Femte juli Nätet till folket!

Nätet till folket!

Länktips

Vi använder kategorin länktips dels när vi vill tipsa om något intressant, dels när vi publicerar andra poster med många och/eller bra länkar.

Ny svensk datalagring och bakdörrar till krypterad kommunikation

av 2 kommentarer

Den förra regeringen tillsatte en utredning om datalagring och krypterad kommunikation. Dess förslag bygger på missuppfattningar om hur internet och telekommunikationer fungerar, är oproportionerliga, strider mot skyddet för privatliv och privata kommunikationer samt mot EU-rätten. Nu förväntas den nya regeringen göra utredningens förslag till lag.

Den 1 november gick remisstiden ut för SOU 2023:22 om »Datalagring och åtkomst till elektronisk information«.

Datalagringen har varit en surdeg i tio år, sedan EU-domstolen upphävde EU:s datalagringsdirektiv med hänvisning till de mänskliga rättigheterna.

Domstolens position kan enkelt beskrivas så här: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den dåvarande socialdemokratiska regeringen hoppades att den svenska lagen om datalagring skulle klara sig. Men 2016 fann EU-domstolen att även den var oförenlig med EU-rätten.

Vilket ledde till en ny svensk lag – som i princip har samma grundläggande fel som den förra. Enda skälet till att den finns kvar är att den (ännu) inte prövats i EU-domstolen.

Medveten om detta tillsatte justitieminister Morgan Johansson (S) en utredning, som under försommaren presenterades för den nya regeringen och justitieminister Gunnar Strömmer (M).

Som utredningens namn antyder handlar denna utredning inte bara om datalagring, utan även mer allmänt om myndigheternas »åtkomst till elektronisk information«.

Vilket i stycken leder till begreppsförvirring. Nu rör man ihop lagring av metadata (datalagring) med mer allmän tillgång till innehållet i elektroniska kommunikationer. Förmodligen hade det varit bättre att utreda frågorna var och en för sig.

• Datalagring

Vad gäller datalagringen föreslår utredningen att man antingen kan välja att lagra all kommunikationsdata (nationell säkerhetslagring) i händelse av ett nationellt nödläge under en begränsad tid, på inrådan av Säpo.

Eller att man ägnar sig åt riktad lagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Varpå utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

I vart fall det senare skulle inte tåla en granskning i EU-domstolen.

Med ett väldigt krystat resonemang menar utredaren att det vore att bryta mot de mänskliga rättigheternas krav på rätten till privatliv att inte upphäva samma mänskliga rättigheter. Ur vårt remissvar:

»Utredaren menar där att skrivningen i artikel 8 i Europakonventionen om att det finns en skyldighet för det allmänna att tillförsäkra enskilda skydd för privat- och familjeliv innebär att (vissa) integritetsintrång bör kriminaliseras.

För att sådana brott ska kunna bekämpas krävs i sin tur att staten har tillgång till effektiva utredningsverktyg och eftersom datalagring, enligt utredaren, är ett sådant skulle frånvaro av datalagring innebära ett staten inte levde upp till de enskildas konventionsskyddade rätt till skydd av privatlivet.

Därmed kan enligt utredaren inte heller artikel 8 i Europakonventionen i användas för att begränsa datalagring. En begränsning blir i stället ett brott mot artikel 8.

Utifrån detta synsätt skulle förstås inte endast utebliven datalagring hota integriteten utan också varje uteblivet intrång i enskildas privata sfär (så länge det motiverades med brottsbekämpning).

Att inte kränka människors integritet skulle innebära att man kränkte deras integritet. Orwell hade inte kunnat uttrycka det bättre.«

I sammanhanget kan även noteras att de grundläggande mänskliga rättigheterna är till för att skydda individen mot staten – inte individer mot andra individer. För det senare finns vanlig lagstiftning.

• Krypterad kommunikation

I den del av utredningen som handlar om »åtkomst till elektronisk information« kan man läsa följande:

»Även tillhandahållare av Noik (nummeroberoende interpersonella kommunikationstjänster) ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en tillhandahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myndigheter i läsbar form.«

Det vill säga att man kräver bakdörrar till krypterad kommunikation.

Ur vårt remissvar:

»En bakdörr i en tjänst kan inte begränsas till dem som har laglig tillgång till den. Finns den kan den utnyttjas av alla som känner till den, det inkluderar både organiserad brottslighet som främmande makts underrättelsetjänst. Förekomst av bakdörrar skulle sannolikt också i praktiken användas av kriminella och andra illasinnade aktörer i betydlig större utsträckning än av brottsbekämpande myndigheter.

För en kriminell är alla som har den aktuella bakdörren potentiella måltavlor (exempelvis för bedrägerier) medan brottsbekämpande myndigheter normalt är inriktade på en viss misstänkt person eller en grupp misstänkta personer. (…)

Många av de tjänster som erbjuder säkra kommunikationer idag är utländska och vänder sig till globala marknader. Det är inte sannolikt att de kommer att avskaffa totalsträckskryptering eller införa bakdörrar på grund av svenska myndighetskrav. Snarare kommer de att sluta erbjuda dessa tjänster i Sverige.«

• Vad händer nu?

