Femte juli

Nätet till folket!

Hemlig dataavläsning

Hemlig dataavläsning handlar om att myndigheterna tillåts installera spionprogram på människors datorer och digitala enheter. För att detta skall vara möjligt krävs att man utnyttjar säkerhetsluckor - som då förblir öppna och även kan användas av till exempel kriminella och andra illasinnade aktörer. Säkerhetsluckor bör istället rapporteras in och åtgärdas, för allas vår säkerhet.

Regeringen och EU fortsätter marschen in i övervakningsstaten

av

Svenska regeringen riskerar säkerheten för hela vår IT-infrastruktur och EU förbereder mer massövervakning.

Häromdagen trotsade regeringen lagrådet och höll fast vid sitt förslag om att göra lagen om hemlig dataavläsning (spionprogram) permanent.

Skälet till att lagen varit tillfällig är att den är kontroversiell. Den lämnar säkerhetsluckor öppna, för att kunna installera nämnda spionprogram.

Då lämnas dessa sårbarheter även öppna för cyberattacker, kriminella och främmande makt. Säkerhetsbrister i vår IT-miljö skall skyndsamt rapporteras in och åtgärdas.

Detta kan inte nog understrykas. Man skapar spionprogram som registrerar allt som sker på eller i närheten av våra telefoner. Som kommer åt alla filer och bilder. Som bygger på säkerhetsluckor som även kriminella, Putin, Kina, terrorister och allehanda galningar kommer att kunna utnyttja för att skada oss.

IT-tekniken känner inga gränser. Byggs det bakdörrar är det inte bara vår rättskaffens europeiska polis som kan använda dem – utan även skurkstater som inget hellre vill än att få tillgång till sina medborgares kommunikationer.

Därav att lagen om hemlig dataavläsning infördes som en tillfällig lag. Den är problematisk. Men nu har man alltså utrett frågan, regeringen har lagt fram ett lagförslag, fått nej från lagrådet men sagt att man kör på ändå.

Lagrådet påpekar att om det nu fungerat så bra med den tillfälliga lagen, varför då inte bara förlänga den med fem år till. Eftersom den fortfarande är problematisk. Lagrådet uttrycker sammanfattningsvis »stor tveksamhet till den föreslagna permanentningen«.

Men inte då. Nu skall lagen göras permanent. Att lagrådet efterlyser en »samlad översyn« av övervakningsstaten, dess verktyg, dessa verktygs risker och dess effektivitet förbigås i sammanhanget med tystnad.

Här någonstans öppnas bakdörrarna till våra digitala liv en efter en. För det är ju inte bara den svenska regeringen som rullar ut massövervakningen.

Till exempel gör EU och dess medlemsstater allt för att komma runt medborgarnas rätt till totalsträckskrypterad kommunikation.

Ett verktyg för att göra det återfinns i ministerrådets senaste version av Chat Control 2. Client Side Scanning. Programmoduler som kontrollerar innehållet i meddelanden redan innan de krypterats och sänts. Spionprogram. På allas telefoner. Och datorer. Och plattor.

Dessutom kommer EU nu att ta fram ett nytt datalagringsdirektiv. EU-domstolen upphävde det förra, då det stred mot grundläggande mänskliga rättigheter. Tanken är att göra oss och våra elektroniska kommunikationer spårbara bakåt i tiden. Alla.

Sammantaget är bilden rätt dystopisk. Detta kan vara ögonblicket då vi på riktigt stiger in i den digitala övervakningsstaten.

Vi får verkligen hoppas att ingen dum och elak människa kommer till makten och använder dessa verktyg för att förtrycka folk. Någonstans. Någonsin.

Läs vår förra bloggpost:
• Lagrådet ifrågasätter övervakningsstaten »

Pressmeddelande:
• Regeringen föreslår att hemlig dataavläsning permanentas »

Mer ändamålsglidning för FRA

av

Försvarets Radioanstalt (FRA) ska få utökad möjlighet att hacka mobiler och datorer. Man ska i vissa fall även få avlyssna kommunikationer inom Sverige.

I vad som liknar polisens hemliga dataavläsning föreslår en utredning att FRA ska få hacka mobiler och datorer (»aktiv signalspaning«). Dagens Nyheter skriver:

»Utredningen föreslår också en lagtext som medger att FRA ska få utnyttja tekniska sårbarheter, förbiseenden och inbyggda åtkomstmöjligheter i nätverk för att komma åt lagrade signaler.«

På samma sätt som med hemlig dataavläsning lämnar man alltså säkerhetsluckor öppna för att kunna installera spionprogram och komma åt filer. Luckor som då även kan användas av cyberbrottslingar, av främmande makt och av andra illvilliga aktörer.

