Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

Automatiserad ansiktsigenkänning – nu i Sverige

av

Polisen har fått klartecken för ett nytt verktyg som automatiskt analyserar video och bilder – bland annat med hjälp av automatiserad ansiktsigenkänning. Vilket väcker en del frågor och farhågor.

Låt oss börja med att se vad detta inte är. Det handlar inte om att automatiskt övervaka allmän plats och att få flaggningar så fort någon person av intresse dyker upp i bild. Polisen ville testa ett sådant system på Skavsta flygplats – men där sa Datainspektionen nej.

Vad det däremot handlar om är automatisk genomsökning av video och bilder i jakt på något specifikt, på en bestämd plats vid en bestämd tidpunkt. Detta omfattar även automatisk ansiktsigenkänning.

I detta fall är det alltså fråga om material som ändå skulle ha gåtts igenom, fast av fysiska poliser. På så sätt kan det rent av handla om att färre personer tittar på de övervakningsfilmer där du eller någon annan oskyldig förekommer. En automatisering och en eventuell effektivisering, med andra ord. Men det är ändå inte problemfritt.

Dels vet vi att automatiserade system ger ett stort antal »falska positiva« flaggningar, ibland i en sådan omfattning att det underliggande materialet blir svårare att hantera.

Dels är det oklart hur mycket biometrisk data som kommer att användas och från vilka källor. Om det handlar om misstänkta i det specifika fallet är det en sak. Om det handlar om bredare data, där biometrisk data för en bredare allmänhet (t.ex. från passregistret) används, då är det mer problematiskt.

Här finns också en viktig metodfråga. Om en människa, med förhoppningsvis gott omdöme och god analytisk förmåga, tittar igenom t.ex. en övervakningsfilm – då kan information som är viktig för en utredning framkomma, som inte framkommer om man bara söker på ett visst ansikte, ett visst signalement eller en viss sak. Det kan handla om en person som inte ingår i utredningen, men vars närvaro ändå är av intresse. Eller om ett visst händelseförlopp före eller efter det man söker. Risken är att automatiserad analys missar sådant som den inte uttryckligen är tillsagd att söka efter.

Slutligen kan det system som nu fått klartecken användas för att utveckla automatiserad ansiktsigenkänning på allmän plats. Även om Datainspektionen i dagsläget säger nej till sådan, så lär sista ordet inte vara sagt. Om inte svenska polisen kommer att kunna tjata sig till ett sådant verktyg, så kan det komma från EU.

Länkar från SR:
• Polisen får klartecken för ansiktsigenkänning »
• ”Rör sig om känsliga uppgifter” (ljudinslag) »

Tänker Trump benåda Edward Snowden?

av

President Trump funderar högt om visselblåsaren Edward Snowden, som år 2013  avslöjade den globala massövervakning som amerikanska NSA och dess allierade ägnar sig åt. Är det dags att lägga ner eventuella åtal mot Snowden och låta honom återvända till USA som en fri man?

Man kan naturligtvis aldrig veta med Trump. Men om man ser vad han säger på en presskonferens i veckan som gick – så får man ett intryck av att detta är något han verkligen funderar över. Kanske som »kompensation« för att han nyligen benådade en av sina vänner, Roger Stone. Det är också möjligt att Trump gör sitt utspel för att flirta med mer liberala krafter inför presidentvalet i november.

En sak är samtidigt rätt säker – Demokraterna lär aldrig benåda Snowden. Det var ju trots allt Obama-administrationen som fick ta smällen när den globala massövervakningen avslöjades.

Som konfliktyta i presidentvalskampanjen skulle en benådning av Snowden därför vara ett gott taktiskt val av Trump.

Vi får väl se vad som händer.

