Femte juli

Nätet till folket!

Datalagring

EU-domstolen har flera gånger sagt nej till urskiljningslös lagring av data om allas alla tele- och datakommunikationer utan misstanke om brott. Ändå har såväl Sverige som flera andra EU-länder datalagring som strider mot domstolens beslut. I Sverige utreds nu frågan nu en gång till och i EU funderar man på hur man bäst skall kunna kringgå domstolens beslut.

Man kan inte samtidigt ha massövervakning och säkra elektroniska kommunikationer

av

På ena sidan står politiker som vill kontrollera innehållet i alla medborgares elektroniska meddelanden. På den andra sidan finns ett ökat behov av säkra elektroniska kommunikationer. Men våra beslutsfattare duckar frågan.

Politik kolliderar inte sällan med verkligheten. Ett praktiskt exempel är EU:s ambitioner att övervaka medborgarnas elektroniska kommunikationer, som står i konflikt med ett ökat behov av säker elektronisk kommunikation.

EU vill använda AI och/eller spionprogram för att granska innehållet i alla européers elektroniska meddelanden inom ramen för Chat Control 2 (CSAM regulation).

Den nya EU-kommissionen och EU:s ministerråd vill se ett nytt regelverk för datalagring (lagring av metadata om allas telekommunikationer, elektroniska meddelanden, mobilpositioner med mera). Detta trots att EU-domstolen redan sagt nej till sådan.

Inom ramen för projektet Going Dark vill EU skapa verktyg och metoder för att komma åt totalsträckskrypterad (E2EE) elektronisk kommunikation.

Samtidigt ser vi hur främmande makt och kriminella också vill komma åt våra elektroniska kommunikationer.

I USA har statens verktyg för att kontrollera medborgarnas meddelanden missbrukats av kinesiska hackare. Tidigare har myndigheternas hela katalog av övervakningsverktyg hamnat i orätta händer.

I Nederländerna varnar underrättelsetjänsten i bestämda ordalag för konsekvenserna av Chat Control 2.

Nyligen varnade FBI och experter på cybersäkerhet till och med för att använda SMS. Behovet av säkra kommunikationer blir allt mer uppenbart.

Detta är bara några exempel. Intressekonflikten är uppenbar. Det gäller inte bara privatpersoner. Företags, organisationers, medias och myndigheters elektroniska meddelanden kommer också att utsättas för risker.

När det gäller människor som misstänks för brott har staten redan de verktyg som krävs för att komma åt all elektronisk kommunikation och allt som görs och finns på dessa personers telefoner och datorer genom hemlig dataavläsning.

Att man skall kunna övervaka personer och grupper som misstänks för brott är de flesta överens om.

Den politiska striden handlar om ifall denna övervakning skall utökas till att gälla alla. Det vill säga även vanliga hederliga människor, som inte misstänks för något brottsligt. Till priset av försämrad IT-säkerhet.

EU-domstolen har redan slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den rättsliga basen för domstolens bedömning är de grundläggande mänskliga rättigheterna. Dels handlar det om rätten till privatliv och privat kommunikation. Dels om vad yttrandefriheten har att säga om allas rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning.

Nyligen efterlyste riksdagens lagråd en samlad översyn av den stora mängden lagar och verktyg för övervakning. Är övervakningen i proportion till de problem man säger sig vilja lösa?

Är övervakningen ens effektiv? Aktuella siffror visar att endast två av tio fall av hemlig avlyssning i Sverige leder till åtal.

Hur påverkar övervakning av alla samhällets fria åsiktsbildning och demokrati? Vilka är riskerna för att dessa verktyg kan komma att missbrukas, nu eller i morgon?

Det enda klara svar vi får från politiken är att man inte vill diskutera saken. Men så enkelt får våra makthavare inte komma undan.

Hemlig övervakning leder oftast inte till åtal

av

70-80% av myndigheternas hemliga övervakning leder inte till åtal. Samtidigt växer övervakningsstaten utan att någon samlad översyn görs.

Regeringens skrivelse till riksdagen om användningen av hemliga tvångsmedel under 2023 är intressant läsning. Bland annat får man en bild av hur den hemliga övervakningen även drabbar många i den övervakades omgivning, även om det inte är textens syfte.

Tolkningsutrymmet är stort och skrivelsen innehåller anonymiserade beskrivningar av hur övervakningen sägs ha varit till nytta. Utan att ifrågasätta dessa utsagors äkthet kan man konstatera att de är av anekdotisk karaktär och att de inte går att verifiera.

Om man tar andelen fall av hemlig övervakning som leder till en stämningsansökan eller ett åtal ligger den på 20-30% av de beviljade tillstånden. Det vill säga att 70-80% av denna övervakning inte leder till åtal.

Till detta kan läggas att även om det blir åtal betyder det inte att den hemliga övervakningen nödvändigtvis bidragit till detta. Endast att det handlar om en person som på någon grund kunnat åtalas.

Skrivelsen argumenterar för att övervakning kan ge annan nytta än åtal. Men även i fall där ett brott kunnat förhindras måste väl i rimlighetens namn åtal kunna väckas för förberedelse eller stämpling?

Här följer en överblick av de hemliga tvångsmedel som redovisas:

Hemlig avlyssning av elektronisk kommunikation

Definitionen omfattar avlyssning av telefon- och telefaxtrafik, e-posttrafik och överföring av datafiler.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 4.203 tillstånd (1.837 personer) under 2023 (4.108/1.465 år 2022). 29% har lett till åtal.

Hemlig övervakning av elektronisk kommunikation

Enkelt uttryckt handlar detta om metadata från datalagring, mobilmast-tömningar med mera.