Remisstiden är ute och nu skall regeringen försöka göra lag av det hela.

Det utredningen skriver om datalagring är inte i enlighet med EU-domstolens beslut och EU-rätten – eller bara orimligt i största allmänhet.

Dessutom tyder det mesta på att EU:s beslutsapparat ändå kommer att göra ett omtag vad gäller datalagringen under nästa mandatperiod 2024-29

Att ge sig på totalsträckskryptering är att förklara krig mot internet. Vilket vi kunde se under förra årets strid om Chat Control 2 – som bland annat landade i att Europaparlamentet tog principiell ställning för rätten till krypterad kommunikation.

Detta känns som en utredning som mest tillsatts för att skjuta problem på framtiden. Och när framtiden nu är här finns ändå inga bra eller rimliga svar.

Ett sista citat, ur vårt remissvar:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Länkar:
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Regeringen: Datalagring och åtkomst till elektronisk information »
• SOU 2023:22 Datalagring och åtkomst till elektronisk information (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »
• Datalagring – olaglig övervakning fortsätter och utökas »
• Going dark – EU:s krig mot krypterad kommunikation »

Musk, X, EU, DSA och yttrandefriheten

av Lämna en kommentar

Konflikten mellan Elon Musk och EU handlar ytterst om yttrandefrihet och respekt för de mänskliga rättigheterna.

Som ett första test av EU:s nya Digital Services Act (DSA) ger sig EU-kommissionen nu efter X, Elon Musks sociala medieplattform tidigare känd som Twitter.

DSA är politikens försök att ta makten över det offentliga samtalet på internet.

För stora sociala media kräver DSA en armé av compliance officers och jurister för all den byråkrati som föreskrivs.

DSA införs stegvis och omfattar även statligt godkända nätcensorer – Trusted Flaggers / betrodda anmälare – som skall få en direktlina till sociala media för att rekommendera vilket innehåll som skall plockas bort.

Detta är en funktion som den svenska regeringen planerar att lägga under Post- & Telestyrelsen, PTS.

Man kan diskutera detaljerna i EU-kommissionens X-files. Vad är bäst – censur eller community notes? Skall videos från Hamas vidriga massaker den 7 oktober få visas? Var det klokt att ändra den blå dekalen från att betyda verifierad användare till betalande dito?

För att ta ett exempel kan jag tycka att community notes är bättre än censur.

Community notes ger bakgrund, sammanhang och exponerar lögner, desinformation och missförstånd – vilket har ett värde i sig. De ger en kontext till märkliga påståenden istället för att bara ta bort dem. De är självsanering genom crowdsourcing.

Men i grunden känns EU-kommissionens utredning som ett angrepp mot Elon Musk.

För att han säger saker som vissa ogillar; för att han i det närmaste är yttrandefrihets-fundamentalist; för att han hamnat på kant med det amerikanska politiska etablissemanget och för att X är en plattform där vanliga människor kan lägga sig i, ifrågasätta och utmana makten.

Samt för att EU vill markera vem som bestämmer. (Vilket tydligt framgår av den franske EU-kommissionären Thierry Bretons offensiva tweets. Hans nästa måltavla tycks vara Pornhub.)

Naturligtvis kan visst innehåll vara problematiskt. Ibland har Musk fel. (Hans uttalanden om Ukraina irriterar mig svårt.) Och det finns gott om skitskallar på nätet som inte kan uttrycka sig eller bete sig som folk, precis som i verkligheten i övrigt.

I konflikten mellan Musk och EU möts två olika kulturer. Dels den amerikanska där vem som helst får säga nästan vad som helst. Dels den europeiska – i vilken politik och förvaltning ängsligt vill sätta gränser för vad som får uttryckas.

Problemet med det senare är att alla politiker och tjänstemän – uttalat eller undermedvetet – har en agenda och personliga referensramar. Något opartiskt och ofelbart orakel existerar inte. Den som vill inskränka det fria ordet har som regel sina – inte nödvändigtvis ädla – skäl.

Det är inte alltid uppenbart vad som är rätt eller fel. Vissa saker som absolut inte fick sägas på sociala media i går är tillåtet och allmänt godtaget idag.

Att censurera sociala media strider delvis mot principen att yttranden inte får hindras i förväg. (Även om ett inlägg initialt publicerats hindrar censuren spridning.)

Istället bör eventuellt olagliga yttranden prövas rättsligt i efterhand. (Och i samband med detta kan eventuell radering av innehåll ske efter beslut i domstol.)

Detta gäller när staten lägger sig i, vilket den nu uppenbarligen gör. (Användarvillkor är däremot ett avtal mellan två parter, vilket är en annan sak.)

I den svenska yttrandefrihetsgrundlagen (1 kap, §11) finns just ett sådant förbud mot förhandscensur.

