USA:s Attorney General mullrar mot Apples försvar av användarnas rätt till privatliv och säkerhet

Attorney General Bill Barr uttrycker sig i hotfulla termer efter att Apple inte velat – och inte kunnat – låsa upp en misstänkt skytts telefon. Detta trots att FBI lyckats låsa upp telefonen i fråga utan Apples hjälp. Barr hotar nu med lagstiftning för att skapa en bakdörr. Och Apple slår tillbaka:

»It is because we take our responsibility to national security so seriously that we do not believe in the creation of a backdoor — one which will make every device vulnerable to bad actors who threaten our national security and the data security of our customers.«

»There is no such thing as a backdoor just for the good guys, and the American people do not have to choose between weakening encryption and effective investigations.«

Detta är ett ställningskrig som pågått länge nu. Myndigheterna hoppas kanske vinna genom att ständigt återkomma med sina krav om bakdörrar, som något slags utmattningstaktik. Men eftersom det skulle hota säkerheten för alla användare måste teknikföretagen stå fast och säga nej.

Men detta är inte det enda hotet från den amerikanska staten mot nätanvändarnas rätt till privatliv. Vox skriver:

»Barr raising the legislative solution specter is well-timed. A bipartisan bill called the EARN IT Act, which would essentially force platforms like Facebook, Reddit, and even end-to-end encrypted apps like WhatsApp and Signal to give the government a backdoor to any and all customer information is currently making its way through the Senate. There’s also the bill reauthorizing the Patriot Act, for which a painfully close Senate vote defeated an attempt to exclude web search history and browser information from warrantless surveillance by the FBI. The bill, once resolved by the House and Senate, will go to President Trump’s desk to sign.«

I sammanhanget skall man komma ihåg att lagar som rör övervakning i USA har en förmåga att leta sig över till EU med tiden. Vilket bland annat kan bero på ett nära underrättelsesamarbete (i vilket Sverige tycks spela en framträdande roll).

Vox: Why Attorney General Bill Barr is mad at Apple »

Så rullas kontroll- och övervakningsstaten ut i corona-krisens spår

Förra veckan ställde vi frågan om vi kanske ändå kan bli påtvingade corona-appar – om vi vill ut och resa. Och häromdagen dök detta upp hos Politico:

»As the U.K. rolls out a coronavirus contact-tracing app, its government is already considering another technological tool to help loosen lockdown restrictions — the immunity passport.

The idea behind so-called digital “passports” is that they would allow people who have recovered from the coronavirus to signal their immunity and thus move around freely, enabling economies to open up.

But there are fears such a system, which is at a preliminary stage of discussion with the developer, could lead to discrimination, create perverse incentives to get infected, and violate privacy.

The scheme also relies on reliable antibody testing and enough kits for large-scale testing — neither of which exist, yet. Not to mention that health experts don’t know whether immunity to the coronavirus even exists and, if it does, how long it lasts.«

Något liknande kommer förmodligen även att rullas ut i EU, för att göra resor mellan medlemsstaterna möjliga.

Vilket – i så fall – innebär att man först måste bli smittad, sjuk och friskförklarad innan man återfår sin frihet att resa. Till att börja med är detta en inskränkning av våra grundläggande fri- och rättigheter som EU-medborgare. Dessutom kommer det att leda till massor av oförutsedda och oönskade konsekvenser och (som texten ovan nämner) till absurda incitament i människors beslutsfattande.

Den som vill ha en översikt över vilka länder som rullar ut corona-appar och hur de fungerar kan gå till denna sammanställning hos MIT Technology Review.  Än så länge finns 23 länder på listan, varav bara fem verkar ha valt den Apple/Google-lösning som anonymiserar användaren.

Och i Singapore har man även sänt ut Boston Dynamics robot-hund för att upprätthålla socialt avstånd i parkerna.

I sammanhanget vill vi rekommendera SR Vetenskaps program »Corona och övervakningen – Hälsan före allt«, med bland andra Yuval Noah Harari.

»I USA och Australien ska man nu börja använda vad som kallas för pandemidrönare. Det är drönare utrustade med värmekameror som kan känna av om du har feber. Tack vare artificiell intelligens kan de också utifrån kamerabilder, läsa av både hjärtslag, andning och i en folksamling upptäcka personer som nyser eller hostar.« (…)

»Förutom drönare handlar det om appar för smittspårning, och utegångsförbud som övervakas med hjälp av ansiktsigenkänning. Ofta sker det här i demokratiska länder där det tidigare ansetts otänkbart.«

Avsnitt ett sändes idag. Del två sänds i morgon i P1, efter tolvslaget.

