Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Google svävar på målet om säkerhet i molnet

av

Kan man lita på att amerikanska molntjänster inte delar din data med myndigheterna? Svaret är nej. Använder du dem bör allt viktigt vara egenhändigt krypterat.

Ny Teknik rapporterar om ett panelsamtal hos Bahnhof om vem som har makten och kontrollen över data som lagras i molnet. Rekommenderad läsning.

Kärnfrågan är om svensk data som är lagrad hos till exempel Google kan lämnas ut till amerikanska myndigheter under CLOUD Act och liknande lagar.

»Lagen, som antogs i USA 2018, ger FBI och andra brottsbekämpande myndigheter rätten att begära ut data från tech- och molntjänstleverantörer – oavsett var dessa efterfrågade data är placerade i världen.«

Googles samhällspolitiska chef i Sverige, Irene Ek, säger att Google Cloud står fast vid sina kunder och bestrider den här typen av utlämningskrav så långt de kan juridiskt. Men sedan?

» – Det rör sig om rent hypotetiska fall. Men i så fall säger vi till kunden att vi vill ha tillgång till deras data, men samtidigt inte kan berätta varför (…). Kunden kan då vägra att lämna ut den till oss.«

Vilket då rimligen bygger på att datan är krypterad och att endast kunden har krypteringsnyckeln.

Men krypterad data kan de knappast vägra att lämna ut, även om myndigheterna kanske inte kommer åt innehållet i läsbar form.

Således bör slutsatsen vara: Lagra bara egenhändigt krypterad information i amerikanska molntjänster. Eller molntjänster i allmänhet.

• Ny Teknik: Frågan om USA-moln som Google inte vill svara på – ”Full transparens” »

CC0

EU:s åldersapp strider mot EU:s egna regler

av

EU:s egna regler om konkurrens och den inre marknaden kan sätta stopp för den app för åldersverifiering som nu lanseras. Den kan även strida mot unionens Digital Markets Act.

På veckans internationella konferens om säkerhet för minderåriga online upprepade EU-kommissionens ordförande Ursula von der Leyen sitt budskap från när hon lanserade unionens nya app för ålderskontroll…

»Finally, any age restriction model depends on reliable age verification. And here, we have good news: We have developed an age verification app that will soon be available, and it ticks all the boxes the highest privacy standards in the world, it works on any device, it is easy to use and it is fully open source. Here in Denmark, it will be rolled out by summer. It is built on the success of our European COVID App; you might recall that one.«

Det där är helt enkelt inte sant. EU:s nuvarande lösning för åldersverifikation (»mini-wallet«) fungerar i praktiken bara på Apples iOS och de distributioner av Android som finns inom Googles ekosystem. Det innebär att alternativa Android-distributioner som LineageOS, GrapheneOS och /e/OS riskerar att exkluderas i den nuvarande designen.

Att vissa OS stängs ute kan vara ett brott mot EU:s egna regler om den inre marknaden. Det kan bli väldigt intressant om någon driver saken i domstol. Bland annat har EU långtgående regler för teknikneutralitet.

Om vissa produkter eller operativsystem i praktiken inte kan använda centrala samhällsfunktioner eller får sämre tillgång till nätplattformar, då kan man argumentera för att marknaden snedvrids. Särskilt om dessa är lagliga i EU.

Konkurrensrätten kan därmed bli relevant, om en dominerande aktör gynnas genom att EU‑lösningen knyts till dess infrastruktur, speciellt om det tränger undan alternativa system.

Samtidigt som man nu lägger kontrollen över åldersverifieringen i Apples och Googles händer, vill EU:s Digital Markets Act motverka att stora IT-företag agerar grindvakter. Syftet är att stärka interoperabiliteten, stimulera öppna ekosystem och minska beroendet av Apple och Google. Hur detta är tänkt att gå ihop med den nya EU-appen är oklart.

Någon lösning för stationära datorer och laptops finns inte. Där kommer du förmodligen att få upp en QR-kod som du sedan måste skanna med appen i mobiltelefonen. Vilket alltså kräver att du har en kompatibel mobiltelefon för att kunna använda sociala medier med mera på din dator.

