Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Undantagstillstånd i den svenska övervakningsstaten

av

Regeringen föreslår att Säpo skall kunna införa »nationell säkerhetslagring« av svenska folkets elektroniska fotspår – inklusive metadata om våra meddelanden – i upp till två år.

Enligt regeringens utkast till lagrådsremissDatalagring och tillgång till elektronisk information – skall Säpo på eget bevåg kunna proklamera nationell säkerhetslagring.

Inom ramen för denna skall alla tele- och internetoperatörer samt meddelandetjänster samla in och lagra följande uppgifter.

6.5 »Beslutet ska få omfatta uppgifter om abonnemang, trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter och som rör användare som är fysiska personer eller abonnenter. Uppgifterna ska vara nödvändiga för att spåra och identifiera kommunikationskällan och slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning, lokalisering av kommunikationsutrustning vid kommunikationen samt lokaliseringsuppgifter som inte är trafikuppgifter.«

Vilket som synes är mer än vad den redan existerande datalagringen (som för övrigt står i strid med EU-domstolens beslut om att upphäva EU:s datalagringsdirektiv) föreskriver.

Operatörerna oroas bland annat över att lokaliseringsuppgifter kommer att kräva orimliga lagringsvolymer med tillhörande kostnader.

Dessutom skall lagringsplikten vid nationell säkerhetslagring vara ett eller två år, till skillnad från den vanliga datalagringens huvudregel om sex månader.

Den nationella säkerhetslagringen skall kunna införas när Säkerhetspolisen anser att det föreligger ett allvarligt hot mot nationen. Så här motiveras det på sidan 65:

»Det går inte med någon större säkerhet att förutse vilka företeelser som kan komma att innebära ett tillräckligt hot mot den nationella säkerheten. Det är i stället mer ändamålsenligt att den behöriga myndigheten, på ett så komplett underlag som möjligt, avgör om det finns tillräckligt konkreta omständigheter för att anse att det finns ett allvarligt hot mot Sveriges säkerhet som är verkligt, aktuellt eller förutsebart.«

Men då så… Frågan man måste ställa sig är om det verkligen är tjänstemän på Säpo som skall fatta beslut om något slags nationellt undantagstillstånd vad gäller massövervakning.

Detta känns mer som en fråga för regeringen, om nu detta är något vi alls skall ha. Den kan också fatta snabba beslut om det kniper. Om det skulle bli krig eller terrorangrepp eller så.

Enligt förslaget skall Säpos beslut verkställas omedelbart och sedan bekräftas i efterhand av Försvarsunderrättelsedomstolen.

Hemliga polisen skall alltså fatta beslut om en aldrig tidigare skådad inhämtning av data i syfte att kunna kartlägga alla svenskar, deras kommunikationer och platsdata upp till två år bakåt i tiden. Vilket sedan skall bekräftas av en hemlig domstol. Orwell hade blivit imponerad.

Man kan även fråga sig hur regeringen tänkt sig att alla de utländska meddelandetjänster och appar som vi använder skall förmås verkställa svensk nationell säkerhetslagring.

Som historien visar tenderar alla övervakningslagar att utvidgas till syfte och metod. Tröskeln kommer att sänkas med tiden.

Det skulle inte förvåna om Säpo klipper till med en nationell säkerhetslagring så fort lagen trätt i kraft, med någon allmänt diffus motivering om det yttre och inre säkerhetsläget. Finns verktyget kommer det att användas.

Och så får vi väl hoppas att all denna integritetskänsliga data som skall lagras i åratal ute hos en stor mängd olika operatörer aldrig kommer att hackas, läcka eller missbrukas.

Detta är bara ett av alla uppseendeväckande förslag i regeringens utkast till lagrådsremiss, som nu skall ut på en ny remissrunda.

Vår ordförande filar redan på ett remissyttrande. Och här kommer vi att fortsätta gräva ner oss i detta dokument – som innehåller mycket mer som är anmärkningsvärt och oroande.

Stay tuned.

Länkar:
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »
• Direkt till dokumentet ovan (PDF) »
• Aftonbladet / Oisín Cantwell: Säpo får helt nya möjligheter till massövervakning »
• SVT: Integritetsfrågorna offras på säkerhetens altare »

Bakgrund (nyast överst):
• Striden om ett nytt datalagringsdirektiv i EU »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »

Regeringen och EU fortsätter marschen in i övervakningsstaten

av

Svenska regeringen riskerar säkerheten för hela vår IT-infrastruktur och EU förbereder mer massövervakning.

