Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Ålderskontroll online – hur tänker EU då?

av

EU vill både öppna app-marknaden och kontrollera hur apparna fungerar. Här uppstår en konflikt som kan få orimliga konsekvenser.

I EU:s Digital Services Act, Digital Markets Act och den ännu inte klubbade Chat Control 2 talas dels om ålderskontroll online, dels om digital konkurrens.

Ålderskontrollen skall kunna användas av medlemsstater som vill hindra minderårigas tillgång till till exempel porr-siter och annat innehåll som anses vara skadligt. Även den svenska regeringen är inne på detta spår.

För att ålderskontrollen skall fungera utan att dela känslig persondata med tredje part vill man att den skall ske med en särskild, tillfällig EU-app (EU mini-wallet).

Denna app är tänkt att användas fram till dess att EU:s Digitala Plånbok (European digital identity wallet, EUDI) införs och tar över funktionen.

Om någon av dessa appar för åldersverifikation skall ha någon verkan måste de korrespondera med vad som finns i andra ändan av linan.

Hur man skall kunna tvinga till exempel en porr-site i en annan del av världen att införa en åldersgräns och att använda någon av EU:s appar för att verifiera användarens ålder är oklart. (Möjligen kommer EU att försöka blockera dem med något slags digital järnridå.)

Särskilt intressant blir det när det kommer till meddelande-appar. Å ena sidan vill EU att de skall införa en åldersgräns.

Å andra sidan har EU redan slagit fast (DMA) att Apple och Google måste öppna sina plattformar för tredjeparts app-stores och »sideloading« direkt från nätet.

EU kan möjligen kräva att alla meddelande-appar i Apples och Googles app-stores skall vara kopplade till åldersverifikation med någon av EU-apparna ovan.

Men för att detta skall fungera måste även tredjeparts-apparna frivilligt integrera dem.

Och det kan de strunta i – om de distribueras utanför Play Store och App Store. Vilket EU alltså beslutat skall vara möjligt.

Det förefaller som att EU – återigen – är på väg att skapa lagstiftning som motsäger sig själv. Vilket inte förvånar. Det börjar snarare bli ett mönster.

Om jag får spekulera kan EU:s lösning – när de inser problemet – bli att försöka få till stånd en blockering av appar som inte är kompatibla med EU:s system för åldersverifikation, på systemnivå i våra telefoner och datorer. Vilket i så fall innebär att vi inte tillåts använda vilka program vi vill på vår hårdvara.

Läs även:
• EU’s upcoming age verification system may block sideloaded Android apps »

CC0

UK Online Safety Act – konsekvenserna börjar bli synliga

av

Britternas Online Safety Act har lett till ökat VPN-användande, politisk diskussion om VPN-förbud och nya former av cyberbrottslighet.

Snabbt börjar Storbritanniens Online Safety Act få konsekvenser.

Den goda nyheten är attt användandet av VPN ökat. Ett syfte med detta är att komma runt de ID-krav/ålderskontroller som den nya lagen ställer på många typer av sidor, från porr till Reddit.

Den dåliga nyheten är att detta har väckt nytt liv i den slumrande politiska debatten om att förbjuda VPN. Vilket riskerar att slå tillbaka både tekniskt, juridiskt och politiskt. (Inte ens EU har vågat gå så långt. Ännu.)

En annan konsekvens är att brittiska användare lockas till fejk-siter där de luras lämna ut sina ID-uppgifter till cyberbrottslingar, i tron att »ID-kravet« på dessa sidor beror på den nya lagen.

Detta lär bara vara början vad gäller oväntade och oönskade konsekvenser av OSA.

Lagens motståndare håller på att samla in namn för att få till stånd en debatt om den i parlamentet. I skrivande stund har runt 250.000 personer skrivit under. Regeringen meddelar dock att den inte har några planer på att ändra eller dra tillbaka lagen.

Relaterat:
• Online Safety Act – britternas DSA och Chat Control i ett »
• UK Online Safety Act vs. Wikipedia »

CC0

Chat Control 2 – problemen med client-side-scanning

av

Att använda spionprogram på folks telefoner och datorer för Chat Control 2 möter allvarliga praktiska, tekniska och juridiska hinder.