Detta drabbar inte bara kriminella utan oss alla, i form av försämrad säkerhet. Hur rent mjöl man än har i sin påse kanske man inte vill ge nätbrottslingar och spioner tillgång till det.

Tydligen pågår FRA:s intrång redan. Vad utredningen föreslår att det mer tydligt ska framgå att detta är lagligt. Vilket tyder på att man idag rör sig i en gråzon. DN skriver vidare…

»Utredningen vill också se en större förändring: att FRA i vissa specialfall ska få lyssna av två personer som båda befinner sig i Sverige. Dagens lagstiftning kräver att den ena parten befinner sig i utlandet.«

Att övervaka elektronisk kommunikation som helt och hållet sker inom landet har alltid varit ett stort no-no för FRA. Sådant skall skötas av polisen och Säpo.

Så här skrev dåvarande FRA-chefen Ingvar Åkesson i Svenska Dagbladet under den stora FRA-striden sommaren 2008 – om uppgifterna om att FRA kan komma att spana på inrikes kommunikationer…

»En vidrig tanke. Hur kan så många tro att en demokratiskt vald riksdag skulle vilja sitt folk så illa?«

Nu är vi där. Visserligen sägs det handla om nödsituationer och specialfall. Men vi vet att alla övervakningslagar utökas med tiden.

För inte så länge sedan passerades en annan av FRA-debattens röda linjer. Då gav man myndigheten rätt att även spana åt utländsk underrättelsetjänst. (Vilket var extra kontroversiellt innan vi gick med i Nato.)

Tyvärr är inget av detta särskilt förvånande. Ironiskt nog drivs frågan av en justitieminister som när det begav sig var en av FRA:s kritiker.

Länk:
• Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59 »

Lagrådet ifrågasätter övervakningsstaten

av

Lagrådet är inte bara kritiskt till regeringens förslag om att göra lagen om hemlig dataavläsning permanent. De höga juristerna vill även se en samlad utvärdering av övervakningsstaten.

»Vad den sammantagna regleringen – med den förhållandevis omfattande övervakning som den möjliggör – innebär för ett demokratiskt samhälle har kommit att falla utanför de enskilda lagstiftningsärendena.«

Så skriver lagrådet om regeringens förslag om att göra lagen om hemlig dataavläsning permanent.

Vilket är precis vad vi tjatat om i ett årtionde: Tänk dig en skala från noll till 100. Noll är ingen övervakning alls. 100 är total övervakning av alla överallt hela tiden. Var på skalan befinner vi oss idag? Vid vilken punkt hotar den ständigt expanderande övervakningen vårt fria, demokratiska samhälle? Borde vi inte diskutera detta?

Lagrådet skriver:

»Frågan om i vilken utsträckning den enskilde ska behöva tåla övervakning av det slag som hemliga tvångsmedel innebär måste emellertid enligt Lagrådets mening också bedömas samlat med beaktande av den samlade övervakning som den enskilde kan utsättas för. Lagrådet anser därför att det är synnerligen angeläget att det inom en snar framtid görs en samlad översyn, i ljuset av 2 kap. 6 § andra stycket regeringsformen och artikel 8 i Europakonventionen, av hur hemliga tvångsmedel ska kunna användas.«

Det aktuella stycket i regeringsformen (som är en grundlag) säger:

»Var och en är gentemot det allmänna skyddad (…) mot kroppsvisitation, husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande.

Utöver vad som föreskrivs i första stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.«

Och i Europakonventionen om de mänskliga rättigheterna säger huvudregeln:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Vilket förtydligats av EU-domstolen när den upphävde EU:s datalagringsdirektiv: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Lagrådet oroas inte bara över den ständigt expanderande övervakningsstaten. Man ifrågasätter även behovet av att göra den tidsbegränsade lagen om hemlig dataavläsning permanent. Den måste ju vara precis lika användbar för myndigheterna oavsett om den är tidsbegränsad eller permanent.

I Aftonbladet skriver Oisín Cantwell:

»Således plockades än en gång ett av politikens smartaste och fulaste knep fram, att låtsas införa kontroversiella nya lagar på försök. Ett användbart trix då tunga remissinstanser går i taket och det lilla antalet ledarskribenter som ännu kan stava till ett ord som integritet morrar. Fem år är den vanliga prövotiden och när den väl har gått har alla vant sig vid den nya ordningen och ingen orkar längre protestera.«

Lagrådet:

»Lagrådet kan dock inte se att en tidsbegränsad förlängning, i stället för en permanentning av lagen, skulle kunna innebära några nackdelar för brottsbekämpningen. Lagrådet vill därför uttrycka stor tveksamhet till den föreslagna permanentningen

Man synar med andra ord tricket att smyga på oss övervakningslagar genom att första »bara« göra dem tillfälliga.

