Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Detta är Chat Control 2 – på en dryg minut

av

Chat Control 2 är EU:s försök att granska innehållet i dina elektroniska meddelanden. Med AI och spionprogram. Här är vad du behöver veta.

EU-kommissionens förslag är obligatorisk skanning av allt i dina meddelanden med AI. Det gäller även totalsträckskrypterade (E2EE) meddelanden. För att skydda barnen. Vilket bara är en förevändning.

Europaparlamentet säger i allt väsentligt nej till Chat Control 2, i stor enighet. Man vill bara se övervakning av folk som misstänks för brott. Man försvarar rätten till kryptering. Men det kommer signaler om att Parlamentet kan vara på väg att vika sig.

EU:s ministerråd har diskuterat frågan i drygt tre år. Det senaste förslaget är client-side-scanning. Det vill säga spionprogram i din telefon och dator, som granskar innehållet i dina meddelanden innan de krypteras och sänds. Den blockerande minoriteten i ministerrådet kan vara på väg att falla. Nästa omröstning i rådet är planerad till den 14 oktober.

När eller om ministerrådet fattar beslut blir det trilogförhandlingar bakom stängda dörrar mellan kommissionen, parlamentet och rådet. Vilket kan sluta hur som helst. Kommer man till en kompromiss måste den godkännas av både parlamentet och rådet. Annars börjar man om igen.

Europaparlamentets utredningstjänst, EU-kommissionens och ministerrådets egen rättstjänst, EU:s dataskyddsmyndighet, hundratals forskare, FN:s människorättskommissionär och många andra säger nej till Chat Control 2 – då förslaget strider mot de mänskliga rättigheterna.

EU-kommissionen medger själv (sid. 13) att Chat Control 2 bryter mot rätten till privatliv och privat korrespondens. Samt mot yttrandefriheten. Och persondataskyddet. Med mera. Men den väljer att bortse från det.

Skulle Chat Control 2 bli verklighet är det troligt att beslutet kan komma att upphävas av EU-domstolen. Men det kan ta många år. EU-domstolen har redan tidigare fastslagit principen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

Tidigare bloggposter:
• USA: Stoppa Chat Control 2 »
• Chat Control 2 – ett förslag med buggar »
• Chat Control 2: Upplagt för svek i Europaparlamentet »
• Chat Control 2: Har Europaparlamentet fått fnatt? (augusti 2025) »
• Stoppa Chat Control 2 – skriv ett vykort (augusti 2025) »
• Chat Control 2 – senaste läckan från ministerrådet (juli 2025) »
• Chat Control 2 – problemen med client-side-scanning (juli 2025) »
• Chat Control 2 – ministerrådets senaste bud (juli 2025) »
• Chat Control 2: Kan vi lita på Europaparlamentet? (juli 2025) »
• Chat Control 2 – läget sommaren 2025 (juli 2025) »
• Beslut om Chat Control 2 den 13-14 oktober? (juli 2025) »
• Chat Control 2 – nu är det match igen! (juni 2025) »
• Chatcontrol: Kompromiss i Europaparlamentet (oktober 2023) »

CC0

USA: Stoppa Chat Control 2

av

USA tänker inte acceptera att dess IT-företag kringgår säker kryptering av meddelanden bara för att EU kräver det.

USA:s konkurrens- och konsumentskyddsmyndighet FTC har gått ut med en skarp varning till de stora nätplattformarna: Urholka inte användarnas integritet och säkerhet på grund av påtryckningar från utländska regeringar.

Bakgrunden är lagförslag i bland annat EU, Storbritannien och Australien som kan tvinga företag att kringgå eller försvaga totalsträckskryptering (E2EE) – exempelvis genom bakdörrar eller client-side-scanning.

FTC:s ordförande Andrew Ferguson skickade den 21 augusti 2025 formella brev till bland annat Apple, Microsoft, Meta och Signal där han varnade för att underminera amerikanska användares dataskydd – inklusive end‑to‑end‑kryptering – på grund av krav från utländska regeringar. Att öppna bakdörrar hotar inte bara integriteten, utan även USA:s nationella säkerhet.

