Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

NSA-avlyssning av politiker är ingen nyhet

av

Amerikanska National Security Agency – NSA – har med dansk hjälp avlyssnat svenska politiker. Detta har skapat rubriker. Men det är ingen nyhet. Denna typ av samarbeten avslöjades redan av Edward Snowden 2013 – och bekräftades under Europaparlamentets utfrågningar om massövervakningen som sedan följde.

Det fanns till och med misstankar om att den amerikanska avlyssningen av den tyska förbundskanslerns telefon kunde ha skett med svensk hjälp.

I gårdagens SVT Agenda satt försvarsminister Hultqvist och försökte vara klädsamt indignerad. Men han är naturligtvis fullt medveten om att sådant här kan ske inom ramen för olika EU-länders samarbete med NSA.

För svensk del har vi haft underrättelsesamarbete med USA sedan 1950-talet. Men det formaliserades av dåvarande försvarsminister Odenberg i anslutning till striden om den svenska FRA-lagen. Snowdens läckta NSA-dokument ger vid handen att Sverige har haft ett speciellt nära underrättelsesamarbete med de så kallade Five Eyes-länderna (USA, UK, Kanada, Australien och Nya Zeeland). Som trivia kan nämnas att Sverige i Five Eyes-samarbetet tilldelades kodnamnet SARDINE.

Men visst är det intressant att detta skapar uppståndelse först nu – när inte bara vanligt folk, utan även politiker har blivit övervakade.

• SVT: USA har spionerat på svenska politiker med hjälp av Danmark »
• SR: Kritik mot dansk spionhjälp: ”Måste be om ursäkt” »

Graf: Så röstade utskottet LIBE om Chatcontrol

#Chatcontrol klar för slutlig votering

av

I Europaparlamentet har Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor – LIBE – nu röstat ja till avkryptering och skanning av innehållet i dina meddelanden och din epost i jakt på barnporr och olämpliga kontakter med barn.

Läs vår tidigare post om detta – och varför det är problematiskt. Med länksamling. »

Med detta kan frågan gå vidare till votering i plenum, kanske redan så snart som 7-10 juni. Där kommer #Chatcontrol att godkännas, med applåder och en förkrossande majoritet.

Röstsiffrorna i LIBE (ovan) ger en fingervisning. I sammanhanget kan man notera att Alice Bah Kuhnke (MP) röstade emot den gröna grupplinjen i utskottet.

Nästa steg blir att hålla ögonen på denna övervakning – så att den inte missbrukas, så att oskyldiga inte drabbas och så att den inte råkar ut för ändamålsglidning.

Läs mer hos MEP Patrick Breyer (PP, DE) och se även ovan nämnda bloggpost.

Även den brittiska massövervakningen får bakläxa av Europadomstolen

av

Det var inte bara svenska FRA som fick bakläxa i Europadomstolen för de mänskliga rättigheterna i går. Även den brittiska massövervakningen får kritik.

Amnesty International:

»In a landmark judgment, the Grand Chamber of the European Court of Human Rights (ECtHR) today ruled that the UK government’s bulk interception of communications powers “did not contain sufficient ‘end-to-end’ safeguards to provide adequate and effective guarantees against arbitrariness and the risk of abuse”, thus violating the rights to privacy and freedom of expression.

The case was brought by Amnesty International, Liberty, Privacy International and several other rights organizations, following whistleblower Edward Snowden’s 2013 revelation that the UK intelligence agency GCHQ was secretly intercepting and processing the private communications of millions of people on a daily basis.«

2013 avslöjade visselblåsaren Edward Snowden Tempora-programmet, som även omfattar människor och organisationer som uppenbart saknar intresse vad gäller nationell säkerhet.

• Amnesty: Europe’s top court rules UK mass surveillance regime violated human rights »
• The Guardian: GCHQ’s mass data interception violated right to privacy, court rules »
• Privacy International: Human rights groups win European Court of Human Rights claim on UK mass surveillance regime »

FRA och Miljöpartiets svek

av

Kommer ni ihåg 2008? FRA-motståndet kokade, riksdagen skakade och dramatiken var stor.