Används huvudsakligen för att utreda vålds- och narkotikabrott. 15.353 tillstånd (3.943 personer) under 2023 (13.146/3.314 år 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemlig kameraövervakning

Optisk personövervakning med »fjärrstyrda tv-kameror, andra optisk-elektroniska instrument eller därmed jämförbara utrustningar«. Ljudupptagning får ej ske.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 407 tillstånd (534 personer) under 2023 (239/250 år 2022). 23% har lett till åtal.

Hemlig rumsavlyssning

»Avlyssningen får omfatta tal i enrum, samtal mellan andra eller förhandlingar vid sammanträden eller andra sammankomster som allmänheten inte har tillträde till.«

Används huvudsakligen för att utreda narkotika- och våldsbrott. 146 tillstånd (110 personer) under 2023 (79/60 år 2022). 29% har lett till åtal.

Hemlig dataavläsning

Detta handlar om att installera spionprogram på telefoner, datorer, plattor och annan elektronisk utrustning. Med sådana kan man sedan komma åt allt som görs och finns på enheten, bedriva kameraövervakning och rumsavlyssning, positionsdata med mera.

(Säkerhetsluckor i hård- och mjukvara lämnas utan åtgärd för att dessa spionprogram skall kunna installeras vilket påverkar samhällets övriga IT-säkerhet negativt.)

Används huvudsakligen för att utreda narkotika- och våldsbrott. 172 tillstånd (331 personer) under 2023 (148/365 år 2022). Hemlig dataavläsning redovisas per användningssätt (se ovan) men i genomsnitt har 16% lett till åtal.

Övervakning enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott

Användning av »hemliga tvångsmedel för att förhindra brott, så kallade preventiva tvångsmedel, utanför en förundersökning« om det finns en »påtaglig risk för att en person kommer att utöva |viss] brottslig verksamhet«. Detta gäller även organisationer och grupper.

Används huvudsakligen för att utreda våldsbrott. 106 tillstånd (67 personer) under 2023. Ingen uppgift om hur stor andel som lett till åtal.

Inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet

Rätt för Polismyndigheten, Säkerhetspolisen och Tullverket att i underrättelsesyfte »i hemlighet hämta in uppgifter om meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller från ett telefonnummer eller annan adress, om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller uppgifter om inom vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits.«

På ansökan av Polismyndigheten och Tullverket beviljades 876 beslut, varav två avslagsbeslut under 2023 (727 beslut varav 23 avslag 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemliga tvångsmedel i Säkerhetspolisens verksamhet

Detta är Säpos användning av de olika hemliga tvångsmedlen ovan.

676 beslut om hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning och hemlig rumsavlyssning fattades år 2023 (562 beslut 2022); 803 beslut om hemlig dataavläsning 2023 (292 beslut 2022) samt 305 beslut med stöd av lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (203 beslut 2022). Ingen uppgift om hur stor andel som lett till åtal.

Sammanfattning

Input för de olika formerna av hemliga tvångsmedel varierar i skrivelsen och viktig information (t.ex. hur stor andel som gått till åtal) saknas i flera fall. Vilket gör det svårt att få en komplett bild av helheten.

I de fall där andelen beslut om hemliga tvångsmedel lett till åtal redovisas kan man dock konstatera att siffran förefaller låg. Man kan därför inte utesluta att ett stort antal oskyldiga personer drabbats. I vart fall om man går efter principen att »envar skall betraktas som oskyldig till dess motsatsen bevisats«.

Med tanke på polisens organisatoriska problem, omfattande byråkrati och låga uppklarningsprocent väcks frågor om huruvida övervakningen är ändamålsenlig, effektiv och proportionell.

Tidigare i höstas efterlyste Lagrådet en samlad utvärdering av övervakningsstaten. Rådet skrev (i samband med att det förgäves avstyrkte att lagen om hemlig dataavläsning görs permanent):

»Frågan om i vilken utsträckning den enskilde ska behöva tåla övervakning av det slag som hemliga tvångsmedel innebär måste emellertid enligt Lagrådets mening också bedömas samlat med beaktande av den samlade övervakning som den enskilde kan utsättas för. Lagrådet anser därför att det är synnerligen angeläget att det inom en snar framtid görs en samlad översyn, i ljuset av 2 kap. 6 § andra stycket regeringsformen och artikel 8 i Europakonventionen, av hur hemliga tvångsmedel ska kunna användas.«

För ett sådant syfte räcker denna skrivelse inte. Men regeringen verkar obekymrad:

»Regeringens bedömning är sammanfattningsvis att myndigheternas användning av hemliga tvångsmedel under 2023 har varit ett ändamålsenligt och nödvändigt instrument i brottsbekämpningen.«

• Regeringen: Redovisning av användningen av hemliga tvångsmedel under 2023 Skr. 2024/25:64 »

• Dagens Juridik: Ökad tvångsmedelsanvändning förra året – inga avslag »

Undantagstillstånd i den svenska övervakningsstaten

av

Regeringen föreslår att Säpo skall kunna införa »nationell säkerhetslagring« av svenska folkets elektroniska fotspår – inklusive metadata om våra meddelanden – i upp till två år.

Enligt regeringens utkast till lagrådsremissDatalagring och tillgång till elektronisk information – skall Säpo på eget bevåg kunna proklamera nationell säkerhetslagring.

Inom ramen för denna skall alla tele- och internetoperatörer samt meddelandetjänster samla in och lagra följande uppgifter.

