Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

Pegasus och annan statlig spyware sågas av FN-kommissionär

av

Europarådet har hållit en utfrågning kring spionprogramvaran Pegasus, som enligt uppgift använts för att övervaka journalister, oppositionella och politiker runt om i världen. Bland annat medverkade FN:s människorättskommissionär Michelle Bachelet. Här är ett par citat ur hennes anförande.

»Without minimal safeguards and control, expensive and highly intrusive technologies will continue to be used to monitor voices regarded as critical or hostile at home and abroad. These technologies, that detect and exploit vulnerabilities of digital communications without leaving any trace will keep being used as weapons to silence dissent and punish independent reporting.«

»First and foremost, the human rights law applicable here is clear: surveillance measures can only be justified in narrowly defined circumstances, based on the law. In addition, such measures must be both necessary and proportionate to a legitimate goal. Government hacking at the scale reported is never going to meet these criteria.«

Det skall tilläggas att även svenska myndigheter använder Pegasus eller snarlik spyware för övervakning, inom ramen för hemlig dataavläsning.

• Statement by United Nations High Commissioner for Human Rights, Michelle Bachelet »

G7: Kamp mot kryptering, ökad registrering av resor och mer resurser till Interpol

av

G7-länderna har hållit möte med sina inrikes- och justitieministrar. Åter reser man kravet på bakdörrar till krypterade meddelandetjänster, samtidigt som man påstår att detta inte kommer att påverka vårt behov av säkra kommunikationer. Man vill även utöka registreringen av våra resor samt utöka Interpols mandat.

G7-gruppen (Frankrike, Italien, Japan, Kanada, Storbritannien, Tyskland och USA plus EU) skriver efter sitt möte i London bland annat följande om kryptering:

»We reject that, in democratic societies with strong human rights laws and procedural safeguards, there is inevitably a choice to be made between either protecting the confidentiality of digital communications and other activities or protecting our citizens from harm.«

Vilket är lite som att uttala att månen är en grön ost. Antingen är kryptering säker. Eller så har man bakdörrar – och då är krypteringen inte längre säker.

Man förväntar sig bland annat att internetföretagen skall vara samarbetsvilliga i att ge myndigheterna tillgång till krypterad kommunikation..

Vidare vill man utsöka Interpols mandat. Här skall man hålla i minne att även skurkstater är medlemmar i Interpol, så till exempel ökad informationsdelning kan vara problematisk.

Och så vill man se mer registrering av våra resor genom att utvidga det rådande PNR-systemet (Passenger Name Record).

Utöver detta fastnade jag för punkt 8 i G7-mötets slutdokument. Det handlar om våldsam extremism och terrorism. Man talar här om »anti-government, anti-authority and other violent grievances«.

Det verkar alltså som att man ser motstånd mot staten eller sittande regim samt anti-auktoritär verksamhet som ett problem. Och man kopplar detta till våld. Det kan naturligtvis förekomma. Men det kan vara värt att påpeka att sådan verksamhet till sin natur ofta är baserad på principer om anti-våld och lika rättigheter.

Statewatch: G7: Still coming after encryption, plans to reinforce Interpol and global travel surveillance »

UK: Staten använder kommersiell persondata för att påverka befolkningens beteende

av

Enligt en studie från the Scottish Center for Crime and Justice Research använder brittiska myndigheter kommersiell persondata från Big Tech för att påverka hur människor beter sig.

Diskussionen om hur nätplattformar, sociala media och Big Tech använder känslig persondata har fått en ny dimension. Nu är det inte bara företag och annonsörer som köper sådan data, utan även statliga myndigheter. Syftet är att få människor att ändra sitt beteende. Ur studien:

»This is not simply a case of algorithms being used for sorting, surveilling, and scoring; rather this suggests that targeted interventions in the cultural and behavioural life of communities are now a core part of governmental power which is being algorithmically-driven, in combination with influencer networks, traditional forms of messaging, and frontline operational practices.«

Våra nätvanor är alltså inte bara värdefulla för företag som vill hitta kunder för sina produkter – utan även för myndigheter.

Detta öppnar dels för svindlande perspektiv vad gäller Storebrorsstaten. Myndigheterna kan ta reda på så gott som allt om oss.

Dels finns ett demokratiskt problem. I en demokrati antas den offentliga makten utgå från folket. Politik slås fast i en öppen, demokratisk process – av folkets valda representanter – efter vederbörlig granskning och debatt. Statliga påverkansoperationer som syftar till att ändra på folket ställer detta på huvudet. Speciellt som folket varken har insyn i eller möjlighet att påverka sådan verksamhet.

Dessutom kan man ifrågasätta trovärdigheten hos statliga aktörer som kritiserar till exempel Facebook för överdriven insamling av persondata – när staten själv köper in och använder sådan data.

Frågan är om detta pågår även i Sverige och i så fall i vilken omfattning.