Här står grundläggande rättigheter på spel. Artikel 10 i Europakonventionen om de mänskliga rättigheterna slår fast följande huvudprincip:

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

EU-stadgan om de mänskliga rättigheterna säger exakt samma sak och är en del av EU:s fördrag. I sammanhanget är det värt att notera att EU-kommissionen förutsätts vara »fördragens väktare«.

Här kan det även vara på sin plats att påminna om FN:s »5 juli-resolution« som säger att mänskliga rättigheter offline även skall gälla online. (A/HRC/RES/20/8 som tillkom på initiativ av Sverige och USA.)

När DSA utarbetades varnade både tjänstemän och civilsamhälle för att delar av förordningen står i strid med de grundläggande mänskliga rättigheterna.

Detta avvisades av den dåvarande svenska, socialdemokratiska regeringen – och ignorerades av de svenska ledamöter av Europaparlamentet som var centrala i beslutsprocessen.

Nu börjar vi se konsekvenserna.

Naturligtvis ogillar politikerna sociala media. De är en möjlighet för medborgarna att käfta emot, ifrågasätta och lägga sig i. Detta stör och tvingar makthavarna att försvara sin ståndpunkt. Det minskar deras makt.

Man kan undra vad EU tänker göra om Musk inte lyder och kanske inte heller betalar de böter Bryssel då kommer att ålägga X (6% av företagets omsättning)? Blockera X? En europeisk digital järnridå, som The Great Firewall of China?

Har man verkligen tänkt igenom det här?

Mer troligt är att X lämnar den europeiska marknaden.

Vilket i så fall innebär att den enda breda arena för samhällsdebatt där alla kan medverka på lika villkor stängs. På grund av politiskt tryck. Bad optics. (Och ändå möjligt att kringgå med VPN.)

Det är lite av ett Gutenberg moment över det hela. Tumultet när allmänheten fick tillgång till information som tidigare var förbehållen ett fåtal. Revolutionen i att kunna göra sin röst hörd och dela information med många.

Sedan får vi nog leva med att alla inte tycker likadant.

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

• EU-kommissionen: Commission opens formal proceedings against X under the Digital Services Act »
• Commission investigating X for alleged violations of EU content moderation rules »
• EU targets Musk’s X in first illegal content probe »
• X vs. EU: Elon Musk hit with probe over spread of toxic content »
• EU Bureaucrats Formally Investigate X Over Lack of “Disinformation” Censorship »

Going dark – EU:s krig mot krypterad kommunikation

av 8 kommentarer

Den svenska regeringen öppnade Pandoras ask. Nu planerar EU kriget mot kryptering och ny datalagring i en hemlig grupp bakom stängda dörrar.

För snart ett år sedan höll EU:s justitie- och inrikesministrar ett informellt möte i det då nytillträdda ordförandelandet Sverige. Efter lunch torsdagen den 26 januari var det dags att ge sig i kast med den svenska regeringens arbetsdokument »Going dark«.

Inledningen beskriver allehanda brottslig verksamhet som är kopplad till nätet och vilka problem detta medför för de rättsvårdande myndigheterna. Speciellt då krypterad kommunikation. Fast med betydande demokratiska brasklappar:

»In the view of the Presidency, it is therefore time to discuss ways and means to uphold the rule of law in the digital era, while preserving security, protecting privacy and fundamental rights, and also increasing European competitiveness. Effective law enforcement, acting in full compliance with democratic values, is a prerequisite for protecting the fundamental rights of our citizens, including the right to the protection of personal data, respect for private and family life, and freedom of expression.


In light of this, the Presidency wishes to initiate a holistic discussion, rooted in fundamental rights and also legal and technical realities, on access to data for law enforcement and judicial purposes. This discussion should seek to reconcile the protection of the right to a private life and personal data with the need for secure online environments and digital services to ensure the protection of victims of crime and keep our citizens and societies safe.«

Vilket faktiskt låter relativt balanserat. Problemet är att när man väl öppnat lådan kommer även de mindre balanserade, de dåliga och de direkt farliga förslagen. Så är det i princip alltid i EU – hur vackert man än uttrycker sig i ruta ett. The cat is out of the bag.

Dokumentet fortsätter att problematisera kring frågan med krypterad kommunikation och uppmanar till diskussion med alla inblandade intressenter. Allt är mycket allmänt hållet.

Det hela landade i att man skulle tillsätta en »High-Level Expert Group«. Därmed hamnade det hela under EU-kommissionen och inrikeskommissionär Ylva Johansson.

Gruppens syfte är att formulera en »strategisk vision för framtiden« och att föreslå hur man kan utöka och förbättra myndigheternas tillgång till data. (I sammanhanget kan nämnas att Europol nyligen fick rätt att bereda sig tillgång till data hos privata aktörer.)

Snabbt ändrades namnet från »High-Level Expert Group« till »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man kanske tyckte var olämpligt i detta fall.