6.5 »Beslutet ska få omfatta uppgifter om abonnemang, trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter och som rör användare som är fysiska personer eller abonnenter. Uppgifterna ska vara nödvändiga för att spåra och identifiera kommunikationskällan och slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning, lokalisering av kommunikationsutrustning vid kommunikationen samt lokaliseringsuppgifter som inte är trafikuppgifter.«

Vilket som synes är mer än vad den redan existerande datalagringen (som för övrigt står i strid med EU-domstolens beslut om att upphäva EU:s datalagringsdirektiv) föreskriver.

Operatörerna oroas bland annat över att lokaliseringsuppgifter kommer att kräva orimliga lagringsvolymer med tillhörande kostnader.

Dessutom skall lagringsplikten vid nationell säkerhetslagring vara ett eller två år, till skillnad från den vanliga datalagringens huvudregel om sex månader.

Den nationella säkerhetslagringen skall kunna införas när Säkerhetspolisen anser att det föreligger ett allvarligt hot mot nationen. Så här motiveras det på sidan 65:

»Det går inte med någon större säkerhet att förutse vilka företeelser som kan komma att innebära ett tillräckligt hot mot den nationella säkerheten. Det är i stället mer ändamålsenligt att den behöriga myndigheten, på ett så komplett underlag som möjligt, avgör om det finns tillräckligt konkreta omständigheter för att anse att det finns ett allvarligt hot mot Sveriges säkerhet som är verkligt, aktuellt eller förutsebart.«

Men då så… Frågan man måste ställa sig är om det verkligen är tjänstemän på Säpo som skall fatta beslut om något slags nationellt undantagstillstånd vad gäller massövervakning.

Detta känns mer som en fråga för regeringen, om nu detta är något vi alls skall ha. Den kan också fatta snabba beslut om det kniper. Om det skulle bli krig eller terrorangrepp eller så.

Enligt förslaget skall Säpos beslut verkställas omedelbart och sedan bekräftas i efterhand av Försvarsunderrättelsedomstolen.

Hemliga polisen skall alltså fatta beslut om en aldrig tidigare skådad inhämtning av data i syfte att kunna kartlägga alla svenskar, deras kommunikationer och platsdata upp till två år bakåt i tiden. Vilket sedan skall bekräftas av en hemlig domstol. Orwell hade blivit imponerad.

Man kan även fråga sig hur regeringen tänkt sig att alla de utländska meddelandetjänster och appar som vi använder skall förmås verkställa svensk nationell säkerhetslagring.

Som historien visar tenderar alla övervakningslagar att utvidgas till syfte och metod. Tröskeln kommer att sänkas med tiden.

Det skulle inte förvåna om Säpo klipper till med en nationell säkerhetslagring så fort lagen trätt i kraft, med någon allmänt diffus motivering om det yttre och inre säkerhetsläget. Finns verktyget kommer det att användas.

Och så får vi väl hoppas att all denna integritetskänsliga data som skall lagras i åratal ute hos en stor mängd olika operatörer aldrig kommer att hackas, läcka eller missbrukas.

Detta är bara ett av alla uppseendeväckande förslag i regeringens utkast till lagrådsremiss, som nu skall ut på en ny remissrunda.

Vår ordförande filar redan på ett remissyttrande. Och här kommer vi att fortsätta gräva ner oss i detta dokument – som innehåller mycket mer som är anmärkningsvärt och oroande.

Stay tuned.

Länkar:
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »
• Direkt till dokumentet ovan (PDF) »
• Aftonbladet / Oisín Cantwell: Säpo får helt nya möjligheter till massövervakning »
• SVT: Integritetsfrågorna offras på säkerhetens altare »

Bakgrund (nyast överst):
• Striden om ett nytt datalagringsdirektiv i EU »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »

Nya EU-kommissionen och internet

av

Den nya EU-kommissionen kommer att ha fullt upp med att reglera internet, övervaka medborgarna och skrämma bort IT-investeringar från Europa.

Idag har Europaparlamentet godkänt den nya EU-kommissionen. Här är några frågor på dess bord som rör internet under mandatperioden.

Datalagring

2014 upphävde EU-domstolen EU:s direktiv om datalagring (lagring av metadata om allas telefonsamtal, SMS, e-post-meddelanden, uppkopplingar, mobilpositioner m.m.).

Detta med hänvisning till de grundläggande mänskliga rättigheterna och vad de har att säga om rätten till privatliv och privat korrespondens. Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Nu diskuteras ett nytt datalagringsdirektiv i EU, som är tänkt att försöka kringgå EU-domstolens beslut. Precis som i Sverige vill man även komma åt de olika meddelandetjänsterna. Speciellt de totalsträckskrypterade.

Ännu finns inget konkret på bordet, men det kommer. Gissningsvis rätt tidigt under mandatperioden då det tar åratal att få igenom ett nytt direktiv. Det skulle inte förvåna om förslaget redan ligger klart och väntar på tillträdande kommissionär Brunners skrivbord.

Chat Control 2 / CSAR

Den nya EU-kommissionen står fast vid Ylva Johanssons ursprungliga förslag om att låta AI granska innehållet i folks elektroniska kommunikationer (och molntjänster m.m.).

Om ministerrådet kommer fram till en position går frågan in i trilog-förhandlingar mellan EU-kommissionen, ministerrådet (client-side-scanning) och Europaparlamentet (som säger nej till Chat Control 2 i dess bärande delar).

Vilket med största sannolikhet kommer att landa i någon form av ja till förslaget. Om inte parlamentet upplever ett yttre tryck som får det att inse att ett hårdnackat nej ligger i dess intresse.

The Digital Services Act (DSA)

Den utgående EU-kommissionen lämnar efter sig frågan om hur det är tänkt att stora sociala media skall stoppa innehåll som man ogillar – men som inte är olagligt.