Läs mer » | Lyssna till avsnitt 1 »

Ur programmet:

«Problemet är att när krisen väl är över, så visar forskning att det är svårt att göra sig av med de nya övervakningssystemen och att de istället blir permanenta. Christel Backman är forskare inom övervakningsstudier vid Göteborgs universitet.

– Vi vänjer oss vid övervakningssystemen under kristiden och vi kanske också upplever att de skyddar bra mot någon typ av hot. Och så tenderar vi kanske snarare att utvidga användningsområdena för det här, som från början var exceptionella åtgärder, snarare än att vi backar eller tar bort dem, säger hon.«

Corona-krisen verkar alltså bli den ursäkt som behövdes för att rulla ut övervakningsstaten ytterligare.

Kommer vi ändå att bli påtvingade en corona-app – för att få resa?

EU:s medlemsstater oroas av att corona-krisen kommer att drabba turismen, som står för 10-15% av BNP i många sydeuropeiska länder. Alla tele- och videomöten till trots, så måste affärsfolk, tekniker och andra resa. Jordbruket behöver säsongsarbetare från andra länder. Och flygbranschen är på väg utför ett stup.

Alltså måste flygresandet komma igång igen. För att det skall kunna ske måste EU-länderna enas om något slags smittokontroll, för att undvika att alla som reser måste själv-isolera sig i veckor när de landat. Det handlar också om att folk skall våga sätta sig på ett flygplan (eller ett tåg) med vilt främmande människor.

Då finns några olika alternativ. Ett är en gemensam databas över alla som har tillfrisknat och har antikroppar och därmed anses kunna resa utan att sprida. smitta. Ett annat är en EU-gemensam app för smittspridningskontroll och resande. Man kan även tänka sig att alla som har antikroppar kommer att förses med något slags ID-kort eller passersedel. Eller kanske något annat.

Oavsett vilket – något kommer att göras på EU-nivå, eftersom resandet måste komma igång igen. Och i vart fall de uppenbara alternativen är på olika sätt problematiska.

Min gissning är att det blir något slags app – som på kinesiskt manér kommer att avgöra om vi får resa eller ej. Eller möjligen om man dammar av idén om ett EU-ID-kort – vilket i så fall närmast kommer att bli ett inrikespass.

Allt högtidligt tal om Europas öppna gränser till trots, så vill politiker och myndigheter ha kontroll på hur folk reser. Detta visar inte minst de PNR-system som registrerar våra flygresor – och som långsamt håller på att utvidgas även till resor med tåg och buss, bilhyror och hotellövernattningar.

Och ett EU-ID-kort har diskuterats länge – bland annat för att identifiera alla som kopplar upp sig på internet.

Framtidens Europa kan bli en kontinent där vi får blippa oss fram.

GDPR – för dyrt även för staten?

EU:s dataskyddsförordning – GDPR – har ett mycket vällovligt syfte: Att skydda medborgarnas persondata.

Men för många förtag har GDPR medfört kostnader och krångel. Samtidigt tycks de flesta användare slentrianmässigt klicka OK på alla relaterade dialogrutor som kommer upp, ofta utan att läsa vad det handlar om.

Och nu visar det sig att även EU:s medlemsstater tycker att GDPR håller på att bli för dyrt. Irish Times skriver:

»Digital privacy regulations introduced in Europe nearly two years ago are in danger of failing because regulators have not been properly resourced, a new report claims.

As the second anniversary of the introduction of General Data Protection Regulation (GDPR) nears, the study claims regulators are not being given the tools they need to enforce it.«

Och de natioinella dataskyddsmyndigheterna lär knappast få mer pengar nu, efter den ekonomiska kraschen till följd av corona-krisen.

Irish Times: GDPR at risk of failing due to underfunding of regulators, study finds »

Cybersäkerhets-experter varnar för brittisk corona-app

Storbritannien och Frankrike har som bekant valt en mer centraliserad modell för sina smittspårnings-appar. Nu varnar 177 cybersäkerhets-experter den brittiska regeringen.

TLDR:

  • 177 cybersecurity and privacy experts have signed an open letter to the UK government asking it to ensure the contact tracing app it’s deploying to track the spread of coronavirus doesn’t then get used as a mass-surveillance tool.
  • The UK announced this week it was eschewing Apple and Google’s contact-tracing API to build its app, which will process users’ data centrally.
  • Experts warn this could create a database that could then be used to de-anonymize users.