Under det svenska ordförandeskapets sista dagar, i juni 2023 höll denna grupp sitt första möte. Någon diskussion med alla inblandade intressenter var det inte längre fråga om. Men den kallar sig fortfarande en »collaborative and inclusive platform« på sin hemsida.

Enligt regelverket kan gruppen bjuda in representanter från en privata sektorn, akademien, NGOer, advokater och dataskyddsexperter vid enstaka tillfällen. Inga sådana finns dock representerade i gruppen.

Efter att detta uppmärksammats har man dock lovat att bjuda in representanter för civilsamhället till ett möte, efter årsskiftet.

Den europeiska dataskyddsmyndigheten EDPS och en representant för Europaparlamentets människorättsutkott LIBE kan – men måste inte – erbjudas observatörsstatus.

Så vilka sitter då i denna högnivågrupp? Svaret är att det får vi inte veta. Det går visserligen att begära ut en deltagarlista – men bara med alla namn maskade.

Här formas framtidens övervakning, bakom stängda dörrar. På sina möten har gruppen bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, statstrojaner och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Detta är inte riktigt den bild den svenska regeringen målade upp i sin skrivelse i januari:

»The Presidency aims to enable and promote such discussions. They should involve all relevant stakeholders, with the objective of identifying and presenting common solutions to better ensure access to data, electronic evidence and information for law enforcement and judicial purposes, while upholding the protection of fundamental rights and the security of electronic communications.«

Man upphör aldrig att förvånas över den svenska naiviteten i EU-sammanhang.

Djuplänkar i texten, huvudlänk här:

• Netzpolitik: Hinter verschlossenen Türen »

EU inför gemensamt system för sjukjournaler

av 1 kommentar

Nu införs en gemensam databas och standard för sjukvårdsjournaler i EU:s 27 olika medlemsstater. Kanske praktiskt, men förenat med stora risker.

Både EU:s ministerråd och Europaparlamentet har nu givit grönt ljus till det nya europeiska systemet för sjukjournaler – EU Health Data Space.

I praktiken kommer det att vara obligatoriskt att vara med. Europaparlamentet har gjort tillägget att medborgare skall kunna »invända« genom ett skriftligt förfarande. Dock verkar det som att en sådan invändning bara kan göras mot vissa former av data och användning i sekundära syften.

Naturligtvis är det lätt att se fördelen med ett gemensamt journalsystem för hela EU, enligt en ny standard: Blir man sjuk har vården tillgång till samma information oavsett om man är i Bordeaux eller Borås.

I verkligheten är det naturligtvis en helt annan sak. Man skall stöpa om och centralisera journalsystemet för 27 olika länder till år 2025. Vad kan möjligen gå fel?

Detta för att inte nämna risken för IT-attacker, läckta patientuppgifter och missbruk av systemet. Eller tekniska fel, borttappad data och inkompetent handhavande.

Och det är inte bara din doktor som får tillgång till information. Data skall även tillhandahållas för forskning och utveckling. (Men parlamentet säger nej till att insamlad hälsodata får används när någon skall anställas och för finansiella tjänster som försäkringar…)

Parlamentet och ministerrådet ligger rätt nära varandra och kommissionens ursprungliga förslag. Det är i princip bara den ovan nämnda rätten att »invända« som skiljer. Så trilog-förhandlingarna om den slutliga texten kommer förmodligen att gå snabbt.

Och här är avslutningsvis en kritisk röst, MEP Patrick Breyer (PP, DE):

»A compulsory electronic patient file with Europe-wide access entails irresponsible risks of theft, hacking or loss of the most personal treatment data and threatens to deprive patients of any control over the collection of their illnesses and disorders,” emphasises Breyer, co-lead negotiator for the Greens/European Free Alliance group in the EU Parliament’s Civil Liberties Committee.

“This is nothing other than the end of medical confidentiality. Have we learnt nothing from the international hacker attacks on hospitals and other health data? If every mental illness, addiction therapy, every potency weakness and all abortions are forcibly networked, worried patients risk being deterred from urgent medical treatment – this can make people ill and put a strain on their families!

In the trilogue negotiations, I will fight to ensure that national opt-out schemes are clearly allowed for in the legislation.”«

• Europaparlamentet: EU Health Data Space: access to your health data across the EU »

• Europaparlamentet: EP supports creating EU Health Data Space to boost access to data and research »

• MEP Patrick Breyer (PP, DE): European Health Data Space: EU Parliament opposes mandatory electronic patient records for all citizens, but supports granting access to sensitive health data without asking patients »

Så vill EU ta makten över AI

av Lämna en kommentar

Nu reglerar EU användningen av artificiell intelligens – med stora undantag för brottsbekämpande myndigheter. Här är vad man har förhandlat fram.

Det finns nu i princip en överenskommelse mellan EU:s tre institutioner om dess nya reglering av artificiell intelligens, the AI Act. I princip, eftersom det fortfarande tycks råda en viss oklarhet om vad man beslutat i detalj.