Häromdagen trotsade regeringen lagrådet och höll fast vid sitt förslag om att göra lagen om hemlig dataavläsning (spionprogram) permanent.

Skälet till att lagen varit tillfällig är att den är kontroversiell. Den lämnar säkerhetsluckor öppna, för att kunna installera nämnda spionprogram.

Då lämnas dessa sårbarheter även öppna för cyberattacker, kriminella och främmande makt. Säkerhetsbrister i vår IT-miljö skall skyndsamt rapporteras in och åtgärdas.

Detta kan inte nog understrykas. Man skapar spionprogram som registrerar allt som sker på eller i närheten av våra telefoner. Som kommer åt alla filer och bilder. Som bygger på säkerhetsluckor som även kriminella, Putin, Kina, terrorister och allehanda galningar kommer att kunna utnyttja för att skada oss.

IT-tekniken känner inga gränser. Byggs det bakdörrar är det inte bara vår rättskaffens europeiska polis som kan använda dem – utan även skurkstater som inget hellre vill än att få tillgång till sina medborgares kommunikationer.

Därav att lagen om hemlig dataavläsning infördes som en tillfällig lag. Den är problematisk. Men nu har man alltså utrett frågan, regeringen har lagt fram ett lagförslag, fått nej från lagrådet men sagt att man kör på ändå.

Lagrådet påpekar att om det nu fungerat så bra med den tillfälliga lagen, varför då inte bara förlänga den med fem år till. Eftersom den fortfarande är problematisk. Lagrådet uttrycker sammanfattningsvis »stor tveksamhet till den föreslagna permanentningen«.

Men inte då. Nu skall lagen göras permanent. Att lagrådet efterlyser en »samlad översyn« av övervakningsstaten, dess verktyg, dessa verktygs risker och dess effektivitet förbigås i sammanhanget med tystnad.

Här någonstans öppnas bakdörrarna till våra digitala liv en efter en. För det är ju inte bara den svenska regeringen som rullar ut massövervakningen.

Till exempel gör EU och dess medlemsstater allt för att komma runt medborgarnas rätt till totalsträckskrypterad kommunikation.

Ett verktyg för att göra det återfinns i ministerrådets senaste version av Chat Control 2. Client Side Scanning. Programmoduler som kontrollerar innehållet i meddelanden redan innan de krypterats och sänts. Spionprogram. På allas telefoner. Och datorer. Och plattor.

Dessutom kommer EU nu att ta fram ett nytt datalagringsdirektiv. EU-domstolen upphävde det förra, då det stred mot grundläggande mänskliga rättigheter. Tanken är att göra oss och våra elektroniska kommunikationer spårbara bakåt i tiden. Alla.

Sammantaget är bilden rätt dystopisk. Detta kan vara ögonblicket då vi på riktigt stiger in i den digitala övervakningsstaten.

Vi får verkligen hoppas att ingen dum och elak människa kommer till makten och använder dessa verktyg för att förtrycka folk. Någonstans. Någonsin.

Läs vår förra bloggpost:
• Lagrådet ifrågasätter övervakningsstaten »

Pressmeddelande:
• Regeringen föreslår att hemlig dataavläsning permanentas »

Mer ändamålsglidning för FRA

av

Försvarets Radioanstalt (FRA) ska få utökad möjlighet att hacka mobiler och datorer. Man ska i vissa fall även få avlyssna kommunikationer inom Sverige.

I vad som liknar polisens hemliga dataavläsning föreslår en utredning att FRA ska få hacka mobiler och datorer (»aktiv signalspaning«). Dagens Nyheter skriver:

»Utredningen föreslår också en lagtext som medger att FRA ska få utnyttja tekniska sårbarheter, förbiseenden och inbyggda åtkomstmöjligheter i nätverk för att komma åt lagrade signaler.«

På samma sätt som med hemlig dataavläsning lämnar man alltså säkerhetsluckor öppna för att kunna installera spionprogram och komma åt filer. Luckor som då även kan användas av cyberbrottslingar, av främmande makt och av andra illvilliga aktörer.

Detta drabbar inte bara kriminella utan oss alla, i form av försämrad säkerhet. Hur rent mjöl man än har i sin påse kanske man inte vill ge nätbrottslingar och spioner tillgång till det.