Nyckelcitat:

”Such invasive information can include the ’social graph’ of who someone has physically met over a period of time. With access to the social graph, a bad actor (state, private sector, or hacker) could spy on citizens’ real-world activities. We are particularly unnerved by a declaration that such a social graph is indeed aimed for by NHSX,” the experts write.

Länk: 170 cybersecurity experts warn that British government’s contact tracing app could be used to surveil people even after coronavirus has gone »

Bra att veta innan du laddar ner den senaste corona-appen

Piratpartiet har en bra översikt av den nya smittspridningsapp som nu lanseras i Sverige, baserad på den brittiska Covid-19 Symptom Tracker. Här är några saker att tänka på för den som kanske funderar på att ladda ner den.

  1. Data kan lämnas ut till amerikanska aktörer.
  2. Zoe är inte speciellt tydliga med vilka uppgifter om appanvändarna som man faktiskt samlar in.
  3. Insamlad data delas med flera andra aktörer än de svenska forskare man kan ledas att tro tar del av den.
  4. Zoe anger inget slutdatum för lagring av hälsodatan.
  5. Man delar ospecificerade personuppgifter med en stor mängd tredjepartsaktörer.
  6. Man länkar inte till källkoden för appen någonstans på sin officiella sida.

Läs mer här: Ny svensk corona-app »

Corona-appar: Väljer Sverige den decentraliserade eller centraliserade vägen?

Corona-krisen är inte så tillfällig som vi kanske först trodde. Nu talas om smittspårning som kan pågå i åratal – och corona-appar som verktyg för detta.

Här finns olika vägar att gå.

Tyskland har valt att inte gå vidare med en egenutvecklad app, efter kritik mot att den skulle kräva centralt lagrad data. Istället väljer man det verktyg som utarbetats av Apple och Google. De två företagen har visserligen fåt kritik för sin hantering av persondata genom åren. Men deras lösning kräver ingen central lagring – och är enligt dataskyddsexperter den som bäst skyddar individens rätt till privatliv. Länk: Germany switches to Google and Apple on virus tracing app over privacy concerns »

Storbritannien tycks å andra sidan vilja gå fram med en centraliserad app, som kommunicerar direkt med National Health Services servrar. Enligt BBC har NHS fått hjälp i utvecklingen av GCHQ, som är britternas myndighet för massövervakning och nära partner med amerikanska NSA. Vilket naturligtvis väcker väcker frågor som rör säkerhet och övervakning i mer allmänna termer. Länk: UK’s centralized contact tracing corona app aided by UK intelligence agency »

Här håller det på att uppstå en spricka mellan länder som väljer en decentraliserad lösning (Tyskland, Schweiz, Österrike, Estland m.fl.) och de som går på den centraliserade linjen (Storbritannien, Frankrike m.fl.).

Utöver de uppenbara integritetsfrågorna kan det även bli problematiskt med olika lösningar i olika länder – om apparna kopplas till människors möjlighet att resa över gränserna.

Frågan är hur Sverige tänker göra. Allt som rapporterats i media är att Myndigheten för samhällsskydd och beredskap arbetar med frågan – och att Amazons serverparker har nämnts som tänkbar partner för lagring.

Vad gäller det senare vore det olyckligt. För även om Amazon har serverparker i Sverige, så är företaget fortfarande amerikanskt och omfattas därmed av the cloud act – som ger de amerikanska myndigheterna tillgång till all lagrad data.

En annan aspekt är Sveriges traditionellt mycket nära samarbete med brittiska GCHQ och amerikanska NSA. En fråga vi måste ställa oss är om sådant kan bidra till att vi väljer den brittiska modellen för vår corona-app.

I grund och botten är det ett val mellan pest och kolera. Men Apple/Google-lösningen verkar vara den minst dåliga. Dessutom är det den som har bäst förutsättningar att bli internationellt accepterad – vilket kommer att vara värdefullt för den som vill ut och resa.

Nu är det läge att kräva korten på bordet om den svenska lösningen – för att undvika att ställas inför fullbordat faktum.

EU:s plan för internet – reglera allt!

EU gav oss dataskyddsförordningen – GDPR – med det förvisso vällovliga syftet att skydda medborgarnas persondata. Men i praktiken blev det massor av krångel och kostnader för EU:s företag – och ledde till att många utländska siter blockerades för europeiska användare. Sedan kom det nya upphovsrättsdirektivet – som kommer att leda till galenskaper som länkskatt och uppladdningsfilter. Galenskaper som får företag som Youtube att överväga att helt lämna den europeiska marknaden. Snart klubbas dessutom förordningen om terror-relaterat innehåll online – som kommer att resultera i nätcensur och ännu en grund för uppladdningsfilter.