Uppdatering: Regeringen bortser från lagrådets invändningar och går vidare med sitt förslag till riksdagen »

Länkar:
• Lagrådets yttrande »
• Dagens Juridik: Lagrådet: ”Stor tveksamhet kring permanentering av hemlig dataavläsning” »
• Aftonbladet / Oisín Cantwell: Rikets högsta jurister har tröttnat på övervakningen »

Bakgrund, hemlig dataavläsning:
• Regeringens hemliga dataavläsning hotar vår säkerhet »

Regeringens hemliga dataavläsning hotar vår säkerhet

av

Regeringen gör hemlig dataavläsning permanent. Samtidigt medför den allvarliga risker för allas vår IT-säkerhet.

Regeringen tänker göra hemlig dataavläsning (polisens spaning med spionprogram på misstänktas telefoner och datorer) permanent. Att lagen hittills bara varit tillfällig antyder hur kontroversiell den är.

Ett uppenbart problem med hemlig dataavläsning är att polisen behöver säkerhetsluckor i hård- och mjukvara för att kunna installera sina spionprogram. Därför lämnas sådana luckor öppna istället för att rapporteras och åtgärdas. På så sätt utsätter man oss alla för en risk – då inget hindrar att nätbrottslingar, främmande makt och andra ondsinta aktörer använder samma säkerhetsluckor.

Information om säkerhetsbrister sprids alltid. Inte ens den amerikanska underrättelseindustrin lyckas hålla sina verktyg hemliga. Om man lämnar säkerhetsluckor öppna utan åtgärd kommer de att utnyttjas av andra.

Övervakningslagar utökas alltid med tiden. Därför är det inte förvånande att regeringen även vill att hemlig dataavläsning skall kunna användas i fler fall och på nya sätt.

Dessutom bör det nämnas att hemlig dataavläsning på till exempel en mobiltelefon kan komma att utsätta många icke misstänkta i den övervakades omgivning för övervakning.

• Regeringens pressmeddelande »
• Justitieministerns Powerpoint »
• Lagrådsremiss (PDF) »

Sverige och Danmark har redan de verktyg för övervakning som krävs

av

Sverige och Danmark kräver tillgång till kryperade meddelandetjänster för att bekämpa gängen. Men de har redan de verktyg som krävs.

De danska och svenska justitieministrarna och rikspolischeferna har träffats för att diskutera problemet med svenska gängkriminella som begår allvarliga brott i Danmark.

Ett krav är att man vill komma åt krypterade meddelande-appar. Men om man tittar närmare så har myndigheterna redan de verktyg som behövs – utan att underminera kryptering för vanligt hederligt folk. Låt oss bena ut detta…

Rikspolischef Petra Lundh säger att den initiala värvningen av minderåriga gärningsmän sker helt öppet på sociala media som till exempel TikTok och SnapChat. Och så länge det sker öppet går det att spana och stoppa verksamheten samt lagföra de ansvariga. Stämpling till mord är olagligt.

Sedan, säger man, flyttar värvningen över till krypterade meddelande-appar. Därför vill man komma åt krypterad kommunikation. Detta är inget nytt krav. Den svenska regeringen och EU är redan djupt engagerade i det så kallade Going Dark-projektet.

Saken är dock att man redan har de verktyg som krävs för att komma åt denna krypterade information – utan att för den sakens skull etablera bakdörrar till alla krypterade meddelandetjänster eller potentiellt bereda sig tillgång till alla människors meddelanden.

Verktyget heter hemlig dataavläsning. Om man har en misstänkt (värvningsförsöken ovan plus the usual suspects) får polisen redan idag installera spionprogram på de misstänktas telefoner och datorer.

Med hemlig dataavläsning kan man se allt som sker och finns på enheterna. Man kan till exempel läsa meddelanden innan de krypteras och sänds – alternativt efter att de tagits emot och av-krypterats.

(Hemlig dataavläsning är visserligen inte oproblematisk. Den bygger på att säkerhetshål i systemprogramvara och IT-infrastruktur lämnas öppna för att man skall kunna installera spionprogrammen. Och då är de även öppna för kriminella, främmande makt med flera. Så verktyget är inte perfekt, men det är vad man redan har och använder.)

Finns en misstanke kan man alltså redan komma åt innehållet i alla meddelandetjänster, även totalsträckskrypterade (end-to-end encryption, E2EE) sådana.

Sedan oktober förra året krävs för övrigt inte ens en konkret brottsmisstanke för att polisen skall få övervaka folk med hemliga tvångsmedel. Utrymmet för övervakning av gängkriminella som ägnar sig åt stämpling till mord m.m. bör därför redan vara betydande.

