Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

Datalagring – så vill EU kringgå EU-domstolens förbud

av

De flesta av EU:s medlemsstater vill ha datalagring – det vill säga lagring av data om medborgarnas telekommunikationer, e-post, uppkopplingar, mobilpositioner m.m.

Samtidigt har EU-domstolen upprepade gånger sagt nej till svepande lagring av allas teledata utan misstanke om brott.

I ett internt arbetsdokument (PDF) från EU-kommissionen till ministerrådet gör man nu ett försök att hitta vägar runt EU-domstolens domar.

Man skissar på tre olka möjligheter:

  1. Att inte göra något, utan låta varje medlemsstat brottas med sin egen lagstiftning och EU-domstolen. (Nationell säkerhet är trots allt medlemsstaternas kompetens.)
  2. En »EU-special« – det vill säga att komma överens om ett gemensamt förhållningssätt som sedan tillämpas av medlemsstaterna direkt – utan tidsödande och krånglig lagstiftning eller demokratisk process.
  3. Ny EU-lagstiftning i form av ett nytt datalagringsdirektiv.

Man tittar även närmare på EU-domstolens domar, som kan tillåta datalagring med begränsat syfte eller i begränsad omfattning, om det finns rimliga skäl.

I sammanhanget är »nationell säkerhet« något av en fribiljett. Här är en formulering ur dokumentet, som enkelt kan användas för att motivera datalagring hur länge som helst:

»The threat to national security must be serious, genuine and present or foreseeable as assessed by national authorities according to Member States’ individual threat/risk assessment taking into account national specificities.«

I punkt 3b blir det intressant. Här talar man om att datalagringen skall kunna inriktas mot vissa personer eller vissa geografiska områden. Det vill säga att det faktiskt skall finnas något slags misstanke eller risk i botten.

»In relation to categories of persons, the Court indicates that targeted retention legislation based on objective evidence can be directed at persons whose traffic and location data are likely to reveal a link, at least an indirect one, with serious criminal offences, to contribute in one way or another to combating serious crime or to preventing a serious risk to public security or a risk to national security

»Geographical targeting measures may include areas where the competent national authorities consider, based on objective and non-discriminatory factors, that there exists, in one or more geographical areas, a situation characterised by a high risk of preparation for or commission of serious criminal offences. Those areas may include places with a high incidence of serious crime, places that are particularly vulnerable to the commission of serious criminal offences, such as places or infrastructure which regularly receive a very high volume of visitors, or strategic locations, such as airports, stations or tollbooth areas

Vilket naturligtvis är en förbättring jämfört med idag, då data om allas alla telekommunikationer lagras.

Dock blir man lite betänksam när dokumentet utvecklar sitt resonemang om målinriktad datalagring. Vad gäller geografiska mål skriver nämner man bland annat följande exempel:

»…sensitive critical infrastructure sites, transport hubs, areas with above average crime rates or that may be a target for serious crime or are high security risk e.g. affluent neighbourhoods, places of worship, schools, cultural and sports venues, political gatherings and international summits, houses of parliament, law courts, shopping malls etc.«

Till exempel kan man ifrågasätta det lämpliga i att samla in metadata som kan identifiera deltagarna på ett politiskt möte.

Här talar man även om att utöka datalagringen till att även gälla OTT communication services, det vill säga meddelande-appar och meddelandetjänster online. Förmodligen avses även sociala media.

Ett annat alternativ är »quick freeze«:

»The CJEU held that competent authorities may issue an order, subject to effective judicial review, requiring electronic communications service providers to carry out, for a specified (renewable) period of time, the expedited retention of traffic and location data in their possession, subject to strict access safeguards. This resembles the so-called “quick freeze” or “data preservation” mechanism.«

Men det bygger på att man redan i ruta ett samlar in telekommunikationsdata om alla medborgare, oavsett om det finns misstanke eller ej. Vilket EU-domstolen alltså säger nej till.

Ett annat alternativ som föreslås är »generalised retention of IP addresses assigned to the source of an Internet connection for serious crime and serious threats to public security«. Men för att kunna göra det som tänkt behöver man förbjuda VPN-uppkopplingar, vilket är något man helst inte vill peta i.

Slutligen talar man även om möjligheten att ägna sig åt allmän datalagring, men bara av »civil identity data«.

