Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

Skall sökmotorer tolka dina avsikter och tillrättavisa dig om du gör något olämpligt?

av

Apple skjuter upp sin skanning av användarnas meddelanden och bilder på iCloud. Samtidigt kommer signaler om att man kommer att övervaka sökningar och Siri i jakt på olagligt material.

Efter protester har Apple meddelat att man skjuter upp skanning av meddelanden (text och eventuella bilder) i jakt på olagliga kontakter med barn. Man skjuter även upp skanningen av användarnas lagrade bilder på ICloud.

Detta är möjligen en god nyhet. Men att Apple skjuter upp denna form av övervakning av sina användare innebär inte att förslaget skrotats. Det har bara lagts på is för tillfället.

I samband med att Apple meddelade detta dök det upp en annan intressant sak:

»Siri and Search are also being updated to intervene when users perform searches for queries related to CSAM. These interventions will explain to users that interest in this topic is harmful and problematic, and provide resources from partners to get help with this issue.«

Man tänker alltså låta Siri och nätsökningar tolka användarnas förfrågningar för att utreda om de håller på med något som kan vara kopplat till sexuellt utnyttjande av barn. Även om få kanske har invändningar mot just detta, skall man ha klart för sig att syftet snabbt kan utökas eller förändras.

Vi är alltså på väg mot en situation där sökmotorer förväntas tolka vad vi vill och håller på med – och sedan tillrättavisa oss ifall vi gör något som den som för tillfället kontrollerar systemet ogillar.

Sorry Dave, I cannot do that.

• Apple: Expanded Protections for Children »
• EFF: Why EFF Flew a Plane Over Apple’s Headquarters »

Relaterat:
• Forskare varnar för Apples nya meddelande- och bildkontroll »
• Femte juli protesterar mot Apple »

Nya FRA-lagen: Sveriges dubbla lojaliteter

av

Den nya FRA-lagen öppnar dörrarna för utökat samarbete vad gäller underrättelseverksamhet och signalspaning med USA och dess närmaste allierade. Samtidigt kan den leda till intressekonflikter gentemot EU:s haltande underrättelsesamarbete.

När regeringen nu vill ge utländska underrättelsetjänster direkt tillgång till Försvarets Radioanstalts (FRA) signalspaning är det uppenbart amerikanska NSA och Five Eyes-länderna (USA, Kanada, UK, Australien och Nya Zeeland) det handlar om.

Detta är i och för sig ingen nyhet. Sverige har till och med status som särskild samarbetspartner (kodnamn SARDINE) i Five Eyes och tillgång till NSA:s ”spion-google” XKeyscore. Och i april 2007 (året innan FRA-lagen antogs) skrev regeringen Reinfeldt ett avtal med USA om fördjupat underrättelsesamarbete.

Som FRA själva uttrycker saken, så lagregleras nu saker som tidigare befunnit sig i en gråzon. Det vill säga att sådant man gjort hela tiden nu blir lagligt.

Att Sverige tillhör den västliga, USA-ledda militära sfären är välkänt och samarbete i underrättelsefrågor har pågått ända sedan 1950-talet. En faktor som komplicerar det hela är att Sverige nu även är med i EU och att de flesta EU-länder inte har samma nära, speciella samarbete med USA / Five Eyes som Sverige.

Däremot har EU ett eget underrättelsesamarbete. Det handlar framförallt som informationsutbyte. Men det fungerar sådär, eftersom medlemsstaterna uppenbarligen är ovilliga att dela information till andra medlemsstater, som alla är potentiella läckor eller kan ha andra intressen. Dessutom är nationell säkerhet utanför EU:s formella kompetens – och är upp till respektive EU-land.

Man kan ana att ett ännu närmare samarbete mellan Sverige och USA / Five Eyes kommer att väcka viss irritation i EU. I sammanhanget kan nämnas att Europaparlamentet uttalat att Sverige bör se över sitt samarbete med NSA. Och Europadomstolen vill att Sverige skriver om FRA-lagen bland annat på grund av bristande dataskydd vid utbyte av information med andra länder.