Tydligen pågår FRA:s intrång redan. Vad utredningen föreslår att det mer tydligt ska framgå att detta är lagligt. Vilket tyder på att man idag rör sig i en gråzon. DN skriver vidare…

»Utredningen vill också se en större förändring: att FRA i vissa specialfall ska få lyssna av två personer som båda befinner sig i Sverige. Dagens lagstiftning kräver att den ena parten befinner sig i utlandet.«

Att övervaka elektronisk kommunikation som helt och hållet sker inom landet har alltid varit ett stort no-no för FRA. Sådant skall skötas av polisen och Säpo.

Så här skrev dåvarande FRA-chefen Ingvar Åkesson i Svenska Dagbladet under den stora FRA-striden sommaren 2008 – om uppgifterna om att FRA kan komma att spana på inrikes kommunikationer…

»En vidrig tanke. Hur kan så många tro att en demokratiskt vald riksdag skulle vilja sitt folk så illa?«

Nu är vi där. Visserligen sägs det handla om nödsituationer och specialfall. Men vi vet att alla övervakningslagar utökas med tiden.

För inte så länge sedan passerades en annan av FRA-debattens röda linjer. Då gav man myndigheten rätt att även spana åt utländsk underrättelsetjänst. (Vilket var extra kontroversiellt innan vi gick med i Nato.)

Tyvärr är inget av detta särskilt förvånande. Ironiskt nog drivs frågan av en justitieminister som när det begav sig var en av FRA:s kritiker.

Länk:
• Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59 »

Chat Control 2, justitieministern och verkligheten

av

Justiteminister Strömmer har åter lyckats ducka sakargumenten mot Chat Control 2, denna gång i riksdagen.

Förra veckan hölls en interpellationsdebatt om Chat Control 2 i riksdagen.

Bakgrunden var att säkerhetstjänsten i Nederländerna (AIVD) menar att förslaget i allmänhet och ministerrådets senaste utkast i synnerhet gör våra elektroniska kommunikationer och känsliga uppgifter sårbara.

Med anledning av detta har riksdagsledamoten Ulrika Liljeberg (C) ställt en fråga till justiteminister Gunnar Strömmer (M), som mynnar ut i följande…

»Har ministern tagit några initiativ till en förnyad analys av säkerhetsriskerna för Sverige som land, och för vår digitala motståndskraft, mot bakgrund av Nederländernas nya ställningstagande efter att deras säkerhetspolis varnat för och motsatt sig införandet av chat control?«

Det senaste förslaget från det ungerska ordförandeskapet i EU:s ministerråd medför client-side-scanning (10:1). Det vill säga spionprogram som kontrollerar innehållet i våra elektroniska meddelanden i våra telefoner och datorer redan innan de krypterats och sänts.

Trots att detta uppenbart är ett sätt att kringgå kryptering säger justitieministern följande i sitt svar…

»Bland annat har det tydliggjorts att förordningen inte ska förbjuda, försvaga eller kringgå helsträckskryptering…«

Skillnaden mellan vad justitieministern säger och vad som står i pappren är uppenbar. Men han kommer undan med det, även i riksdagens interpellationsdebatt.

Strömmer säger också:

»Spårningsordern är en sista utväg som endast ska användas om andra, mindre ingripande åtgärder är otillräckliga.«

Vilket också står i konflikt med vad som går att läsa i dokumenten. Kravet på skanning gäller meddelandetjänster som gör det möjligt att kontakta andra användare direkt och/ eller möjliggör delning av bilder eller video (3:2da & e:iii). Vilket i praktiken är alla meddelandetjänster.

Justitieminister Strömmer fortsätter med en klassisk bluff:

»Förordningen är också tydlig med att spårningstekniken ska utformas för att enbart hitta övergreppsmaterial.«

När möjligheten att kontrollera innehållet i medborgarnas elektroniska meddelanden väl är på plats, då är användningsområdet bara en fråga om politisk dagsform. Då räcker det med ett klubbslag för att bredda syftet.

Och vad gäller själva frågan i interpellationen – om man drar några slutsatser eller tagit några initiativ med anledning av den nederländska underrättelsetjänstens varning för Chat Control – blir ministerns svar…

»Jag har noterat synpunkten från den nederländska säkerhetstjänsten, och det är något som får tas med i den fortsatta processen.«

Det vill säga att den svenska regeringen inte tycker att varningen från Nederländerna inte är tillräckligt allvarlig för att man skall ompröva sitt ställningstagande om Chat Control 2. I vart fall inte nu.

Hela interpellationsdebatten (protokoll här och video nedan) är en uppvisning i hur politiken duckar fakta och debatt i sak. Det är som att inga argument biter, inte ens när de stöds av de officiella dokumenten.