Samtidigt är den mediala bilden av Snowden inte alltid korrekt. Reuters skriver:

»Snowden fled the United States and was given asylum in Russia after he leaked a trove of secret files in 2013 to news organizations that revealed vast domestic and international surveillance operations carried out by the NSA.«

Till och med The Guardian – som ju var den tidning som hjälpte Snowden att exponera alla oegentligheter är milt vilseledande:

»Snowden disclosed highly classified information from the National Security Agency in 2013. He revealed the news covertly to the Guardian at the time, then did interviews with this outlet after he fled to Hong Kong, before retreating to Moscow to avoid extradition to the US. He has remained in Russia ever since.«

Här är det viktigt att ha fakta klart för sig: Snowden reste till Hong Kong, där han träffade de journalister som hjälpte honom att föra ut sanningen om massövervakningen. Därefter skulle han vidare till obekräftat resmål. Men när han skulle byta plan i Moskva hade de amerikanska myndigheterna hunnit dra in hans pass. Så han kunde inte resa vidare, utan fastnade där.

Edward Snowden befinner sig alltså inte i Ryssland av egen fri vilja – utan som en konsekvens av de amerikanska myndigheternas handlande.

Vilket kan vara bra att känna till, då det ständigt antyds att Snowden skulle ha verkat i samarbete med Ryssland – dock utan att några bevis för något sådant samarbete har kunnat presenteras. Det handlar snarare om att misstänkliggöra honom – vilket  alltså även media medverkar till.

Vill du veta mer? Se den Oscarsbelönade dokumentären Citizenfour – tillgänglig på SVT Play fram till den 30 september.

EU och Europol satsar på att knäcka kryptering

av

EU-kommissionen arbetar just nu på en ny studie om hur man kan forcera end-to-end-krypterade meddelanden.

Europols European Centre for Cybercrime (EC3) i Haag arbetar redan med att knäcka krypterat innehåll och krypterade lagringsmedia. Enligt uppgift lyckas man i 39% av fallen. Målet är att i framtiden även kunna forcera krypterade meddelanden.

Matthias Monroy skriver på sin blogg:

»In the future, the „decryption platform“ is to use supercomputers of the European Union. For this purpose, Europol has concluded an agreement with the Joint Research Centre of the EU Commission, according to which the attacks on encrypted content are to be carried out in Ispra, Italy, at Lake Maggiore. Europol says, however, that the commissioning of the facility, which was planned last year, has been delayed and is now to take place in the summer of this year. Problems have therefore arisen with the secure connection between Ispra and Europol’s control room in The Hague.«

En särskild expertgrupp har nu tillsatts för att ta sig an frågan om krypterade meddelanden. I ett dokument från EU-kommissionen flaggas även för en ny approach. Monroy:

»Internet service providers such as Google, Facebook and Microsoft are to create opportunities to read end-to-end encrypted communications. If criminal content is found, it should be reported to the relevant law enforcement authorities. To this end, the Commission has initiated an „expert process“ with the companies in the framework of the EU Internet Forum, which is to make proposals in a study.«

Detta är intressant. Man vill alltså tvinga nätjättarna att läsa krypterad kommunikation. Vilket kan bli komplicerat för de företag som valt system för kryptering som inte ens de själva kan knäcka. Om de sedan hittar något misstänkt skall det anmälas till relevanta myndigheter.

Utöver att staten bereder sig tillgång till medborgarnas privata kommunikation (och därmed kränker rätten till privatliv och privat korrespondens) innebär knäckt kryptering ett mindre säkert internet för oss alla – oavsett om det handlar om bakdörrar eller att forcera krypterad kommunikation. Sådana verktyg blir, förr eller senare, även tillgängliga för andra – som kan ha en helt annan agenda. Till exempel bör man komma ihåg att en läcka avslöjade många av de verktyg för övervakning och dataintrång som används av amerikanska myndigheter – vilka nu hamnat i händerna på kriminella element runt om i världen.