Då stod Miljöpartiet på FRA-motståndarnas sida. Men när partiet hamnade i regeringsställning, då upphörde detta motstånd tvärt. Allt som partiet drivit i EU- och riksdagsval om internets frihet och människors rätt till privatliv var som bortblåst. Man svek sina löften och sina väljare.

Varför skriver jag om detta just nu?

Jo, idag meddelade Europadomstolen för de mänskliga rättigheterna dom i målet om den svenska FRA-lagen. Den måste skrivas om. Läs mer här… »

Jag noterar speciellt att man pekar på brister i dataskyddet vid FRA:s informationsutbyte med andra länder.

2015 debatterade riksdagen den årliga granskningsrapporten om FRA och därtill hörande motioner. En av dessa föreslog en granskning av FRA:s utbyte med olika samarbetspartners. I debatten deltog bland andra Jakop Dalunde (MP) och Jens Holm (V).

Dalunde vred sig som en mask på en krok när han försökte motivera regeringens linje (nej till granskning) utan att förlora ansiktet. (Debatten finns på Youtube.)

Och idag slår alltså Europadomstolen för de mänskliga rättigheterna fast att just det utbyte som MP sagt nej till att granska är ett problem.

Utbyte mellan olika länders underrättelseorgan är alltid en knepig fråga. I vart fall om respektive underrättelsetjänst förväntas följa sitt eget lands lagar. Vilket man ibland kommer runt genom att spana åt varandra. Får tyskarna inte spana på tyskar, då kanske de låter fransmännen eller britterna göra det åt dem.

Vi vet från Snowden-läckan att FRA har tillgång till amerikanska NSA:s »spion-google« – XKeyscore. I denna databas kan man med säkerhet hitta mycket smått och gott om svenskar och svenska förhållanden som NSA, GCHQ, BND & Co snappat upp. Man kan även undra vilken information FRA delar med sig, till vem, om vem och under vilka villor.

Därför är det extra glädjande att domstolen lyfter fram denna fråga.

Miljöpartiet har alltså inte bara jamsat med sossarna om övervakningen för att få statsrådsposter. De har även bidragit till att mörka sådant som kontinentens högsta domstol för mänskliga rättigheter idag har förklarat problematiskt.

Miljöpartiet är uppenbarligen en del av problemet.

Europadomstolen: FRA-lagen måste skrivas om

av

Efter en rättsprocess som pågått i nästan 13 år har Europadomstolen för de mänskliga rättigheterna kommit fram till att den svenska FRA-lagen måste skrivas om.

Domstolen pekar ut tre brister i den gällande lagen: bristande skydd för juridiska personer, bristande dataskydd vid utbyte av information med andra länder och bristande tillsyn och insyn vad gäller insamlad information.

Det var 2008 som Centrum för Rättvisa anmälde den då nya svenska FRA-lagen till Europadomstolen. Detta ledde till att regeringen snabbt skrev om lagen, för att i vart fall ge en bild av stärkt skydd för den personliga integriteten. 2018 godkände domstolen den nya, uppdaterade lagen – men menade samtidigt att den kunde förbättras på flera punkter. Centrum för Rättvisa begärde därför att lagen skulle tas upp i domstolens Grand Chamber, vars beslut meddelats idag.

Från Centrum för Rättvisas hemsida:

– Det här är en viktig dom som klargör vilka rättssäkerhetskrav som ska gälla för att hemlig massövervakning ska vara tillåten. Signalspaning kan vara ett användbart verktyg för att kartlägga och avslöja yttre hot mot landet, samtidigt är det viktigt att sådan verksamhet sker med bibehållen respekt för enskildas grundläggande fri- och rättigheter, säger Fredrik Bergman, chef för Centrum för rättvisa, som drev fallet i Europadomstolen.

Domen från Europadomstolens stora kammare innebär att det i och för sig är tillåtet för stater att ha system för hemlig massövervakning, om det finns tillräckliga rättssäkerhetsgarantier till skydd för enskildas rättigheter. Europadomstolen identifierar tre brister i det svenska systemet: Att FRA-lagen innehåller ett otillräckligt skydd för den personliga integriteten när Sverige delar med sig av data till andra stater, att skyddet för organisationers och företags kommunikation är otillräckligt och att det saknas effektiv kontroll av FRA:s verksamhet. Sverige fälls därför för brott mot den personliga integriteten i Europakonventionen.