Någonstans här dyker en misstanke upp om att det kanske inte handlar om behov av nya övervakningsverktyg – utan att det mer är en fråga om kompetens och effektivitet. Vilket är områden där svensk polis på goda grunder kritiserats under lång tid.

Hemlig dataavläsning är problematisk nog. Att skapa bakdörrar till alla krypterade meddelande-tjänster kommer att göra alla medborgare, företag, organisationer, myndigheter med mera mindre säkra online.

Det samma gäller hemlig dataavläsning på alla telefoner och datorer – det vill säga det som EU:s ministerråd och den svenska regeringen vill ha inom ramen för Chat Control 2, client-side-scanning.

Skapar man sårbarheter i våra elektroniska kommunikationer kommer de även att kunna utnyttjas av aktörer med ont uppsåt. Inte ens amerikanska CIA och NSA lyckas hålla sina spionverktyg hemliga.

I sammanhanget är det värt att notera att tunga EU-institutioner går emot att man bereder sig tillgång till alla människors elektroniska kommunikationer.

EU-domstolen har fattat ett i sammanhanget viktigt beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Europakonventionen om de mänskliga rättigheterna och EU:s människorättsstadga föreskriver att »Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Där kan man även läsa att »Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Vilket gäller oavsett om mottagaren är tusenden eller bara en person.

Sammanfattningsvis är dagens dansk-svenska utspel om övervakning av elektroniska kommunikationer rätt mycket ett slag i luften.

Antingen är det fråga om sådant som redan är på gång i EU (Going Dark). Eller så är det sådant som saknar rättslig grund och som avfärdats av några av EU:s tyngsta institutioner – och som står i strid med de grundläggande mänskliga rättigheterna.

Snarare handlar det om att man ser ett tillfälle att flytta fram övervakningsstatens positioner. Och att man behöver säga något i media som låter handlingskraftigt.

Däremot är det välkommet med mer polisiärt samarbete mellan Sverige och Danmark för att bekämpa gränsöverskridande brottslighet. Svensk polis kanske till och med kan lära sig något på kuppen.

Going Dark – så vill EU komma åt dina meddelanden och din data

av

Vi har sammanställt allt du behöver veta om EU:s projekt Going Dark – som är tänkt att ge myndigheterna tillgång till medborgarnas meddelanden och data.

Vi har tidigare skrivit om EU:s Going Dark-grupp. Tanken är att komma åt medborgarnas elektroniska kommunikation, särskilt krypterad sådan.

En »High-Level Expert Group« har tillsatts. Den bytte snabbt namn till en »High-Level Group«, då expertgrupper har högre krav på på öppenhet och allsidighet. Deltagarlistan har varit hemlig.

Gruppen är speciellt inriktad på att ge myndigheterna tillgång till krypterad kommunikation och data, geodata och komma åt användning av anonymiseringstjänster som VPN och TOR/darknet.

Man har diskuterat tillgång till data i användarnas enheter (mobil, dator, platta, spelkonsoll etc.), tillgång till data i meddelande-apparnas system samt tillgång till data i transit.

Gruppen har även tagit upp statstrojaner (hemlig dataavläsning) och hur man skall komma runt EU-domstolens förbud mot generell datalagring. (I Sverige har en utredare redan föreslagit ny datalagring och att meddelandeoperatörer skall tvingas att överlämna begärd data i läsbar, det vill säga icke krypterad form.)

Going Dark-projektet var uppe som en informationspunkt i riksdagens EU-nämnd den 1 december 2023. Justitieminister Gunnar Strömmer sa då att…

»Vi som land fortsätter att vara utomordentligt aktiva i detta och i gruppens arbete i syfte att kunna bidra till att det kan presenteras verksamma rekommendationer inför tillträdet av den nya kommissionen hösten 2024 och för att de rekommendationerna sedan ska genomföras.«

EU-nämnden hade inga frågor, åsikter eller kommentarer.

I anknytning till Going Dark-gruppens arbete gick de europeiska polischeferna ut via Europol med uppmaningen »European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out«.

Vad de vill ha är laglig tillgång (lawfull access by design) till kommunikationstjänsternas lagrade data och skanning i realtid efter olagliga aktiviteter i användarnas meddelanden.

I ett 42-punktsprogram vill Going Dark-gruppen nu att meddelande-appar skall certifieras av EU. Man vill ha inflytande över branschens produktprotokoll och tekniska arkitektur.

Gruppen vill ha ny datalagring. Den kräver tillgång till begärd data i läsbar (ej krypterad) form. Data om IP-nummer / port skall också lagras. Detta skall även gälla operatörer som är baserade utanför EU.