Länk: Influence government: exploring practices, ethics, and power in the use of targeted advertising by the UK state (PDF) »

LA/USA: Polisen samlar in sociala medieprofiler från alla de talar med

av

»Copies of the “field interview cards” that police complete when they question civilians reveal that LAPD officers are instructed to record a civilian’s Facebook, Instagram, Twitter and other social media accounts, alongside basic biographical information. An internal memo further shows that the police chief, Michel Moore, told employees that it was critical to collect the data for use in “investigations, arrests, and prosecutions”, and warned that supervisors would review cards to ensure they were complete.«

The Guardian: Revealed: LAPD officers told to collect social media data on every civilian they stop »

Utredare vill kriminalisera krypterad kommunikation

av

Gängbrottsutredningen föreslår, som vi tidigare rapporterat, en kriminalisering av förberedelse till ringa narkotikabrott. När man granskar utredningen närmare visar det sig att användning av till exempel en krypterad chat eller meddelandetjänst kan räknas som ett sådant förberedelsebrott.

Gängbrottsutredningen (SOU 2021:68 Skärpta straff för brott i kriminella nätverk) och dess förslag till en kriminalisering av förberedelse till ringa narkotikabrott (innehav för personligt bruk samt eget bruk) öppnar inte bara för användning av statens olika övervakningsverktyg. Även användning av krypterad kommunikation bör enligt utredningen betraktas som förberedelse. Från sidan 509:

»Ett förberedelsebrott kan t.ex. föreligga om köparen införskaffat hjälpmedel som syftar till att undgå upptäckt eller identifikation i samband med brott. Ett sådant hjälpmedel skulle kunna vara en krypterad chattfunktion eller något annat tekniskt hjälpmedel för att anonymt kunna beställa narkotika via internet.«

Om det handlar om förberedelse till inköp av narkotika för eget bruk – då är per definition köpet ännu inte genomfört.

Även om förslaget skall ses i sitt sammanhang, så är det mycket märkligt. Då blir krypterad kommunikation som sådan en indikation på något brottsligt, som kan innebära straff för användaren.

Eller, för att uttrycka saken på ett annat sätt: Om kryptering blir olaglig i samband ett brott som inte genomförts och som kanske aldrig kommer att genomföras – då blir kryptering i sig ett brott.

Och hur har man i sammanhanget tänkt förhålla sig till vanlig end-to-end-krypterad e-post? Den kan användas för att beställa narkotika – och i otaliga andra, helt lagliga syften. Hur kommer man i sammanhanget att förhålla sig till TOR? VPN? ProtonMail?

Ser man till den större bilden blir det än mer oroväckande. EU:s #ChatControl innebär att meddelande- och e-post-tjänster tillåts avkryptera och granska alla meddelanden i jakt på visst olagligt material. Med den kommande #ChatControl 2 väntas detta utökas till att bli obligatoriskt. (Hur nu det är tänkt att gå till.) Dessutom finns tecken på att syftet med sådan kontroll av våra kommunikationer kan komma att utökas. Vilket i så fall passar som hand i handske med utredningens förslag ovan.

Anonymitet är inget brott och krypterad kommunikation är som regel både nödvändig och önskvärd.

• SOU 2021:68 (PDF) »

Australien inför nya lagar för att övervaka digitala enheter, kommunikationer och internetkonton

av

Australien inför nya omfattande övervakningslagar. Digital Rights Watch konstaterar uppgivet:

»The Australian government has new laws on the books to hack your computer, your online accounts, and just about any piece of technology and networks you come into contact with. It can happen without a warrant and without you ever knowing. That’s just the start of it.«

Låt oss titta närmare på beståndsdelarna i denna Surveillance Legislation Amendment (Identify and Disrupt) Bill, speciellt då övervakningslagar tenderar att sprida sig till andra länder.

Data Disruption Warrants: Tillåter myndigheterna att lägga till, kopiera, ändra eller radera data på digitala enheter. Ordet ”warrant” är i sammanhanget något missvisande, då någon sådan inte kommer att krävas i brådskande fall. En DDW kan utfärdas även om en individs identitet inte är känd, om enheten kan antas vara kopplad till kriminell verksamhet eller om enhetens data kan tänkas bidra till en utredning.

Detta tycks vara något av en gummiparagraf som kan användas lite hur som helst. Vad gäller att ”lägga till” information kan man anta att det öppnar för användning av spionprogram (motsvarigheten till Tysklands Bundestjojaner och Sveriges hemliga dataavläsning).

Account Takeover Warrant: Detta ger myndigheterna rätt att ta över eller låsa ett konto i upp till 90 dagar.

Network Activity Warrant: Ger tillgång till hela nätverk om det finns misstanke om brott. Vilket innebär att om någon som misstänks för brott använder till exempel WhatsApp – då kan myndigheterna bereda sig tillgång till hela WhatsApp. Ett syfte tycks var att kringgå krypterade meddelandetjänster.

DRW rapporterar vidare:

»As it stands, the Australian government remains uninterested in allowing individuals to defend their rights: there is no one to argue on your behalf, and there is never any notification to the individual (even after the fact) so you will never know if you were subject to any of these powers.«

Läs mer: Australia’s new mass surveillance mandate »

EU: 50 miljoner för att knäcka kryptering, utökad avlyssning och övervakning

av

EU anslår 5 miljoner euro (drygt 50M SEK) ur sin Horizon Europe research and innovation budget för att upprätthålla myndigheternas övervakning av våra telekommunikationer, i takt med att tekniken utvecklas.