Detta kommer lagom till att EU:s ministerråd skall försöka fatta beslut om Chat Control 2.

Om rådet accepterar det danska ordförandeskapets kompromissförslag om client-side-scanning (spionprogram på din telefon och dator som kontrollerar innehållet i dina elektroniska meddelanden redan innan de krypterats och sänts) kommer det att leda till en direkt konflikt med den amerikanska administrationen.

Vilket bland annat kan påverka de rätt skakiga tull- och handelsfrågorna med USA. (Där även frågan om yttrandefrihet på sociala media i EU är aktuell.)

Skulle detta drivas till sin spets riskerar vi att amerikanska meddelandetjänster blockerar användare i Europa – och att EU bygger upp ett slags digital järnridå mot omvärlden.

Läs mer:
• FTC Chairman Ferguson Warns Companies Against Censoring or Weakening the Data Security of Americans at the Behest of Foreign Powers »

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

Tidigare bloggposter:
• Chat Control 2 – ett förslag med buggar »
• Chat Control 2: Upplagt för svek i Europaparlamentet »
• Chat Control 2: Har Europaparlamentet fått fnatt? (augusti 2025) »
• Stoppa Chat Control 2 – skriv ett vykort (augusti 2025) »
• Chat Control 2 – senaste läckan från ministerrådet (juli 2025) »
• Chat Control 2 – problemen med client-side-scanning (juli 2025) »
• Chat Control 2 – ministerrådets senaste bud (juli 2025) »
• Chat Control 2: Kan vi lita på Europaparlamentet? (juli 2025) »
• Chat Control 2 – läget sommaren 2025 (juli 2025) »
• Beslut om Chat Control 2 den 13-14 oktober? (juli 2025) »
• Chat Control 2 – nu är det match igen! (juni 2025) »
• Chatcontrol: Kompromiss i Europaparlamentet (oktober 2023) »

CC0

Naomi Brockwell: “I Have Nothing to Hide” – The Dangerous Myth About Privacy (video)

av

»When did privacy start being about having something to hide? It used to simply be about having the right to decide for ourselves who gets access to our data. But over the past decade we’ve lost that choice, and so much of our personal and sensitive information is shared without our knowledge or explicit consent.«

Youtube »

Ålderskontroll online – hur tänker EU då?

av

EU vill både öppna app-marknaden och kontrollera hur apparna fungerar. Här uppstår en konflikt som kan få orimliga konsekvenser.

I EU:s Digital Services Act, Digital Markets Act och den ännu inte klubbade Chat Control 2 talas dels om ålderskontroll online, dels om digital konkurrens.

Ålderskontrollen skall kunna användas av medlemsstater som vill hindra minderårigas tillgång till till exempel porr-siter och annat innehåll som anses vara skadligt. Även den svenska regeringen är inne på detta spår.

För att ålderskontrollen skall fungera utan att dela känslig persondata med tredje part vill man att den skall ske med en särskild, tillfällig EU-app (EU mini-wallet).

Denna app är tänkt att användas fram till dess att EU:s Digitala Plånbok (European digital identity wallet, EUDI) införs och tar över funktionen.

Om någon av dessa appar för åldersverifikation skall ha någon verkan måste de korrespondera med vad som finns i andra ändan av linan.

Hur man skall kunna tvinga till exempel en porr-site i en annan del av världen att införa en åldersgräns och att använda någon av EU:s appar för att verifiera användarens ålder är oklart. (Möjligen kommer EU att försöka blockera dem med något slags digital järnridå.)

Särskilt intressant blir det när det kommer till meddelande-appar. Å ena sidan vill EU att de skall införa en åldersgräns.

Å andra sidan har EU redan slagit fast (DMA) att Apple och Google måste öppna sina plattformar för tredjeparts app-stores och »sideloading« direkt från nätet.