Häromdagen skrev vi om att EU:s ministerråd åter är inne på att använda client-side-scanning (CSS) för att bekämpa övergrepp mot barn i elektroniska meddelanden.

Förslaget går ut på att använda spionprogram (på applikations- eller systemnivå) på din telefon och dator för att identifiera och rapportera eventuellt olagligt innehåll innan det krypteras och sänds.

Ju mer man tänker på saken, ju tydligare blir det att politikerna och tjänstemännen i ministerrådet inte förstår konsekvenserna av sina egna förslag.

En första invändning som dyker upp är att de ändringar som ministerrådet önskar kan få katastrofala konsekvenser om de rullas ut på globala medddelandetjänster.

Syftet kan då utökas för att till exempel identifiera oppositionella och andra som regimer i skurkstater i andra delar av världen är ute efter.

Eller varför bara skurkstater? Om EU beslutar om CSS för att identifiera en viss typ av olagligt innehåll, då kan man vara säker på att tekniken kommer att utökas till att omfatta fler eller alla former av olagligt innehåll.

Då kan till exempel Malta använda CSS för att gå efter information om abort, som är olaglig där. Eller av staten för att identifiera privata elektroniska kommunikationer som anses innehålla hets eller hat enligt en nu allt vidare definition.

Rent tekniskt finns det också luckor i idén om CSS, som tycks gå bortom justitieministrarnas och EU-byråkraternas kompetens.

För att identifiera kända olagliga bifogade filer med CSS används »hash-teknik« där varje bild tilldelas ett unikt teckenvärde, ett fingeravtryck om man så vill.

Saken är att denna hash-identifikator kan ändras genom mindre ändringar i bilden (upplösning, beskärning, redigering m.m.). Eller genom att komprimera bilden eller klistra in den i en annan fil (ordbehandling, kalkylblad, layoutdokument m.m.)

En studie visar att det även går att manipulera systemet så att två helt olika bilder kan få samma hash-värde. Vilket kan vara problematiskt och drabba oskyldiga.

Eftersom förslaget innebär urskiljningslös granskning av all slags meddelanden, utan misstanke om brott – kan man även anta att EU-domstolen kommer att ha invändningar vad gäller rätten till privatliv och privat kommunikation.

Detta på samma sätt som när domstolen år 2014 upphävde EU:s datalagringsdirektiv. Den slog då fast att man får övervaka folk som misstänks för brott – men inte alla andra, hela tiden.

Det finns alltså påtagliga praktiska, tekniska och juridiska problem med ministerrådets förslag om Chat Control 2 genom client-side-scanning.

Det verkar som om man inte förstår vad man beslutar om, den här gången heller.

• Det danska ordförandeskapets förslag i ministerrådet (PDF) »

Se även:
• Chatcontrol.se »

Tidigare bloggposter:
• Chat Control 2 – ministerrådets senaste bud »
• Chat Control 2: Kan vi lita på Europaparlamentet? (juli 2025) »
• Chat Control 2 – läget sommaren 2025 (juli 2025) »
• Beslut om Chat Control 2 den 13-14 oktober? (juli 2025) »
• Chat Control 2 – nu är det match igen! (juni 2025) »

CC0

Australien: Åldersgräns för sökmotorer

av

Australien blir först i världen med att kräva åldersgränser för full tillgång till sökmotorer.

Idén om åldersgränser för sociala media sprider sig till allt fler länder. Australien tar det ett steg längre och inför 16-årsgräns även för sökmotorer (Google, Bing m.fl.) i sin uppdaterade Online Safety Act och dess Internet Search Engine Services Online Safety Code.

I vart fall om man vill ha alla funktioner. Minderåriga och icke-inloggade ges tillgång till en barnsäker variant med innehållsbegränsningar.

Till att börja med är detta enkelt att kringgå genom att använda VPN. Vilket gör förslaget rätt meningslöst om syftet är att begränsa tillgången till innehåll.

Sedan har vi frågan om hur användare skall identifiera sig. Enligt den nya lagen kan det till exempel ske genom foto-ID, biometrisk analys av ålder eller baserat på användarens vanor och sökhistorik.