Men detta är bara början. Just nu pågår arbetet med EU:s nya Digital Services Act. Där kommer man att ägna sig åt micro management och reglera allt man kan komma på. En snabb genomläsning av EU-kommissionens vitpapper och Europaparlamentets utkast till rapport ger vid handen att EU nu tänker styra och ställa över bland annat följande.

EU-kommissionens vitpapper (mina boldningar av saker att vara extra uppmärksam på):

  • Gemensamma EU-regler mot hat och hot på nätet
  • Digitala kommunikationssystem
  • Ett ekosystem av excellens och tillit för artificiell intelligens baserad på europeiska värderingar
  • Kvant-teknologi
  • Användning av persondata
  • Åtgärder mot cyber-brottslighet
  • Hållbara, cirkulära och klimatneutrala IT-lösningar
  • Värdegundsbaserade digitala lösningar
  • Europeisk digital suveränitet och självständighet mot omvärlden anpassad till den europeiska sociala modellen
  • Hållbar datainfrastruktur, nätverk och kommunikationer
  • Egna, europeiska regler och värderingar för en digital tid
  • Öppenhet, men bara för icke-EU-aktörer som följer EU:s regler och förordningar
  • Bättre beslutsfattande baserat på publik icke-personlig data
  • Utrullning av digital teknik som gör skillnad i människors liv och som respekterar europeiska värderingar
  • En gemensam marknad för digital teknologi, produkter, tjänster – och data
  • Samordnad forskning och utveckling
  • Digitaliserad offentlig administration
  • Investeringar i strategisk kapacitet
  • Interoperabilitet vad gäller kapacitet och utveckling av digital kapacitet
  • 5G och 6G
  • Gigabit-anslutningar
  • Stimulera digital utveckling genom EU:s strukturfonder och en »kapitalmarknads-union« syftande till 14% extra tillväxt till år 2030
  • Regler och strategier för digital säkerhet, bland annat genom nya verktyg för polis och rättsväsende
  • Ett digitalt utbildningslyft, speciellt för kvinnor
  • Lagskydd och reglering för arbetare i den digitala ekonomin
  • En mer digital, miljövänlig, cirkulär industri
  • Uppmärksamhet mot vissa digitala plattformars dominerande ställning
  • Översyn av nätets »gratis« tjänster
  • Ett grönt perspektiv i den digitala konkurrenslagstiftningen
  • Balans mellan handel online och offline
  • Samordning av medlemsstaternas satsningar på en digital och grön europeisk framtid
  • Granskning av nya marknader
  • Reglering för att garantera konkurrens, rättvisa, innovation och allmänintresse bortom ekonomiska överväganden
  • En rättvis digital ekonomi
  • Hårdare regler för beskattning av gränslöst nätbaserat företagande
  • Regler baserade på europeiska värderingar och miljömässiga normer för den digitala världen
  • Klargörande av plattformars roll och ansvar
  • Införande av en internationellt accepterad allmän elektronisk identitet (eID)
  • En European Democracy Action Plan mot fake news och desinformation
  • Smarta el-system för ett fossilfritt Europa
  • Klimatneutrala datacenter och telekommunikationer till år 2030
  • Fullt återvinningsbar digital utrustning
  • Digitaliserade sjukjournaler med enhetlig standard samlade i ett centralt European health data space
  • Stimulera tillgång till innehåll (content) av hög kvalitet och mediepluralism
  • Utveckla en digital kopia av Jorden för miljöprognoser och krishantering
  • En stark digital närvaro i EU:s utvidgning
  • Digital utveckling av Afrika genom en  EU-African Union Digital Economy Task Force
  • Göra GDPR till global standard
  • Europeiskt ledarskap vad gäller ny teknik, blockchain, super computing, kvant-teknologi, algoritmer och verktyg för att dela och använda data
  • Upprätta en Global Digital Cooperation Strategy, för digital innovation baserad på hållbara utvecklingsmål, Digital4Development och kapacitetsbyggande
  • En Digital for Development Hub byggd på europeiska värderingar bestående av EU:s medlemsstater, industri, civila organisationer, finansiella institutioner och digitaliseringsexperter med syfte att konsolidera en sammanhållen EU-approach
  • »A digital society based on European values and European rules – that can truly inspire the rest of the world«