Utöver datalagring vill man också ha tillgång till data. (Här kan nämnas att Europols utökade mandat redan ger dem rätt att bereda sig tillgång till data hos privata aktörer. Detta gäller även data om personer som inte är misstänkta för brott.)

Man vill även kunna övervaka dig i din uppkopplade bil – och genom allt annat under rubriken internet of things.

Man efterlyser infrastruktur som är »compatible with the transfer in real time of interception of potentially very large amounts of data of various nature«.

Gruppen har tydligen problem med att komma åt »home routing« via 5G. Därför vill man vara med i utformandet av standarden för 6G. Och så vill man komma åt internettrafik som går via satellit.

Man vill ha ökade resurser, inte bara för att komma åt krypterad data utan även för att utveckla AI-verktyg för dataanalys. (Som Chat Control 2, i sin grundform.)

Gruppen vill även se en mekanism för gränsöverskridande utbyte av information om tekniska sårbarheter som kan utnyttjas för övervakning.

Man kräver »state-of-the-art technological solutions« och en ny researchgrupp för att komma åt totalsträckskrypterad /end-to-end-krypterad kommunikation.

Meddelandeplattformar som inte underkastar sig det ovanstående skall kunna utsättas för administrativa sanktioner och begränsad möjlighet att verka på EU:s marknad.

(När samma resonemang är på tapeten i förslaget om Chat Control 2 föreslås att meddelande-appar som inte lyder order skall förbjudas på de tekniska plattformarnas app-stores.)

Man talar till och med om fängelse för »non-cooperative hosting providers«.

Allt detta och mer därtill hoppas man skall ligga till grund för den nya EU-kommissionens arbete de kommande fem åren.

Här kan det vara på sin plats att konstatera att Europadomstolen i februari slog fast att kryptering är en mänsklig rättighet. Europakonventionen och EU:s egen rättighetsstadga säger att…

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Även EU-domstolen har fattat i sammanhanget principiellt viktiga beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Man kan också konstatera att det inte finns något säkert sätt att komma åt krypterad information utan att också göra den tillgänglig för kriminella, främmande makt och andra aktörer med onda avsikter. Det har gjorts försök. Alla har misslyckats.

Det gäller även client-side-scanning oavsett om den sker på system- eller applikationsnivå. Den kräver svagheter i hård- eller mjukvaran som kan missbrukas. Finns det en bakdörr kommer information om den att läcka. Inte ens CIA och NSA har lyckats hålla sina verktyg hemliga.

Här skall också påpekas att det redan finns verktyg för client-side-scanning på systemnivå (hemlig dataavläsning) som efter prövning kan sättas in mot personer som faktiskt är misstänkta för brott. Men EU:s ministerråd och Europol tycker uppenbarligen att det inte räcker.

Ju mer man gräver ner sig i pappren, ju mer uppenbart blir det att Chat Control 2 inte kan ses som ett isolerat förslag. Det är en del i en större drive för att komma åt privat kommunikation och data. Det handlade aldrig om barnen.

Länkar och resurser:
• High-Level Group “Going Dark” outcome: A mission failure »
• Going Dark expert group – EU’s surveillance forge »
• Going Dark: Ett amerikanskt-europeiskt samarbete för att knäcka privat kommunikation i det dolda. »
• Going dark – EU:s krig mot krypterad kommunikation »
• EU-kommissionen: High-Level Group (HLG) on access to data for effective law enforcement »
• Europol: European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out »
• Europol: Equilibrium between security and privacy: new report on encryption »
• Europadomstolen om rätten till krypterad kommunikation »
• UNHCR: What is Encryption? »
Anti-encryption EU expert group to make access to data a political and technical standard »
• EU-Staaten wollen Zugriff auf verschlüsselte Daten und mehr Überwachung »
First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission
• Going Dark-gruppens 42-punktsprogram »

EU-valet och internets framtid

av

Här är fyra frågor som borde vara aktuella i EU-valet: Chat Control 2, rätten till krypterad kommunikation, EU:s nya hat-förbud och ett nytt datalagringsdirektiv.

• Chat Control 2

EU-kommissionär Ylva Johanssons förslag om att låta AI granska innehållet i medborgarnas elektroniska meddelanden och konversationer – Chat Control 2 – står still.

Ministerrådet kan inte komma överens om någon gemensam kompromiss och Europaparlamentet har sagt nej till alla centrala delar i CC2.

Parlamentets beslut fattades i en unik bred enighet över partigrupperna, med hänvisning till att CC2 strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

På köpet hoppas parlamentet ha gjort sig av med en besvärlig fråga i EU-valrörelsen.