I alla tre fallen uppstår problem kopplade till säkerhet och rätten till privatliv. ID-kontroll kräver register. Biometrisk analys har breda felmarginaler. Analys av användares nätvanor kommer att ge Big Data ännu mer information om sina användare.

Här finns också en möjlig konflikt med FN-stadgan om de mänskliga rättigheterna, vars artikel 19 säger…

»Var och en har rätt till åsiktsfrihet och yttrandefrihet. Denna rätt innefattar frihet att utan ingripande hysa åsikter samt att söka, ta emot och sprida information och idéer med hjälp av alla uttrycksmedel och oberoende av gränser.«

Att folk inte ska få uttrycka sina åsikter anonymt på sociala media är illa nog. Att nu utöka detta till att inte få söka information anonymt är ett steg mot en allt mer auktoritär stat.

Än så länge finns inget motsvarande förslag i EU. Men det är förmodligen bara en tidsfråga.

EU:s Digital Services Act rekommenderar åldersgränser för sociala media, men utan att direkt kräva att sådana införs. Vissa medlemsstater i ministerrådet driver dock på.

Dessutom rullar EU just nu ut en app för åldersverifikation i sociala media, för de länder som vill ha sådan.

Relaterat:
• Åldersgräns för sociala media är en usel idé (8 juli 2025) »
• Rörigt när EU inför åldersgräns för sociala media (26 maj 2025) »
• EU rullar ut app för åldersverifikation (8 maj 2025) »

CC0

EU: Ny datalagring och bakdörrar till krypterad kommunikation

av

EU-kommissionen vill runda EU-domstolens förbud mot generell datalagring. Den kräver även bakdörrar till krypterad kommunikation, för att komma åt dess innehåll.

Som en del av projektet »ProtectEU« har EU-kommissionen nu presenterat en »färdplan för effektiv och laglig tillgång till uppgifter för brottsbekämpande myndigheter«.

Bland annat flaggar man för ett nytt datalagringsdirektiv nästa år.

EU:s förra datalagringsdirektiv upphävdes av EU-domstolen. Det stred mot vad de mänskliga rättigheterna hade att säga om rätten till privatliv och privat korrespondens.

Detta då det föreskrev urskiljningslös lagring av metadata om alla människors telekommunikationer.

EU-domstolen slog då, enkelt uttryckt, fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Det skall bli intressant att se hur ett nytt datalagringsdirektiv är tänkt att se ut som respekterar detta. Speciellt som ambitionen är att även täcka in alla nya meddelandetjänster.

Dessutom vill man »stärka samarbetet mellan brottsbekämpande myndigheter och tjänsteleverantörer när det gäller tillgång till elektroniska bevis«.

Vilket torde betyda att ge myndigheterna direkt tillgång till aktuell data hos operatörerna. (Vilket Europols utökadde mandat redan öppnat för.)

Man ger sig även in i striden om krypterad kommunikation:

»Under 2026 kommer kommissionen att lägga fram en teknisk färdplan för kryptering för att identifiera och utvärdera lösningar som möjliggör laglig åtkomst till krypterade data för brottsbekämpande myndigheter, samtidigt som cybersäkerheten och de grundläggande rättigheterna skyddas. Kommissionen kommer också att stödja utvecklingen av ny dekrypteringsteknik för att förse Europol med nästa generations dekrypteringskapacitet (från och med 2030).«

Hur man tänkt sig forcera totalsträckskrypterad kommunikation och samtidigt skydda cybersäkerheten och rätten till privat korrespondens är än så länge en öppen fråga.

Detta bör ses i ljuset av Chat Control 2, som är tänkt att granska innehållet i folks elektroniska meddelanden med AI eller client-side-scanning (spionprogram som granskar dina meddelanden innan de krypteras och sänds).

Vad gäller spaning mot människor som faktiskt misstänks för brott finns redan hemlig dataavläsning – som kan spana på allt som finns och sker på eller i närheten av en telefon eller dator.

Så det finns redan verktyg att använda mot skurkar, efter individuell rättslig prövning. Utan att drabba alla andra.

Nu väntar vi på svaret på frågan: Hur? Hur har EU-kommissionen tänkt gå runt EU-domstolens förbud mot generell datalagring? Hur tänker man ta sig runt totalsträckskryptering utan att offra vår IT-säkerhet?