Överenskommelsen är resultatet av trilog-förhandlingar – i vilka kommissionen, ministerrådet och parlamentet stänger in sig bakom stängda dörrar för att utarbeta en kompromiss utan offentlig insyn.

Trots att det inte finns något stöd för triloger i EU:s fördrag avgörs idag nio av tio lagförslag i EU genom dessa hemliga förhandlingar. Vilket är ett demokratiskt problem. Lagstiftning måste tåla insyn.

Än mer svajigt blir det om man betänker att detta är lagstiftning där den tekniska utvecklingen går med rasande fart. Plus att det är oklart om beslutsfattarna verkligen förstår vad AI är och hur den fungerar.

Men det är som det är. Till saken. Vad har man kommit fram till?

  • EU vill ha insyn i och viss möjlighet att påverka AI-system som anses vara hög risk för individen, samhället och ekonomin. Här ställs även krav på transparens, konsekvensanalyser och energianvändning.
  • Man förbjuder automatiserad ansiktsigenkänning i realtid, utom vad gäller att identifiera gärningsmän och offer vid vissa typer av brott och för att bekämpa terrorism.
  • Automatiserad ansiktsigenkänning i efterhand begränsas till utredning av allvarliga brott.
  • Användning av AI för förebyggande brotssbekämpning (pre-crime) begränsas delvis, speciellt om den bygger på personlighets- och karaktärsdrag (t.ex. ras, politisk åsikt eller religion – om inte sådana uppgifter har en direkt betydelse till ett visst brott eller hot).
  • Användning av AI för att upptäcka och registrera känslor förbjuds på arbetsplatser och inom utbildningsväsendet utom när det sker i säkerhetssyfte.
  • AI får inte användas för manipulation, exploatering av sårbarheter och sociala poängsystem (social scoring).
  • Militär användning undantas från begränsningar, så länge den är i linje med EU:s fördrag.
  • Fri och open source-mjukvara undantas från lagstiftningen utom när tillämpningen anses vara förenad med hög risk eller förbud enligt ovan.
  • Ett AI Office skall upprättas hos EU-kommissionen, en European Artificial Intelligence Board skall etableras liksom ett rådgivande forum och en vetenskaplig panel.

EU:s AI Act är tänkt att träda ikraft inom två år, med undantag för vissa förbud som skall börja gälla redan efter sex månader från det att rådet och parlamentet bekräftat trilogens kompromiss.

Hur tekniken kommer att se ut om två år och om lagstiftningen över huvud taget är relevant då är en öppen fråga.

Och som vanligt finns alltid en påtaglig risk för ändamålsglidning, missbruk av dessa verktyg och för vad de kan komma att användas till av auktoritära eller totalitära politiska krafter.

EU:s AI Act sätter också strålkastarljuset på Chat Control som nu av allt att döma skjutits på framtiden, till nästa mandatperiod. Att låta AI granska innehållet i medborgarnas elektroniska meddelanden samtidigt som man ger myndigheterna relativt fria händer på området tar frågan till en ny nivå. Detta bör uppmärksammas i vårens EU-valrörelse.

Några länkar:
• Europaparlamentet: Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI »
• EU-kommissionen: Commission welcomes political agreement on Artificial Intelligence Act »
• EDRi – EU AI Act: Deal reached, but too soon to celebrate »
• Euractiv: AI Act: EU policymakers nail down rules on AI models, butt heads on law enforcement »
• Euractiv: European Union squares the circle on the world’s first AI rulebook »

Från trilogförhandlingarna om EU:s nya AI Act.

Utredning: Grönt ljus för statliga spionprogram

av 1 kommentar

Försöket med hemlig dataavläsning blir permanent, trots klent resultat. Samtidigt lämnar det våra telefoner och datorer öppna för angrepp från kriminella och andra illasinnade aktörer.

På onsdagen presenterades en utredning (SOU 2023:78) om att göra hemlig dataavläsning permanent. (Än så länge har lagen varit tillfällig på grund av att detta är ett nytt verktyg som innebär ett stort intrång i rätten till privatliv.)

Rekommendationen är att hemlig datalagring skall göras permanent och att den i vissa delar även skall utökas.

Hemlig dataavläsning innebär att de brottsbekämpande myndigheterna kan installera spionprogram (”statstrojaner”) på människors telefoner, plattor, datorer, spelkonsoler m.m. i syfte att utreda brott.

Dessa spionprogram kan sedan få tillgång till i princip allt som finns på en telefon. Dessutom ger de möjlighet till realtidsövervakning och loggning.

På så sätt kan till exempel meddelanden som sänds via krypterade meddelandetjänster avläsas redan när de skrivs – innan de krypterats och sänts. Alternativt efter att de tagits emot, av-krypterats och öppnats för att läsas.

Genom att använda telefonens mikrofon och kamera kan man även avlyssna dess ägare. Och alla andra som råkar befinna sig i närheten. Även den som ringer till eller blir uppringd av en telefon med spionprogram blir övervakad.

Till detta kommer att spionprogrammen kan ges tillgång till bilder, filer och allt annat som finns på en telefon eller dator.