EU kan möjligen kräva att alla meddelande-appar i Apples och Googles app-stores skall vara kopplade till åldersverifikation med någon av EU-apparna ovan.

Men för att detta skall fungera måste även tredjeparts-apparna frivilligt integrera dem.

Och det kan de strunta i – om de distribueras utanför Play Store och App Store. Vilket EU alltså beslutat skall vara möjligt.

Det förefaller som att EU – återigen – är på väg att skapa lagstiftning som motsäger sig själv. Vilket inte förvånar. Det börjar snarare bli ett mönster.

Om jag får spekulera kan EU:s lösning – när de inser problemet – bli att försöka få till stånd en blockering av appar som inte är kompatibla med EU:s system för åldersverifikation, på systemnivå i våra telefoner och datorer. Vilket i så fall innebär att vi inte tillåts använda vilka program vi vill på vår hårdvara.

Läs även:
• EU’s upcoming age verification system may block sideloaded Android apps »

CC0

UK Online Safety Act – konsekvenserna börjar bli synliga

av

Britternas Online Safety Act har lett till ökat VPN-användande, politisk diskussion om VPN-förbud och nya former av cyberbrottslighet.

Snabbt börjar Storbritanniens Online Safety Act få konsekvenser.

Den goda nyheten är attt användandet av VPN ökat. Ett syfte med detta är att komma runt de ID-krav/ålderskontroller som den nya lagen ställer på många typer av sidor, från porr till Reddit.

Den dåliga nyheten är att detta har väckt nytt liv i den slumrande politiska debatten om att förbjuda VPN. Vilket riskerar att slå tillbaka både tekniskt, juridiskt och politiskt. (Inte ens EU har vågat gå så långt. Ännu.)

En annan konsekvens är att brittiska användare lockas till fejk-siter där de luras lämna ut sina ID-uppgifter till cyberbrottslingar, i tron att »ID-kravet« på dessa sidor beror på den nya lagen.

Detta lär bara vara början vad gäller oväntade och oönskade konsekvenser av OSA.

Lagens motståndare håller på att samla in namn för att få till stånd en debatt om den i parlamentet. I skrivande stund har runt 250.000 personer skrivit under. Regeringen meddelar dock att den inte har några planer på att ändra eller dra tillbaka lagen.

Relaterat:
• Online Safety Act – britternas DSA och Chat Control i ett »
• UK Online Safety Act vs. Wikipedia »

CC0

Chat Control 2 – problemen med client-side-scanning

av

Att använda spionprogram på folks telefoner och datorer för Chat Control 2 möter allvarliga praktiska, tekniska och juridiska hinder.

Häromdagen skrev vi om att EU:s ministerråd åter är inne på att använda client-side-scanning (CSS) för att bekämpa övergrepp mot barn i elektroniska meddelanden.

Förslaget går ut på att använda spionprogram (på applikations- eller systemnivå) på din telefon och dator för att identifiera och rapportera eventuellt olagligt innehåll innan det krypteras och sänds.

Ju mer man tänker på saken, ju tydligare blir det att politikerna och tjänstemännen i ministerrådet inte förstår konsekvenserna av sina egna förslag.

En första invändning som dyker upp är att de ändringar som ministerrådet önskar kan få katastrofala konsekvenser om de rullas ut på globala medddelandetjänster.

Syftet kan då utökas för att till exempel identifiera oppositionella och andra som regimer i skurkstater i andra delar av världen är ute efter.

Eller varför bara skurkstater? Om EU beslutar om CSS för att identifiera en viss typ av olagligt innehåll, då kan man vara säker på att tekniken kommer att utökas till att omfatta fler eller alla former av olagligt innehåll.

Då kan till exempel Malta använda CSS för att gå efter information om abort, som är olaglig där. Eller av staten för att identifiera privata elektroniska kommunikationer som anses innehålla hets eller hat enligt en nu allt vidare definition.