I en rättsstat bör det – i förväg – tydligt framgå vad som är tillåtet att säga eller ej. Det som inte uttryckligen är förbjudet måste vara tillåtet.

Det blir även upp till den nya kommissionen att se till att DSA:s krav på nätcensorer – Trusted Flaggers / betrodda anmälare) uppfylls. Riken är uppenbar att olika särintressen och intressegrupper kan komma att se en sådan roll för sig själva som ett verktyg för att kunna styra vad som sägs på nätet.

Hat & hot blir EU-brott

Kommissionen och parlamentet (inklusive alla svenska partier i Europaparlamsentet utom SD) driver på för att göra hat och hot till ett »EU-brott« i klass med terrorism och vapensmuggling.

Än så länge finns bara pladdriga policypapper och resolutioner som inte närmare berör vad det är som skall bli förbjudet att säga, skriva och posta. Men nu måste man bli mer konkreta.

Vad gäller »hat« är utrymmet för subjektiva bedömningar stort. Givet EU:s återkommande gräl med sociala media i allmänhet och X i synnerhet är det uppenbart att detta är en fråga som kommer att beröra yttrandefriheten på internet.

Vi följer denna dossier och återkommer när det händer något av betydelse.

Going Dark

Kommissionen, medlemsstaterna och Europol håller (vid sidan av Chat Control 2) på med ett projekt för att komma åt totalsträckskrypterad kommunikation, Going Dark.

Det finns dock redan en lösning, även om den har sina brister: Hemlig dataavläsning. Det vill säga spionprogram (client-side-scanning) på misstänktas telefoner och datorer som registrerar allt som sker på och kring enheten.

Dock drar frågan åt att man vill ha en generell möjlighet att komma åt krypterade meddelanden. Vilket kan kasta ett visst ljus över ministerrådets senaste förslag om client-side-scanning på allas telefoner och datorer som en del av Chat Control 2.

Nu återstår att se vad som kommer ut ur Going Dark-projektet. Blir det några förslag från kommissionen? Eller är detta något som medlemsstaterna kommer att hantera synkroniserat på nationell nivå?

EU, internet och världen

EU har en allt mer omfattande reglering vad gäller internet. Regler som den nya kommissionen har att upprätthålla – även om de driver IT-entreprenörer ut ur EU.

Chat Control 2 har föranlett meddelandetjänster som Signal att hota om att inte längre tillhandahålla sina tjänster i EU. Nya aktörer på meddelande-marknaden kommer att tvingas bygga in spion-moduler från början, vilket kommer att avskräcka nya aktörer som respekterar sina användares integritet.

GDPR gav oss inte bara cockie-eländet utan begränsade även EU-medborgares tillgång till en del utländska siter, bland annat utländsk media. Denna reglering gav dessutom våra företag en ny, kostsam byråkratisk börda.

EU:s nya AI-lagstiftning har än så länge medfört att Apple inte släpper alla sina AI-funktioner på mobiler i EU. Fler oönskade konsekvenser lär följa. Och investeringarna i AI kommer att ske i andra delar av världen.

The Digital Services Act har hamnat på kollissionskurs med yttrandefriheten. Den påbjuder även en omfattande byråkrati för stora sociala plattformar – vilket är en garanti för att startups som saknar Metas och Alphabets resurser och kår av jurister aldrig kommer att kunna etablera sig eller växa sig stora på markanden.

Detta drabbar inta bara oss i EU. Internet känner inga gränser. Om till exempel Chat Control 2 leder till bakdörrar till (än så länge) toitalsträckskrypterde meddelanden kommer sådana även att kunna utnyttjas av regimer i skurkstater för att förtrycka sin befolkning och opposition.

EU:s självbild är att man är »väldsledande« vad gäller att sätta en standard för reglering av IT. Det är inte helt säkert att det är en bra sak.

Detta var bara några exempel på vad som är i görningen. Följ oss för att hålla dig uppdaterad.

Kommer regeringen att svara lagrådet om övervakningsstaten?

av

Lagrådet vill se en samlad utvärdering av all övervakning staten utsätter medborgarna för. Frågan är om regeringen bryr sig.

Lagrådet vill att det görs en »samlad översyn« av hur olika hemliga tvångsmedel används – »inom en snar framtid«.

Hur ser helhetsbilden ut? Ger övervakningen önskat resultat? Vilka problem föreligger? Fungerar tillsynen? Följer man lagen?

För att inskärpa allvaret hänvisar lagrådet till så väl Europakonventionen om de mänskliga rättigheterna (art 8) som svensk grundlag (Regeringsformen 2 kap. 6 § andra stycket).

Det är mycket enkelt: Övervaka dem som misstänks för brott – inte alla andra, hela tiden. EU-domstolen har redan slagit fast principen.

Frågeställningen är inte ny. Under det dåvarande svenska EU-ordförandeskapets hearing med justitieminister Beatrice Ask (M) i Europaparlamentet 2009 fick hon frågan. Borde vi inte stanna upp ett ögonblick, skaffa oss överblick över övervakningsstaten och utvärdera verksamheten?

Svaret blev att det hinner vi inte. Det är 15 år sedan. 15 år av nya och utökade övervakningslagar.

Nu ställs alltså frågan igen – i skriftlig form – av några av landets ledande jurister. Kommer regeringen att bry sig? Förmodligen inte.

Läs mer:
• Lagrådet ifrågasätter övervakningsstaten »

Beatrice Ask, under Europaparlamentets utfrågning 2009

Regeringen och EU fortsätter marschen in i övervakningsstaten

av

Svenska regeringen riskerar säkerheten för hela vår IT-infrastruktur och EU förbereder mer massövervakning.