»The term “data related to civil identity” is described by the Court as data that should not make it possible to get to know the date, time, duration and addressees of the communications, nor the places where they took place, or how often this happened with specific persons within a given period. Apart from “contact details of [those] users”, it is not, however, specified what this term encompasses and to what extent, if any, it is different data compared with “subscriber data”16. In the digital environment, the notion of civil identity should cover data identifying the subscribers.«

Vilken väg ministerrådet kommer att förorda är än så länge oklart. Men här kommer ett stalltips, som bygger på följande fråga i dokumentet:

»Do Member States consider there is merit in revisiting the ‘data matrix’ exercise initiated by Europol in 2018 to try to find ways to devise a targeted retention system that fulfils the Court’s requirements?«

Man öppnar alltså för att låta Europol sköta ett målinriktat system för datalagring. Vilket passar som hand i handske med att EU redan givit Europol rätt att använda sig av privata företags olika datasystem och register. Det vill säga att man ger Europol en direktlina in till datalagringen hos de olika operatörerna och tjänsteleverantörerna.

Vilket – ur medlemsstaternas perspektiv – är det enklaste.

• Dokumentet: Non-paper on the way forward on data retention – Presentation by the Commission and exchange of views (PDF) »

#ChatControl 2.0 – ett slag mot end-to-end-krypterad e-post?

av

I veckan antog Europaparlamentet EU:s nya regelverk som låter operatörerna av-kryptera och gå igenom sina användares elektroniska meddelanden och e-post, i namn av att bekämpa sexuella övergrepp mot barn. I höst kommer nästa steg, där detta är tänkt att bli obligatoriskt.

MEP Patrick Breyer (PP, DE) skriver:

»But this is not the end of the story: For autumn 2021, European Commission announced that it will propose a follow-up legislation that will make the use of chatcontrol mandatory for all e-mail and messenger providers. This legislation might then also affect securely end-to-end encrypted communications. However, a public consultation by the Commission on this project showed that the majority of respondents, both citizens and stakeholders, were opposed to an obligation to use chat control. Over 80% of respondents opposed its application to end-to-end encrypted communications. As a result, the Commission postponed the draft law announced for July to September 2021.«

Hur man tänkt sig komma åt end-to-end-krypterade meddelanden är en gåta. Vi får se vad kommissionen föreslår efter EU:s sommarlov, som börjar nu eft parlamentets juli-session.

• MEP Patrick Breyer (PP, DE): Messaging and ChatControl »

Relaterat:

• #ChatControl – kommentarer dagen efter »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden (med länksamling) »

#ChatControl – idag klubbas EU:s övervakning av elektronisk kommunikation

av

Idag har Europaparlamentet beslutat att dina meddelanden och din e-post skall avkrypteras och dess innehåll granskas.

Syftet är att bekämpa barnporr och sexuella övergrepp mot barn. Med tanke på ämnets känsliga natur har det lett till att berättigad kritik och omsorg om medborgarnas rätt till privatliv helt hamnat i skugga.

Läs vår tidigare beskrivning av frågan, dess bakgrund och process här. »

Dagens beslut gäller en tillfällig reglering, som i ett senare steg är tänkt att ersättas med ett mer permanent regelverk. Och här gäller det att se upp.

När frågan återkommer finns det många som vill utöka denna massövervakning av våra elektroniska kommunikationer till att även gälla andra syften. Det finns även de som vill se detta som ett allmänt verktyg i massövervakningens tjänst.

Så vi fortätter att bevaka frågan – för att uppmärksamma eventuell ändamålsglidning.

Länkar:
• MEP Patrick Breyer (PP, DE) »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden »
• Se gårdagens debatt i Europaparlamentet här (18:25-19:05) »

IT-attacken mot Coop – och polisens hemliga dataavläsning

av

IT-attacken från gruppen rEvil som bland annat tagit ner Coops kassasystem bygger enligt uppgift på en zero-day-exploit – det vill säga en tidigare okänd säkerhetslucka.

Därför är detta ett lämpligt tillfälle att påminna om att myndigheternas användning av hemlig dataavläsning bygger på att det finns säkerhetsluckor – samt att dessa förblir okända och öppna för angrepp. De är en förutsättning för att polisen skall kunna installera sina spionprogram.

Säkerhetsluckor måste uppmärksammas och åtgärdas – om vi inte skall lämna dörren öppen för till exempel ransomware (som i detta fall), nätbedragare och spioner. Men istället lämnas dessa säkerhetsluckor fortsatt öppna, med polisens goda minne. På så sätt blir vi alla mindre säkra.

Nu går det naturligtvis inte att säga om det finns en direkt koppling mellan rEvils angrepp i detta fall och svensk eller utländsk polis användning av trojaner – eftersom det är hemligt vilka verktyg som används. Men det beskriver risken på ett pedagogiskt sätt.

I det aktuella fallet skulle det behövas en haverikommission som inte bara utreder vad som skett – utan även om myndigheterna haft något ansvar för att attacken kunnat äga rum.

Tyskland utökar användning av »Bundestrojaner«

av

Den tyska förbundsdagen (Bundestag) har beslutat att utöka användningen av hemlig dataavläsning, så kallade Bundestrojaner. Nu görs den tillgänglig för fler polis och underrättelsetjänster i förbundsstaterna. Myndigheterna får även rätt att infiltrera datasystem i utlandet.