Länk: European Commission starts new attack on end-to-end encryption »

Tyska EU-ordförandeskapet vill se mer övervakning och kontroll

av

Detta halvår är Tyskland ordförandeland i EU. Bloggaren och aktivisten Matthias Monroy har gjort en djupdykning i dess planer för polis och övervakning:

»The German Federal Ministry of the Interior wants to expand Europol and the international exchange of data during its EU Presidency. European police authorities will be supported with face recognition and decryption capabilities. Also on the agenda are the Europe-wide query of police files and the exchange on a definition of persons which pose „a potential terrorist/extremist threat“.«

Några av planerna, i punktform:

  • Ökat gränsöverskridande polissamarbete.
  • Ökat gränsöverskridande datautbyte mellan nationella polismyndigheter (och underrättelseorgan).
  • Utökat mandat för Europol.
  • Utökad lagring av och tillgång till data i Schengen Information System (SIS). Detta gäller bland annat biometrisk data och DNA. Man vill även ge SIS en ny sökportal.
  • Utökat samarbete mellan Europol och privata företag.
  • Inköp av mer och ny mjukvara för övervakning.
  • Europol skall bli en hub för att forcera kryptering.
  • Europol skall mer fokusera på att bekämpa »extremism«.
  • Integration av olika existerande system för biometrisk data.
  • Gemensam EU-databas för automatiserad ansiktsigenkänning.
  • Gränsöverskridande tillgång till utredningsfiler, även för avslutade fall.
  • Sjösätta förordningen om terror-relaterat innehåll online.
  • Samarbete om hälso-data.

EU kommer alltså att fortsätta rulla ut kontroll- och övervakningsstaten – med verktyg som kan orsaka stor skada i fel händer.

Med dessa verktyg får vi verkligen hoppas att alla EU:s 27 medlemsstater är stabila demokratier – för all framtid – som inte kommer att använda dem för att förtrycka oliktänkande eller på andra sätt missbruka dem.

Vi får också hoppas att alla de 27 medlemsstaternas myndigheter för polis och underrättelseverksamhet – för all framtid – är fria från korruption, kopplingar till kriminalitet  och läckor.

Matthias Monroy: EU Presidency – Germany advocates „European Police Partnership“ »

EU:s nya censurmaskin

av

I EU står just nu ännu en strid om huruvida staten skall få censurera internet – och införa uppladdningsfilter.

Den här gången handlar det inte om upphovsrätt. (Även om principen om uppladdningsfilter etablerades i EU:s hårt kritiserade upphovsrättsdirektiv.) Det aktuella förslaget handlar om att automatiskt censurera vissa åsikter.

Sorry Dave, I cannot post this text.

Vidriga åsikter, förvisso. Vad det handlar om är att man inte får göra terrorpropaganda. Vilket dock kan få en del oväntade och oönskade konsekvenser. Det farliga blir inte mindre farligt bara för att vi inte kan se det. Snarare tvärt om. Och om verksamhet går under jorden, riskerar inte sådant att påskynda radikalisering?

Men detta kommer inte att stanna vid terror-relaterat innehåll.

Med tiden kommer censurmaskinen att drabbas av ändamålsglidning.

Dels har vi redan olyckliga internetlagar i allt fler EU-länder som reglerar vad användare får skriva och säga på nätet. Och vad passar då bättre än att använda uppladdningsfilter?

Dels har vi allt hallå om vad folk rent allmänt skall få tycka, med stora inslag av ängslighet. Det diskuteras – på fullt allvar – vilka åsikter som skall tillåtas, vilka ord som får användas, vilka böcker som skall rensas ut och vem som bör lynchas för en tweet. Att toppa denna drevkultur med en statligt kontrollerad censurmaskin känns oroväckande.

Tiden för EU:s censurmaskin känns – förfärande nog – mogen.

Så här står det till i sak:

I EU förhandlar man just nu fram en förordning om terrorrelaterat innehåll online (TERREG). Worst case är att flaggat material måste avlägsnas från internet inom en timma – och att det införs automatiserade uppladdningsfilter. (Och detta är bara de två värsta, av många dåliga idéer i förslaget.)

I sammanhanget skall man komma ihåg att ett uppladdningsfilter måste filtrera allt för att fungera. Även den som anser sig ha rent mjöl i sin påse och därför inte ha något att frukta – kommer att få all sin elektroniska kommunikation filtrerad och kontrollerad. Allt som alla gör på nätet kommer att granskas och analyseras, av maskiner.

Precis som EU:s upphovsrättsdirektiv användes som murbräcka för att etablera principen om uppladdningsfilter – på samma sätt använder man nu terrorismen som ursäkt för att införa nätcensur. Sedan är det bara att hoppas att ingen kommer att använda censuren till något dumt. Någonsin.