Häromdagen trotsade regeringen lagrådet och höll fast vid sitt förslag om att göra lagen om hemlig dataavläsning (spionprogram) permanent.

Skälet till att lagen varit tillfällig är att den är kontroversiell. Den lämnar säkerhetsluckor öppna, för att kunna installera nämnda spionprogram.

Då lämnas dessa sårbarheter även öppna för cyberattacker, kriminella och främmande makt. Säkerhetsbrister i vår IT-miljö skall skyndsamt rapporteras in och åtgärdas.

Detta kan inte nog understrykas. Man skapar spionprogram som registrerar allt som sker på eller i närheten av våra telefoner. Som kommer åt alla filer och bilder. Som bygger på säkerhetsluckor som även kriminella, Putin, Kina, terrorister och allehanda galningar kommer att kunna utnyttja för att skada oss.

IT-tekniken känner inga gränser. Byggs det bakdörrar är det inte bara vår rättskaffens europeiska polis som kan använda dem – utan även skurkstater som inget hellre vill än att få tillgång till sina medborgares kommunikationer.

Därav att lagen om hemlig dataavläsning infördes som en tillfällig lag. Den är problematisk. Men nu har man alltså utrett frågan, regeringen har lagt fram ett lagförslag, fått nej från lagrådet men sagt att man kör på ändå.

Lagrådet påpekar att om det nu fungerat så bra med den tillfälliga lagen, varför då inte bara förlänga den med fem år till. Eftersom den fortfarande är problematisk. Lagrådet uttrycker sammanfattningsvis »stor tveksamhet till den föreslagna permanentningen«.

Men inte då. Nu skall lagen göras permanent. Att lagrådet efterlyser en »samlad översyn« av övervakningsstaten, dess verktyg, dessa verktygs risker och dess effektivitet förbigås i sammanhanget med tystnad.

Här någonstans öppnas bakdörrarna till våra digitala liv en efter en. För det är ju inte bara den svenska regeringen som rullar ut massövervakningen.

Till exempel gör EU och dess medlemsstater allt för att komma runt medborgarnas rätt till totalsträckskrypterad kommunikation.

Ett verktyg för att göra det återfinns i ministerrådets senaste version av Chat Control 2. Client Side Scanning. Programmoduler som kontrollerar innehållet i meddelanden redan innan de krypterats och sänts. Spionprogram. På allas telefoner. Och datorer. Och plattor.

Dessutom kommer EU nu att ta fram ett nytt datalagringsdirektiv. EU-domstolen upphävde det förra, då det stred mot grundläggande mänskliga rättigheter. Tanken är att göra oss och våra elektroniska kommunikationer spårbara bakåt i tiden. Alla.

Sammantaget är bilden rätt dystopisk. Detta kan vara ögonblicket då vi på riktigt stiger in i den digitala övervakningsstaten.

Vi får verkligen hoppas att ingen dum och elak människa kommer till makten och använder dessa verktyg för att förtrycka folk. Någonstans. Någonsin.

Läs vår förra bloggpost:
• Lagrådet ifrågasätter övervakningsstaten »

Pressmeddelande:
• Regeringen föreslår att hemlig dataavläsning permanentas »

Going Dark – så vill EU komma åt dina meddelanden och din data

av

Vi har sammanställt allt du behöver veta om EU:s projekt Going Dark – som är tänkt att ge myndigheterna tillgång till medborgarnas meddelanden och data.

Vi har tidigare skrivit om EU:s Going Dark-grupp. Tanken är att komma åt medborgarnas elektroniska kommunikation, särskilt krypterad sådan.

En »High-Level Expert Group« har tillsatts. Den bytte snabbt namn till en »High-Level Group«, då expertgrupper har högre krav på på öppenhet och allsidighet. Deltagarlistan har varit hemlig.

Gruppen är speciellt inriktad på att ge myndigheterna tillgång till krypterad kommunikation och data, geodata och komma åt användning av anonymiseringstjänster som VPN och TOR/darknet.

Man har diskuterat tillgång till data i användarnas enheter (mobil, dator, platta, spelkonsoll etc.), tillgång till data i meddelande-apparnas system samt tillgång till data i transit.

Gruppen har även tagit upp statstrojaner (hemlig dataavläsning) och hur man skall komma runt EU-domstolens förbud mot generell datalagring. (I Sverige har en utredare redan föreslagit ny datalagring och att meddelandeoperatörer skall tvingas att överlämna begärd data i läsbar, det vill säga icke krypterad form.)

Going Dark-projektet var uppe som en informationspunkt i riksdagens EU-nämnd den 1 december 2023. Justitieminister Gunnar Strömmer sa då att…

»Vi som land fortsätter att vara utomordentligt aktiva i detta och i gruppens arbete i syfte att kunna bidra till att det kan presenteras verksamma rekommendationer inför tillträdet av den nya kommissionen hösten 2024 och för att de rekommendationerna sedan ska genomföras.«

EU-nämnden hade inga frågor, åsikter eller kommentarer.

I anknytning till Going Dark-gruppens arbete gick de europeiska polischeferna ut via Europol med uppmaningen »European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out«.

Vad de vill ha är laglig tillgång (lawfull access by design) till kommunikationstjänsternas lagrade data och skanning i realtid efter olagliga aktiviteter i användarnas meddelanden.

I ett 42-punktsprogram vill Going Dark-gruppen nu att meddelande-appar skall certifieras av EU. Man vill ha inflytande över branschens produktprotokoll och tekniska arkitektur.