Ett uppenbart problem med detta är att det krävs säkerhetsluckor i mjuk- och/eller hårdvaran för att myndigheterna skall kunna installera sina spionprogram i hemlighet.

Vilket innebär att kända säkerhetsbrister lämnas utan åtgärd – för att kunna användas av myndigheterna. Vilket naturligtvis är en väldigt dålig sak. Dessa brister kan då även utnyttjas av nätbedragare, främmande makt och andra illvilliga aktörer.

Utredningen skriver:

»Det kan konstateras att informationssäkerhet har en central plats i samhället. Vikten av en fungerande informationssäkerhet måste därför vägas mot vikten av en effektiv brottsbekämpning. I förarbetena till lagen om hemlig dataavläsning konstaterades att hemlig dataavläsning medför större risker för informationssäkerheten än andra tvångsmedel. En viktig utgångspunkt för våra avvägningar i denna del är att det inte kan accepteras att hemlig dataavläsning leder till minskad informationssäkerhet i någon annan utrustning än den som åtgärden avser.«

Sedan väljer man att strunta i detta. Vilket, försiktigt uttryckt, är anmärkningsvärt.

Nu gör man oss alla mindre säkra och vår IT-infrastruktur mer sårbar. Helt medvetet.

Men detta är inte allt. Utredningen skriver:

»Av de årliga redovisningarna kan konstateras att den kvantitativt uppskattade nyttan av hemlig dataavläsning generellt sett har varit något lägre än för de permanenta hemliga tvångsmedlen.«

Vilket är ett understatement. Hemlig dataavläsning har bara lett till åtal i 20 procent av de fall som domstol har gett tillstånd till. Och då skall man komma ihåg att det i dessa fall som regel även fanns annan bevisning som till exempel vittnen, fysiska bevis och dokumentation.

Dessutom har detta verktyg kommit att användas mer och oftare än man från början angett.

Nu skall systemet med ”statstrojaner” alltså bli permanent. I en något utökad form. Med en förenklad ansöknings- och beslutsprocess.

Risken för att systemet kan missbrukas är uppenbar. Det finns redan exempel på hur regeringarna i Ungern, Polen och Spanien använt denna typ av spionprogram för att spana på sina politiska motståndare.

Och när verktyget väl finns på plats räcker det med ett klubbslag i riksdagen för att syftet och omfattningen skall utökas. Vilket i princip alltid sker när det gäller övervakningslagar.

• Regeringen: Hemlig dataavläsning – utvärdering och permanent lagstiftning »
• Hemlig dataavläsning – utvärdering och permanent lagstiftning, SOU 2023:78 »
• Oisín Cantwell, Aftonbladet: Hemlig dataavläsning är soundtracket till vår tid »

QWAC – fortsatt förvirring om statliga web-certifikat

av 2 kommentarer

EU-institutionernas trilogförhandlingar om EU:s Digital Identity Framework (eIDAS) är klara. Men vad gäller att tvinga din web-läsare att godkänna statligt utfärdade certifikat (QWACs) utanför HTTPS certifikatsystem är förvirringen fortfarande stor.

Den 28 november röstar Europaparlamentets industriutskott (ITRE) om trilogförhandlingarnas kompromiss om EU:s Digital Identity Framework (eIDAS).

Problemet är att dokumenten fortfarande inte är allmänt tillgängliga samtidigt som det är högst oklart om beslutsfattarna begriper vad de sysslar med.

Detta är snårigt och tekniskt komplicerat. Själv är jag inte tekniker utan sysslar mest med den politiska sidan kring frågor som rör ett fritt och öppet internet. Så jag kan ha fel. Men å andra sidan tycks även de tekniska experterna sväva i ovisshet.

Vad det handlar om är ett förslag om att din webb-läsare kanske måste acceptera certifikat som staten säger åt den att acceptera – utanför HTTPS certifikatsystem (artikel 45). Facktermen är QWAC.

Vilket i så fall kan öppna dörren för ännu mer övervakning samtidigt som säkerheten online kan äventyras.

EFF kommenterade saken i ett tidigt skede:

»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«

Nu varnar Mozilla för att EP ITRE är på väg att klubba resultet av trilogen om eIDAS utan att dokumenten är tillgängliga för granskning:

»We understand that although no changes have been made to Article 45, there were last-minute changes to the accompanying Recital 32. However, the EU has still not published the agreed legal text. There are now less than 13 days until the vote and the cyber security community, civil society and the public are still unable to read the proposed regulation, let alone scrutinize its impacts.«

Från EU-kommissionens sida menar man att allt är en missuppfattning. Cirkulera, här finns inget att se. Vilket vi dock lärt oss inte är någon garanti för att det blir rätt eller för att beslutsfattarna begriper vad de beslutar om.

IT-säkerhetsspecialisten Karl Emil Nikka säger:

»Det vansinniga här är att vi tvingas spekulera om vad QWAC i själva verket är. Den här processen, där politiker lägger fram tekniska förslag utan att ens konkretisera vad de föreslår, är vansinnig.«

Förvirringen om vad man håller på att besluta om är med andra ord stor.