Vilket gör det svårt att föra en meningsfull debatt i sak. Faktaresistens är ett problem om man vill ha en öppen demokratisk debatt och process.

Slutligen… Vad Europakonventionen om de mänskliga rättigheterna och EU:s egen rättighetsstadga har att säga om rätten till privatliv och om yttrandefriheten berördes dock inte i debatten:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Länkar:
• Interpellationsdebattens protokoll »
• Debatten på Youtube (även nedan) »
• Ministerrådets senaste förslag till CC2 »
• Kommentarer till ministerrådets förslag »
• Nederländerna slår larm om CC2 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

Regeringens hemliga dataavläsning hotar vår säkerhet

av

Regeringen gör hemlig dataavläsning permanent. Samtidigt medför den allvarliga risker för allas vår IT-säkerhet.

Regeringen tänker göra hemlig dataavläsning (polisens spaning med spionprogram på misstänktas telefoner och datorer) permanent. Att lagen hittills bara varit tillfällig antyder hur kontroversiell den är.

Ett uppenbart problem med hemlig dataavläsning är att polisen behöver säkerhetsluckor i hård- och mjukvara för att kunna installera sina spionprogram. Därför lämnas sådana luckor öppna istället för att rapporteras och åtgärdas. På så sätt utsätter man oss alla för en risk – då inget hindrar att nätbrottslingar, främmande makt och andra ondsinta aktörer använder samma säkerhetsluckor.

Information om säkerhetsbrister sprids alltid. Inte ens den amerikanska underrättelseindustrin lyckas hålla sina verktyg hemliga. Om man lämnar säkerhetsluckor öppna utan åtgärd kommer de att utnyttjas av andra.

Övervakningslagar utökas alltid med tiden. Därför är det inte förvånande att regeringen även vill att hemlig dataavläsning skall kunna användas i fler fall och på nya sätt.

Dessutom bör det nämnas att hemlig dataavläsning på till exempel en mobiltelefon kan komma att utsätta många icke misstänkta i den övervakades omgivning för övervakning.

• Regeringens pressmeddelande »
• Justitieministerns Powerpoint »
• Lagrådsremiss (PDF) »

När EU ger Ryssland tillgång till dina sexchattar…

av

Ansvariga politiker vägrar att lyssna till de tekniska och juridiska experter som varnar för Chat Control 2. Frågan är vad som är värst – beslutsfattarnas skamlöshet, inkompetens eller naivitet.

I USA har de bakdörrar myndigheterna använder för att övervaka människors elektroniska kommunikationer kapats av Kina. Och detta är inte första gången amerikanska myndigheters övervakningsverktyg kommer på drift.

Om man skapar verktyg som ger myndigheterna bakdörrar till krypterad kommunikation eller möjlighet att kringgå densamma – då kan man vara säker på att dessa verktyg kommer att läcka eller hackas av till exempel kriminella eller främmande makt.

Det är också sannolikt att sådana verktyg förr eller senare kommer att missbrukas av våra egna myndigheter – om inte annat på grund av inkompetens, överdrivet nit, korruption, infiltration, missriktad välvilja eller onda avsikter hos enskilda användare. Det räcker med att någon har en dålig dag på jobbet.

Enligt EU-kommissionens förslag skall AI granska innehållet i folks alla slags elektroniska kommunikationer. Och i ministerrådet är det liggande förslaget att använda verktyg som granskar innehållet på användarnas telefoner och datorer innan det krypteras och sänds (client side scanning a.k.a spionprogram) i jakt på förbjudna bilder och videos. Vilket även det kräver att allt måste kontrolleras.

I båda fallen öppnas för att verktygen även kommer att kunna användas av aktörer med onda avsikter. Vilket kommer att göra elektroniska kommunikationer för enskilda, företag, organisationer, myndigheter med flera sårbara. Sådant är inte en teoretisk risk, utan som sagt något som redan sker där möjligheten finns.

Personliga förhållanden, företagshemligheter, sexchattar, politiskt känslig information, medicinska uppgifter, skvaller, dina filer och bilder på molntjänster, ekonomiska uppgifter, medias kommunikationer med källor… Med Chat Control 2 riskerar allt att hamna i orätta händer.

Justitieminister Strömmer (M) säger att han »inte håller med« de experter som varnar för detta. Och riksdagsledamoten Mattias Vepsä (S) säger efter att ha röstat för Chat Control 2 i justitieutskottet att »Jag är inte så insatt« och fortsätter sedan att obekymrat notera att främmande makt nog ändå redan kan övervaka innehållet i våra meddelanden. Ja men då så.

