Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

Regeringens dubbelbluff om datalagringen

av

Oavsett vad man tycker om övervakning var dagens presskonferens om datalagringen, med inrikesminister Damberg (S), ett försök att blanda bort korten. Man avledde dels uppmärksamhet från att Sverige fortfarande inte följer EU-domstolens dom som säger att man inte får ha svepande övervakning av alla utan misstanke om brott. Dels var det Damberg presenterade som regeringens nya idéer mot gängvåldet sådant som kommer att komma från EU ändå, varesig vi vill eller inte.

Idag presenterade regeringen en ny utredning om datalagring, som inte skall vara klar förrän efter nästa riksdagsval. Med detta hoppas man slå två flugor i en smäll: Dels vill man undvika en debatt om den olagliga svenska datalagringen. Dels hoppas man framstå som handlingskraftig mot brottsligheten, trots att nästan allt som presenterades är sådant som redan är under beredning i EU.

Dessutom överväger EU sin strategi i frågan. Det kan bli ett nytt datalagringsdirektiv, som i så fall kommer att stå över svensk lag. Det kan också bli en gemensam rekommendation (som inte kräver beredning i demokratisk ordning). Eller så låter man medlemsstaterna sköta frågan på egen hand. Var detta landar vet vi inte. Men det finns en risk för att utredningen kommer att vara inaktuell innan den ens är klar.

Datalagring vad gäller kommunikationsappar samt tillgång till användarnas molntjänster var två av punkterna på dagens presskonferens. Detta får möjligen regeringen att framstå som handlingskraftig mot brottsligheten. Men det är inte ens regeringens egna idéer – utan kommer från aktuella förslag i EU och Europarådet, till exempel eBevis och revideringen av Budapestkonventionen. (Länk 1 | Länk 2)

I ett pressmeddelande säger inrikesminister Damberg (S):

»Efter en dom i EU-domstolen släcktes lampan för brottskämpande myndigheter när datalagringen plötsligt stoppades. På regeringens initiativ återinfördes datalagringen i oktober 2019 och då fick brottsbekämpningen tillbaka ett av sina viktigaste verktyg. Nu tar vi nästa steg genom ett nytt initiativ för att se till att reglerna om datalagring moderniseras och effektiviseras ytterligare i takt med teknikutvecklingen.«

Vad Damberg inte säger är att även den aktuella svenska lagen om datalagring strider mot EU-domstolens förbud mot svepande övervakning av alla människors telekommunikationer utan misstanke om brott.

Enda skälet till att vi har den lag vi har är att dess senaste variant (ännu) inte prövats av EU-domstolen. Det är mycket troligt att detta är det verkliga skälet till att man nu tillsätter en utredning – men att man tog chansen att paketera den som insatser mot den ständigt aktuella gängbrottsligheten.

Datalagringen – lagring av data om alla människors alla tele- och datakommunikationer och positionsdata, utan misstanke om brott – är en fråga som kommer att fortsätta spöka för regeringen (av vilken färg den än är).

• Regeringens pressmeddelande »
• Regeringens digitala pressträff och presentationsbilder »

EU vill förbjuda anonyma kryptovalutor och stora kontantbetalningar

av

EU-kommissionen vill nu förbjuda kontantbetalningar större än 10.000 euro (drygt 100.000 SEK) – och anonyma betalningar med »virtual cash«, det vill säga kryptovalutor.

Redan 2017 ville EU-kommissionen införa en gräns för kontantbetalningar. Förslaget lades dock på is när 90% av de tillfrågade i en opinionsmätning visade sig vara emot ett sådant förslag. Men nu är det alltså dags igen.

Denna gång går man även fram med ett förbud mot anonyma betalningar med digitala valutor och mot anonyma digitala plånböcker. Hur nu det är tänk att gå till.

Man vill även inrätta en Anti-Money Laundering Authority (AMLA).

Syftet sägs vara att bekämpa penningtvätt, brottslighet och terrorism.