Här riskerar EU-kommissionen att snärja in sig i sina egna regelverk. Det är som att den ena handen inte vet vad den andra gör.

Sammanfattningsvis: Om lösningen i praktiken utestänger vissa operativsystem, ökar beroendet av två amerikanska gatekeepers, kräver vissa typer av mobiltelefon, försvårar anonymitet och påverkar öppen interoperabilitet – då kan proportionalitetsfrågan bli väldigt relevant.

Min bedömning är att EU:s modell för åldersverifiering — i sin nuvarande form — kommer att falla om den prövas av EU-domstolen.

Relaterat:
• EU lägger förslag om åldersgränser online i sommar »

CC0

Åldersgränser för sociala medier – EU mot verkligheten

av

EU:s åldersverifiering för sociala medier och eventuella begränsningar av VPN är som en tågolycka i slow motion. Som vanligt begriper politikerna och deras funktionärer inte vad de sysslar med.

Den app EU har tagit fram för att upprätthålla nationella åldersgränser för sociala medier har uppenbara problem. Inte nog med att den hackades så snart den presenterades. Den kommer inte att fungera på alla operativsystem.

IT-säkerhetsexperten Karl Emil Nikka har konstaterat att denna app bara fungerar på iOS (iPhone) och varianter av Android som är inom Googles ekosystem (vilket utesluter en rad Android-telefoner). Något stöd för Windows, macOS eller Linux finns inte. Detta har Nikka nu dubbelkollat (se videon nedan) och fått bekräftat av EU-kommissionen.

Ändå stod kommissionens ordförande Ursula von der Leyen och hävdade att appen fungerar på alla operativsystem. Och ändå stod kommissionär Henna Virkkunen och krävde att medlemsstaterna börjar använda den så snart som möjligt. Detta är direkt verklighetsfrånvänt.

Vad gäller något slags åtgärder mot VPN för att upprätthålla de eventuella åldersgränserna är förvirringen ännu större.

EU har identifierat något som man upplever som ett problem: att unga kan ta sig förbi en åldersgräns för sociala medier. Med skygglappar mot alla andra aspekter av frågan vill man därför införa åldersgränser (eller värre) för VPN. Det är som att kasta in en bomb i något mycket större – nämligen vår grundläggande IT-säkerhet.

Att man inte begriper vad man sysslar med är ingen ursäkt. Detta är allmänfarligt.

Möjligen börjar problembilden sjunka in hos vissa EU-tjänstemän. Kommissionens chef för avdelningen för skydd av minderåriga uttrycker sig svävande i Politico.

»If you read the political debate … some form of ban” is coming, the European Commission’s digital department’s head of minors protection, Martin Harris-Hess, said at POLITICO’s AI & Tech Week in Brussels. But the EU’s efforts must extend beyond a simple “binary yes or no ban” and instead focus on making the online space safer for all minors. (…) While saying that legally, an EU-wide ban is a possibility, Harris-Hess rejected the word “ban” as “emotionally laden” and said measures would face “practical difficulties,” as evidenced in Australia.«

Vilket är EU-lingo för att frågan kanske är mer komplicerad än man först föreställde sig och att man vill justera narrativet.

Men alla i Politicos panel håller inte med…

»Sonia Livingstone — a professor at the London School of Economics and Political Science who is leading the Commission’s panel of experts — came out strongly against a blanket ban on the panel, telling POLITICO that age restrictions are not easy to define or implement.

“The ban sounds simple, and it isn’t,” she said. “What will we ban? Which services? How will we ban them? What will we provide for children when we have banned them? How will we even know if we have banned them? And what about the children who find the workarounds? Aren’t they even more at risk? So it’s not the simple route,” Livingstone said.«

Till detta skall man lägga att flera av EU:s medlemsstater har förklarat att de inte vill använda EU-appen för åldersverifiering, utan att de tänker hitta på egna lösningar.

