Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

Hemlig dataavläsning: Nu lägger regeringen ett skarpt förslag

av

Efter flera års vånda har regeringen idag meddelat att man nu lägger fram sitt förslag om hemlig dataavläsning. På torsdag fattar regeringen beslut om en lagrådsremiss.

Vad det handlar om är att man vill att myndigheterna i hemlighet skall få installera spionprogram (även kallade statstrojaner) på människors datorer, mobiltelefoner, surfplattor och andra digitala enheter.

Till exempel kommer man att kunna använda enheternas kamera och mikrofon för avlyssning. Man kommer att kunna avläsa krypterad kommunikation innan den krypteras eller efter att den avkrypterats. Man kommer också att kunna komma åt enhetens alla filer, bilder, kontakter och allt annat som finns lagrat. Fler detaljer kommer när lagrådsremissen blir offentlig senare i veckan.

Vi har skrivit om detta flera gånger tidigare – och då beskrivit bland annat följande problem:

Om staten skall agera hackare kommer de säkerhetshål som används att förbli okända istället för att rapporteras och åtgärdas. Detta gör våra datorer sårbara för attacker och spionage från till exempel kriminella element och främmande makt. På så sätt gör förslaget oss alla – privatpersoner, företag och myndigheter – mindre säkra.

En fråga är om staten kommer att utveckla egna spionprogram – eller om man kommer att köpa dem av främmande makt eller kanske rent av på den svarta marknaden, vilket knappast är lämpligt.

Inrikesminister Mikael Damberg (S) säger att hemlig dataavläsning bara kommer att kunna användas för att utreda allvarlig brottslighet. Men det är ju ett löfte man brukar ge, för att sedan svika. Ändamålsglidning har snarare blivit regel än undantag vad gäller verktyg för övervakning.

Det är också värt att notera att utredningen om hemlig dataavläsning även öppnar för hemlig avläsning av innehåll hos internetoperatörer och plattformar. Nu återstår att se om detta finns kvar i regeringens slutliga förslag.

En detalj, som inte diskuterats, men som är värd att vara uppmärksam på är risken för missbruk av systemet. Med statstrojaner får myndigheterna inte bara möjlighet att avlyssna och avläsa – utan även plantera information, som till exempel falska bevis. Sådant kommer naturligtvis inte att vara tillåtet, men vi vet att manipulation av bevis emellanåt förekommer och att alla anställda inom de rättsvårdande myndigheterna inte alltid följer reglerna.

I slutet av veckan kommer det att finnas ett mer detaljerat förslag i form av en lagrådsremiss att granska. Man räknar med att lagen skall träda ikraft den 1 mars 2020. Lagen är tidbegränsad till fem år och skall därefter utvärderas.

Länkar:
Inrikesminister Mikael Dambergs presskonferens (Youtube) »
• SVT: Regeringen presenterar lagrådsremiss om hemlig dataavläsning »
• DN: Polisen ska få möjlighet till hemlig dataavläsning »
• Aftonbladet: Damberg: Polis redo för hemlig dataavläsning »
• Aftonbladet: M om hemlig dataavläsning: Sent och för klent »

Ur arkivet:
Nästa stridsfråga: Hemlig dataavläsning »
Ny lag vill att internetoperatörer skall lämna ut information om innehåll i användares kommunikation »

Nu står striden om nästa uppladdningsfilter i EU

av

Trialogförhandlingar har nu inletts mellan Europaparlamentet, EU-kommissionen och ministerrådet vad gäller förslaget om att hindra spridning av terror-relaterat innehåll på internet. EDRi rapporterar:

»On 17 October 2019, the European Parliament, the Council of the European Union (EU) and the European Commission started closed-door negotiations, trilogues, with a view to reaching an early agreement on the Regulation on preventing the dissemination of terrorist content online.