Rent tekniskt finns det också luckor i idén om CSS, som tycks gå bortom justitieministrarnas och EU-byråkraternas kompetens.

För att identifiera kända olagliga bifogade filer med CSS används »hash-teknik« där varje bild tilldelas ett unikt teckenvärde, ett fingeravtryck om man så vill.

Saken är att denna hash-identifikator kan ändras genom mindre ändringar i bilden (upplösning, beskärning, redigering m.m.). Eller genom att komprimera bilden eller klistra in den i en annan fil (ordbehandling, kalkylblad, layoutdokument m.m.)

En studie visar att det även går att manipulera systemet så att två helt olika bilder kan få samma hash-värde. Vilket kan vara problematiskt och drabba oskyldiga.

Eftersom förslaget innebär urskiljningslös granskning av all slags meddelanden, utan misstanke om brott – kan man även anta att EU-domstolen kommer att ha invändningar vad gäller rätten till privatliv och privat kommunikation.

Detta på samma sätt som när domstolen år 2014 upphävde EU:s datalagringsdirektiv. Den slog då fast att man får övervaka folk som misstänks för brott – men inte alla andra, hela tiden.

Det finns alltså påtagliga praktiska, tekniska och juridiska problem med ministerrådets förslag om Chat Control 2 genom client-side-scanning.

Det verkar som om man inte förstår vad man beslutar om, den här gången heller.

• Det danska ordförandeskapets förslag i ministerrådet (PDF) »

Se även:
• Chatcontrol.se »

Tidigare bloggposter:
• Chat Control 2 – ministerrådets senaste bud »
• Chat Control 2: Kan vi lita på Europaparlamentet? (juli 2025) »
• Chat Control 2 – läget sommaren 2025 (juli 2025) »
• Beslut om Chat Control 2 den 13-14 oktober? (juli 2025) »
• Chat Control 2 – nu är det match igen! (juni 2025) »

CC0

Australien: Åldersgräns för sökmotorer

av

Australien blir först i världen med att kräva åldersgränser för full tillgång till sökmotorer.

Idén om åldersgränser för sociala media sprider sig till allt fler länder. Australien tar det ett steg längre och inför 16-årsgräns även för sökmotorer (Google, Bing m.fl.) i sin uppdaterade Online Safety Act och dess Internet Search Engine Services Online Safety Code.

I vart fall om man vill ha alla funktioner. Minderåriga och icke-inloggade ges tillgång till en barnsäker variant med innehållsbegränsningar.

Till att börja med är detta enkelt att kringgå genom att använda VPN. Vilket gör förslaget rätt meningslöst om syftet är att begränsa tillgången till innehåll.

Sedan har vi frågan om hur användare skall identifiera sig. Enligt den nya lagen kan det till exempel ske genom foto-ID, biometrisk analys av ålder eller baserat på användarens vanor och sökhistorik.

I alla tre fallen uppstår problem kopplade till säkerhet och rätten till privatliv. ID-kontroll kräver register. Biometrisk analys har breda felmarginaler. Analys av användares nätvanor kommer att ge Big Data ännu mer information om sina användare.

Här finns också en möjlig konflikt med FN-stadgan om de mänskliga rättigheterna, vars artikel 19 säger…

»Var och en har rätt till åsiktsfrihet och yttrandefrihet. Denna rätt innefattar frihet att utan ingripande hysa åsikter samt att söka, ta emot och sprida information och idéer med hjälp av alla uttrycksmedel och oberoende av gränser.«

Att folk inte ska få uttrycka sina åsikter anonymt på sociala media är illa nog. Att nu utöka detta till att inte få söka information anonymt är ett steg mot en allt mer auktoritär stat.

Än så länge finns inget motsvarande förslag i EU. Men det är förmodligen bara en tidsfråga.

EU:s Digital Services Act rekommenderar åldersgränser för sociala media, men utan att direkt kräva att sådana införs. Vissa medlemsstater i ministerrådet driver dock på.

