Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Rörigt när EU inför åldersgräns för sociala media

av

I juni skall EU:s ministerråd enligt uppgift diskutera åldersgränser för sociala media. Just nu är frågan en enda röra.

I väntan på EU:s »digitala plånbok« har EU-kommissionen upphandlat en speciell »mini-plånbok« för åldersverifiering, som kan användas av de mest pådrivande länderna. Dessa är: Frankrike, Italien, Spanien, Grekland, Belgien och Tyskland.

Det är dock oklart vilka av dessa länder som kommer att använda den nya »mini-plånboken«. De som redan försökt på egen hand har mött juridiska, tekniska och praktiska problem. Man kan även notera att de aktuella länderna går fram med olika åldersgränser.

Det pågår även en diskussion om åldersverifiering skall ske på operativ/enhets- eller applikations-nivå. En alternativ möjlighet är en åldersgräns för vissa appar i Apples och Googles app-shops.

EU:s ministerråd tycks luta åt verifiering på enhetsnivå, vilket i så fall sammanfaller med den teknik för granskning av innehåll i användarnas elektroniska meddelanden (client-side-scanning) som tidigare föreslagits vad gäller Chat Control 2.

En annan fråga gäller om man skall använda ID-uppgifter som verifierats med något slags ID-handling – eller om man skall använda sig av AI och biometri för att bedöma en användares ålder.

Här finns problem såväl vad gäller tillförlitlighet, säkerhet, användarvänlighet som kostnader.

Att lagra ID-uppgifter skapar – oavsett om det sker på app-nivå, system-nivå eller via någon tredjepartstjänst – risk för läckor, profilering, övervakning och andra former av missbruk. Att lagra biometrisk data likaså.

Dagens AI-drivna algoritmer för att uppskatta ålder har en felmarginal på ±2,5 år vid optimala förhållanden, en siffra som ökar till ±4,8 år i varierande etniska grupper. Vilket är på tok för bred felmarginal om man talar om barn. Detta blir varken praktiskt fungerande, rättvist eller rättssäkert.

Ena stunden rekommenderar EU åldersgränser i sin Digital Services Act, för att skydda barnen. I nästa ögonblick förbjuder EU:s nya AI Act biometrisk identifiering i realtid och etiketterar biometrisk kategorisering som ett användningsområde med hög risk.

En faktor i sammanhanget är att internet är gränslöst. Även om EU kräver att olika plattformar världen över skall rätta sig efter unionens regler, så är sanktionsmöjligheterna i många fall begränsade.

I ett principiellt perspektiv kan åldersverifikation påverka yttrandefriheten och rätten till anonymitet. Även om reglerna är inriktade mot unga kommer de att drabba alla. I Sverige skyddas dessa rättigheter av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

EU:s dataskyddsmyndighet framhäver att åldersverifieringssystem måste tillåta anonym åtkomst för myndiga användare. Traditionella metoder som kräver inloggning eller cookies kan skapa detaljerade användarprofiler, vilket strider mot artikel 25 i GDPR om dataskydd genom design.

Enligt den omhuldade barnkonventionen (som gjorts till svensk lag) har även barn rätt till privatliv och skydd mot intrång, vilket måste beaktas vid implementering av verifieringssystem.

Detta är en röra som drivits fram av ett antal EU-länders politiker som inte begriper vad de sysslar med och som inte vill vänta tills införandet av EU:s nya digitala plånbok nästa är.

Vi ger sista ordet till EFF:

»Age verification laws do far more than ‘protect children online’—they require the creation of a system that collects vast amounts of personal information from everyone. Instead of making the internet safer for children, these laws force all users—regardless of age—to verify their identity just to access basic content or products. This isn’t a mistake; it’s a deliberate strategy.«

• EU inför ID-krav på nätplattformar »
• EU rullar ut app för åldersverifikation »
• EDRi: Showing your ID to get online might become a reality – a closer look at the EU’s new age verification app »
• EFF: First Porn, Now Skin Cream? ‘Age Verification’ Bills Are Out of Control »
• Digital Identities and the Future of Age Verification in Europe »

Se även: ChatGPT » | Perplexity »

CC0

EU rullar ut app för åldersverifikation

av

EU vill kunna kontrollera användarnas ålder på vissa webplatser. Detta skall ske med en app som ansvariga själva medger har säkerhetsbrister.