Bland de saker man satsar på finns:

  • Nya tekniska utmaningar med 5G
  • Att kringgå end-to-end-kryptering
  • Kryptering med kvant-datorer samt användning av desamma för av-kryptering
  • Övervakning av nya kommunikationsplattformar
  • Standardiserade förfaranden vid insamling av eBevis

Detta är dock bara en liten del av den miljardsatsning som EU gör på övervakning.

Statewatch: EU: €5 million for new wiretapping technologies »

Relaterat: EU-miljard till forskning om övervakning »

Nyspråk om övervakning utan brottsmisstanke?

av

Regeringen vill låta utreda möjligheten till övervakning utan brottsmisstanke. Är detta bara nyspråk för att framstå som handlingskraftiga mot gängbrottsligheten? Eller tänker man verkligen utöka övervakningen av människor som inte är misstänkta för brott?

Den positiva tolkningen är att regeringen bara vill desarmera moderaternas krav på övervakning även om det inte finns någon misstanke om brott. Det kravet är i sin tur inte riktigt vad det låter som. Istället handlar det om övervakning av människor i kriminella miljöer som man faktiskt misstänker kommer att begå brott – även om man inte vet exakt var, när eller hur. Då är det mest en definitionsfråga.

Den negativa tolkningen är att detta öppnar för mer övervakning av vanligt hederligt folk. Vi har redan sådan, till exempel i form av lagringen av data om alla medborgares alla tele- och datakommunikationer utan misstanke om brott. (Vilket EU-domstolen för övrigt vill stoppa.) I en demokratisk rättstat skall den som inte sysslar med något brottsligt ha rätt att bli lämnad ifred och att få sin mänskliga rätt till privatliv respekterad.

Nu är utredningen ännu inte formellt tillsatt, så vi vet inte var den kommer att landa. Men även om det blir i linje med den positiva tolkningen ovan – så finns det risk för ändamålsglidning. På samma sätt som till exempel datalagringen endast skulle användas för att utreda allvarlig brottslighet, men kommit att användas för att utreda bagatellartade brott som fildelning – där intrånget i medborgarnas privatliv inte står i proportion till brottets allvar.

Därför gäller det att inte bara se till vad utredningens direktiv kommer att föreskriva och vad själva utredningen sedan kommer fram till. Man måste även vara en smula misstänksam och se vad dess förslag öppnar upp för.

Men just nu känns det mest som att inrikesministern vill ha bort en sakfråga ur den kommande valrörelsen.

Regeringen: Effektiva möjligheter att använda hemliga tvångsmedel för att förhindra allvarliga brott »

Biometriskt ID-register kan ha fallit i talibanernas händer

av

Vi brukar varna för att övervakningsverktyg och databaser kan komma att användas av andra än de som införde dem. Detta är ett problem som just håller på att bli påtagligt i Afghanistan.

Under sin militära insats i Afghanistan började USA använda HIDE (Handheld Interagency Identity Detection Equipment), som är ett verktyg kopplat till en databas för att identifiera individer. Systemet använder sig av biometrisk data som iris-skanning, fingeravtryck och andra biometriska data.

Syftet var att registrera och kunna identifiera rebellkrigare. Av något slags effektivitetsskäl utökades användningen av HIDE till att även verifiera identiteten hos personer som arbetade för den västliga militära alliansen.

Nu fruktar man att HIDE har fallit i talibanernas händer, hos vilka det kan användas för att identifiera personer som samarbetat med USA och andra västländer. Med uppenbart potentiellt katastrofala konsekvenser för den enskilde.

Detta är egentligen ingen nyhet. Enligt uppgift skall HIDE ha använts av talibaner som stoppat bussar för att kontrollera passagerare redan 2016 och 2017. Så de kan ha haft HIDE-enheter redan för fem år sedan.

Inspirerade av det amerikanska systemet har även afghanska myndigheter introducerat ett nationellt ID-kort med biometriska data. Bland de registrerade finns studerande på universitet, soldater, samt innehavare av pass och körkort.

Fenomenet är inte unikt. Redan på 1930-talet registrerade man människors religion i Nederländerna, i syfte att fördela skattepengar till de olika samfunden. Detta register föll sedan i den tyska ockupationsmaktens händer – och kunde korsrefereras med medborgarnas ID-kort. På så sätt fick de ett effektivt sätt att skilja ut judar att sända till dödslägren. Den 27 mars 1943 genomförde motståndsrörelsen en attack för att förstöra registret. Tyvärr lyckades man bara förstöra ungefär 15% av registerkorten.

Vi kan lära något av detta. Förr eller senare kan vårt land komma att ledas eller kontrolleras av en regering med auktoritära tendenser, odemokratiska eller kriminella element inom förvaltningen eller rent av främmande makt. Då kommer olika register och former av biometrisk information att kunna användas emot oss. Därför bör man vara försiktig med att rulla ut sådana.

• The Conversation: The Taliban may have access to the biometric data of civilians who helped the U.S. military »