The European Parliament improved the text proposed by the European Commission by addressing its dangerous pitfalls and by reinforcing rights-based and rights-protective measures. The position of the Council of the European Union, however, supported the “proactive measures” the Commission suggested, meaning potential “general monitoring obligations” and in practice, automated detection tools and upload filters to identity and delete “terrorist content”.«

Förhandlingarna har alltså bara just börjat. Och det finns tre saker att vara extra uppmärksam på:

  • Kommissionen och ministerrådet vill att anmält innehåll skall plockas ner inom 24 timmar (utan någon föregående rättslig prövning).
  • Kommissionen och ministerrådet vill ha automatisk filtrering för att hindra att nedplockat material postas igen.
  • Detta står rimligen i strid med eHandelsdirektivets förbud mot generell övervakning av vad användare av olika plattformar laddar upp.

Och än så länge verkar positionerna låsta. Den tyske ledamoten av Europaparlamentet Patrick Breyer (Pp) som ingår i parlamentets förhandlingsdelegation twittrade härom dagen:

»First #TERREG trilogue completed. Good news: Parliament team set to prevent #uploadfilters and #overblocking. Bad news: Governments and Commission not relenting. #SaveYourInternet«

Fortsättning följer.

• EDRi: Trilogues on terrorist content: Upload or re-upload filters? Eachy peachy. »
• Netzpolitik.org: Uploadfilter gegen Terror: EU-Parlament wehrt sich gegen automatisierte Allheilmittel »
• Tarnkappe.info: EU-Parlament: Startschuss für Verhandlungen wegen Uploadfiltern »

Kina kräver ansiktsigenkänning för mobilabonnemang

av

»China is taking every measure it can to verify the identities of its over 850 million mobile internet users.

From Dec. 1, people applying for new mobile and data services will have to have their faces scanned by telecom providers, the Ministry of Industry and Information Technology said in a Sept. 27 statement (link in Chinese).«

Quartz: Getting a new mobile number in China will involve a facial-recognition test»

Ny lag vill att internetoperatörer skall lämna ut information om innehåll i användares kommunikation

av

I september var det tänkt att regeringen skulle presentera en lagrådsremiss om hemlig dataavläsning. Och pengar har redan anslagits i budgeten till både polisen och Säpo för de kostnader detta kommer att medföra. (155 miljoner SEK.) Men ännu har något slutligt förslag inte presenterats.

Den hemliga dataavläsningen är tänkt att med hjälp av spionprogram ge myndigheterna tillgång till alla filer, alla kontakter, alla bilder, alla meddelanden (även innan kryptering och efter avkryptering) samt i vissa fall till kameror och mikrofoner på misstänkta brottslingars datorer, smartphones, plattor – samt övriga informationstjänster.

Det där sista – informationstjänster – är intressant. I utredningen (SOU 2017:89) skriver man på sidorna 26-27:

Den som bedriver anmälningspliktig verksamhet enligt 2 kap. 1 § lagen om elektronisk kommunikation får bistå den verkställande myndigheten i samband med verkställighet av hemlig dataavläsning. Den operatör som medverkar har rätt till ersättning för de kostnader som uppstår. Ersättning för medverkan betalas av den verkställande myndigheten.

Det betyder rimligen att även internetoperatörer kommer att omfattas. Och då inte bara vad gäller metadata, som vid datalagringen – utan även innehåll i meddelanden med mera.

Detta är en detalj som verkar ha flugit under radarn – medan den tyngsta kritiken har riktats mot att hemlig dataavläsning kommer att göra våra datorer och vår IT-infrastruktur sårbar.

Ylva Johansson: Inget EU-förbud mot kryptering

av

Den föreslagna svenska EU-kommissionären Ylva Johansson kommer som bekant att få hantera de så kallade inrikesfrågorna – det vill säga allt från migrationsfrågor till polissamarbete och inre säkerhet. Fokus har legat på migrationsfrågorna. Men Europaparlamentets muntliga utfrågning och skriftliga frågor ger viss ledning även i några av nätfrågorna.

Här är några nedslag i dokumenten. (Skärmdumpar, eftersom Europaparlamentet fortfarande gör PDF:er genom att skanna pappersutskrifter…)

Detta är faktiskt en god nyhet, om det går att lita på Johanssons ord: Inget förbud, ingen begränsning och ingen försvagning av kryptering.

Däremot kan man nog förvänta sig en ökad användning av statliga spionprogram ute i medlemsstaterna – det vill säga det som i Sverige kallas hemlig dataavläsning.