Domen innebär dels att FRA-lagen måste skrivas om, för att möta domstolens krav. Domen blir även vägledande för statlig övervakning i alla medlemsstater i Europarådet (fler än bara EU).

Speciellt är punkten om bristande tillsyn intressant. Det är en bekräftelse av den kritik mot FRA-lagen som framfördes från början och – som trots lagändringar – aldrig hanterats på ett tillfredsställande sätt.

Länkar:
• Europadomstolens dom (PDF) »
• SR: Europadomstolen fäller Sverige för brister i FRA-lagen »
• SVT: 13 år senare: Svenska staten fälls för brister i FRA-lagen »
• Centrum för Rättvisa: Europadomstolen: FRA-lagen kränker den personliga integriteten »
• Wikipedia: FRA-lagen »

Video: Saker på gång i EU som du bör känna till

av

En sammanställning över aktuella EU-frågor som rör internet, det fria ordet, fri- och rättigheter och övervakning. 17 ämnen på elva minuter, för att inte slösa med din tid.

 

Artificiell Intelligens och övervakning • ChatControl • Code of Conduct on countering illegal hate speech online • Corona-pass • Datalagring • eBevis • EU-ID • European Democracy Action Plan • Europol • Interconnected bank account registers • Länkskatt • Patientjournaler • PNR • ROXANNE • TERREG • Trusted flaggers • Uppladdningsfilter

Har myndigheterna en bakdörr till känslig persondata?

av

Det kommer information om att inte bara den amerikanska militären utan även andra amerikanska myndigheter köper persondata som kommer från till exempel appar, från privata data brokers. Det vill säga att man kringgår den amerikanska konstitutionens fjärde tillägg – som säger att insamling av bevis skall bygga på en tydlig misstanke och vara godkänd av en domare.

Detta väcker frågan hur det är i Sverige – och i EU.

Vad för slags persondata köper svenska myndigheter in från data brokers? Och om det sker, köper man då in data som man under svensk lag inte hade fått samla in själva?

Att granska detta känns som en uppgift för Integritetsskyddsmyndigheten (tidigare Datainspektionen).

Läs mer: Defense Department Is Buying Domestic Internet Metadata From Data Brokers »

 

EU:s satsning mot kryptering är ogenomtänkt, farlig och kan ändå kringgås

av

Som vi rapporterat tänker EU göra en samordnad insats för att komma runt kryptering av privata meddelanden och e-post.

Med sitt förslag öppnar EU:s ministerråd dammluckorna. Nu är det inte bara terrorister eller fula gubbar som avses. Avkryptering med tillhörande analys kommer nu att kunna användas för brottsbekämpning på bred front.

Om man utgår från hur det är tänkt med den relaterade frågan om #ChatControl, då blir det tjänsteleverantörernas uppgift att avkryptera sina användares meddelanden – och i förekommande fall sända dessa till myndigheterna för vidare utredning och åtgärd. Men det kan bli på något annat sätt.

Att polisen skall förhindra och lösa brott är i princip alla överens om. Och med all rädsla som rubriker om terrorism och gängvåld skapar, så är de flesta svenskar förmodligen positivt inställda till ökad övervakning. Men som med allt annat bör man tänka sig för innan man gör något som inte kan göras ogjort.

Vilka blir konsekvenserna när vi vet att alla våra meddelanden som rör familje- eller arbetsfrågor kommer att avkrypteras och granskas i jakt på något misstänkt? Hur skall visselblåsare kunna kontakta journalister utan att staten får tillgång till innehållet i deras kommunikationer? Tänk om algoritmerna misstolkar en vanlig sexchat mellan samtyckande vuxna. Skall man inte kunna kommunicera med sin doktor eller terapeut utan att få allt granskat?

Detta för att nu inte nämna hur detta verktyg skulle kunna användas av en auktoritär regering, av överambitiösa eller inkompetenta befattningshavare – eller av politiska krafter som vill skaffa sig ett försprång i maktkampen. Om verktygen finns är risken stor för att de kommer att missbrukas.