Trots att EU:s nya digitala ID – European digital identity (EUDI) wallet – är tänkt att rullas ut nästa år tänker man redan i sommar lansera en app i vissa medlemsstater – EU mini wallet – för att verifiera besökarnas ålder på websidor.

Åldersverifikation innebär inte bara att minderåriga måste identifiera sig – utan att alla måste göra det. Vilket innebär att du inte kommer att kunna vara anonym på de aktuella websidorna.

Vilket i sin tur innebär att till exempel användares sexuella preferenser kan komma att registreras vid besök på porrsiter. Detta är något som kan missbrukas av så väl stater med moralpanik som kriminella.

Dessutom verkar den nya appen inte helt säker. Det ställs visserligen upp en del säkerhetskrav, men de flesta verkar vara frivilliga. EDRi skriver:

»At a public event earlier this year, a lead official for the ‘mini wallet’ (age verification app) project stated that because the wallet is only a temporary solution, it does not need to have such high levels of privacy and security. This is an absurd presumption.«

Sedan kan man ju fundera över hur meningsfullt det är med åldersverifikation på ett gränslöst internet där bara vissa delar faller under EU:s lagstiftning (DSA m.m.).

• EDRi: Showing your ID to get online might become a reality – a closer look at the EU’s new age verification app »

CC0

Övervakningsstaten i de kriminellas händer?

av

Vilka blir konsekvenserna när kriminella nätverk infiltrerar de myndigheter som har tillgång till hemliga tvångsmedel för övervakning och känslig persondata?

Polis, åklagare, våra domstolar och kriminalvården är exempel på rättsvårdande myndigheter som infiltrerats av kriminella nätverk. De är myndigheter som har tillgång till en mängd verktyg för övervakning och till känslig persondata.

Samma problem finns i andra, civila myndigheter som hanterar känslig information om medborgarna. Detta speciellt som man nu monterar ner många av de sekretesshinder som tidigare satts upp för att skydda individens rätt till privatliv.

Vi brukar varna för att övervakningsstatens verktyg kan komma att missbrukas av framtida makthavare med auktoritära ambitioner. Eller på grund av missriktad välvilja, överdriven nit eller inkompetens.

Till detta måste vi idag lägga kriminella nätverk som bevisligen har infiltrerat våra myndigheter, såväl rättsvårdande som andra.

Några exempel: En anställd vid Attunda tingsrätt misstänktes 2023 för att ha varnat ett kriminellt nätverk om förestående avlyssning. En åklagare har visat sig ha nära släktband till och kontakter med ledaren för ett välkänt kriminellt nätverk. Mellan 2018 och 2023 gjordes 514 anmälningar om misstänkta informationsläckor inom Polismyndigheten. Antalet misstänkta infiltrationsfall inom Kriminalvården ökade från 50 till 144 mellan 2020 och 2023. I till exempel Södertälje kommun har organiserad brottslighet påverkat kommunens verksamheter och därmed också kunnat få tillgång till känslig persondata (som kan användas för till exempel välfärdsbrottslighet).

Problemet har två sidor. Dels kan personer som är misstänkta för brott få kännedom om att och hur de övervakas och utreds. Dels kan insamlad information och persondata komma att användas av kriminella för att till exempel kartlägga offer och tysta vittnen.

Konsekvensen blir en förtroendekris. Kan vi lita på att de rättsvårdande myndigheterna och offentlig verksamhet inte låter andra missbruka dess verktyg och information?

Alla system måste utgå från att olika former av korruption och infiltration förekommer. Och skydda sig.

CC0

Kryptering: Rikspolischefen kräver det omöjliga

av

Inte heller rikspolischefen förstår riskerna med bakdörrar till end-to-end-krypterad kommunikation.

Rikspolischef Petra Lundh stämmer nu in i kören med regeringen, EU och Europol – och kräver att myndigheterna skall få tillgång till innehållet i totalsträckskrypterade (E2EE) elektroniska meddelanden.

Vi får dock inte veta hur.

Hur har hon tänkt sig att skapa bakdörrar som inte kan utnyttjas av kriminella och främmande makt?

Hur har hon tänkt bereda sig tillgång till E2E-krypterad kommunikation utan att riskera alla användares säkerhet? I hela världen!