Långsamt håller frågan på att drabbas av ett klassiskt EU-problem: Först beslutar man. Sedan tar man reda på fakta. Först därefter kommer debatten, trots att det inte saknats varnande röster under processen.

För mer om detta se Bli Säker-podden nedan.

• Politico: EU must go beyond ‘binary yes or no ban’ on social media, top official says »

Relaterat:
• Kommer EU att förbjuda VPN-tjänster? »
• Flopp för Australiens åldersgräns för sociala medier »

CC0

Kommer EU att förbjuda VPN-tjänster?

av

EU svävar på målet om VPN i relation till ålderskontroller online. Därför kan det vara en god idé att skaffa en stabil och pålitlig VPN-tjänst redan nu.

I samband med att EU-kommissionen bad medlemsstaterna att snabba på med att rulla ut den nya appen för åldersverifiering online kom frågan upp om VPN som ett sätt att kringgå sådan.

EU-kommissionär Henna Virkkunen (med ansvar för tekniksuveränitet, säkerhet och demokrati) gav ett svävande svar på sin presskonferens. Enkelt uttryckt noterade hon att VPN-tjänster kan användas för att kringgå ålderskontroller och att man kommer att titta på vad som kan göras åt saken.

»VPN… must not allow the system to be circumvented.«

Vilket är oroväckande. Det handlar inte bara om att upprätthålla åldersgränser för vissa nätplattformar. VPN-tjänster är även ett hinder för EU:s planer på utökad datalagring.

Några konkreta planer verkar dock inte finnas – ännu. Men ett förslag är åldersgränser (ID-koll) även för VPN. I vissa amerikanska delstater måste man nu mata in användarens födelsedatum i telefonens setup-process. I Frankrike vill man hindra VPN-tjänster från att marknadsföra sig med argumentet att de kan användas för att gå runt åldersgränser.

Samtidigt är EU:s institutioner någorlunda på det klara med att VPN-tjänster är viktiga. För näringslivet och myndigheter är de nödvändiga för säker intern och extern kommunikation. För privatpersoner skyddar en VPN mot tracking från operatörer, Big Data, annonsörer och kriminella. Tjänsterna skyddar känslig kommunikation för bland andra media, advokater och läkare. För oppositionella i skurkstater kan en VPN vara skillnaden mellan liv och död. Och ingen bör koppla upp sig på ett publikt Wi‑Fi-nät utan att skydda sin kommunikation med VPN. Det gäller även för minderåriga.

Vidare är det inte raketforskning att sätta upp en egen VPN om det skulle knipa. Även om en färdig tjänst är betydligt smidigare för de flesta.

Frågan om ett förbud eller en åldersgräns för VPN diskuteras uppenbarligen på EU-nivå. Men några konkreta förslag verkar som sagt inte finnas. Det hindrar dock inte att något mer eller mindre genomtänkt förslag kan dyka upp med kort varsel. (Som vanligt.)

Det enkla rådet är: Skaffa en VPN-tjänst i tid. Så att du har ett abonnemang ifall den digitala järnridån plötsligt sänks ner.

CC0

Ett Europa. En app.

av

EU:s digitala plånbok kommer att göra livet enklare. Till priset av internets frihet och vår integritet.

På bara någon vecka har EU-kommissionen lanserat sin app för ålderskontroll som vi kommer att behöva för att checka in på sociala medier; fått appen hackad; utfärdat ett påbud om att det nu är hög tid för medlemsstaterna att rulla ut appen; samt fått besked från flera länder om att de hellre använder egna appar. Eller ingen alls.

Till att börja med har det ännu inte sjunkit in i det kollektiva medvetandet att man kommer att behöva en app för att logga in på Facebook. Men eftersom det knappast går att tvinga alla att använda nämnda app kommer det rimligen också att finnas alternativ som att visa sitt ID-kort (uppgifter som sedan kan läcka och användas lite hur som helst).

Det är lätt att göra tankefelet att åldersgränser för sociala medier bara berör minderåriga. Om man skall kontrollera att en användare har åldern inne – då måste man kolla alla.