I en twist fastnade dock den federala polisens rätt att använda spionprogram i förbundsrådet (Bundesrat). Tanken var att tillåta avlyssning utan konkret misstanke om att den övervakade faktiskt begått något brott. Nu lät den delen av lagstiftningen komma att skjutas upp till efter höstens förbundsdagsval.

Matthias Monroy har en uttömmande beskrivning på sin blogg: Germany – The state hacks along »

Ett grundläggande problem med hemlig dataavläsning är att den lämnar säkerhetsluckor öppna i våra datorer och IT-system, som sedan även kan användas av till exempel kriminella och främmande makt. På så sätt gör man ironiskt nog oss alla mindre säkra.

EP/LIBE: Nej till AI och biometrisk analys för massövervakning

av

I Europaparlamentet har utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) antagit en rapport om AI och biometrisk massövervakning. MEP Patrick Breyer (PP, DE) skriver på sin blogg:

»Today, the Committee on Civil Liberties, Justice and Home Affairs (LIBE) adopted a report on the use of artificial intelligence by police and judiciary by 36 votes to 24 with 6 abstentions. The successful compromise text calls, among other things, on the Commission „to implement, through legislative and non-legislative means, and if necessary infringement proceedings, a ban on any processing of biometric data, including facial images, for law enforcement purposes that leads to mass surveillance in publicly accessible spaces” (paragraph 15b). MEPs also call on the Commission to stop funding biometric research that is likely to lead to indiscriminate mass surveillance in public spaces.«

Detta innebär att AI-baserad teknik för analys av biometrisk data (som till exempel automatiserad ansiktsigenkänning) inte får användas för massövervakning. Däremot får den användas för att söka specifika mål, till exempel från övervakningsfilmer från en brottsplats. Man håller således fast vid principen om att det skall finnas en misstanke eller ett konkret brott innan man får använda dessa verktyg.

Breyer kommenterar:

»This report is a milestone in the fight against biometric mass surveillance in Europe, because for the first time a majority in the European Parliament wants to put an end to this total form of surveillance. Biometric and mass surveillance and behavioral prediction technology in our public spaces undermines our freedoms and threatens our open society.«

Detta är en rapport, inte lagstiftning. Och det återstår att se hur Europaparlamentet kommer att rösta i plenum.

Kryptering och brevhemlighet i fara när EU bekämpar droger

av

EU håller på att ta fram en Drugs Action Plan 2021-25. I den föreslår man bland annat ökade möjligheter för att knäcka kryptering.

Punkt 7:

»Improve possibilities to tackle encryption in line with the resolution on security through encryption and security despite encryption adopted by the Council in December 2020, and other new technology-related methods employed by organised crime groups active in the drug markets to avoid detection and hide their communications. In this context, Europol analytical and technical capacities to support the Member States in this area should be strengthened and mutual legal assistance should be facilitated and strengthened, in particular regarding standard measures (e.g. subscriber identification) to improve information exchange.«

Det är inte direkt som att EU behöver fler skäl för att kringgå och underminera kryptering. Det finns redan flera andra förslag (t.ex. ChatControl). Och Europol har redan som prioriterad uppgift att knäcka krypterade kommunikationer. Men här presenterar man alltså ytterligare ett skäl.

Men det stannar inte vid detta. Även brevhemligheten (för fysiska brev) är i fara. Punkt 19:

»Promote the development, use and exchange of best practices and equipment among Member States on monitoring of suspicious postal items by employing solutions such as detection dogs and/or x-ray machines. Notably, the role of new technologies and especially of artificial intelligence should be examined, while preserving the fundamental right of privacy of correspondence.«

Att knarkhundar och röntgenmaskiner används gör att jaga droger i posten är kanske ingen nyhet. Och nu vill man alltså toppa detta med AI, utan att närmare beskriva hur det är tänkt att gå till.

I detta sammanhang är det också intressant att notera att flera EU-länder börjat med unika, kodade frimärken – vilket kan göra det möjligt att följa ett brev maskinellt.

• Statewatch: EU – Drugs strategy includes actions to ”tackle encryption” and postal snooping »
• EU-kommissionen: Draft EU Drugs Action Plan 2021 – 2025 (PDF) »

Sluta censurera sådant som inte är olagligt

av

Att reglera internet och att övervaka folket tycks vara en prioriterad politisk uppgift. Det går med en rasande fart nu.

Pandemin har förmodligen gjort det lättare. Never waste a good crisis.

Jag noterar att Europol nu har börjat punktmarkera såväl högerextremister som vänsterextremister, islamister och corona-förnekare online. Vad jag förstår använder man sig inte av lagen, eftersom en del av det material man vill ha bort inte är olagligt. Istället anmäler man innehåll till de sociala nätverkens abuse-avdelningar för brott mot nämnda nätverks användarvillkor.