Gruppen vill ha ny datalagring. Den kräver tillgång till begärd data i läsbar (ej krypterad) form. Data om IP-nummer / port skall också lagras. Detta skall även gälla operatörer som är baserade utanför EU.

Utöver datalagring vill man också ha tillgång till data. (Här kan nämnas att Europols utökade mandat redan ger dem rätt att bereda sig tillgång till data hos privata aktörer. Detta gäller även data om personer som inte är misstänkta för brott.)

Man vill även kunna övervaka dig i din uppkopplade bil – och genom allt annat under rubriken internet of things.

Man efterlyser infrastruktur som är »compatible with the transfer in real time of interception of potentially very large amounts of data of various nature«.

Gruppen har tydligen problem med att komma åt »home routing« via 5G. Därför vill man vara med i utformandet av standarden för 6G. Och så vill man komma åt internettrafik som går via satellit.

Man vill ha ökade resurser, inte bara för att komma åt krypterad data utan även för att utveckla AI-verktyg för dataanalys. (Som Chat Control 2, i sin grundform.)

Gruppen vill även se en mekanism för gränsöverskridande utbyte av information om tekniska sårbarheter som kan utnyttjas för övervakning.

Man kräver »state-of-the-art technological solutions« och en ny researchgrupp för att komma åt totalsträckskrypterad /end-to-end-krypterad kommunikation.

Meddelandeplattformar som inte underkastar sig det ovanstående skall kunna utsättas för administrativa sanktioner och begränsad möjlighet att verka på EU:s marknad.

(När samma resonemang är på tapeten i förslaget om Chat Control 2 föreslås att meddelande-appar som inte lyder order skall förbjudas på de tekniska plattformarnas app-stores.)

Man talar till och med om fängelse för »non-cooperative hosting providers«.

Allt detta och mer därtill hoppas man skall ligga till grund för den nya EU-kommissionens arbete de kommande fem åren.

Här kan det vara på sin plats att konstatera att Europadomstolen i februari slog fast att kryptering är en mänsklig rättighet. Europakonventionen och EU:s egen rättighetsstadga säger att…

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Även EU-domstolen har fattat i sammanhanget principiellt viktiga beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Man kan också konstatera att det inte finns något säkert sätt att komma åt krypterad information utan att också göra den tillgänglig för kriminella, främmande makt och andra aktörer med onda avsikter. Det har gjorts försök. Alla har misslyckats.

Det gäller även client-side-scanning oavsett om den sker på system- eller applikationsnivå. Den kräver svagheter i hård- eller mjukvaran som kan missbrukas. Finns det en bakdörr kommer information om den att läcka. Inte ens CIA och NSA har lyckats hålla sina verktyg hemliga.

Här skall också påpekas att det redan finns verktyg för client-side-scanning på systemnivå (hemlig dataavläsning) som efter prövning kan sättas in mot personer som faktiskt är misstänkta för brott. Men EU:s ministerråd och Europol tycker uppenbarligen att det inte räcker.

Ju mer man gräver ner sig i pappren, ju mer uppenbart blir det att Chat Control 2 inte kan ses som ett isolerat förslag. Det är en del i en större drive för att komma åt privat kommunikation och data. Det handlade aldrig om barnen.

Länkar och resurser:
• High-Level Group “Going Dark” outcome: A mission failure »
• Going Dark expert group – EU’s surveillance forge »
• Going Dark: Ett amerikanskt-europeiskt samarbete för att knäcka privat kommunikation i det dolda. »
• Going dark – EU:s krig mot krypterad kommunikation »
• EU-kommissionen: High-Level Group (HLG) on access to data for effective law enforcement »
• Europol: European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out »
• Europol: Equilibrium between security and privacy: new report on encryption »
• Europadomstolen om rätten till krypterad kommunikation »
• UNHCR: What is Encryption? »
Anti-encryption EU expert group to make access to data a political and technical standard »
• EU-Staaten wollen Zugriff auf verschlüsselte Daten und mehr Überwachung »
First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission
• Going Dark-gruppens 42-punktsprogram »

EU-valet och internets framtid

av

Här är fyra frågor som borde vara aktuella i EU-valet: Chat Control 2, rätten till krypterad kommunikation, EU:s nya hat-förbud och ett nytt datalagringsdirektiv.

• Chat Control 2

EU-kommissionär Ylva Johanssons förslag om att låta AI granska innehållet i medborgarnas elektroniska meddelanden och konversationer – Chat Control 2 – står still.

Ministerrådet kan inte komma överens om någon gemensam kompromiss och Europaparlamentet har sagt nej till alla centrala delar i CC2.

Parlamentets beslut fattades i en unik bred enighet över partigrupperna, med hänvisning till att CC2 strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

På köpet hoppas parlamentet ha gjort sig av med en besvärlig fråga i EU-valrörelsen.

Inte desto mindre måste ett slutligt beslut om CC2 fattas under våren 2026, under nästa EU-mandatperiod. Och kommissionen och ministerrådet biter sig fortfarande fast vid det ursprungliga förslaget.

Socialdemokraterna tycks i huvudsak vara för CC2, även om de tillsammans med sin partigrupp i parlamentet står bakom parlamentets nej (tills vidare). Regeringspartierna är för CC2 i modifierad form, men står även de bakom Europaparlamentets nej.

Man kan ana en viss kognitiv dissonans. Det är uppenbart att man försöker vinna tid och ducka frågan om CC2 till efter EU-valrörelsen.

• »Going dark«

På initiativ av det tidigare svenska EU-ordförandeskapet har EU-kommissionen satt upp en ljusskygg »high level group« för att försöka bereda sig tillgång till totalsträckskrypterad (end-to-end-krypterad, E2EE) kommunikation.