Ansiktsigenkänning är, som Ylva Johansson påpekar, en nationell fråga. Men – som hon snuddar vid – ägnar sig EU åt att finansiera forskningsprojekt där ansiktsigenkänning är en central funktion. (T.ex. Indect.) Så EU har ändå ett klart intresse i frågan.

Ylva Johansson vill alltså påskynda beslutet om avlägsnande av terrorrelaterat innehåll på nätet. Vilket, i sin nuvarande skrivning, kan resa krav på obligatorisk filtrering och analys av allt som alla användare laddar upp.

Sedan blir svaret mindre begripligt. För om man plockar bort innehåll – då kan det bli problematiskt för ordningsmakten, människorättsorganisationer, forskare, internationella juridiska institutioner, media m.fl. att få en bild av vad som verkligen sker. Vilket är en del av den kritik som framförts mot förslaget.

Tyvärr berördes inte datalagringen (vad jag kunnat hitta). Frågan är om det blir Ylva Johansson eller kommissionären för rättsliga frågor – belgaren Didier Reynders – som får i uppgift att ta fram ett eventuellt nytt datalagringsdirektiv. (Eller möjligen båda.)

Detta är bara några nedslag i det digra materialet. Här är länkar för den som är intresserad:

• Pressmeddelande: utfrågning av nominerade svenska EU-kommissionären Ylva Johansson »
• Video från utfrågningen och dokumentbank »
• Utskrift av utfrågningen (PDF) »
• Skriftliga svar (PDF) »
• Kompletterande skriftliga svar (PDF) »

155 miljoner kr till hemlig dataavläsning i regeringens budget

av

Regeringen satsar 155 miljoner kronor i budgeten på övervakning som ännu ej godkänts av riksdagen. (120 miljoner till polisen och 35 miljoner till Säpo.)

Ur Justitiedepartementets pressmeddelande:

Utöver tidigare beslutade anslagsökningar avseende 2020 föreslår regeringen att Polismyndigheten tillförs 120 miljoner kronor för att bland annat säkerställa satsningen på hemlig dataavläsning. (…)

Regeringen föreslår att Säkerhetspolisen tillförs 35 miljoner kronor från och med 2020 för att säkerställa satsningen på hemlig dataavläsning.

Även om denna nya form av övervakning förmodligen kommer att godkännas av riksdagen är det noterbart att man anslår pengar för att finansiera kontroversiella beslut som ännu ej är fattade.

Samtidigt är detta en signal om att propositionen (som redan dragits i långbänk i 4-5 år) kommer att läggas fram i närtid. Och att den nya lagen kommer att träda i kraft snabbt efter att den klubbats.

I sak är idén om hemlig dataavläsning lika tveksam som tidigare. Statstrojaner och statliga spionprogram på folks datorer, telefoner och plattor kommer att göra hela vår IT-infrastruktur mindre säker. I sammanhanget skall man komma ihåg att sådana verktyg förr eller senare alltid tycks hamna i orätta händer.

Nu återstår att se hur propositionen kommer att vara utformad. Till exempel skall det bli intressant att få veta hur regeringen tänkt sig att garantera att statliga hacknings-verktyg inte kommer att kunna användas för att plantera falska bevis.

EU-fråga: Accepterar ministerrådet att EU-domstolen säger nej till allmän datalagring?

av

Patrick Breyer, tysk piratpartistisk ledamot av Europaparlamentet, har ställt en skriftlig fråga till ministerrådet om datalagring. Den är rätt kort, så här är den i sin helhet:

In view of the ‘Conclusions of the Council of the European Union on Retention of Data for the Purpose of Fighting Crime’:

1. Does the Council accept that data retention legislation which ‘applies even to persons for whom there is no evidence capable of suggesting that their conduct might have a link, even an indirect or remote one, with serious criminal offences’ and which ‘does not require there to be any relationship between the data which must be retained and a threat to public security’ violates EU law?

2. Does the Council accept that merely exempting persons whose communications are subject to the obligation of professional secrecy does not, for all other persons whose communications data are to be retained, ensure that there is a ‘relationship between the data which must be retained and a threat to public security’ and therefore does not satisfy the principle of proportionality?