Vilket alltså innebär att statens våldsmonopol ägnar tid och resurser åt att tysta oönskade röster på nätet – som inte nödvändigtvis gör något olagligt. Man kan även fundera på om det är lagen eller Facebooks användarvillkor som skall vägleda polisen i dess förhållande till det fria ordet.

Idén med att göra känsliga inskränkningar i yttrandefriheten genom att påverka sociala media att uppdatera sina användarvillkor är dubiös. Skall man göra inskränkningar i det fria ordet, då skall det ske genom lag i en öppen demokratisk process. Inte genom diskreta påtryckningar mot sociala media.

I EU-kommissionens förslag till en Digital Services Act (DSA) skriver man att olagligt material skall plockas bort. En del länder i ministerrådet, med Frankrike i spetsen, vill gå längre och även avlägsna hat och hot. Men alltså hat och hot som inte redan fallit under rubriken olagligt? Det vill säga att avlägsna lagligt innehåll. See what they did there?

Europaparlamentets franske rapportör om DSA vill redan nu att uppladdningsfilter skall införas som något slags allmänt verktyg. Det vill säga automatisk granskning och i förekommande fall censur av allt du laddar upp – där din yttrandefrihet regleras av maskiner, algoritmer och av den som kontrollerar dessa.

Jag vill inte låta alarmistisk. Men denna slappa hållning gentemot den demokratiska rättsstatens grundläggande principer och metoder är olämplig. Vi håller på att flytta makten över det fria ordet från lagstiftning och rättsväsende till slutna rum.

Det kommer även ett alternativ på papper till EU:s nya digitala Covid-pass

av

EU:s nya Covid-pass har nu fått grönt ljus av alla inblandade EU-institutioner – och systemet är tänkt att gälla i alla medlemsstater om högst sex veckor.

Även ledamöter av Europaparlamentet som kämpar för individens rätt till privatliv tycks vara nöjda med de garantier som lämnats för dataskydd och individens rätt till privatliv.

För den som ändå inte är bekväm med att ha en app kommer det att finnas ett pappers-baserat alternativ.

Man skall i sammanhanget vara medveten om att detta i praktiken blir en test inför systemet med European Digital Identity Wallets, som presenterades av EU-kommissionen förra veckan.

Nu kommer EU-ID – ett samhälle där man blippar sig fram?

av

Projektet med ett digitalt corona-pass för resande m.m. tycks ha givit mersmak.

Enligt Bloomberg kommer EU-kommissionen i morgon, torsdag att lägga fram ett förslag till European Digital Identity Wallets.

Vilket enkelt uttryckt kommer att ge oss något som liknar Bank-ID – och som om de rullas ut kommer att göra folks liv mycket enklare och bekvämare. Då kommer fler att göra som i Sverige och digitalisera förvaltningens grundläggande funktioner. Då kommer man att kunna leva sömlöst i hela EU.

“Under the new rules, European Digital Identity Wallets will be available to everyone,” according to a draft of the proposals seen by Bloomberg. The wallets will allow European Union citizens to digitally identify themselves, and store identity data and official documents such as driving licenses, medical prescriptions or education qualifications.

Möjligen är detta delvis en naturlig utveckling. Men den kommer med stora risker.

Ett samhälle där vi ständigt måste blippa oss fram – med allt vad detta medför av risker för övervakning och kontroll.

Computer says no. Hur skapar man ett sådant här system utan risk för manipulation eller missbruk? Kan man lita på att systemet alltid fungerar, om vi skall lägga allt i dess händer? Cyber-angrepp?

För att inte tala om hur ett sådant system skulle kunna missbrukas, till exempel för att förtrycka dissidenter eller för att snoka i folks liv. Det hela skulle i en politisk handvändning kunna förvandlas till något som påminner om de kinesiska experimenten med sociala poäng.

Visserligen säger man att EU:s digitala plånbok skall vara frivillig. I vart fall när den införs, men sådant brukar förändras med tiden. Hur som helst kommer man att behöva den för att kunna leva ett normalt liv i framtidens EU.

»With the new ID wallets, which will have the form of a phone app similar to those used in Android and Apple Inc. phones, EU citizens will be able to rent cars outside their home country, prove their age, apply for loans, open a bank account, submit tax declarations, or enroll in a university. The commission aims to release a technical toolbox which can be used for the introduction of the wallets by October 2022.«

Det vill säga om ett år och fem månader. Således ytterligare en känslig dossier som kommer att slussas genom EU:s beslutsapparat i expressfart.

Kan vi inte – för en gångs skull – ha en diskussion om det här? Innan vi ställs inför fullbordat faktum.