EU-kommissionen:

»At present, only certain categories of crypto-asset service providers are included in the scope of EU AML/CFT rules. The proposed reform will extend these rules to the entire crypto sector, obliging all service providers to conduct due diligence on their customers. Today’s amendments will ensure full traceability of crypto-asset transfers, such as Bitcoin, and will allow for prevention and detection of their possible use for money laundering or terrorism financing. In addition, anonymous crypto asset wallets will be prohibited, fully applying EU AML/CFT rules to the crypto sector.«

Detta innebär inget förbud mot digitala valutor som sådana – men att de måste omfattas av samma krav på kundkännedom och spårbarhet som gäller på banken. Det lär knappast räcka med att transaktioner är spårbara i respektive kryptovalutas digitala huvudbok (ledger). Och på samma sätt som på banken kommer användare att behöva förklara större transaktioner.

En av de få röster i politiken som höjs mot förslaget kommer från ledamoten av Europaparlamentet Patrick Breyer (PP, DE):

»Generally prohibiting anonymous payments would at best have minimal effects on crime, but it would deprive innocent citizens of their financial freedom. The medicines or sex toys I buy is nobody’s business. To collect donations, dissidents around the world are increasingly dependent on anonymous donations in virtual currencies. Where every financial transaction is captured and saved forever, this creates a honey pot for malicious hackers and law enforcement as well as a chilling government shadow over every purchase or donation.

Instead, we need to think about ways we can bring the best attributes of cash into our digital future. We have a right to pay and donate online without our personal transactions being recorded. If the EU believes it can regulate virtual currencies at a regional level, it hasn’t understood the global nature of the Internet.«

Det är även intressant med den föreslagna EU-myndigheten mot penningtvätt – Anti-Money Laundering Authority (AMLA). Den skall ses i kombination med idén om Interconnected bank account registers vars funktion är att hålla koll på alla banktransaktioner i EU. Sammantaget kommer detta att ge EU insyn i och kontroll över alla privatpersoners, företags och organisationers ekonomi.

Dessa förslag kan – ur ett principiellt perspektiv – ses som ett angrepp mot medborgarnas rätt att fritt disponera och använda sina egna pengar. Men EU-kommissionen ser alltså saken på ett annat sätt.

Länkar:
• EU-kommissionen: Beating financial crime – Commission overhauls anti-money laundering and countering the financing of terrorism rules »
• MEP Patrick Breyer: EU attack on cash and virtual cash results in financial paternalism »

Pegasus: Övervakning, ändamålsglidning och dubbelmoral

av

NSO-gruppens spionprogramvara Pegasus har väckt uppmärksamhet i internationell press den senaste tiden. Bland annat tycks den ha använts för politiskt spionage i Mexiko och för att spionera på journalister i Ungern.

Även om ett land skaffar sig möjlighet att övervaka människors telekommunikationer i syfte att bekämpa brottslighet och terrorism – så tenderar sådana verktyg alltid att användas för mindre ädla syften.

Vilket är värt att hålla i minne – då mycket talar för att även svensk polis använder just Pegasus för sin hemliga dataavläsning.

Dessutom finns ett grundläggande problem, som ständigt måste påpekas: För att spionprogram skall kunna användas för till exempel hemlig dataavläsning krävs att säkerhetshål i vår IT-infrastruktur lämnas öppna och oskyddade, för att kunna användas av myndigheterna. På så sätt blir vi alla mindre säkra – när dessa säkerhetsluckor lämnas öppna även för till exempel kriminella och främmande makt.

Runt om i EU vrider politikerna nu på sig. Hur skall de till exempel kunna kritisera Ungerns påstådda spioneri mot media och medborgarrättsaktivister när de själva ofta använder samma spionprogramvara; när de givit Europol i uppdrag att knäcka krypterad kommunikation – och när de givit grönt ljus för meddelandetjänster och e-post-företag att avkryptera och granska sina användares kommunikationer i jakt på olämpligt innehåll?

Datalagring – så vill EU kringgå EU-domstolens förbud

av

De flesta av EU:s medlemsstater vill ha datalagring – det vill säga lagring av data om medborgarnas telekommunikationer, e-post, uppkopplingar, mobilpositioner m.m.

Samtidigt har EU-domstolen upprepade gånger sagt nej till svepande lagring av allas teledata utan misstanke om brott.

I ett internt arbetsdokument (PDF) från EU-kommissionen till ministerrådet gör man nu ett försök att hitta vägar runt EU-domstolens domar.

Man skissar på tre olka möjligheter:

  1. Att inte göra något, utan låta varje medlemsstat brottas med sin egen lagstiftning och EU-domstolen. (Nationell säkerhet är trots allt medlemsstaternas kompetens.)
  2. En »EU-special« – det vill säga att komma överens om ett gemensamt förhållningssätt som sedan tillämpas av medlemsstaterna direkt – utan tidsödande och krånglig lagstiftning eller demokratisk process.
  3. Ny EU-lagstiftning i form av ett nytt datalagringsdirektiv.