Hur har hon tänkt sig lösa situationen för alla meddelande-apparnas användare i skurkstater – vars frihet, säkerhet och liv hänger på säker kommunikation?

Hur har hon tänkt tvinga meddelandetjänster utanför Sverige/EU att bryta sina kunders kryptering?

Polisen har redan tillgång till andra verktyg (hemlig dataavläsning) för att spana på folk som är misstänkta för brott. (Spionprogram på telefonen / datorn som noterar allt som sker.) Detta gäller även om misstanken om brott inte är konkret, i vissa fall.

Men om man bryter den grundläggande mänskliga rätten till privatliv och privat korrespondens, då kan den vara borta för alltid.

I samma inslag (TV4) verkar det dock som att problemet med att kringgå säker kommunikation kan ha sjunkit in hos justitieminister Gunnar Strömmer (M):

»[Krypterade meddelanden] har skapat väldigt stora problem för brottsbekämpningen. Å andra sidan finns det frågor om informationssäkerhet när det gäller den här typen av kanaler som också måste lösas. Vi arbetar med de frågorna nu, jag får återkomma om hur vi ser på vägen framåt, säger Strömmer.«

Det skall bli oerhört intressant att se hur sådana lösningar är tänkta att se ut. Det mesta talar för att detta är ett olösligt problem. Om man inte är beredd att offra säkerheten för användare av totalsträckskrypterade appar i hela världen, vill säga.

Politikens krypskytte mot krypterad kommunikation har pågått i årtionden. Väldigt lite nytt har tillförts i debatten under den tiden. Positionerna är till synes låsta.

Läs mer:
• Polisen vill få tillgång till kriminellas krypterade chattar
Så vill EU och regeringen få tillgång till innehållet i dina meddelanden
• Joint Letter on Swedish Data Storage and Access to Electronic Information Legislation »
• ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden »
• Chat Control 2 – en uppdatering »
• Stoppa regeringens bakdörrs-lag! »
• Regeringens kryptoproblem »
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »
• Striden om kryptering tar ny fart »

CC0

Den som är oskyldig har allt att frukta

av

»Den som är oskyldig har inget att frukta« är ett väldigt dåligt argument för mer övervakning.

För det första är det inte du som har att bedöma om du har »rent mjöl i påsen«.

Det kommer att göras av algoritmer som söker mönster och samband som kan leda till att helt och hållet oskyldiga människor utsätts för statens närgångna granskning.

För det andra handlar det inte bara om dig. Säker och totalsträckskrypterad kommunikation är livsviktig för oppositionella och dissidenter i skurkstater.

Bakdörrar till dessa meddelanden (som regeringen nu vill införa) kommer även att drabba medias visselblåsare och människors kommunikation med till exempel jurister, själasörjare och läkare – i hela världen.

För det tredje är individens rätt till privatliv och privat korrespondens en grundläggande mänsklig rättighet.

Dessa rättigheters funktion är att skydda individen mot övergrepp från staten. Därför är det oroväckande när staten vill inskränka dem.

EU-domstolen har fastställt en enkel, begriplig och klok princip: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

CC0

ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden

av

I ett nytt projekt prioriterar EU övervakning av medborgarnas elektroniska kommunikationer och åtkomst till krypterade meddelanden.

ProtectEU – a European Internal Security Strategy är namnet på EU:s nya säkerhetssatsning. Centrala delar är ny datalagring och åtkomst till totalsträckskrypterade meddelanden. I kringsnacket nämns även att man vill komma till skott med Chat Control 2.

Inre säkerhet har utnämnts till ett av den nya EU-kommissionens prioriterade områden. Vilket är ett gränsområde då nationell säkerhet egentligen inte faller inom EU:s kompetens, utan ligger hos medlemsstaterna.

Bland annat vill man utöka Europols mandat. Detta ovanpå polissamarbetets redan vidgade mandat, som bland annat ger myndigheten direkt tillgång till data hos privata aktörer.

Man vill också se ett nytt regelverk för datalagring – efter att EU-domstolen 2014 upphävde EU:s datalagringsdirektiv, då det stred mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

Trots domstolens beslut fortsätter många länder sin lagring av metadata om medborgarnas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m. Däribland Sverige.