Där någonstans kommer många äldre att försvinna från Facebook och därmed tappa kontakten med sina nätverk. De kommer helt enkelt att tycka att det har blivit för krångligt. Många andra kommer också att lämna eftersom de inte tycker det är mödan värt eller principiellt acceptabelt med ID-kontroller på nätet.

Men detta är bara en föraning om vad som är på väg.

Appen för åldersverifikation kommer inom kort att gå upp i EU:s nya digitala plånbok, med vilken du kommer att få blippa dig fram genom samhället.

Tekniken är i princip klar. EU tar fram en »white label«-app som sedan inom vissa ramar kommer att anpassas till respektive land.

I december börjar polisen utfärda ett nytt ID-kort som i sin tur kommer att kunna användas i relation till den nya digitala plånboken. Vilket möjligen kan bli en flaskhals om alla plötsligt kommer på att de måste ha ett nytt fysiskt ID-kort för att kunna göra saker på nätet.

Med EU-plånboken måste man alltså gå till polisen för att skaffa ett speciellt ID-kort, för att kunna använda en app, för att få lov att använda sociala medier. Har vi blivit alldeles kinesiska?

EU:s digitala plånbok skall inte bara användas för att bekräfta identitet och digital signatur. Körkort, licenser, kundkort, kreditkort, passerkort, flygbiljetter, kreditvärdighet, examensbevis, vaccinationsintyg, europeiskt sjukförsäkringskort, digital valuta… Allt som tänkas kan i en app. Ett Europa, en app.

Folk kommer att älska det. Liksom de kriminella, främmande makt, underrättelseorganen och andra som kan utnyttja systemets svagheter. Bekvämlighet är privatlivets och säkerhetens fiende.

Vad kan möjligen gå fel? Nämnde jag att EU även har planer på ett gemensamt system för sjukjournaler? Som förmodligen också kommer att kopplas till din digitala plånbok.

För oss svenskar som vant oss vid BankID känns det kanske inte så dramatiskt. Men för stora delar av Europa kommer detta att bli en kulturrevolution. Mycket kommer att bli enklare, snabbare och bättre. Men till priset av internets frihet och individens integritet.

Vi ger myndigheterna en möjlighet att kontrollera eller rent av stänga ner oss. Computer says no. Du har slut på klimatkrediter. Du har tyckt något olämpligt. Dina inköpsvanor flaggar din livsstil för Folkhälsomyndigheten. Du har tagit ut för mycket kontanter. Du har dragit på dig någon myndighets vrede. Ditt beteende är inte i linje med flertalets vilja eller kollektivets behov. Alternativt en auktoritär regims godtycke. Kineserna gör det redan.

One App to Rule Them All. A single point of failure. Är vi verkligen säkra på att vi har tänkt igenom det här?

• Relaterat: Epicenter – Five problems the Commission must fix in the EU Wallet (5 mars 2026) »

CC0

Österrike: Så kapar brottslingar folks digitala ID

av

I Österrike använder cyberbrottslingar nu landets digitala ID Austria för bedrägeriförsök.

Till skillnad från Sverige är Österrikes digitala ID (ID Austria) statligt, även om driften är utlagd på ett privat företag.

Man skaffar det genom en omständig process som innefattar såväl online-registrering som ett fysiskt besök hos den ansvariga myndigheten. Därefter kan appen aktiveras med en PIN-kod.

Det problem som har uppstått är (bland annat) när ID Austria löper ut ut och skall förlängas. Det sker vart femte år. Vilket i år gäller för ungefär 300.000 medborgare.

Förnyelsen kan ske digitalt och måste genomföras innan certifikatet löper ut. (Annars får man börja om från början.)

Österrikisk polis och media meddelar att bedragare nu sänder ut massor med SMS, mail och meddelanden om att det är dags att förnya sitt ID Austria – för att locka användare att lämna ifrån sig sina personuppgifter på bluffsidor

Eftersom detta är första gången landets digitala ID (i denna form) behöver förnyas är användarna inte bekanta med processen och faller därför lättare för bedragarnas nätfiske. Speciellt som folk ofta klickar snabbare än de tänker.