Det värsta är att jag tror att de flesta i EU-apparaten inte riktigt förstår vad de håller på att ställa till med.

Statskontrollerad, automatiserad nätcensur. I turbulenta tider. Det känns onödigt dystopiskt.

Skrota EU:s förordning om terrorrelaterat innehåll online. Eller gör i vart fall som Europaparlamentet vill – och lyft bort de värsta delarna.

Överföring av persondata mellan EU och USA i limbo efter EU-dom

av

Överföring av persondata mellan EU och USA har länge varit en surdeg. Det gäller såväl överföring av bankdata i bulk som ren persondata (Safe Harbour, sedemera Privacy Shield). Såväl Europaparlamentet som EU-domstolen har satt sig på tvären när de avtal som tecknats inte levt upp till EU:s krav på på skydd för persondata.

Idag har EU-domstolen – för andra gången – upphävt det avtal som är grunden för Safe Harbour / Privacy Shield.

Grunden är det mål som drivits av den österrikiske juridikstudenten Max Schrems och som i sak rör dataöverföring från Facebook Ireland (där företaget har sitt europabolag) till USA. Frågan sattes i rörelse efter Edwards Snowdens avslöjanden om den amerikanska, globala massövervakningen – då det framkom att bland andra Facebook förser de amerikanska signalspaningsmyndigheterna med information. Och i USA gäller det begränsade persondataskydd som finns bara amerikanska medborgare.

Time har en tydlig sammanfattning:

»The European Union’s top court ruled Thursday that an agreement that allows big tech companies to transfer data to the United States is invalid, and that national regulators need to take tougher action to protect the privacy of users’ data.

The ruling does not mean an immediate halt to all data transfers outside the EU, as there is another legal mechanism that some companies can use. But it means that the scrutiny over data transfers will be ramped up and that the EU and U.S. may have to find a new system that guarantees that Europeans’ data is afforded the same privacy protection in the U.S. as it is in the EU.«

Max Schrems själv säger:

»I am very happy about the judgment. It seems the Court has followed us in all aspects. This is a total blow to the Irish DPC and Facebook. It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market.«

»The Court clarified for a second time now that there is a clash of EU privacy law and US surveillance law. As the EU will not change its fundamental rights to please the NSA, the only way to overcome this clash is for the US to introduce solid privacy rights for all people – including foreigners. Surveillance reform thereby becomes crucial for the business interests of Silicon Valley.«

Även om det finns andra avtal om dataöverföring till utlandet att falla tillbaka på – så kommer dagens dom att skapa mycket oreda på båda sidor Atlanten. Att USA skulle ändra sin lagstiftning och massövervakning är knappast troligt. I värsta fall kan detta leda till ett digitalt handelskrig mellan EU och USA.

Precis som när det gäller EU:s dataskyddsförordning (GDPR) står här viktiga principer och praktisk verklighet mot varandra.

Ansvaret för den uppkomna situationen vilar hos EU-kommissionen – som konsekvent vägrat lyssna på Europaparlamentet och som istället för att rätta sig efter EU-domstolens första dom försökt kringgå den.

Nu är vi i princip åter på ruta ett.

Länkar:
• Time: E.U.’s Top Court Invalidates Data-Sharing Agreement With U.S. »
• EU-domstolens dom (PDF) »
• Max Schrems / noyb »
• Bakgrundsmaterial från Politico (publicerat innan domen) »

Europol kan få rätt att samla in data från nätplattformar i »förebyggande syfte«

av

Gällande regler för EU:s polissamarbete – Europol – ger rätt att mottaga, men inte formellt kunna kräva information från privata nätföretag. Man kan anta att till exempel Facebook och Twitter tycker att det är enklare att samarbeta än att bråka med Europol. Vilket landar i ett system där ingen juridisk instans (som en domstol) behöver kopplas in. Detta hotar dels rättssäkerheten, omöjliggör dels överprövning och förhindrar dels demokratisk insyn och kontroll.