Man tittar även närmare på EU-domstolens domar, som kan tillåta datalagring med begränsat syfte eller i begränsad omfattning, om det finns rimliga skäl.

I sammanhanget är »nationell säkerhet« något av en fribiljett. Här är en formulering ur dokumentet, som enkelt kan användas för att motivera datalagring hur länge som helst:

»The threat to national security must be serious, genuine and present or foreseeable as assessed by national authorities according to Member States’ individual threat/risk assessment taking into account national specificities.«

I punkt 3b blir det intressant. Här talar man om att datalagringen skall kunna inriktas mot vissa personer eller vissa geografiska områden. Det vill säga att det faktiskt skall finnas något slags misstanke eller risk i botten.

»In relation to categories of persons, the Court indicates that targeted retention legislation based on objective evidence can be directed at persons whose traffic and location data are likely to reveal a link, at least an indirect one, with serious criminal offences, to contribute in one way or another to combating serious crime or to preventing a serious risk to public security or a risk to national security

»Geographical targeting measures may include areas where the competent national authorities consider, based on objective and non-discriminatory factors, that there exists, in one or more geographical areas, a situation characterised by a high risk of preparation for or commission of serious criminal offences. Those areas may include places with a high incidence of serious crime, places that are particularly vulnerable to the commission of serious criminal offences, such as places or infrastructure which regularly receive a very high volume of visitors, or strategic locations, such as airports, stations or tollbooth areas

Vilket naturligtvis är en förbättring jämfört med idag, då data om allas alla telekommunikationer lagras.

Dock blir man lite betänksam när dokumentet utvecklar sitt resonemang om målinriktad datalagring. Vad gäller geografiska mål skriver nämner man bland annat följande exempel:

»…sensitive critical infrastructure sites, transport hubs, areas with above average crime rates or that may be a target for serious crime or are high security risk e.g. affluent neighbourhoods, places of worship, schools, cultural and sports venues, political gatherings and international summits, houses of parliament, law courts, shopping malls etc.«

Till exempel kan man ifrågasätta det lämpliga i att samla in metadata som kan identifiera deltagarna på ett politiskt möte.

Här talar man även om att utöka datalagringen till att även gälla OTT communication services, det vill säga meddelande-appar och meddelandetjänster online. Förmodligen avses även sociala media.

Ett annat alternativ är »quick freeze«:

»The CJEU held that competent authorities may issue an order, subject to effective judicial review, requiring electronic communications service providers to carry out, for a specified (renewable) period of time, the expedited retention of traffic and location data in their possession, subject to strict access safeguards. This resembles the so-called “quick freeze” or “data preservation” mechanism.«

Men det bygger på att man redan i ruta ett samlar in telekommunikationsdata om alla medborgare, oavsett om det finns misstanke eller ej. Vilket EU-domstolen alltså säger nej till.

Ett annat alternativ som föreslås är »generalised retention of IP addresses assigned to the source of an Internet connection for serious crime and serious threats to public security«. Men för att kunna göra det som tänkt behöver man förbjuda VPN-uppkopplingar, vilket är något man helst inte vill peta i.

Slutligen talar man även om möjligheten att ägna sig åt allmän datalagring, men bara av »civil identity data«.

»The term “data related to civil identity” is described by the Court as data that should not make it possible to get to know the date, time, duration and addressees of the communications, nor the places where they took place, or how often this happened with specific persons within a given period. Apart from “contact details of [those] users”, it is not, however, specified what this term encompasses and to what extent, if any, it is different data compared with “subscriber data”16. In the digital environment, the notion of civil identity should cover data identifying the subscribers.«

Vilken väg ministerrådet kommer att förorda är än så länge oklart. Men här kommer ett stalltips, som bygger på följande fråga i dokumentet:

»Do Member States consider there is merit in revisiting the ‘data matrix’ exercise initiated by Europol in 2018 to try to find ways to devise a targeted retention system that fulfils the Court’s requirements?«

Man öppnar alltså för att låta Europol sköta ett målinriktat system för datalagring. Vilket passar som hand i handske med att EU redan givit Europol rätt att använda sig av privata företags olika datasystem och register. Det vill säga att man ger Europol en direktlina in till datalagringen hos de olika operatörerna och tjänsteleverantörerna.