Europaparlamentets utkast till rapport:

  • Upprätthållande av eHandels-direktivets principer om bl.a. budbärarimmunitet och förbud mot generell övervakning
  • »Socialt skydd« och skydd för arbetare inom plattforms- och samarbetsekonomin
  • Sätta standarden för den digitala miljön, inte bara i Europa utan även globalt
  • Klargöra information society services providers och online-plattformars sociala ansvar för att skydda användare och samhället
  • Balansera den inre marknadens frihet mot grundläggande rättigheter och principer
  • Skydd mot orättfärdig prissättning och orättvisa villkor
  • Stärkta krav vad gäller »minimum information requirements on commercial communications«
  • Krav på att den som tillhandahåller tjänster online skall leva upp till en miniminivå vad gäller information om deras affärskunder och samarbetspartners samt »minimum information requirements on commercial communications«
  • Krav på ökad transparens och information vad gäller internet service providers, under hot om vite
  • Övervakning av algoritmer och deras risker
  • Hjälpa individen att få tillgång till diversifierat innehåll, åsikter samt produkter och tjänster av hög kvalitet
  • Rätt för individen att överklaga samt i förekommande fall få skadestånd på grund av felaktiga automatiserade beslut
  • En »justerad approach« för att mer effektivt hålla efter olagligt innehåll online
  • Ytterligare åtgärder – bortom frivilligt samarbete – för att bekämpa olagligt innehåll
  • EU-gemensamma regler för att avlägsna olagligt innehåll
  • Åtgärder mot online-försäljning av produkter som inte lever upp till EU:s produktbestämmelser och konsumentskydd
  • Sänkta barriärer för små företag för att etablera sig på en uppkopplad marknad
  • Ökad övervakning och samarbete mellan medlemsstaterna för att upprätthålla den nya Digital Services Act
  • En EU-central regleringsmyndighet bör uppräöttas, med befogenhet att utreda och upprätthålla the Digital Services Act
  • I rapportens del om definitioner vill man ha ett klargörande av om/hur the Digital Services Act även omfattar sociala medienätverk, crowd funding, sökmotorer, wifi hotspots, annonsering online, content delivery networks och domain name servers (DNS)

Ömsom vin, ömsom vatten. En del giftpiller. Mycket varm luft och en del saker som är direkt obegripliga. Och då har jag ändå bara skummat de viktigaste delarna av de två dokumenten.

Det första som slår mig är hur man vill lagstifta utifrån hur internet ser ut just idag – istället för att etablera allmängiltiga principer. Vilket kan komma att leda till att the Digital Services Act kommer att vara inaktuell redan när den klubbas.

Det är också intressant att se hur man tycks mena att det är politik, centralstyrning och enhetlighet som bygger en levande och framgångsrik digital industri. Samtidigt satsar resten av världen på spontan utveckling, entreprenörskap, frivilligt samarbete och en utveckling som drivs av människors behov. Risken är att EU – istället för att ligga i framkant – kommer att hamna på efterkälken om den politiska och administrativa styrningen blir allt för påträngande.

Dessutom tycks man helt bortse från att internet till sin natur är globalt – och inte känner några gränser. För att upprätthålla ett regelverk som detta kräves i princip en europeisk digital järnridå.

Framgångsrikt företagande uppstår sällan ur politisk micro management. Och vi har – som sagt – redan drivit entreprenörer och riskkapital bort från EU med lagstiftning som GDPR och upphovsrättsdirektivet.

Visst behövs viss lagstiftning, som gemensamma spelregler. Men the Digital Services Act tycks gå mycket längre än så.

/ HAX

Frågor som behöver besvaras innan vi rullar ut corona-apparna

Den tyske ledamoten av Europaparlamentet, Patrick Breyer (Pp), ställer några av de frågor som behöver besvaras – innan vi rusar in i en situation där våra liv kommer att styras av en corona-app:

»The concept for warning apps has been carefully designed with privacy in mind, but little thought has been given to the follow-up to warnings: The apps are likely to notify tens or hundreds of thousands of people who have been out to work, for shopping etc. It will not be possible to test all of those. The effect may be little more than widespread concerns or even panic.

Also human contact is but one infection risk. The public should not be mislead into believing that an app will protect them.

Finally, can we really trust all governments to keep the use of the apps voluntary, having experienced over and over the continuous expansion of surveillance policies?

The key to containing the virus really is for everybody to protect themselves, isolating infected persons as well as wide-spread testing.«

Patrick Breyer »