Regelverket var tänkt att granskas och utvärderas redan våren 2019. Det går dock inte att finna någon information om att en sådan granskning skett, än mindre vad den i så fall skulle ha kommit fram till.

Trots detta har EU-kommissionen och EU:s ministerråd kommit fram till att regelverket begränsar Europols arbete – och att mandatet därför behöver utökas.

EDRi kommenterar:

»One of the main policy option foreseen is to lift the ban on Europol’s ability to proactively request data from private companies or query databases managed by private parties (e.g. WHOIS). However, disclosures by private actors would remain “voluntary”. Just as the EU Internet Referral Unit operates without any procedural safeguards or strong judicial oversight, this extension of Europol’s executive powers would barely comply with the EU Charter of Fundamental Rights – that requires that restrictions of fundamental rights (on the right to privacy in this case) must be necessary, proportionate and “provided for by law” (rather than on ad hoc “cooperation” arrangements).«

EDRi: Europol – Non-accountable cooperation with IT companies could go further »

Tyskland vill ha hjälp av IT-branschen för att installera statstrojaner

av

Tyskland var ett av de första länderna att lagstifta om »statstrojaner« – det vill säga spyware som ger myndigheterna tillgång till allt som görs och finns på en dator, mobiltelefon, sufrplatta m.m. Det är detta som Sverige nu infört under benämningen hemlig dataavläsning.

Nu vill Tyskland ta metoden ett steg längre . I ett arbetspapper inför ett kommande regeringsförslag diskuteras möjligheten att tvinga plattformar och meddelandetjänster att hjälpa till med att i smyg installera dessa statstrojaner hos användare.

Branschen vill, föga förvånande, inte ha något med saken att göra. Dels vill de inte bli delaktiga i statens övervakning av medborgarna. Dels vill de att säkerhetsbrister skall bli kända och täppas till – istället för att hållas öppna för att kunna utnyttjas av myndigheterna.

Detta kan vara relevant även för oss svenskar. Dels ger det en indikation om hur den hemliga dataavläsningen kan komma att utvecklas. Dels kan metoden komma att bli vägledande för lagstiftning eller praxis inom EU / Europol.

Läs mer: Staatstrojaner: WhatsApp & Co. sollen Netzverkehr an Geheimdienste umleiten »

Förtryckets verktyg – snart i svenska polisens händer

av

Polisen och Säkerhetspolisen skall nu köpa in verktyg för att kunna bedriva den av riksdagen godkända hemliga dataavläsningen. Det vill säga statstrojaner som kan ta sig in i datorer och komma åt allt, även krypterade meddelanden – innan de krypteras eller efter att de avkrypterats.

Detta uppmärksammas av SVT som har undersökt marknaden och talat med SÄPO.

Det handlar om leverantörer som är ökända för att deras produkter använts för att kränka mänskliga rättigheter, för att förfölja oppositionella, för att lura journalister i döden och annat som aldrig får förekomma i en demokratisk rättsstat.

Därför finns det ett visst moraliskt intresse i vilken leverantör de svenska myndigheterna väljer. Kommer till exempel den svenska polisen att använda sig av samma verktyg mot sitt eget folk som Saudiarabien, Egypten och Kina använder mot sina? Det vore intressant att få veta. Men SÄPO tiger, naturligtvis.

»Vi kommenterar aldrig våra metoder eller teknik, säger Säkerhetspolisens generaldirektör Klas Friberg.«

SVT:s Fredrik Laurin ställer en del intressanta frågor till Säkerhetspolisens presschef Karl Melin. Och det rör mer än leverantörerna.

Hur är det till exempel med att andra, till exempel kriminella, kan använda samma säkerhetshål som Säpo – om inte dessa säkerhetshål rapporteras in och blir kända? Svaret är inte helt lätt att tyda. Men jag tror att Melin menar att om det förekommer databrottslighet, då skall man vända sig till polisen. Vilket kan skapa något av en intressekonflikt – om det samtidigt ligger i polisens intresse att dessa säkerhetshål förblir okända.

Min gissning är för övrigt att ordern går till NSO Group.

Länk till SVT – läs både texten och se intervjun »