Sverige har å sin sida vägrat låta FRA medverka vid Europaparlamentets utfrågningar om massövervakningen. Sverige har även varit med och blockerat en bredare utredning av massövervakningen i EU. Och 2015 stoppade riksdagen med överväldigande majoritet en utredning av samarbetet mellan FRA och NSA.

I slutet av förra året kom nyheten att Danmark hjälpt NSA att spionera på svensk försvarsindustri och möjligen också på svenska politiker och andra svenska mål. Detta var något som försvarsministern lovade att gå till botten med. Men det tycks ha runnit ut i sanden… I det perspektivet är det en smula uppseendeväckande att nu ge NSA direkttillgång till svensk signalspaning, dess information och persondata.

Förmodligen är USA/Nato/Five Eyes bättre att hålla i handen än EU om det bränner till i säkerhetspolitiken. Men det ändrar inte det faktum att Sverige sitter på två stolar vad gäller underrättelsesamarbete. Vilket kan bli komplicerat, till exempel nu när relationerna mellan Frankrike och USA/UK plötsligt blivit iskalla. Intressekonflikter kommer att bli möjliga, rent av troliga.

Detta kan bli intressant. Och möjligen lite snärjigt för regeringen, oavsett dess färg.

FRA-lagen – politikens totala svek

av

Det mesta vi kritiker varnade för när FRA-lagen infördes har besannats. Samtidigt har politiken brutit så gott som alla löften och utfästelser den satte upp när lagen klubbades år 2008.

Nu skall utländsk säkerhetstjänst få direkt tillgång till FRA:s personuppgifter. Man kommer även att spionera åt andra länder och på kommunikationer inom landet. Med detta är politikernas svek i FRA-frågan totalt.

Aftonbladet sammanfattar:

»Regeringens förslag innebär att en utländsk underrättelse- eller säkerhetstjänst ska medges direktåtkomst hos Försvarsmakten och FRA till personuppgifter som behandlas i försvarsunderrättelseverksamhet.« (…) »De nya lagförslagen innebär också att FRA får rätt att signalspana mot verksamhet även om den inte riktas mot Sverige eller svenska intressen.«

Sverige och FRA tar alltså även formellt steget in i det amerikanska projektet för global massövervakning. Nu får Five Eyes-länderna (USA, UK, Kanada, Australien och Nya Zeeland) och kanske även EU:s underrättelsesamarbete direkt tillgång till data och information hos FRA.

Mark Klamberg som är professor i internationell rätt säger till TT:

»I nuvarande lagstiftning måste signalspaning ske gentemot hot mot Sverige eller för att tillgodose svenska intressen. Detta krav försvinner med lagförslaget och det som jag upplever som mest uppseendeväckande. Det är kopplat till direktåtkomst, Sverige blir mer av en avlyssningscentral eller filial till underättelsetjänster i större länder.«

Aftonbladet skriver vidare:

»Regeringens förslag innebär även att Försvarsmaktens och FRA:s behandling av personuppgifter utvidgas. Enligt gällande lagstiftning får uppgifter om en person endast behandlas om personen har en anknytning till en preciserad inriktning för underrättelseverksamheten. Det kravet försvinner i det nya lagförslaget.

Det kommer sannolikt öka risken för integritetsintrång, varnar Siun (Statens inspektion för försvarsunderrättelseverksamheten).

Tidigare i år fällde Europadomstolen för de mänskliga rättigheterna Sverige – och meddelade att FRA-lagen måste skrivas om. Vi skrev då:

»Domstolen pekar ut tre brister i den gällande lagen: bristande skydd för juridiska personer, bristande dataskydd vid utbyte av information med andra länder och bristande tillsyn och insyn vad gäller insamlad information.«

Hur hanterar man detta? Från sidan 120 i regeringens proposition (PDF):

»Europadomstolen anser bl.a. att det saknas tydliga bestämmelser om att den personliga integriteten ska beaktas när Försvarets radioanstalt avser att överföra uppgifter till ett annat land. Domstolen anser vidare att det saknas ett rättsligt bindande krav för Försvarets radioanstalt att analysera och bedöma huruvida mottagaren av uppgifterna erbjuder ett tillräckligt skydd för uppgifterna (se särskilt p. 326–330 i domen).