3. Does the Council have any evidence that crime clearance rates in Member States with data retention laws in effect are significantly higher than crime clearance rates in Member States with no data retention laws in effect?

Vad innebär detta och varför är det viktigt?

Bakgrund: Efter att EU-domstolen ogiltigförklarade EU:s datalagringsdirektiv (och även den svenska datalagringen) har frågan gått i långbänk. Ministerrådet vill se ett nytt direktiv. Den avgående EU-kommissionen har duckat frågan. Och nu får den tillträdande kommissionen ta ställning till om ett nytt direktiv skall tas fram – och i så fall hur det skall se ut för att följa EU-domstolens tidigare beslut. Om det alls är möjligt.

Frågan: Breyers frågor är högst relevanta att rikta till den av EU:s institutioner som är mest pådrivande för ett nytt datalagringsdirektiv. Hur ställer sig ministerrådet/rådet till frågan om svepande registrering av alla medborgares data- och telekommunikationer utan att det föreligger misstanke om brott? Hitintills har ministerrådet bara sagt att man vill ha datalagring, men inte svarat på några kritiska frågor.

Accepterar ministerrådet EU-domstolens underkännande av datalagringsdirektivet? Finns det något reellt samband mellan all den data som samlas in och allmän säkerhet? Står intrånget i individens privatliv i proportion till nyttan? Och kan man påvisa att länder med datalagring lyckas lösa fler brott än de utan?

Vi väntar med intresse på svar.

Debattartikel om datalagringen

av

»En sådan övervakning går emot principen att man ska anses vara oskyldig tills motsatsen är bevisad. Med datalagringsdirektivet måste man istället konstant öppna upp sitt liv för inspektion av ordningsmakten. Alla blir skyldiga att ständigt bevisa att man har rent mjöl i påsen. Missförstå mig inte, vi bör inte frånta polisen alla medel till övervakning. Vid stark brottsmisstanke finns det legitima skäl till övervakning av utvalda individer. Det är verktyg som polisen behöver, och som redan tillhandahålls av Svea Rikes Lag.

Vad vi inte bör ha är en oavbruten övervakning av praktiskt taget all tele- och internetkommunikation. Genom att framtvinga lagring av kommunikationer framtvingar datalagringsdirektivet dock just detta.«

Debattartikel i Sydsvenskan av Joakim Brorsson, doktorand inom IT-säkerhet vid Lunds Tekniska Högskola: Olämpligt att tvinga tele- och internetoperatörer att lagra data om alla svenskar. »

USA, Storbritannien och Australien vill ha tillgång till allt på Facebooks alla plattformar

av

EFF:

»Top law enforcement officials in the United States, United Kingdom, and Australia told Facebook today that they want backdoor access to all encrypted messages sent on all its platforms. In an open letter, these governments called on Mark Zuckerberg to stop Facebook’s plan to introduce end-to-end encryption on all of the company’s messaging products and instead promise that it will “enable law enforcement to obtain lawful access to content in a readable and usable format.”

This is a staggering attempt to undermine the security and privacy of communications tools used by billions of people. Facebook should not comply.«

Länk: The Open Letter from the Governments of US, UK, and Australia to Facebook is An All-Out Attack on Encryption »

Uppdatering, fler länkar:
• BBC: Facebook encryption threatens public safety, say ministers »
• Privacy International: PI response to confused governments’ confusing declaration of war and victory on encryption »
• ArsTechnica: US wants Facebook to backdoor WhatsApp and halt encryption plans »

Frankrike rullar ut ansiktsigenkänning

av

Landet som gav världen Minitel bygger nu sin egen Storebrorsstat.

France is poised to become the first European country to use facial recognition technology to give citizens a secure digital identity — whether they want it or not.

Saying it wants to make the state more efficient, President Emmanuel Macron’s government is pushing through plans to roll out an ID program, dubbed Alicem, in November, earlier than an initial Christmas target. The country’s data regulator says the program breaches the European rule of consent and a privacy group is challenging it in France’s highest administrative court. It took a hacker just over an hour to break into a “secure” government messaging app this year, raising concerns about the state’s security standards.

None of that is deterring the French interior ministry.

Bloomberg: France Set to Roll Out Nationwide Facial Recognition ID Program »