Det har bland annat lett till kapade konton, ekonomiska bedrägerier och identitetsmissbruk.

Nya system skapar nya attackvinklar.

(Liknande bedrägeriförsök har riktats mot svenska BankID, men inte i samma omfattning som i Österrike. Kanske beroende på att de flesta svenskar är medvetna om att förlängning sker inifrån respektive banks app.)

EU lanserar app för åldersverifikation

av

Du kommer att behöva en app från EU för att få använda sociala medier.

På onsdagen meddelade EU-kommissionen att dess app för åldersverifikation nu är live. Vilket sammanfaller väl i tiden med allt högljuddare krav på åldersgränser för sociala medier och Chat Control 2:s krav på allmän ålderskontroll i app-stores.

Denna app (»mini wallet«) används redan på försök i Frankrike, Spanien, Italien, Danmark och Grekland. Och den kommer så småningom att gå upp i EU:s nya allmänna digitala plånbok. Den kräver en mobiltelefon med Apples eller Googles operativsystem (inga andra varianter av Android).

Men låt oss börja med det positiva: EU:s åldersapp och sedan även EU:s digitala plånbok kommer att kunna bekräfta en användares ålder utan att lämna ut annan persondata eller biometrisk data. Du behöver bara identifiera dig en gång, när du sätter upp appen.

Det är betydligt bättre än i andra länder där plattformar och webplatser ofta har använt tredjepartsleverantörer för ålderskontroll, som samlat in kopior av ID-handlingar och biometrisk data. Tredjepartsleverantörer som i vissa fall visat sig vara oseriösa och ha kopplingar till ljusskygg verksamhet.

Allt förklaras utförligt och pedagogiskt av IT-säkerhetsexperten Karl Emil Nikka i videon nedan. Spoiler: Appen är inte helt vansinnig. Men den kommer inte att fungera i praktiken. (Det var i vart fall läget i oktober.)

Till att börja med kommer alla – oavsett ålder – som vill ha tillträde till webbsidor som till exempel sociala medier att behöva appen. Vilket kan få en del orimliga konsekvenser.

Så det kommer förmodligen att finnas alternativ som ID-skanning och biometrisk analys. Och då får vi genast samma problem med persondata som är i omlopp, som i andra länder som har infört ålderskontroller.

Om man ser på vad som är på väg genom EU:s beslutsapparat just nu så lär ålderskontroller komma att få ett bredare användningsområde än »bara« sociala medier. Med GDPR, DSA och Chat Control 2 finns nu laglig grund för medlemsstaterna att begränsa tillgången till allt som på något sätt kan uppfattas som olämpligt för minderåriga i respektive land.

Som det blev med Online Safety Act i Storbritannien, där det nu tillämpas en totalt överdriven åldersverifiering för allt möjligt. (Samtidigt som den brittiska ungdomen går runt hela systemet med VPN.)

Vi skall gå igenom EU:s digitala plånbok i ett inlägg inom kort – men hela frågan om ett digitalt ID där man måste blippa sig fram genom tillvaron och där allt man gör måste godkännas av maskiner känns en smula dystopisk.

På tal om dystopi vill jag uppmärksamma en passus i EU-kommissionsordförande von der Leyens tal när hon idag presenterade ålders-appen.

»[T]he Commission developed the COVID app in record time – three months –, to help bring us back to normal life, in a safe way. With a scan of our COVID certificates, we could go to a concert or board a plane to travel again, etcetera. (…) And now we have taken this success and applied it to the age verification app. It follows the same principles, the same model.«

För oss som bor på kontinenten och fick uppleva en skarp lockdown med app känns exemplet inte överdrivet lockande.

Men von der Leyen hade även goda saker att säga om hur ungdomar kan använda internet. Som att hålla kontakt med släkt och vänner. På vilket sätt det är kompatibelt med att stänga av alla ungdomar från Facebook framgick dock inte.