Inte desto mindre måste ett slutligt beslut om CC2 fattas under våren 2026, under nästa EU-mandatperiod. Och kommissionen och ministerrådet biter sig fortfarande fast vid det ursprungliga förslaget.

Socialdemokraterna tycks i huvudsak vara för CC2, även om de tillsammans med sin partigrupp i parlamentet står bakom parlamentets nej (tills vidare). Regeringspartierna är för CC2 i modifierad form, men står även de bakom Europaparlamentets nej.

Man kan ana en viss kognitiv dissonans. Det är uppenbart att man försöker vinna tid och ducka frågan om CC2 till efter EU-valrörelsen.

• »Going dark«

På initiativ av det tidigare svenska EU-ordförandeskapet har EU-kommissionen satt upp en ljusskygg »high level group« för att försöka bereda sig tillgång till totalsträckskrypterad (end-to-end-krypterad, E2EE) kommunikation.

(Från början var det en »high level expert group«, men ordet »expert« togs bort då expertgrupper enligt reglerna har större krav på öppenhet och transparens.)

Detta är en fråga där hela vår IT-säkerhet sätts på spel genom krav på bakdörrar till krypterad kommunikation. Här är både politiken och ordningsmakten pådrivande.

Denna ambition kolliderar dels med Europadomstolens beslut om att kryptering är en del av rätten till privat kommunikation, som är en grundläggande mänsklig rättighet. Dels mot EU-domstolens principiella beslut om att man får övervaka personer som misstänks för brott – men inte alla andra, hela tiden.

I sammanhanget kan noteras att det redan finns verktyg som hemlig dataavläsning för att övervaka personer som misstänks för brott. Vilket då sker med spionprogram på den misstänktes telefon och/eller dator.

Var Going Dark-projektet kommer att landa är oklart. Men det är uppenbart att Europaparlamentet har en viktig kontrolluppgift, så att projektet inte går bortom vad som kan accepteras i en demokratisk rättsstat och inom ramen för de mänskliga rättigheterna.

Europaparlamentet är rent av den enda institution som kan bedriva sådan tillsyn. Så det gäller att välja ledamöter som förstår och intresserar sig för frågan.

• EU:s nya hat-förbud

Under mandatperioden kommer EU att utöka katalogen över »EU-brott« med hat och hot. Andra exempel på EU-brott är terrorism och vapensmuggling.

För att göra detta måste EU:s institutioner komma fram till en definition av brottet och ett minimistraff. I en resolution som nyligen antogs ger Europaparlamentet kommissionen fria tyglar att definiera nästan vad som helst som hat. Detta kan bli helt tokigt.

M+KD+L+C+S+MP+V röstade för resolutionen. De bör avkrävas svar på vilka yttranden de vill förbjuda. Före valet.

Lagstiftningsprocessen kommer att äga rum under den kommande EU-mandatperioden.

• Datalagring

2014 upphävde EU-domstolen EU:s datalagringsdirektiv, för att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Datalagring innebär lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar och mobilpositioner.

Det var i samband med detta beslut som EU-domstolen etablerade principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Många medlemsstater (däribland Sverige) har med olika krumbukter och trots EU-domstolens protester fortsatt sin datalagring ändå. Nyligen föreslog en svensk utredning att den skall utökas. (Vårt remissyttrande.)

Både EU-kommissionen och ministerrådet är inne på att det behövs ett nytt datalagringsdirektiv som rundar domstolens principbeslut. Även detta är en process som kommer att hanteras under den kommande mandatperioden.

Glöm inte fråga dina EU-kandidater vad de tycker i frågorna ovan.

Kriget mot krypterad kommunikation

av

Europeiska polischefer kräver det omöjliga: Bakdörrar till krypterade meddelanden utan att sätta säker kommunikation på spel.

I veckan gick ett antal europeiska polischefer ut och krävde att myndigheterna får tillgång till totalsträckskrypterad / end-to-end-krypterad (E2EE) kommunikation.

Detta är en dragkamp som pågått i många år. Polisen och de flesta politiker ägnar sig åt ett ständigt krypskytte mot privat kommunikation. Trots att sådan är en grundläggande mänsklig rättighet.

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.« Så säger EU:s människorättsstadga, som är en del av Fördragen.

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens« instämmer Europakonventionen om skydd för de mänskliga rättigheterna.

Naturligtvis skall man övervaka människor som misstänks för brott. Men inte alla andra, hela tiden. Principen har slagits fast av EU-domstolen.

Krypterad kommunikation är en förutsättning för privat korrespondens och därmed är E2EE en del av denna mänskliga rättighet, säger Europadomstolen.