Dessutom rullar EU just nu ut en app för åldersverifikation i sociala media, för de länder som vill ha sådan.

Relaterat:
• Åldersgräns för sociala media är en usel idé (8 juli 2025) »
• Rörigt när EU inför åldersgräns för sociala media (26 maj 2025) »
• EU rullar ut app för åldersverifikation (8 maj 2025) »

CC0

EU: Ny datalagring och bakdörrar till krypterad kommunikation

av

EU-kommissionen vill runda EU-domstolens förbud mot generell datalagring. Den kräver även bakdörrar till krypterad kommunikation, för att komma åt dess innehåll.

Som en del av projektet »ProtectEU« har EU-kommissionen nu presenterat en »färdplan för effektiv och laglig tillgång till uppgifter för brottsbekämpande myndigheter«.

Bland annat flaggar man för ett nytt datalagringsdirektiv nästa år.

EU:s förra datalagringsdirektiv upphävdes av EU-domstolen. Det stred mot vad de mänskliga rättigheterna hade att säga om rätten till privatliv och privat korrespondens.

Detta då det föreskrev urskiljningslös lagring av metadata om alla människors telekommunikationer.

EU-domstolen slog då, enkelt uttryckt, fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Det skall bli intressant att se hur ett nytt datalagringsdirektiv är tänkt att se ut som respekterar detta. Speciellt som ambitionen är att även täcka in alla nya meddelandetjänster.

Dessutom vill man »stärka samarbetet mellan brottsbekämpande myndigheter och tjänsteleverantörer när det gäller tillgång till elektroniska bevis«.

Vilket torde betyda att ge myndigheterna direkt tillgång till aktuell data hos operatörerna. (Vilket Europols utökadde mandat redan öppnat för.)

Man ger sig även in i striden om krypterad kommunikation:

»Under 2026 kommer kommissionen att lägga fram en teknisk färdplan för kryptering för att identifiera och utvärdera lösningar som möjliggör laglig åtkomst till krypterade data för brottsbekämpande myndigheter, samtidigt som cybersäkerheten och de grundläggande rättigheterna skyddas. Kommissionen kommer också att stödja utvecklingen av ny dekrypteringsteknik för att förse Europol med nästa generations dekrypteringskapacitet (från och med 2030).«

Hur man tänkt sig forcera totalsträckskrypterad kommunikation och samtidigt skydda cybersäkerheten och rätten till privat korrespondens är än så länge en öppen fråga.

Detta bör ses i ljuset av Chat Control 2, som är tänkt att granska innehållet i folks elektroniska meddelanden med AI eller client-side-scanning (spionprogram som granskar dina meddelanden innan de krypteras och sänds).

Vad gäller spaning mot människor som faktiskt misstänks för brott finns redan hemlig dataavläsning – som kan spana på allt som finns och sker på eller i närheten av en telefon eller dator.

Så det finns redan verktyg att använda mot skurkar, efter individuell rättslig prövning. Utan att drabba alla andra.

Nu väntar vi på svaret på frågan: Hur? Hur har EU-kommissionen tänkt gå runt EU-domstolens förbud mot generell datalagring? Hur tänker man ta sig runt totalsträckskryptering utan att offra vår IT-säkerhet?

Mycket talar för att det inte går. Vilket dock inte brukar hindra EU-kommissionen från att lägga fram verklighetsfrånvända förslag.

• Kommissionen lägger fram en färdplan för effektiv och laglig tillgång till uppgifter för brottsbekämpande myndigheter »

CC0

Tre obekväma frågor för Almedalen

av

Passa på att kräva våra politiker på svar i Almedalen. Här är några obekväma frågor om Chat Control 2, bakdörrs-lagen och fullmakts-lagen.

Chat Control 2

EU-kommissionen vill fortfarande låta AI granska innehållet i folks elektroniska meddelanden. EU:s ministerråd vill göra samma sak med spionprogram på applikations- eller systemnivå. I båda fallen vill man kringgå den kryptering som håller våra kommunikationer säkra.