Potentialen för oförutsedda och oönskade konsekvenser är betydande.

• Statement by President von der Leyen on the digital age verification app »
• Statement by Executive Vice-President Virkkunen on the digital age verification app »

I videon nedan förklarar Karl Emil Nikka hur EU:s app för åldersverifikation är tänkt att fungera (oktober 2025):

von der Leyens och Virkkunens presentation av ålders-appen:

CC0

På vems sida står Meta?

av

Meta tar bort totalsträckskryptering, ber politiker om mer reglering och bedriver en lobbykampanj för åldersverifiering i alla våra enheters operativsystem.

För inte så länge sedan var nyheten att Meta (Facebook/Messenger, Instagram & WhatsApp) rullade ut totalsträckskryptering (E2EE) för de användare som ville ha sådan.

Nu är nyheten att Instagram drar tillbaka möjligheten till totalsträckskryptering i sina direktmeddelanden.

Sett som en isolerad företeelse är detta märkligt. Den officiella förklaringen är att så få använde totalsträckskrypteringen.

Samtidigt känns det mer som att man anpassar sig till en ständigt expanderande övervakningsstat och dess krav på att få ta del av innehållet i medborgarnas elektroniska kommunikationer.

Men, som datasäkerhetsexperten Karl Emil Nikka påpekar borde användare inte behöva aktivera totalsträckskryptering över huvud taget. Det borde vara påslaget som standard. Vilket också var Metas ambition och linje för bara ett par år sedan.

Detta är inte Metas enda policyförändring. På senare år har koncernen drivit linjen om lagstiftning kring åldersgränser och annan reglering av sociala medier. Vilket är en lobbykampanj som nu börjar bära frukt i många olika länder samtidigt – trots att det är en usel och farlig idé som sågas av över 400 ledande forskare.

Meta har också bedrivit lobbying för linjen att man skall bygga in funktioner för åldersverifiering i telefonernas och datorernas operativsystem. Vilket i fallet med open source-system som Linux är omöjligt (även om enskilda distributioner kanske faller till föga).

Även detta börjar nu bli verklighet, med början i vissa amerikanska delstater.

Tar man ett steg tillbaka och betraktar helheten känns det uppenbart att Meta vill lägga mer ansvar på lagstiftning och mindre på sig själva. Vilket kanske kan vara rationellt ur deras perspektiv. Men förödande för ett fritt och öppet internet.

Det tycks som att Meta inte står på användarnas sida – trots att dessa användare (och deras data) är företagets största tillgång.

Relaterat:
• Nikka Systems: Meta slutar stödja säkra Instagram-meddelanden »
• Politiken struntar i forskarnas varningar – kräver åldersgränser för sociala medier »

EU öppnar svenska servrar för utländska åklagare

av

Utländska myndigheter kan nu få ut användardata från svenska nätoperatörer, plattformar och servrar – även om det rör utredning av sådant som inte är brottsligt i Sverige. Och utan vår kännedom.

Nu införlivas EU:s förordning om eBevis i svensk lag. Våra myndigheter skall kunna begära ut data direkt från operatörer i andra EU-länder.

Och myndigheter (oftast åklagare) i andra EU-länder kommer att kunna begära ut data direkt från svenska nätoperatörer, hostingföretag, plattformar med mera. Även om det rör utredning av sådant som inte är brottsligt i Sverige.

Om ett företag vägrar kan det bötfällas med ett belopp upp till två procent av sin globala omsättning.

Detta sker utan att svenska myndigheter behöver informeras. Vilket gäller abonnentuppgifter och tillgångsdata som IP-adresser.

Handlar det om trafikdata, innehåll eller en person som finns i landet måste begäran gå via åklagare. Detta sker genom en European production order.

Åklagaren kan invända mot eller stoppa en sådan order om den bryter mot till exempel grundläggande rättigheter, inkräktar på eventuell immunitet, rör nationell säkerhet eller yttrandefrihetsbrott som inte är brott i Sverige.