Här kan du läsa Mozillas varning:
13 days before the first eIDAS vote, still no public text »

Lobbygruppen European Signature Dialog håller inte med:
• Mozilla website pushes serious eIDAS misinformation to political decision makers and public »
• ESD Experts Support Trilogue Compromise and Emphasize Necessity for Highest Security of the Internet »

Och här är EU-kommissionens input:
• CEF eSignature pilot on ntQWACs »
• European digital identity: Council and Parliament reach a provisional agreement on eID »

Vad som verkligen gäller går över min horisont. Men dokumenten ovan kan kanske vara till nytta för dem som har den tekniska kompetensen. Fyll gärna på med input i kommentarsfältet.

Slutligen, här är våra tidigare bloggposter i ämnet – som innehåller massor av länkade referenser:
• Nu tar EU kontrollen över din web-läsare »
• EU:s eID nu ett steg närmare – och EU-certifikat »

Kommissionens, rådets och parlamentets förhandlare efter att en kompromiss nåtts i trilogförhandlingarna om eIDAS.

Chatcontrol: Ett stort steg framåt och ett bakåt

av 2 kommentarer

Europaparlamentet säger nej till urskiljningslös granskning av innehållet i medborgarnas elektroniska meddelanden. Men kräver samtidigt åldersgränser (ID-krav) för porrsiter.

Nu har Europaparlamentets utskott för mänskliga rättigheter och inrikes frågor – LIBE – röstat om EU-kommissionens förslag till ny massövervakning, Chat Control 2.

Som vi tidigare kunnat berätta är LIBE:s partiöverskridande kompromiss ett stort steg åt rätt håll – då utskottet skrotar i princip allt som är kontroversiellt med förslaget:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.
  • Ingen skanning (med AI) efter olagligt innehåll (grooming) i elektroniska konversationer.
  • Ingen obligatorisk åldersverifiering för meddelande-appar.
  • Anonyma konton på meddelande-appar skall vara tillåtna.

Samtidigt har ett nytt problematiskt förslag smugit sig in. I den nya artikel 4a(e) om porrsiter kan vi läsa att utskottet vill införa åldersgränser.

Vilket är problematiskt på fler sätt. Ålderskontroll kräver att man identifierar sig. Vilket öppnar för registrering av folks sexuella preferenser och vanor.

Man kan även tänka sig att porrsiter fyller en seriös funktion för tonåringar under åldersgränsen som vill utforska sin sexualitet utan att blanda in någon annan.

Plus att internet inte känner några gränser. EU kan kanske tvinga europeiska porrsiter att införa en åldersgräns – men hur har man tänkt sig hantera icke-europeiska siter som inte tillämpar ålderskontroll. Skall de blockeras?

Det finns även skäl att vara försiktig med personuppgifter som kan komma att missbrukas av den som samlar in dem. Oseriösa aktörer kan sätta upp porrsiter med syfte att stjäla användarnas persondata i brottsligt syfte – om en åldersgräns med ID-kontroll blir obligatorisk.

Det är synd att en i övrigt bra kompromiss kommer med detta helt nya, ogenomtänkta och farliga förslag. Men det är lång väg kvar till beslut, så det kan komma att ändras.

Vad händer nu? Den 4-5 december skall EU:s ministerråd hantera frågan om Chat Control 2. I rådet diskuterar man fortfarande EU-kommissionär Ylva Johanssons ursprungliga förslag i olika varianter. Vilket är oförenligt med Europaparlamentets position.

Det är inte otänkbart att rådet sänder tillbaka Chat Control 2 till EU-kommissionen för att omarbetas. Det innebär i så fall att frågan skjuts upp till efter EU-valet nästa sommar.

Skulle ministerrådet däremot hålla fast vid någon variant av det ursprungliga förslaget blir det förhandlingar (trilog) mellan rådet, parlamentet och kommissionen – vilket kan sluta hur som helst.

Det finns även rykten om att EU-kommissionen kan komma att lägga förslag om att förlänga den nu gällande Chat Control 1 som ger plattformar och operatörer rätt att frivilligt söka efter olagligt innehåll – till skillnad från Chat Control 2 som gör det obligatoriskt.

Uppdatering: I en utfrågning i riksdagen säger kommissionär Ylva Johansson nu att hon vill förlänga Chat Control 1, enligt ovan.

Läs mer:
• Chatcontrol: Kompromiss i Europaparlamentet »
• Chatcontrol – vad händer efter Europaparlamentets nej? »
• Europaparlamentets dokument »

Relevant debattartikel:
• Europaportalen: Riksdagen måste säga nej till Chat Control 2.0 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli

EU:s eID nu ett steg närmare – och EU-certifikat

av 3 kommentarer

Nu kommer EU:s nya eID och digitala plånbok. Samtidigt skall alla web-läsare tvingas acceptera potentiellt farliga och skadliga statliga certifikat.