Mycket talar för att det inte går. Vilket dock inte brukar hindra EU-kommissionen från att lägga fram verklighetsfrånvända förslag.

• Kommissionen lägger fram en färdplan för effektiv och laglig tillgång till uppgifter för brottsbekämpande myndigheter »

CC0

Tre obekväma frågor för Almedalen

av

Passa på att kräva våra politiker på svar i Almedalen. Här är några obekväma frågor om Chat Control 2, bakdörrs-lagen och fullmakts-lagen.

Chat Control 2

EU-kommissionen vill fortfarande låta AI granska innehållet i folks elektroniska meddelanden. EU:s ministerråd vill göra samma sak med spionprogram på applikations- eller systemnivå. I båda fallen vill man kringgå den kryptering som håller våra kommunikationer säkra.

Hur har man tänkt sig komma åt krypterade meddelanden utan att försvaga säkerheten för övrig, känslig kommunikation?

Vad har regeringspartierna (M, KD & L) att säga om att de gick till val i EU-valet på att säga nej till Chat Control 2 – men ändå driver på för ett ja i ministerrådet?

Bakdörrs-lagen

Ett lagförslag är ute på remiss som innebär att meddelandetjänster skall tvingas överlämna innehåll i användares kommunikationer i okrypterad form till myndigheterna. Hur är detta rent praktiskt tänkt att gå till?

Hur menar man att operatörer och myndigheter skall kunna komma åt krypterad kommunikation utan att även främmande makt, kriminella och andra fientliga aktörer kan göra samma sak? Är det så klokt att lämna bakdörrar öppna?

Försvarsmakten anser att det inte går – och rekommenderar sina medarbetare attt använda den totalsträckskrypterade meddelande-appen Signal.

Fullmakts-lagen

Alla partier utom MP vill ge regeringen rätt att utfärda förordningar (stifta lagar) helt på eget inititativ, om den tycker att det behövs. I fredstid.

Hur går detta ihop med principen om maktdelning? Har inte de borgerliga partierna i alla år kämpat för ökad maktdelning i Sverige?

Är sossarna verkligen beredda att låta en SD-dominerad regering stifta lagar utan att fråga riksdagen eller någon annan om lov? Är högern beredd att ge de rödgröna oinskränkt makt?

Förslaget är dessutom skrivet så att en regering kan kringgå den säkerhetsventil som kräver att riksdagen skall godkänna sådana förordningar i efterhand. I vart fall för en tid.

Ta tillfället i akt att ställa frågor!

Våra politiker är som regel ovilliga att diskutera övervaknings- och demokratifrågor. Men i Almedalen kan det vara svårt för dem att ducka – om ni som är där tar chansen att ställa de obekväma frågorna till exempel i samband med seminarier.

Läs mer:
• Chat Control 2 – nu är det match igen! »
• Stoppa regeringens bakdörrs-lag! »
• Stoppa fullmaktslagen! »

CC0

Amerikansk domstol tvingar OpenAI att spara alla ChatGPT-loggar

av

Nu öppnas dörren för global datalagring av AI-loggar. Som användare bör du utgå från att allt du frågar AI om kan hamna i fel händer.

Hur mycket av våra AI-konversationer sparas och i vilket syfte? Detta är en fråga många användare ställt sig. Även de som valt att inte spara historik.

En amerikansk domstol har nu beordrat OpenAI att spara alla ChatGPT-loggar. Ars Technica rapporterar:

»OpenAI is now fighting a court order to preserve all ChatGPT user logs—including deleted chats and sensitive chats logged through its API business offering—after news organizations suing over copyright claims accused the AI company of destroying evidence.«

Denna gång är det alltså inte myndigheterna som vill åt informationen, utan media. Och skälet som anges är upphovsrätt. Närmare bestämt en misstanke om att folk använder AI för att gå runt betalväggar.

Det kommer att drabba användare globalt, oavsett integritetsinställningar.

Att detta kan komma att missbrukas och att lagrade loggar kan komma att läcka är en uppenbar risk.

Det var kanske bara en tidsfråga. Och även om upphovsrättsindustrin hann först finns det skäl att anta att myndigheterna ligger hack i häl.