Samtidigt tycks abonnentuppgifter och tillgångsdata kunna lämnas ut ändå, även om det rör de undantag som nämns i stycket ovan. Helt enkelt på grund av att den typen av data nu kommer att lämnas ut direkt, utan svenska myndigheters kännedom.

Detta är uppgifter som i sig kan vara tillräckliga för att klämma åt människor som till exempel kan anses ha brutit mot de tyska förolämpningslagarna, motverkat det maltesiska abortförbudet eller uttalat sig i strid med allehanda nationella hat- och hetslagar.

Just risken för att de nya reglerna kan användas för att jaga människor som framfört oönskade åsikter lyftes fram flera gånger under behandlingen av eBevis-direktivet.

Även tidigare har data kunnat lämnas ut för brottsutredningar, men då med en europeisk utredningsorder (EIO) som alltid gått genom svenska myndigheter. Vilket visserligen inte är lika snabbt och enkelt, men känns mer rättssäkert.

I samband med att eBevis-förordningen antogs sommaren 2023 skrev vi…

»I EU råder ett ömsesidigt erkännande av att man litar på att alla medlemsstater och deras myndigheter fattar rättssäkra beslut som respekterar de mänskliga rättigheterna.

I verkligheten vet vi att de rättsvårdande myndigheterna i vissa länder har problem med korruption, infiltration och politiska påtryckningar. Och nu kan de begära ut data direkt från svenska servrar. Vad kan möjligen gå fel?«

Vilket är en varning som fortfarande är giltig.

• Regeringen: Effektivare gränsöverskridande inhämtning av elektroniska bevis (Prop. 2025/26:147) »

(Notera att detta inte är samma sak som de gränsöverskridande nedtagningsorder som åklagare kan utfärda för information på svenska servrar, även om den inte är olaglig här. Det är en konsekvens av EU:s Digital Services Act, DSA.)

CC0

UK: Åldersgräns för VPN, del 2

av

Den brittiska idén om en åldersgräns för VPN kommer att innebära ID-krav för alla landets VPN-användare. Plus speciella operativsystem för alla mobiltelefoner med Apples och Androids operativsystem i Storbritannien.

I veckan skrev vi om hur Storbritannien är på väg att införa en åldersgräns för VPN – för att hindra minderåriga från att kringgå de nya åldersgränserna för sociala medier och andra webplatser som kan tänkas innehålla något som är olämpligt för barn.

Ju mer man tänker på saken, desto värre blir det. Vilket är relevant även för oss – då det bara är en tidsfråga innan vi får samma debatt i EU.

Till att börja med måste man vara klar över att åldersgränser för minderåriga innebär ID-krav för alla som vill använda VPN. Vilket öppnar nya riskvektorer.

Sedan bör det påpekas att VPN-användning inte främst är ett verktyg för att kringgå brittiska åldersgränser – utan ett verktyg för någorlunda säker kommunikation. Att inte låta brittiska tonåringar skydda sig mot angrepp på öppna nätverk är fullständigt befängt.

I ett arbetsdokument skriver den brittiska regeringen att man gör detta för att undvika att utsätta minderåriga för risker online… Man skriver även att VPN underminerar barns säkerhet online. Det är en problemformulering som förtjänar att ifrågasättas.

Den utmärkta Bli Säker-podden från Nikka Systems (nedan) lyfter en annan intressant aspekt: Både Apple och Google har VPN-klienter inbyggda i sina respektive operativsystem.

Skall man nu tvingas skeppa operativsystemsversioner utan detta skydd, för Apple- och Android-telefoner i Storbritannien? Det skulle ju i så fall göra alla brittiska användare – inklusive företag, myndigheter, journalister med flera – sårbara för illasinnade aktörer.

Har man verkligen tänkt igenom det här?

Se mer i Bli Säker-podden nedan. Vi hoppar direkt till rätt ställe i videon (28:01). Och se även vår förra bloggpost på samma tema: UK: Åldersgräns för VPN »

CC0