar det snarast som att branschen utmålade detta som ett mardrömsscenario. Förvånande är det i alla fall att affärsmöjligheterna har vänts till något som för upphovsrättsinnehavarna närmast kan liknas vid en total katastrof. Jag förmodar att det pågår ett juridiskt efterspel även här för att ställa mellanleden till svars för oaktsamhet och passivitet.

Allt som är digitaliserat kan möta samma öde som upphovsrättsinnehavarens verk vilka nu sprids för vinden på grund av att nödvändiga skyddsåtgärder inte vidtagits. Det som spetsar till det rent informationssäkerhetsmässigt är upphovsrättsinnehavarens önskan till en bred spridning av sitt verk samtidigt som att den skall vara kontrollerad för att garantera ersättning vid exempelvis läsning, visning, lyssning, vidareförsäljning och kopiering.

Det är allt mer uppenbart att skyddet av informationen måste ske så nära informationen som möjligt oavsett orsak till skyddet av informationen. Betänk det omvända där vi under decennier arbetat med att bygga upp skyddsmurar kring så väl informationen som dess behöriga användare. Det är framför allt den allt mobilare användningen som krävt nya typer av säkerhetslösningar för att inte behöva göra avkall på informationssäkerheten trots att de klassiska skyddsmurarna monterats ner. Vi flyttar helt enkelt fokus allt närmare informationen och med hörnstenar som autentisering och kryptering är detta realiserbart. Tonvikten har dock varit att applicera dessa tekniker främst i nätbaserade skydd.

Försöken till att skydda information i form av upphovsskyddade verk har samlats under benämningen DRM (Digital Rights Management). De DRM-lösningar som hittills presenterats har inte på något realistiskt sätt kunnat visa att de ger ett tillräckligt skydd av informationen samtidigt som att användarens möjligheter att bruka informationen inte försvåras. Den riktigt stora utmaningen är hanteringen av kryptonycklarna och så länge detta inte är löst så är varje försök en mindre lyckad kompromiss. Parallellt har flera aktörer valt att endast tillgängliggöra informationen i realtid och har på så sätt minskat behovet att skydda informationen på traditionellt sätt.

Huruvida detta är en parantes i utvecklingen eller den faktiska lösningen på problemet att skydda information samtidigt som den tillhandahålls på bred front återstår att se. Inom den mer klassiska informationsteknologin kvarstår behovet av informationsnära skydd och här kan vi se allt fler lösningar. Betänk dock att här finns inte samma utmaning eftersom den behörige användaren allt oftare är behörig just för att denne har den ena halvan av ett asymmetriskt nyckelpar.

Återigen kan en fungerande autentiseringslösning vara nyckeln till att komma vidare i utvecklingen. I detta fall kanske den enda nyckeln.