Dörren har nu öppnats och det är ingen vågad gissning att politiker och myndigheter kommer att vilja ha allmän lagring av medborgarnas interaktioner med AI. Skälet kommer att vara det gamla vanliga: Informationen kan vara bra att ha.

Det kan möjligen vara klokt att utgå från att så redan sker.

Läs mer: OpenAI slams court order to save all ChatGPT logs, including deleted chats »

CC0

Rörigt när EU inför åldersgräns för sociala media

av

I juni skall EU:s ministerråd enligt uppgift diskutera åldersgränser för sociala media. Just nu är frågan en enda röra.

I väntan på EU:s »digitala plånbok« har EU-kommissionen upphandlat en speciell »mini-plånbok« för åldersverifiering, som kan användas av de mest pådrivande länderna. Dessa är: Frankrike, Italien, Spanien, Grekland, Belgien och Tyskland.

Det är dock oklart vilka av dessa länder som kommer att använda den nya »mini-plånboken«. De som redan försökt på egen hand har mött juridiska, tekniska och praktiska problem. Man kan även notera att de aktuella länderna går fram med olika åldersgränser.

Det pågår även en diskussion om åldersverifiering skall ske på operativ/enhets- eller applikations-nivå. En alternativ möjlighet är en åldersgräns för vissa appar i Apples och Googles app-shops.

EU:s ministerråd tycks luta åt verifiering på enhetsnivå, vilket i så fall sammanfaller med den teknik för granskning av innehåll i användarnas elektroniska meddelanden (client-side-scanning) som tidigare föreslagits vad gäller Chat Control 2.

En annan fråga gäller om man skall använda ID-uppgifter som verifierats med något slags ID-handling – eller om man skall använda sig av AI och biometri för att bedöma en användares ålder.

Här finns problem såväl vad gäller tillförlitlighet, säkerhet, användarvänlighet som kostnader.

Att lagra ID-uppgifter skapar – oavsett om det sker på app-nivå, system-nivå eller via någon tredjepartstjänst – risk för läckor, profilering, övervakning och andra former av missbruk. Att lagra biometrisk data likaså.

Dagens AI-drivna algoritmer för att uppskatta ålder har en felmarginal på ±2,5 år vid optimala förhållanden, en siffra som ökar till ±4,8 år i varierande etniska grupper. Vilket är på tok för bred felmarginal om man talar om barn. Detta blir varken praktiskt fungerande, rättvist eller rättssäkert.

Ena stunden rekommenderar EU åldersgränser i sin Digital Services Act, för att skydda barnen. I nästa ögonblick förbjuder EU:s nya AI Act biometrisk identifiering i realtid och etiketterar biometrisk kategorisering som ett användningsområde med hög risk.

En faktor i sammanhanget är att internet är gränslöst. Även om EU kräver att olika plattformar världen över skall rätta sig efter unionens regler, så är sanktionsmöjligheterna i många fall begränsade.

I ett principiellt perspektiv kan åldersverifikation påverka yttrandefriheten och rätten till anonymitet. Även om reglerna är inriktade mot unga kommer de att drabba alla. I Sverige skyddas dessa rättigheter av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

EU:s dataskyddsmyndighet framhäver att åldersverifieringssystem måste tillåta anonym åtkomst för myndiga användare. Traditionella metoder som kräver inloggning eller cookies kan skapa detaljerade användarprofiler, vilket strider mot artikel 25 i GDPR om dataskydd genom design.

Enligt den omhuldade barnkonventionen (som gjorts till svensk lag) har även barn rätt till privatliv och skydd mot intrång, vilket måste beaktas vid implementering av verifieringssystem.

Detta är en röra som drivits fram av ett antal EU-länders politiker som inte begriper vad de sysslar med och som inte vill vänta tills införandet av EU:s nya digitala plånbok nästa är.