Sedan har vi problemet att avkryptering av meddelanden – som kan ske genom till exempel bakdörrar eller genom att tjänsteoperatören gör avkryptering till en intern feature – minskar vår säkerhet online. Antingen har man stark och säker kryptering, eller så har man det inte. Om det skapas vägar för att komma åt krypterad kommunikation då kommer de förr eller senare att läcka ut – och användas av exempelvis nätbedragare, andra kriminella och främmande makt.

Är vi villiga att ge upp vår rätt till privatliv och vår säkerhet online – för att låta maskiner granskar allt vi skriver till varandra, i jakt på något olämpligt?

En liten tröst i sammanhanget är att EU knappast kommer att komma åt end2end-krypterad e-post där avsändare och mottagare använder sig av PGP-kryptering – eller där innehållet i ett textmeddelande krypterats med en tredjeparts-applikation där bara de inblandade känner till lösenordet.

Det skall även bli intressant att se hur man kommer att hantera till exempel ProtonMail – som ju är baserat i Schweiz (utanför EU) och som har säker kommunikation som sin själva affärsidé.

Min gissning är att alla vanliga e-post-tjänster (GMail m.fl.) och meddelandeappar (Messenger, WhatsApp m.fl.) kommer att omfattas av EU:s satsning mot kryptering – men att man inte kommer att komma åt kommunikation som endast sker i avsändarens och mottagarens datorer. I vart fall inte med mindre än användning av hemlig dataavläsning. Och för sådan krävs något slags verklig brottsmisstanke.

• Länk: EU gör ny satsning för att komma åt krypterad kommunikation »

EU gör ny satsning för att komma åt krypterad kommunikation

av

EU:s portugisiska ordförandeskap föreslår att EU skall ta ett samlat grepp för att kunna kringgå krypterad kommunikation. I detta vill man inte bara komma åt vad som kan tänkas döljas på olika meddelande- och kommunikationsplattformar – utan även hårdvara. Tillverkare som inte följer nya riktlinjer kan förbjudas att sälja sina produkter i EU.

Förslaget om #ChatControl – det vill säga avkryptering och analys av e-post och elektroniska meddelanden – har inte ens hunnit klubbas i Europaparlamentet innan ändamålsglidningen börjar. Även om de aktuella policy-dokumenten inte pekar ut något särskilt område, så talar man om behovet av att kunna avkryptera meddelanden för att bekämpa till exempel terrorism, organiserad brottslighet, droghandel och penningtvätt.

Tidigare har EU-linjen varit att kampen mot kryptering är en nationell fråga. Men det håller på att ändras.

Initiativet till att göra kampen mot kryptering till en EU-fråga fördes fram under det förra tyska ordförandeskapet och drivs nu av det portugisiska dito. Man räknar med att kunna nå resultat under det kommande slovenska ordförandeskapet. (Och då Slovenien är ett litet land med små resurser kan man räkna med att dess ordförandeskap till stor del kommer att fjärrstyras av EU-kommissionen.)

Detta kan komma att sammanfalla väl i tiden med att EU-kommissionen lägger fram sitt förslag till en permanent fortsättning för den nu aktuella, tillfälliga lagstiftningen om #ChatControl.

Läs mer:
• EU Council and Commission: New roadmap for access to encryption »
• EU: Undermining encryption: Council Presidency sets out ”next steps” »

Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden

av

Förra året trädde the European Electronic Communications Code (EECC) i kraft. Dess syfte var att garantera internetanvändares rätt till privatliv, vilket den också gjorde. I kombination med eHandels-direktivets förbud mot allmän, svepande övervakning gav den användarna det skydd som vi rimligen har rätt att kräva – om man tillämpar Europakonventionen om de mänskliga rättigheterna och vad denna har att säga om rätten till privatliv på våra liv online.

Vad man inte tänkte på var att Google, Yahoo, Facebook med flera redan av-krypterar och skannar innehållet i e-post och meddelanden. Detta i jakt på barnporr och för att förhindra sexuella övergrepp på barn. Flaggade meddelanden granskas av den amerikanska privata organisationen National Center for Missing & Exploited Children (NCMEC) och lämnas i förkommande fall vidare till polisen.