Hur har man tänkt sig komma åt krypterade meddelanden utan att försvaga säkerheten för övrig, känslig kommunikation?

Vad har regeringspartierna (M, KD & L) att säga om att de gick till val i EU-valet på att säga nej till Chat Control 2 – men ändå driver på för ett ja i ministerrådet?

Bakdörrs-lagen

Ett lagförslag är ute på remiss som innebär att meddelandetjänster skall tvingas överlämna innehåll i användares kommunikationer i okrypterad form till myndigheterna. Hur är detta rent praktiskt tänkt att gå till?

Hur menar man att operatörer och myndigheter skall kunna komma åt krypterad kommunikation utan att även främmande makt, kriminella och andra fientliga aktörer kan göra samma sak? Är det så klokt att lämna bakdörrar öppna?

Försvarsmakten anser att det inte går – och rekommenderar sina medarbetare attt använda den totalsträckskrypterade meddelande-appen Signal.

Fullmakts-lagen

Alla partier utom MP vill ge regeringen rätt att utfärda förordningar (stifta lagar) helt på eget inititativ, om den tycker att det behövs. I fredstid.

Hur går detta ihop med principen om maktdelning? Har inte de borgerliga partierna i alla år kämpat för ökad maktdelning i Sverige?

Är sossarna verkligen beredda att låta en SD-dominerad regering stifta lagar utan att fråga riksdagen eller någon annan om lov? Är högern beredd att ge de rödgröna oinskränkt makt?

Förslaget är dessutom skrivet så att en regering kan kringgå den säkerhetsventil som kräver att riksdagen skall godkänna sådana förordningar i efterhand. I vart fall för en tid.

Ta tillfället i akt att ställa frågor!

Våra politiker är som regel ovilliga att diskutera övervaknings- och demokratifrågor. Men i Almedalen kan det vara svårt för dem att ducka – om ni som är där tar chansen att ställa de obekväma frågorna till exempel i samband med seminarier.

Läs mer:
• Chat Control 2 – nu är det match igen! »
• Stoppa regeringens bakdörrs-lag! »
• Stoppa fullmaktslagen! »

CC0

Amerikansk domstol tvingar OpenAI att spara alla ChatGPT-loggar

av

Nu öppnas dörren för global datalagring av AI-loggar. Som användare bör du utgå från att allt du frågar AI om kan hamna i fel händer.

Hur mycket av våra AI-konversationer sparas och i vilket syfte? Detta är en fråga många användare ställt sig. Även de som valt att inte spara historik.

En amerikansk domstol har nu beordrat OpenAI att spara alla ChatGPT-loggar. Ars Technica rapporterar:

»OpenAI is now fighting a court order to preserve all ChatGPT user logs—including deleted chats and sensitive chats logged through its API business offering—after news organizations suing over copyright claims accused the AI company of destroying evidence.«

Denna gång är det alltså inte myndigheterna som vill åt informationen, utan media. Och skälet som anges är upphovsrätt. Närmare bestämt en misstanke om att folk använder AI för att gå runt betalväggar.

Det kommer att drabba användare globalt, oavsett integritetsinställningar.

Att detta kan komma att missbrukas och att lagrade loggar kan komma att läcka är en uppenbar risk.

Det var kanske bara en tidsfråga. Och även om upphovsrättsindustrin hann först finns det skäl att anta att myndigheterna ligger hack i häl.

Dörren har nu öppnats och det är ingen vågad gissning att politiker och myndigheter kommer att vilja ha allmän lagring av medborgarnas interaktioner med AI. Skälet kommer att vara det gamla vanliga: Informationen kan vara bra att ha.

Det kan möjligen vara klokt att utgå från att så redan sker.

Läs mer: OpenAI slams court order to save all ChatGPT logs, including deleted chats »

CC0