Regeringens förslag innebär att det i den nya lagen införs bestämmelser som innebär ett krav på Försvarets radioanstalt att analysera och bedöma huruvida en utländsk mottagare av uppgifterna erbjuder ett tillräckligt skydd för dem. Regeringen anser att den brist som Europadomstolen har pekat på i detta avseende kommer att åtgärdas genom den föreslagna bestämmelsen.«

Enkelt sammanfattat: Lita på oss.

Vilket inte känns bra när det kommer från de politiker som brutit så gott som alla sina löften om personskydd och rätten till privatliv (med mera) som ställdes ut när lagen först klubbades.

Sverige tar nu inte bara ytterligare ett steg in i övervakningsstaten. FRA blir även officiellt en del av den globala massövervakningen.

Nedan länkar och resurser. En del av dem innehåller fler länkar och resurser, för den som vill borra ner sig i frågan.

• Regeringens pressmeddelande »
• Regeringens proposition 2020/21:224 (PDF) »
• Aftonbladet/TT: Kraftig utökning av FRA-lagen »
• SVT: Regeringen vill utöka FRA-lagen »
• SR: Förslag om utökad FRA-lag får kritik »

• FRA – det slutliga sveket »
• Regerigen har just återuppväckt FRA-demonen – mycket kvar att lyfta fram i ljuset »
• Spionerar dansken och USA på Saab? Fråga FRA. »
• Europadomstolen: FRA-lagen måste skrivas om »
• Youtube: FRA 2020 – ändamålsglidningen är fullbordad »

Pegasus och annan statlig spyware sågas av FN-kommissionär

av

Europarådet har hållit en utfrågning kring spionprogramvaran Pegasus, som enligt uppgift använts för att övervaka journalister, oppositionella och politiker runt om i världen. Bland annat medverkade FN:s människorättskommissionär Michelle Bachelet. Här är ett par citat ur hennes anförande.

»Without minimal safeguards and control, expensive and highly intrusive technologies will continue to be used to monitor voices regarded as critical or hostile at home and abroad. These technologies, that detect and exploit vulnerabilities of digital communications without leaving any trace will keep being used as weapons to silence dissent and punish independent reporting.«

»First and foremost, the human rights law applicable here is clear: surveillance measures can only be justified in narrowly defined circumstances, based on the law. In addition, such measures must be both necessary and proportionate to a legitimate goal. Government hacking at the scale reported is never going to meet these criteria.«

Det skall tilläggas att även svenska myndigheter använder Pegasus eller snarlik spyware för övervakning, inom ramen för hemlig dataavläsning.

• Statement by United Nations High Commissioner for Human Rights, Michelle Bachelet »

G7: Kamp mot kryptering, ökad registrering av resor och mer resurser till Interpol

av

G7-länderna har hållit möte med sina inrikes- och justitieministrar. Åter reser man kravet på bakdörrar till krypterade meddelandetjänster, samtidigt som man påstår att detta inte kommer att påverka vårt behov av säkra kommunikationer. Man vill även utöka registreringen av våra resor samt utöka Interpols mandat.

G7-gruppen (Frankrike, Italien, Japan, Kanada, Storbritannien, Tyskland och USA plus EU) skriver efter sitt möte i London bland annat följande om kryptering:

»We reject that, in democratic societies with strong human rights laws and procedural safeguards, there is inevitably a choice to be made between either protecting the confidentiality of digital communications and other activities or protecting our citizens from harm.«

Vilket är lite som att uttala att månen är en grön ost. Antingen är kryptering säker. Eller så har man bakdörrar – och då är krypteringen inte längre säker.

Man förväntar sig bland annat att internetföretagen skall vara samarbetsvilliga i att ge myndigheterna tillgång till krypterad kommunikation..

Vidare vill man utsöka Interpols mandat. Här skall man hålla i minne att även skurkstater är medlemmar i Interpol, så till exempel ökad informationsdelning kan vara problematisk.

Och så vill man se mer registrering av våra resor genom att utvidga det rådande PNR-systemet (Passenger Name Record).

Utöver detta fastnade jag för punkt 8 i G7-mötets slutdokument. Det handlar om våldsam extremism och terrorism. Man talar här om »anti-government, anti-authority and other violent grievances«.