Vilket – ur medlemsstaternas perspektiv – är det enklaste.

• Dokumentet: Non-paper on the way forward on data retention – Presentation by the Commission and exchange of views (PDF) »

#ChatControl 2.0 – ett slag mot end-to-end-krypterad e-post?

av

I veckan antog Europaparlamentet EU:s nya regelverk som låter operatörerna av-kryptera och gå igenom sina användares elektroniska meddelanden och e-post, i namn av att bekämpa sexuella övergrepp mot barn. I höst kommer nästa steg, där detta är tänkt att bli obligatoriskt.

MEP Patrick Breyer (PP, DE) skriver:

»But this is not the end of the story: For autumn 2021, European Commission announced that it will propose a follow-up legislation that will make the use of chatcontrol mandatory for all e-mail and messenger providers. This legislation might then also affect securely end-to-end encrypted communications. However, a public consultation by the Commission on this project showed that the majority of respondents, both citizens and stakeholders, were opposed to an obligation to use chat control. Over 80% of respondents opposed its application to end-to-end encrypted communications. As a result, the Commission postponed the draft law announced for July to September 2021.«

Hur man tänkt sig komma åt end-to-end-krypterade meddelanden är en gåta. Vi får se vad kommissionen föreslår efter EU:s sommarlov, som börjar nu eft parlamentets juli-session.

• MEP Patrick Breyer (PP, DE): Messaging and ChatControl »

Relaterat:

• #ChatControl – kommentarer dagen efter »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden (med länksamling) »

#ChatControl – idag klubbas EU:s övervakning av elektronisk kommunikation

av

Idag har Europaparlamentet beslutat att dina meddelanden och din e-post skall avkrypteras och dess innehåll granskas.

Syftet är att bekämpa barnporr och sexuella övergrepp mot barn. Med tanke på ämnets känsliga natur har det lett till att berättigad kritik och omsorg om medborgarnas rätt till privatliv helt hamnat i skugga.

Läs vår tidigare beskrivning av frågan, dess bakgrund och process här. »

Dagens beslut gäller en tillfällig reglering, som i ett senare steg är tänkt att ersättas med ett mer permanent regelverk. Och här gäller det att se upp.

När frågan återkommer finns det många som vill utöka denna massövervakning av våra elektroniska kommunikationer till att även gälla andra syften. Det finns även de som vill se detta som ett allmänt verktyg i massövervakningens tjänst.

Så vi fortätter att bevaka frågan – för att uppmärksamma eventuell ändamålsglidning.

Länkar:
• MEP Patrick Breyer (PP, DE) »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden »
• Se gårdagens debatt i Europaparlamentet här (18:25-19:05) »

IT-attacken mot Coop – och polisens hemliga dataavläsning

av

IT-attacken från gruppen rEvil som bland annat tagit ner Coops kassasystem bygger enligt uppgift på en zero-day-exploit – det vill säga en tidigare okänd säkerhetslucka.

Därför är detta ett lämpligt tillfälle att påminna om att myndigheternas användning av hemlig dataavläsning bygger på att det finns säkerhetsluckor – samt att dessa förblir okända och öppna för angrepp. De är en förutsättning för att polisen skall kunna installera sina spionprogram.

Säkerhetsluckor måste uppmärksammas och åtgärdas – om vi inte skall lämna dörren öppen för till exempel ransomware (som i detta fall), nätbedragare och spioner. Men istället lämnas dessa säkerhetsluckor fortsatt öppna, med polisens goda minne. På så sätt blir vi alla mindre säkra.

Nu går det naturligtvis inte att säga om det finns en direkt koppling mellan rEvils angrepp i detta fall och svensk eller utländsk polis användning av trojaner – eftersom det är hemligt vilka verktyg som används. Men det beskriver risken på ett pedagogiskt sätt.

I det aktuella fallet skulle det behövas en haverikommission som inte bara utreder vad som skett – utan även om myndigheterna haft något ansvar för att attacken kunnat äga rum.

Tyskland utökar användning av »Bundestrojaner«

av

Den tyska förbundsdagen (Bundestag) har beslutat att utöka användningen av hemlig dataavläsning, så kallade Bundestrojaner. Nu görs den tillgänglig för fler polis och underrättelsetjänster i förbundsstaterna. Myndigheterna får även rätt att infiltrera datasystem i utlandet.