Detta skulle inte längre vara möjligt med det starka skydd för användarnas privatliv som EECC stadgar.

Från NCMEC:s sida startades därför en kampanj – uppbackad av kändisar från film- och nöjesvärlden – där man på ett högljutt sätt som i princip omöjliggjorde saklig diskussion krävde en återgång till den tidigare ordningen, där e-post och meddelanden avkrypteras och översänds till NCMEC.

Det är detta som nu är uppe i EU. Man gör ett undantag från EECC och eHandels-direktivet för att av-kryptering och granskning av meddelanden skall kunna fortsätta.

Beslutet är tvådelat. Dels handlar det om att man inför ett undantag i gällande lagstiftning, för att övervakningen skall kunna fortsätta. Dels handlar det om ett beslut om att göra denna övervakning möjlig även på sikt.

Det första beslutet gör det tillåtet för företag som tillhandahåller e-post och meddelandetjänster att av-kryptera och granska användarnas kommunikationer. Det andra beslutet gör det obligatoriskt.

Det första beslutet (undantaget) väntas i Europaparlamentets plenum i juni eller augusti. (Trilogförhandlingarna avslutades i slutet av förra månaden.) Och efter sommaren väntas EU-kommissionen lägga fram förslag till steg två, som alltså är tänkt att göra av-kryptering och granskning obligatorisk.

Vad är då problemet?

Till att böja med öppnar av-kryptering och innehållsgranskning för att denna verksamhet även kan komma att bedrivas i andra syften. I händerna på en auktoritär, korrumperad eller inkompetent regim är detta ett kraftfullt och farligt verktyg.

Vidare har studier i Schweiz visat att nio av tio flaggningar av den typ NCMEC vill ha är felaktiga. Detta kommer att få våldsamma konsekvenser för helt oskyldiga människor.

Den piratpartistiske ledamoten av Europaparlamentet, Patrick Breyer (DE) kommenterar:

»This unprecedented deal means all of our private e-mails and messages will be subjected to privatised real-time mass surveillance using error-prone incrimination machines inflicting devastating collateral damage on users, children and victims alike. Countless innocent citizens will come under false suspicion of having committed a crime, under-agers will see self-generated nudes (sexting) fall in wrong hands, abuse victims will loose safe channels for counselling. This agreement sets a terrible precedent and is a result of a campaign of disinformation and moral blackmailing. Unleashing such denunciation machines is ineffective, illegal and irresponsible. It’s using totalitarian methods in a democracy.«

Fler avvikande röster, ur en tidigare bloggpost:

»Europeiska datatillsynsmyndigheten (EDPS) anser att lagförslaget varken är nödvändigt eller proportionerligt. Det saknar laglig grund, tydliga regler och tillräckliga skyddsåtgärder.

EU-parlamentets utredningstjänst (EPRS) anser att en sådan här lag endast bör inriktas mot personer som är misstänkta för att ägna sig åt något brottsligt. Man pekar även på att förslaget strider mot dataskyddsförordningen, GDPR.

UNICEF menar att förbättrad integritet och dataskydd för barn är bättre än automatisk övervakning av deras kommunikation.«

Men nu är det hela i princip redan packat och klart. Nu gäller det att vara uppmärksam på om de nya reglerna missbrukas eller drabbas av ändamålsglidning.

Länkar:
• PP: Trilogkompromiss nådd om massövervakning av privat kommunikation »
• MEP Patrick Breyer (PP, DE): EU-deal on ChatControl – Indiscriminate analysis of all private communications contents becomes law »
• MEP Patrick Breyer (PP, DE): Dokument- och resurs-bank chatControl »
• MEP Patrick Breyer (PP, DE): Poll – 72% of citizens oppose EU plans to search all private messages for allegedly illegal material and report to the police »
Babak Karimi: ”Jag misshandlades av maskerad polis i mitt eget sovrum” »

Våra tidigare poster om ChatControl, med länkar och resurser: 
• EU: Nu skall alla dina elektroniska meddelanden granskas »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »
• EU: En soppa av motstridiga förslag och beslut om övervakning »
• EU hotar rätten till privat korrespondens online »
• Chatcontrol får grönt ljus – alla meddelanden kan kontrolleras »