Polisen kan redan använda sig av spionprogram (hemlig dataavläsning) för att komma åt misstänktas meddelanden på själva telefonen eller datorn – innan de krypterats och efter att de av-krypterats.

E2EE används för säker kommunikation av journalister, dissidenter, visselblåsare, företag, myndigheter och privatpersoner världen över. Konsekvenserna av att undergräva den är närmast oöverskådliga och oacceptabla.

Vad polisen vill är att e-post- och meddelandetjänster skall skapa bakdörrar i den kryptering de använder för sina kunders räkning.

Verkligheten går dock åt ett annat håll. Nu erbjuder även Meta (Messenger, WhatsApp, Instagram) sina användare E2EE. Meddelande-appar som Signal erbjuder redan tidigare säker, krypterad kommunikation.

Vilket fått de europeiska polischeferna att göra sitt uttalande. Graeme Biggar, director general på brittiska National Crime Agency (NCA) säger till BBC:

»Tech companies are putting a lot of the information on end-to-end encryption. We have no problem with encryption; I’ve got a responsibility to try and protect the public from cybercrime, too — so strong encryption is a good thing — but what we need is for the companies to still be able to pass us the information we need to keep the public safe.«

Detta är en självmotsägelse. Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte.

Öppnar man bakdörrar kommer dessa att läcka och att exploateras av hackare, bedragare och kriminella. Samt av andra aktörer med onda avsikter, till exempel främmande makt som vill spionera på våra myndigheter och företag.

TechCrunch noterar:

»In recent years, the U.K. Home Office has been pushing the notion of “safety tech” that would allow for scanning of E2EE content to detect CSAM without impacting user privacy. However, a 2021 “Safety Tech” challenge it ran, in a bid to deliver proof of concepts for such a technology, produced results so poor that the expert appointed to evaluate the projects, the University of Bristol’s cybersecurity professor Awais Rashid, warned last year that none of the technology developed for the challenge is fit for purpose. “Our evaluation shows that the solutions under consideration will compromise privacy at large and have no built-in safeguards to stop repurposing of such technologies for monitoring any personal communications,” he wrote.«

Naturligtvis finns här en bakomliggande historia, vilket bekräftas av polisens pressmeddelande. »Deklarationen som nu antagits av polischeferna i Europa är en direkt förlängning av det svenska initiativet Going Dark, som Sverige drev under det svenska EU-ordförandeskapet första halvåret 2023.«

Going Dark är ett ljusskyggt projekt som inleddes med att EU-kommissionen tillsatte en »High-Level Expert Group« för att diskutera hur man skall komma åt krypterad kommunikation.

Snabbt ändrades namnet till en »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man tyckte var olämpligt i detta fall. Vilka som ingår i gruppen är hemligt.

Men vi har ändå viss information om vad gruppen sysslar med. På sina möten har man bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, spionprogram och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Något sätt att komma åt E2EE kommunikation har de dock inte funnit. Därav de europeiska polischefernas uttalande.

Striden om totalsträckskryptrad kommunikation fortsätter.

Länkar:
• Polisen: Europas polischefer går samman mot grov brottslighet i en digital värld »
• TechCrunch: European police chiefs target E2EE in latest demand for ‘lawful access’ »
• MEP Patrick Breyer (PP, DE): Police chiefs want to halt secure end-to-end encryption to enable chat control bulk scanning of all private messages »

Relaterat:
• Going dark – EU:s krig mot krypterad kommunikation »

Spionprogrammen som hotar vår säkerhet och demokrati har gjorts möjliga genom politiska beslut

av

Den teknik som används för polisens hemliga dataavläsning möjliggör brottslighet, spioneri och övervakning av politiska motståndare.

Det finns åter tecken på att spion-programvara använts mot ledamöter i Europaparlamentet. Denna gång är det medlemmar i parlamentets Subcommittee on Security and Defence (SEDE) som tros ha fått sina telefoner buggade.

Men det är inte första gången. Parlamentets talman har utsatts för försök att installera spionprogram. Och på 2010-talet upptäcktes att parlamentets och övriga EU-instutioners e-post övervakades via ett intrång hos Belgacom.

Spionprogram har på senare år använts av nationella regeringar för att övervaka politiska motståndare i Spanien, Grekland, Ungern och Polen.

Ett skäl till att sådant spionage och politisk övervakning är möjlig är polisens användning av hemlig dataavläsning.

Hemlig dataavläsning handlar om att polisen kan övervaka misstänkta genom att med spionprogram ta kontrollen över telefoner, datorer, plattor och till och med spelkonsoler. Sedan får den tillgång till allt – alla meddelanden, alla filer, kamera och mikrofon.