I en twist fastnade dock den federala polisens rätt att använda spionprogram i förbundsrådet (Bundesrat). Tanken var att tillåta avlyssning utan konkret misstanke om att den övervakade faktiskt begått något brott. Nu lät den delen av lagstiftningen komma att skjutas upp till efter höstens förbundsdagsval.

Matthias Monroy har en uttömmande beskrivning på sin blogg: Germany – The state hacks along »

Ett grundläggande problem med hemlig dataavläsning är att den lämnar säkerhetsluckor öppna i våra datorer och IT-system, som sedan även kan användas av till exempel kriminella och främmande makt. På så sätt gör man ironiskt nog oss alla mindre säkra.

EP/LIBE: Nej till AI och biometrisk analys för massövervakning

av

I Europaparlamentet har utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) antagit en rapport om AI och biometrisk massövervakning. MEP Patrick Breyer (PP, DE) skriver på sin blogg:

»Today, the Committee on Civil Liberties, Justice and Home Affairs (LIBE) adopted a report on the use of artificial intelligence by police and judiciary by 36 votes to 24 with 6 abstentions. The successful compromise text calls, among other things, on the Commission „to implement, through legislative and non-legislative means, and if necessary infringement proceedings, a ban on any processing of biometric data, including facial images, for law enforcement purposes that leads to mass surveillance in publicly accessible spaces” (paragraph 15b). MEPs also call on the Commission to stop funding biometric research that is likely to lead to indiscriminate mass surveillance in public spaces.«

Detta innebär att AI-baserad teknik för analys av biometrisk data (som till exempel automatiserad ansiktsigenkänning) inte får användas för massövervakning. Däremot får den användas för att söka specifika mål, till exempel från övervakningsfilmer från en brottsplats. Man håller således fast vid principen om att det skall finnas en misstanke eller ett konkret brott innan man får använda dessa verktyg.

Breyer kommenterar:

»This report is a milestone in the fight against biometric mass surveillance in Europe, because for the first time a majority in the European Parliament wants to put an end to this total form of surveillance. Biometric and mass surveillance and behavioral prediction technology in our public spaces undermines our freedoms and threatens our open society.«

Detta är en rapport, inte lagstiftning. Och det återstår att se hur Europaparlamentet kommer att rösta i plenum.

Kryptering och brevhemlighet i fara när EU bekämpar droger

av

EU håller på att ta fram en Drugs Action Plan 2021-25. I den föreslår man bland annat ökade möjligheter för att knäcka kryptering.

Punkt 7:

»Improve possibilities to tackle encryption in line with the resolution on security through encryption and security despite encryption adopted by the Council in December 2020, and other new technology-related methods employed by organised crime groups active in the drug markets to avoid detection and hide their communications. In this context, Europol analytical and technical capacities to support the Member States in this area should be strengthened and mutual legal assistance should be facilitated and strengthened, in particular regarding standard measures (e.g. subscriber identification) to improve information exchange.«

Det är inte direkt som att EU behöver fler skäl för att kringgå och underminera kryptering. Det finns redan flera andra förslag (t.ex. ChatControl). Och Europol har redan som prioriterad uppgift att knäcka krypterade kommunikationer. Men här presenterar man alltså ytterligare ett skäl.

Men det stannar inte vid detta. Även brevhemligheten (för fysiska brev) är i fara. Punkt 19:

»Promote the development, use and exchange of best practices and equipment among Member States on monitoring of suspicious postal items by employing solutions such as detection dogs and/or x-ray machines. Notably, the role of new technologies and especially of artificial intelligence should be examined, while preserving the fundamental right of privacy of correspondence.«

Att knarkhundar och röntgenmaskiner används gör att jaga droger i posten är kanske ingen nyhet. Och nu vill man alltså toppa detta med AI, utan att närmare beskriva hur det är tänkt att gå till.

I detta sammanhang är det också intressant att notera att flera EU-länder börjat med unika, kodade frimärken – vilket kan göra det möjligt att följa ett brev maskinellt.

• Statewatch: EU – Drugs strategy includes actions to ”tackle encryption” and postal snooping »
• EU-kommissionen: Draft EU Drugs Action Plan 2021 – 2025 (PDF) »