(Från början var det en »high level expert group«, men ordet »expert« togs bort då expertgrupper enligt reglerna har större krav på öppenhet och transparens.)

Detta är en fråga där hela vår IT-säkerhet sätts på spel genom krav på bakdörrar till krypterad kommunikation. Här är både politiken och ordningsmakten pådrivande.

Denna ambition kolliderar dels med Europadomstolens beslut om att kryptering är en del av rätten till privat kommunikation, som är en grundläggande mänsklig rättighet. Dels mot EU-domstolens principiella beslut om att man får övervaka personer som misstänks för brott – men inte alla andra, hela tiden.

I sammanhanget kan noteras att det redan finns verktyg som hemlig dataavläsning för att övervaka personer som misstänks för brott. Vilket då sker med spionprogram på den misstänktes telefon och/eller dator.

Var Going Dark-projektet kommer att landa är oklart. Men det är uppenbart att Europaparlamentet har en viktig kontrolluppgift, så att projektet inte går bortom vad som kan accepteras i en demokratisk rättsstat och inom ramen för de mänskliga rättigheterna.

Europaparlamentet är rent av den enda institution som kan bedriva sådan tillsyn. Så det gäller att välja ledamöter som förstår och intresserar sig för frågan.

• EU:s nya hat-förbud

Under mandatperioden kommer EU att utöka katalogen över »EU-brott« med hat och hot. Andra exempel på EU-brott är terrorism och vapensmuggling.

För att göra detta måste EU:s institutioner komma fram till en definition av brottet och ett minimistraff. I en resolution som nyligen antogs ger Europaparlamentet kommissionen fria tyglar att definiera nästan vad som helst som hat. Detta kan bli helt tokigt.

M+KD+L+C+S+MP+V röstade för resolutionen. De bör avkrävas svar på vilka yttranden de vill förbjuda. Före valet.

Lagstiftningsprocessen kommer att äga rum under den kommande EU-mandatperioden.

• Datalagring

2014 upphävde EU-domstolen EU:s datalagringsdirektiv, för att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Datalagring innebär lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar och mobilpositioner.

Det var i samband med detta beslut som EU-domstolen etablerade principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Många medlemsstater (däribland Sverige) har med olika krumbukter och trots EU-domstolens protester fortsatt sin datalagring ändå. Nyligen föreslog en svensk utredning att den skall utökas. (Vårt remissyttrande.)

Både EU-kommissionen och ministerrådet är inne på att det behövs ett nytt datalagringsdirektiv som rundar domstolens principbeslut. Även detta är en process som kommer att hanteras under den kommande mandatperioden.

Glöm inte fråga dina EU-kandidater vad de tycker i frågorna ovan.

Hur mycket övervakning tål den svenska demokratiska rättsstaten?

av

Övervakningsstaten expanderar snabbt mot en punkt där den blir ett demokratiskt problem. Och regeringen ökar takten.

Det går alltid att finna skäl för mer övervakning. Frågan är dock hur omfattande övervakningsstaten kan bli innan våra medborgerliga rättigheter och vår demokratiska rättsstat hotas.

Det är också värt att komma ihåg att övervakning inte bara handlar om gängkriminalitet, terrorism och andra hot mot vårt samhälle. Storebrorsstaten kan – och kommer – även att drabba vanligt, hederligt folk.

Redan innan Tidö-regeringen var användningen av hemliga tvångsmedel omfattande i Sverige. Men de senaste åren har tempot i lagstiftningsarbetet ökat markant. Här är några exempel på beslut som redan fattats eller är på gång:

• Utökad möjlighet att använda hemliga tvångsmedel

Utvidgning av syfte och metod för en redan omfattande polisiär användning av avlyssning och övervakning.

Man utreder även frågan om ökad användning av hemliga tvångsmedel mot barn och unga.

• Preventiva tvångsmedel

Detta är lagstiftning som tillåter övervakning utan konkret misstanke om brott. Vilket i sig är ett brott mot rättsstatens grundläggande principer.

Nyckelordet i sammanhanget är »konkret«. Regeringen kommer undan med att det ändå i någon mening kan finnas en misstanke om pågående eller framtida brottslig verksamhet.

Med detta balanserar man verkligen på gränsen för vad som är acceptabelt med hänvisning till vad de mänskliga rättigheterna har att säga om rätten till privatliv.

Människor som inte misstänks för brott skall inte övervakas.

• Utökade möjligheter att använda preventiva tvångsmedel

Regeringen har just presenterat en utökning av lagen ovan till att även omfatta mindre allvarlig brottslighet. Tröskeln sätts vid brott som kan antas ge minst tre månaders fängelse.

Idag leder endast tre av tio fall av övervakning till åtal. Vilket antyder att problemet mer handlar om övervakningens kvalitet än dess kvantitet. Här är risken uppenbar att fler oskyldiga kommer att drabbas.

• Lagen om hemlig dataavläsning blir permanent

Hemlig dataavläsning handlar om att installera spionprogram i telefoner, datorer m.m. Enheten kan då användas för avlyssning och kontroll av allt som sker och finns på densamma.

Ett allvarligt problem är att användning av sådana spionprogram bygger på säkerhetsbrister i den programvara, de operativsystem och den IT-infrastruktur som vi alla använder.

För att hemlig dataavläsning skall kunna ske måste dessa säkerhetshål lämnas öppna (istället för att rapporteras in och åtgärdas). Detta öppnar även dörren för nätbedragare, hackare, främmande makt med flera. På så sätt blir vi alla mer sårbara online.