För att detta skall vara möjligt måste kända säkerhetsluckor lämnas öppna.

Detta är allvarligt och öppnar för angrepp på vår IT-infrastruktur – vilket gör oss alla mindre säkra. Problemet har påpekats, men politiker i Sverige och andra länder har ändå beslutat sig för att tillåta hemlig dataavläsning.

Uppenbarligen utnyttjas detta inte bara av kriminella och främmande makt – utan även av politiker som vill övervaka sina motståndare.

Hemlig dataavläsning är alltså både ett praktiskt säkerhetsproblem och ett demokratiskt problem.

Going dark – EU:s krig mot krypterad kommunikation

av

Den svenska regeringen öppnade Pandoras ask. Nu planerar EU kriget mot kryptering och ny datalagring i en hemlig grupp bakom stängda dörrar.

För snart ett år sedan höll EU:s justitie- och inrikesministrar ett informellt möte i det då nytillträdda ordförandelandet Sverige. Efter lunch torsdagen den 26 januari var det dags att ge sig i kast med den svenska regeringens arbetsdokument »Going dark«.

Inledningen beskriver allehanda brottslig verksamhet som är kopplad till nätet och vilka problem detta medför för de rättsvårdande myndigheterna. Speciellt då krypterad kommunikation. Fast med betydande demokratiska brasklappar:

»In the view of the Presidency, it is therefore time to discuss ways and means to uphold the rule of law in the digital era, while preserving security, protecting privacy and fundamental rights, and also increasing European competitiveness. Effective law enforcement, acting in full compliance with democratic values, is a prerequisite for protecting the fundamental rights of our citizens, including the right to the protection of personal data, respect for private and family life, and freedom of expression.


In light of this, the Presidency wishes to initiate a holistic discussion, rooted in fundamental rights and also legal and technical realities, on access to data for law enforcement and judicial purposes. This discussion should seek to reconcile the protection of the right to a private life and personal data with the need for secure online environments and digital services to ensure the protection of victims of crime and keep our citizens and societies safe.«

Vilket faktiskt låter relativt balanserat. Problemet är att när man väl öppnat lådan kommer även de mindre balanserade, de dåliga och de direkt farliga förslagen. Så är det i princip alltid i EU – hur vackert man än uttrycker sig i ruta ett. The cat is out of the bag.

Dokumentet fortsätter att problematisera kring frågan med krypterad kommunikation och uppmanar till diskussion med alla inblandade intressenter. Allt är mycket allmänt hållet.

Det hela landade i att man skulle tillsätta en »High-Level Expert Group«. Därmed hamnade det hela under EU-kommissionen och inrikeskommissionär Ylva Johansson.

Gruppens syfte är att formulera en »strategisk vision för framtiden« och att föreslå hur man kan utöka och förbättra myndigheternas tillgång till data. (I sammanhanget kan nämnas att Europol nyligen fick rätt att bereda sig tillgång till data hos privata aktörer.)

Snabbt ändrades namnet från »High-Level Expert Group« till »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man kanske tyckte var olämpligt i detta fall.

Under det svenska ordförandeskapets sista dagar, i juni 2023 höll denna grupp sitt första möte. Någon diskussion med alla inblandade intressenter var det inte längre fråga om. Men den kallar sig fortfarande en »collaborative and inclusive platform« på sin hemsida.

Enligt regelverket kan gruppen bjuda in representanter från en privata sektorn, akademien, NGOer, advokater och dataskyddsexperter vid enstaka tillfällen. Inga sådana finns dock representerade i gruppen.

Efter att detta uppmärksammats har man dock lovat att bjuda in representanter för civilsamhället till ett möte, efter årsskiftet.

Den europeiska dataskyddsmyndigheten EDPS och en representant för Europaparlamentets människorättsutkott LIBE kan – men måste inte – erbjudas observatörsstatus.

Så vilka sitter då i denna högnivågrupp? Svaret är att det får vi inte veta. Det går visserligen att begära ut en deltagarlista – men bara med alla namn maskade.

Här formas framtidens övervakning, bakom stängda dörrar. På sina möten har gruppen bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, statstrojaner och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Detta är inte riktigt den bild den svenska regeringen målade upp i sin skrivelse i januari:

»The Presidency aims to enable and promote such discussions. They should involve all relevant stakeholders, with the objective of identifying and presenting common solutions to better ensure access to data, electronic evidence and information for law enforcement and judicial purposes, while upholding the protection of fundamental rights and the security of electronic communications.«

Man upphör aldrig att förvånas över den svenska naiviteten i EU-sammanhang.

Djuplänkar i texten, huvudlänk här:

• Netzpolitik: Hinter verschlossenen Türen »