Det verkar alltså som att man ser motstånd mot staten eller sittande regim samt anti-auktoritär verksamhet som ett problem. Och man kopplar detta till våld. Det kan naturligtvis förekomma. Men det kan vara värt att påpeka att sådan verksamhet till sin natur ofta är baserad på principer om anti-våld och lika rättigheter.

Statewatch: G7: Still coming after encryption, plans to reinforce Interpol and global travel surveillance »

UK: Staten använder kommersiell persondata för att påverka befolkningens beteende

av

Enligt en studie från the Scottish Center for Crime and Justice Research använder brittiska myndigheter kommersiell persondata från Big Tech för att påverka hur människor beter sig.

Diskussionen om hur nätplattformar, sociala media och Big Tech använder känslig persondata har fått en ny dimension. Nu är det inte bara företag och annonsörer som köper sådan data, utan även statliga myndigheter. Syftet är att få människor att ändra sitt beteende. Ur studien:

»This is not simply a case of algorithms being used for sorting, surveilling, and scoring; rather this suggests that targeted interventions in the cultural and behavioural life of communities are now a core part of governmental power which is being algorithmically-driven, in combination with influencer networks, traditional forms of messaging, and frontline operational practices.«

Våra nätvanor är alltså inte bara värdefulla för företag som vill hitta kunder för sina produkter – utan även för myndigheter.

Detta öppnar dels för svindlande perspektiv vad gäller Storebrorsstaten. Myndigheterna kan ta reda på så gott som allt om oss.

Dels finns ett demokratiskt problem. I en demokrati antas den offentliga makten utgå från folket. Politik slås fast i en öppen, demokratisk process – av folkets valda representanter – efter vederbörlig granskning och debatt. Statliga påverkansoperationer som syftar till att ändra på folket ställer detta på huvudet. Speciellt som folket varken har insyn i eller möjlighet att påverka sådan verksamhet.

Dessutom kan man ifrågasätta trovärdigheten hos statliga aktörer som kritiserar till exempel Facebook för överdriven insamling av persondata – när staten själv köper in och använder sådan data.

Frågan är om detta pågår även i Sverige och i så fall i vilken omfattning.

Länk: Influence government: exploring practices, ethics, and power in the use of targeted advertising by the UK state (PDF) »

LA/USA: Polisen samlar in sociala medieprofiler från alla de talar med

av

»Copies of the “field interview cards” that police complete when they question civilians reveal that LAPD officers are instructed to record a civilian’s Facebook, Instagram, Twitter and other social media accounts, alongside basic biographical information. An internal memo further shows that the police chief, Michel Moore, told employees that it was critical to collect the data for use in “investigations, arrests, and prosecutions”, and warned that supervisors would review cards to ensure they were complete.«

The Guardian: Revealed: LAPD officers told to collect social media data on every civilian they stop »

Utredare vill kriminalisera krypterad kommunikation

av

Gängbrottsutredningen föreslår, som vi tidigare rapporterat, en kriminalisering av förberedelse till ringa narkotikabrott. När man granskar utredningen närmare visar det sig att användning av till exempel en krypterad chat eller meddelandetjänst kan räknas som ett sådant förberedelsebrott.

Gängbrottsutredningen (SOU 2021:68 Skärpta straff för brott i kriminella nätverk) och dess förslag till en kriminalisering av förberedelse till ringa narkotikabrott (innehav för personligt bruk samt eget bruk) öppnar inte bara för användning av statens olika övervakningsverktyg. Även användning av krypterad kommunikation bör enligt utredningen betraktas som förberedelse. Från sidan 509:

»Ett förberedelsebrott kan t.ex. föreligga om köparen införskaffat hjälpmedel som syftar till att undgå upptäckt eller identifikation i samband med brott. Ett sådant hjälpmedel skulle kunna vara en krypterad chattfunktion eller något annat tekniskt hjälpmedel för att anonymt kunna beställa narkotika via internet.«

Om det handlar om förberedelse till inköp av narkotika för eget bruk – då är per definition köpet ännu inte genomfört.