Dessutom lider hemlig dataavläsning av problemet att även oskyldiga människor i den övervakades omgivning kommer att drabbas.

• Mer kameraövervakning

Regeringen vill höja målet för antalet bevakningskameror från 1.600 till 2.400. Dessutom vill man göra det enklare för kommuner och regioner att använda kameraövervakning.

Samtidigt utreds ökad användning av biometri, vilket i detta sammanhang innebär automatiserad AI-stödd ansiktsigenkänning i realtid. Detsamma gäller ökad användning av automatisk avläsning av registreringsskyltar och direktåtkomst till trafikkameror.

• Utökad datalagring

En utredning föreslår att lagringen av metadata om alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m. skall utökas till att även omfatta meddelandetjänster online.

Detta gäller även sådana meddelandetjänster som använder totalsträckskryptering (E2EE). Vilket i så fall kräver ett förbud mot end-to-end-encrytion eller spionprogram i apparna eller på telefonen / datorn (som med hemlig dataavläsning ovan).

Här skall påpekas att EU-domstolen redan 2014 upphävde EU:s datalagringsdirektiv med hänvisning till att det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv.

Enkelt uttryckt fastslog domstolen principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Trots detta fortsätter datalagringen i Sverige och många andra medlemsstater. Vilket EU-kommissionen inte visat några tecken på att ta tag i.

Och så här fortsätter det…

Existerande övervakning utökas ständigt vad gäller syfte och metod. Och nya former av övervakning tillkommer. Vilket står i konflikt med vad de mänskliga rättigheterna har att säga om rätten till privatliv:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Syftet med våra grundläggande mänskliga fri- och rättigheter är att skydda individen mot överheten. Därför skall de inte kompromissas bort eller kringgås.

Det finns inga tecken på att någon tänker stanna upp för att skaffa sig en helhetsbild av den svenska övervakningsstaten. Politikerna är inte ens intresserade av att utvärdera om den övervakning vi redan har är ändamålsenlig och fyller sitt syfte.

Därtill kan man lägga andra förslag som inte direkt handlar om övervakning men som ändå är högst problematiska i en demokratisk rättsstat. Till exempel anonyma vittnen.

Allt detta är sådant som kan användas av en framtida auktoritär regim för att kontrollera och förtrycka folket. Flera regeringar i EU har redan blivit påkomna med att ha planterat spionprogram i oppositionens och journalisters telefoner.

Det behövs inte ens ont uppsåt. Det räcker med dumhet, inkompetens, girighet, missriktad välvilja eller en dålig dag på jobbet för att olika övervakningsverktyg skall kunna användas på ett sätt som är förödande för den enskilde.

Naturligtvis krävs krafttag mot kriminella som kränker andras frihet, säkerhet och egendom. Men det måste gå att göra utan att upphäva de principer som är grundpelare för vår demokratiska rättsstat.

Europadomstolen: Totalsträckskryptering är en mänsklig rättighet

av

Europadomstolen försvarar rätten till totalsträckskrypterad kommunikation. Detta sätter käppar i hjulet för det svenska utredningsförslag som vill avskaffa den.

Europadomstolen för de mänskliga rättigheterna (ej att förväxla med EU-domstolen) har nu slagit fast att myndigheterna inte har rätt att kräva ut nätanvändares totalsträckskrypterade (E2EE) kommunikation i läsbar form.

Domstolen slår alltså fast rätten till säker totalsträckskrypterad kommunikation.

Europadomstolen delar även EU-domstolens uppfattning om att datalagring (lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.) strider mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Detta menar domstolen även gäller meddelandetjänster.

Domen är extra intressant för oss i Sverige. Här har en utredning nyligen föreslagit att:
i) datalagringen bör utökas till att även omfatta meddelandetjänster
ii) dessa på begäran skall tvingas lämna ut innehåll i elektronisk kommunikation till myndigheterna i läsbar form.

Båda dessa förslag säger alltså Europadomstolen nej till. Utöver deklarationen om de mänskliga rättigheterna hänvisas till flera principiella uttalanden av Europarådet (till vilket Europadomstolen är kopplad). Europarådet består av fler europeiska länder än EU och är organisationen bakom Europakonventionen om de mänskliga rättigheterna.

Vad gäller den andra punkten menar domstolen helt korrekt att en operatör inte kan bereda sig tillgång till en användares totalsträckskrypterade meddelanden utan att samtidigt undergräva möjligheten till säker E2E-kryptering för alla.

Detaljerna i fallet rör meddelande-appen Telegram. Även om dess default-läge bara är kryptering mellan användare och meddelandeserver kan användare slå på totalsträckskryptering, vilket här är fallet.

Målet är mellan användare och ryska staten. Även om Ryssland lämnat Europarådet strax efter invasionen av Ukraina påbörjades ärendet tidigare och rör perioden då landet fortfarande var med.

Ärendet är av principiell betydelse och domen gäller alla Europarådets medlemsstater. Den är sprängstoff med tanke på att EU just nu försöker finna nya former för datalagring och för att kringgå totalsträckskrypterad kommunikation.

Det skall även bli intressant att se hur detta kommer att påverka utformningen av ny svensk lagstiftning om datalagring. Sådan kommer att bli nödvändig, då den nuvarande svenska lagen (trots att den skrevs om) fortfarande bryter mot den princip som slagits fast av EU-domstolen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Länkar:
• Europadomstolens dom »
• Inlaga i processen från European Information Society Insitute (EISi) »

Relaterat från denna blogg:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Striden om ett nytt datalagringsdirektiv i EU »
• Going dark – EU:s krig mot krypterad kommunikation »