Den svenska regeringen vill till och med utöka datalagringen till att gälla alla meddelande-appar. Dessutom vill man att apparnas operatörer skall vara skyldiga att överlämna information om innehållet i användares meddelanden till myndigheterna i läsbar (det vill säga av-krypterad) form.

Vilket för oss till att en central punkt i ProtectEU är »lawful access to data«. Vilket är ett annat sätt att säga att man vill komma åt innehållet i totalsträckskrypterade meddelanden. Detta har redan förberetts inom ramen för EU:s projekt Going Dark [ länk 1 | länk 2 ].

Kopplingen till Chat Control 2 (granskning av innehållet i alla användares meddelanden) är tydlig. Det blir allt mer uppenbart att det förslaget mer handlar om övervakning än om att skydda barn mot övergrepp.

Utöver ny datalagring vill Going Dark-gruppen även se EU-licensiering av meddelande-appar och inflytande över branschens produktprotokoll och tekniska arkitektur. Man önskar sig också client-side-scanning, det vill säga spionprogram på medborgarnas telefoner och datorer. På önskelistan finns även övervakning av uppkopplade bilar. Kraven skall även gälla operatörer utanför EU, hur nu det är tänkt att gå till.

Detta är sådant som kan komma att rymmas inom Europols utökade mandat, i syfte att förvandla polissamarbetet till mer av en operativ myndighet.

Vi följer utvecklingen.

Länkar:
• Commission unveils ProtectEU – a new European Internal Security Strategy »
• ProtectEU: the European Internal Security Strategy »
• Factsheet: ProtectEU – A new European Internal Security Strategy »

Relaterat:
• Stoppa regeringens bakdörrs-lag! »
• Going Dark – så vill EU komma åt dina meddelanden och din data »
• Going dark – EU:s krig mot krypterad kommunikation »

CC0

Politikerna begriper inte vad de sysslar med

av

Våra politiker fattar beslut om saker som de inte begriper, som får orimliga konsekvenser och som är direkt farliga. Och de vägrar ta debatten.

Politikerna begriper inte vad de sysslar med. De lägger ständigt förslag som är tokiga i sak och som får oönskade, orimliga konsekvenser. Inte minst vad gäller internet.

Detta är frustrerande, skrämmande och farligt. Speciellt när nämnda politiker vägrar ta diskussionen i sak, då verklighet och fakta inte går ihop med deras politiska mål och idéer.

Vi har sett det vad gäller EU:s Chat Control 2. Förra EU-kommissionären Ylva Johansson var övertygad om att man kan inspektera innehållet i totalsträckskrypterade meddelanden utan att bryta krypteringen.

»Som en knarkhund« menade hon att det fungerar. I just det fallet lurades hon faktiskt in i en diskussion med någon som begriper frågan. Det gick inte så bra för henne i denna nu klassiska debatt. Se videon nedan.

Ett annat exempel är den svenska regeringens förslag om bakdörrar till meddelandetjänster som Signal. Där verkar politikerna ha lärt sig att hålla sig till sina inövade talepunkter och undvika all form av debatt.

Hur skall de annars kunna stå emot den massiva kritik som framförts mot förslaget från tungviktare som till exempel Försvarsmakten, Netnod och Internetstiftelsen?

Man vill ha igenom sitt förslag om bakdörrar till varje pris. Även om det priset är urholkad säkerhet för användare över hela världen.

Även om det drabbar allt från privatpersoner och företag till myndigheter, media, militären, människorättsaktivister, akademia, finansföretag, rättsväsende och många andra.

Även om det ger skurkstater möjlighet att förtrycka sina folk och förfölja oppositionella. Våra politiker väljer att medvetet blunda för de problem de själva är på väg att skapa.

Idealet vore en sokratisk dialog där man uttömmer alla aspekter innan man går vidare. Men så kommer det knappast att bli. Det har vi inte tid med, som en före detta svensk justitieminister uttryckte saken.

Istället rusar vi in i en övervaknings- och kontrollstat som begränsar internets frihet – utan debatt och konsekvensanalys. Detta är ett påtagligt och allvarligt problem. Men få tycks bry sig.

CC0

Och nu: Automatiserad ansiktsigenkänning i realtid

av

Regeringen föreslår att den utökade kameraövervakningen skall kopplas till AI-stödd automatiserad ansiktsigenkänning i realtid.