På onsdagen enades EU:s tre institutioner om regelverket för elektronisk identitet – eIDAS, med tillhörande digitala plånböcker.

Den digitala plånboken är tänkt att kunna användas för till exempel identifikation, körkort, licenser, examina och medicinsk information. På sikt kan även sådant som bibliotekskort, kollektivtrafikbiljetter, träningspass, betalkort och validering för olika kommersiella sammanhang finnas i den.

EU:s digitala plånbok är även tänkt att användas för inloggningar på nätet, som ett alternativ till inloggning hos tredje part med Google och Facebook.

Möjligheten till omfattande övervakning av medborgarna är uppenbar.

Det finns samtidigt positiva aspekter: EU:s digitala plånbok skall vara frivillig att använda. Det skall alltid vara möjligt att identifiera sig manuellt. Och det blir inget EU-personnummer.

Vilket dock lätt kan ändras när systemet väl finns på plats.

Under huven – i det användarna inte ser – finns dock problem. Främst handlar det om att man vill att alla web-läsare skall tvingas acceptera nya statligt utfärdade certifikat utanför HTTPS certifikatsystem.

Man vill alltså inte underkasta EU-certifikaten den kontroll som annars sker i därför avsedda globala system. Vilket kommer att göra nätet mindre säkert samtidigt som det öppnar för övervakning av användarna. Läs mer »

Den tyske piratpartisten i Europaparlamentet, Patrick Breyer säger:

 »This regulation is a blank cheque for surveillance of citizens online, endangering our privacy and security online. Browser security is being undermined, and overidentification will gradually erode our right to use digital services anonymously.«

Nu när kommissionen, rådet och parlamentet snackat ihop sig i trilog-förhandlingarna återstår bara att formellt klubba eIDAS-överenskommelsen. Detta väntas ske utan större motstånd i såväl rådet som parlamentet innan årsskiftet.

• MEP Patrick Breyer (PP, DE): EU Digital Identity Regulation (eIDAS): Pirates don’t support blank cheque for surveillance of citizens online! »
• Europaparlamentet: EU-wide digital wallet: MEPs reach deal with Council »
• EU-kommissionen: Commission welcomes final agreement on EU Digital Identity Wallet »

Relaterat:
• Nu tar EU kontrollen över din web-läsare »

Nu tar EU kontrollen över din web-läsare

av 9 kommentarer

Onsdag den 8 november går EU:s institutioner in i slutförhandlingar om att din webb-läsare måste acceptera allt staten säger åt den att acceptera – utanför HTTPS certifikatsystem.

Det handlar om artikel 45 i EU:s Digital Identity Framework (eIDAS) som nu är uppe till slutlig behandling i EU.

Blir förslaget verklighet kommer den browser du använder att tvingas acceptera interaktion med certifikat från sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.

Vilket får allvarliga konsekvenser för säkerheten på nätet. Samtidigt öppnar det för att staten kan övervaka dig och vad du gör online.

EFF kommenterade det hela redan tidigt i processen:

»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«

I ett uttalande förra veckan försökte the Internet Society få EU:s beslutsfattare att inse att de inte fullt ut förstår vad de lagstiftar om och vilka konsekvenser detta kan komma att få.

Även industrin med Mozilla i spetsen har idag skrivit brev till Europaparlamentet och EU:s ministerråd – i vilket de varnar för att artikel 45 kommer att få negativa globala konsekvenser vad gäller säkerheten online.

Läs mer, senaste input:
Joint statement of scientists and NGOs on the EU’s proposed eIDAS reform
• Mullvad: EU Digital Identity framework (eIDAS) another kind of chat control? »
• Internet Society: Civil Society Experts Voice Concern as New EU Digital Identity Regulation Finalized »
• Industry Joint Statement on Article 45 in the EU’s eIDAS Regulation (PDF) »
• Mozilla: Last Chance to fix eIDAS: Secret EU law threatens Internet security
• TF: EU Tries To Slip In New Powers To Intercept Encrypted Web Traffic Without Anyone Noticing »
• Computer Weekly: EU digital ID reforms should be ‘actively resisted’, say experts »
• No Broken Browsers
• Dropsafe: Hot on the heels of #ChatControl and in the name of “identity” and “consumer choice” the EU seeks the ability to undetectably spy on HTTPS communication; 300+ experts say “no” to #Article45 of #eIDAS #QWAC »

Bakgrund / tidigare texter:
• Förslag: Din webb-läsare måste acceptera allt staten säger åt den att acceptera »
• EFF: EU’s Digital Identity Framework Endangers Browser Security »
• EFF: What the Duck? Why an EU Proposal to Require ”QWACs” Will Hurt Internet Security »
• EU vill skapa egen DNS-infrastruktur som kan blockera innehåll »
• TF: The EU Wants Its Own DNS Resolver that Can Block ‘Unlawful’ Traffic »
• The Record: EU wants to build its own DNS infrastructure with built-in filtering capabilities »