Vi ger sista ordet till EFF:

»Age verification laws do far more than ‘protect children online’—they require the creation of a system that collects vast amounts of personal information from everyone. Instead of making the internet safer for children, these laws force all users—regardless of age—to verify their identity just to access basic content or products. This isn’t a mistake; it’s a deliberate strategy.«

• EU inför ID-krav på nätplattformar »
• EU rullar ut app för åldersverifikation »
• EDRi: Showing your ID to get online might become a reality – a closer look at the EU’s new age verification app »
• EFF: First Porn, Now Skin Cream? ‘Age Verification’ Bills Are Out of Control »
• Digital Identities and the Future of Age Verification in Europe »

Se även: ChatGPT » | Perplexity »

CC0

EU rullar ut app för åldersverifikation

av

EU vill kunna kontrollera användarnas ålder på vissa webplatser. Detta skall ske med en app som ansvariga själva medger har säkerhetsbrister.

Trots att EU:s nya digitala ID – European digital identity (EUDI) wallet – är tänkt att rullas ut nästa år tänker man redan i sommar lansera en app i vissa medlemsstater – EU mini wallet – för att verifiera besökarnas ålder på websidor.

Åldersverifikation innebär inte bara att minderåriga måste identifiera sig – utan att alla måste göra det. Vilket innebär att du inte kommer att kunna vara anonym på de aktuella websidorna.

Vilket i sin tur innebär att till exempel användares sexuella preferenser kan komma att registreras vid besök på porrsiter. Detta är något som kan missbrukas av så väl stater med moralpanik som kriminella.

Dessutom verkar den nya appen inte helt säker. Det ställs visserligen upp en del säkerhetskrav, men de flesta verkar vara frivilliga. EDRi skriver:

»At a public event earlier this year, a lead official for the ‘mini wallet’ (age verification app) project stated that because the wallet is only a temporary solution, it does not need to have such high levels of privacy and security. This is an absurd presumption.«

Sedan kan man ju fundera över hur meningsfullt det är med åldersverifikation på ett gränslöst internet där bara vissa delar faller under EU:s lagstiftning (DSA m.m.).

• EDRi: Showing your ID to get online might become a reality – a closer look at the EU’s new age verification app »

CC0

Övervakningsstaten i de kriminellas händer?

av

Vilka blir konsekvenserna när kriminella nätverk infiltrerar de myndigheter som har tillgång till hemliga tvångsmedel för övervakning och känslig persondata?

Polis, åklagare, våra domstolar och kriminalvården är exempel på rättsvårdande myndigheter som infiltrerats av kriminella nätverk. De är myndigheter som har tillgång till en mängd verktyg för övervakning och till känslig persondata.

Samma problem finns i andra, civila myndigheter som hanterar känslig information om medborgarna. Detta speciellt som man nu monterar ner många av de sekretesshinder som tidigare satts upp för att skydda individens rätt till privatliv.

Vi brukar varna för att övervakningsstatens verktyg kan komma att missbrukas av framtida makthavare med auktoritära ambitioner. Eller på grund av missriktad välvilja, överdriven nit eller inkompetens.

Till detta måste vi idag lägga kriminella nätverk som bevisligen har infiltrerat våra myndigheter, såväl rättsvårdande som andra.

Några exempel: En anställd vid Attunda tingsrätt misstänktes 2023 för att ha varnat ett kriminellt nätverk om förestående avlyssning. En åklagare har visat sig ha nära släktband till och kontakter med ledaren för ett välkänt kriminellt nätverk. Mellan 2018 och 2023 gjordes 514 anmälningar om misstänkta informationsläckor inom Polismyndigheten. Antalet misstänkta infiltrationsfall inom Kriminalvården ökade från 50 till 144 mellan 2020 och 2023. I till exempel Södertälje kommun har organiserad brottslighet påverkat kommunens verksamheter och därmed också kunnat få tillgång till känslig persondata (som kan användas för till exempel välfärdsbrottslighet).

Problemet har två sidor. Dels kan personer som är misstänkta för brott få kännedom om att och hur de övervakas och utreds. Dels kan insamlad information och persondata komma att användas av kriminella för att till exempel kartlägga offer och tysta vittnen.

Konsekvensen blir en förtroendekris. Kan vi lita på att de rättsvårdande myndigheterna och offentlig verksamhet inte låter andra missbruka dess verktyg och information?

Alla system måste utgå från att olika former av korruption och infiltration förekommer. Och skydda sig.

CC0