I en promemoria som nu går på remiss föreslår regeringen att polisen skall få möjlighet att använda AI-system för ansiktsigenkänning i realtid för att bekämpa brott.

I sitt pressmeddelande anger regeringen ett antal exempel på när detta skulle kunna komma till nytta. Och visst kan det vara så.

Problemet är att allt kan motiveras. Kameraövervakning av alla rum i alla bostäder skulle lösa och förhindra många brott.

Enligt EU:s AI Act är automatiserad ansiktsigenkänning på allmän plats förbjuden. Med undantag för de rättsvårdande myndigheterna. Och då med begränsningar.

I sin promemoria maxar regeringen hur långt den får gå för EU. Vilket ger en rätt omfattande katalog över tillåtna användningsområden.

Samtidigt har regeringen givit grönt ljus till en kraftig utbyggnad av antalet övervakningskameror i vårt samhälle. Vilka kommer att användas för nämnda ansiktsigenkänning.

Ett problem med automatiserad ansiktsigenkänning med kameraövervakning i realtid är att alla granskas och får sina ansikten matchade mot aktuell sökdata – därmed utsätts alla för en form av integritetskränkning.

En mindre filosofisk invändning är att man skapar ett system som riskerar att växa till att en dag kunna kontrollera var alla medborgare befinner sig. Vilket är frestande lätt att missbruka.

Övervakningslagar utökas alltid med tiden, vad gäller syfte och omfattning.

Och det finns många andra problem med automatiserad ansiktsigenkänning. Systemet flaggar till exempel ofta fel personer, speciellt vad gäller icke-europeisk etnicitet. Även falska flaggningar kan få påtagliga negativa konsekvenser för den enskilde.

Detta är ännu ett steg mot den totala övervakningsstaten.

• Regeringen: AI för ansiktsigenkänning i realtid – ett nytt effektivt verktyg för polisen »

CC0

Stoppa regeringens bakdörrs-lag!

av

Mot bättre vetande är regeringen på väg att göra våra elektroniska kommunikationer sårbara för kriminella och främmande makt.

Den geopolitiska situationen gör alla som redan fruktar brottsligheten ännu oroligare. Vilket kommer att användas av myndigheterna för att sänka ribban för mer övervakning. Never Waste a Good Crisis.

Just nu står striden om rätten att kunna kommunicera elektroniskt med säker kryptering.

Regeringen vill att alla meddelandetjänster skall kunna tvingas överlämna information om innehållet i sina användares kommunikationer – i läsbar form, det vill säga okryperad.

Men om man öppnar bakdörrar till vår totalsträckskrypterade (E2EE) korrespondens, då kan de användas av alla som hittar eller får kännedom om dem. Kriminella. Främmande makt. En ny attackvektor.

Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte. Det finns inga mellanlägen – även om regeringen tror det.

Men är det ändå inte bra att man kan komma åt vad alla skriver och skickar till varandra nu när tiderna är så oroliga?

Försvarsmakten säger nej till regeringens förslag. Och den bör ju veta. Försvaret rekommenderar även sin personal att använda totalsträckskrypterade meddelande- och samtalstjänster som Signal.

Så skall vi låta skurkarna komma undan? Nej. Istället skall vi göra som EU-domstolen säger. Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Med hemlig dataavläsning får polisen redan installera spionprogram på misstänktas telefoner, datorer, plattor, spelkonsoler med mera. Sedan får man tillgång till allt på enheten och kan läsa alla former av krypterade meddelanden innan de krypteras och sänds, medan de skrivs. Eller efter att de mottagits och av-krypterats. Även kamera och mikrofon kan användas för övervakning.

Det gäller alltså människor som är misstänkta för brott. Inte alla andra. Som det rimligen bör vara.

I oroliga tider är det viktigare än någonsin att vi kan lita på säkra elektroniska kommunikationer. Om vi fruktar att andra vill skada oss – då skall vi inte ge dem en bakdörr till våra digitala liv.

Slutligen, Europakonventionen om de mänskliga rättigheterna säger följande om rätten till privatliv:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

• Läs även Emanuel Karlsten: Regeringen vill införa bakdörrslag – kommer omöjliggöra privata samtal för svenskar »

CC=0