Även om förslaget skall ses i sitt sammanhang, så är det mycket märkligt. Då blir krypterad kommunikation som sådan en indikation på något brottsligt, som kan innebära straff för användaren.

Eller, för att uttrycka saken på ett annat sätt: Om kryptering blir olaglig i samband ett brott som inte genomförts och som kanske aldrig kommer att genomföras – då blir kryptering i sig ett brott.

Och hur har man i sammanhanget tänkt förhålla sig till vanlig end-to-end-krypterad e-post? Den kan användas för att beställa narkotika – och i otaliga andra, helt lagliga syften. Hur kommer man i sammanhanget att förhålla sig till TOR? VPN? ProtonMail?

Ser man till den större bilden blir det än mer oroväckande. EU:s #ChatControl innebär att meddelande- och e-post-tjänster tillåts avkryptera och granska alla meddelanden i jakt på visst olagligt material. Med den kommande #ChatControl 2 väntas detta utökas till att bli obligatoriskt. (Hur nu det är tänkt att gå till.) Dessutom finns tecken på att syftet med sådan kontroll av våra kommunikationer kan komma att utökas. Vilket i så fall passar som hand i handske med utredningens förslag ovan.

Anonymitet är inget brott och krypterad kommunikation är som regel både nödvändig och önskvärd.

• SOU 2021:68 (PDF) »

Australien inför nya lagar för att övervaka digitala enheter, kommunikationer och internetkonton

av

Australien inför nya omfattande övervakningslagar. Digital Rights Watch konstaterar uppgivet:

»The Australian government has new laws on the books to hack your computer, your online accounts, and just about any piece of technology and networks you come into contact with. It can happen without a warrant and without you ever knowing. That’s just the start of it.«

Låt oss titta närmare på beståndsdelarna i denna Surveillance Legislation Amendment (Identify and Disrupt) Bill, speciellt då övervakningslagar tenderar att sprida sig till andra länder.

Data Disruption Warrants: Tillåter myndigheterna att lägga till, kopiera, ändra eller radera data på digitala enheter. Ordet ”warrant” är i sammanhanget något missvisande, då någon sådan inte kommer att krävas i brådskande fall. En DDW kan utfärdas även om en individs identitet inte är känd, om enheten kan antas vara kopplad till kriminell verksamhet eller om enhetens data kan tänkas bidra till en utredning.

Detta tycks vara något av en gummiparagraf som kan användas lite hur som helst. Vad gäller att ”lägga till” information kan man anta att det öppnar för användning av spionprogram (motsvarigheten till Tysklands Bundestjojaner och Sveriges hemliga dataavläsning).

Account Takeover Warrant: Detta ger myndigheterna rätt att ta över eller låsa ett konto i upp till 90 dagar.

Network Activity Warrant: Ger tillgång till hela nätverk om det finns misstanke om brott. Vilket innebär att om någon som misstänks för brott använder till exempel WhatsApp – då kan myndigheterna bereda sig tillgång till hela WhatsApp. Ett syfte tycks var att kringgå krypterade meddelandetjänster.

DRW rapporterar vidare:

»As it stands, the Australian government remains uninterested in allowing individuals to defend their rights: there is no one to argue on your behalf, and there is never any notification to the individual (even after the fact) so you will never know if you were subject to any of these powers.«

Läs mer: Australia’s new mass surveillance mandate »

EU: 50 miljoner för att knäcka kryptering, utökad avlyssning och övervakning

av

EU anslår 5 miljoner euro (drygt 50M SEK) ur sin Horizon Europe research and innovation budget för att upprätthålla myndigheternas övervakning av våra telekommunikationer, i takt med att tekniken utvecklas.

Bland de saker man satsar på finns:

  • Nya tekniska utmaningar med 5G
  • Att kringgå end-to-end-kryptering
  • Kryptering med kvant-datorer samt användning av desamma för av-kryptering
  • Övervakning av nya kommunikationsplattformar
  • Standardiserade förfaranden vid insamling av eBevis

Detta är dock bara en liten del av den miljardsatsning som EU gör på övervakning.

Statewatch: EU: €5 million for new wiretapping technologies »

Relaterat: EU-miljard till forskning om övervakning »