Politikerna håller alltså inte med – eller bryr sig om – den samlade tekniska expertis som varnar för farorna med Chat Control 2.

Vilket inte är direkt förvånande med tanke på att de inte heller håller med Europaparlamentet, kommissionens och rådets egen rättstjänst, EU:s dataskyddsmyndighet, FN:s människorättskommissionär och de hundratals jurister som varnar för att Chat Control 2 inte är förenlig med grundläggande mänskliga rättigheter.

Speciellt uppseendeväckande är detta när det gäller Moderaterna och Liberalerna som värvade röster i EU-valet på att säga nej till Chat Control 2 – samtidigt som de nu säger ja till samma förslag i EU:s ministerråd. Liberalerna har till och med stämmobeslut på att säga nej.

Frågan är vad som är värst – deras skamlöshet, inkompetens eller naivitet.

• Allt på denna blogg om Chat Control 2 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

Sverige och Danmark har redan de verktyg för övervakning som krävs

av

Sverige och Danmark kräver tillgång till kryperade meddelandetjänster för att bekämpa gängen. Men de har redan de verktyg som krävs.

De danska och svenska justitieministrarna och rikspolischeferna har träffats för att diskutera problemet med svenska gängkriminella som begår allvarliga brott i Danmark.

Ett krav är att man vill komma åt krypterade meddelande-appar. Men om man tittar närmare så har myndigheterna redan de verktyg som behövs – utan att underminera kryptering för vanligt hederligt folk. Låt oss bena ut detta…

Rikspolischef Petra Lundh säger att den initiala värvningen av minderåriga gärningsmän sker helt öppet på sociala media som till exempel TikTok och SnapChat. Och så länge det sker öppet går det att spana och stoppa verksamheten samt lagföra de ansvariga. Stämpling till mord är olagligt.

Sedan, säger man, flyttar värvningen över till krypterade meddelande-appar. Därför vill man komma åt krypterad kommunikation. Detta är inget nytt krav. Den svenska regeringen och EU är redan djupt engagerade i det så kallade Going Dark-projektet.

Saken är dock att man redan har de verktyg som krävs för att komma åt denna krypterade information – utan att för den sakens skull etablera bakdörrar till alla krypterade meddelandetjänster eller potentiellt bereda sig tillgång till alla människors meddelanden.

Verktyget heter hemlig dataavläsning. Om man har en misstänkt (värvningsförsöken ovan plus the usual suspects) får polisen redan idag installera spionprogram på de misstänktas telefoner och datorer.

Med hemlig dataavläsning kan man se allt som sker och finns på enheterna. Man kan till exempel läsa meddelanden innan de krypteras och sänds – alternativt efter att de tagits emot och av-krypterats.

(Hemlig dataavläsning är visserligen inte oproblematisk. Den bygger på att säkerhetshål i systemprogramvara och IT-infrastruktur lämnas öppna för att man skall kunna installera spionprogrammen. Och då är de även öppna för kriminella, främmande makt med flera. Så verktyget är inte perfekt, men det är vad man redan har och använder.)

Finns en misstanke kan man alltså redan komma åt innehållet i alla meddelandetjänster, även totalsträckskrypterade (end-to-end encryption, E2EE) sådana.

Sedan oktober förra året krävs för övrigt inte ens en konkret brottsmisstanke för att polisen skall få övervaka folk med hemliga tvångsmedel. Utrymmet för övervakning av gängkriminella som ägnar sig åt stämpling till mord m.m. bör därför redan vara betydande.

Någonstans här dyker en misstanke upp om att det kanske inte handlar om behov av nya övervakningsverktyg – utan att det mer är en fråga om kompetens och effektivitet. Vilket är områden där svensk polis på goda grunder kritiserats under lång tid.

Hemlig dataavläsning är problematisk nog. Att skapa bakdörrar till alla krypterade meddelande-tjänster kommer att göra alla medborgare, företag, organisationer, myndigheter med mera mindre säkra online.

Det samma gäller hemlig dataavläsning på alla telefoner och datorer – det vill säga det som EU:s ministerråd och den svenska regeringen vill ha inom ramen för Chat Control 2, client-side-scanning.

Skapar man sårbarheter i våra elektroniska kommunikationer kommer de även att kunna utnyttjas av aktörer med ont uppsåt. Inte ens amerikanska CIA och NSA lyckas hålla sina spionverktyg hemliga.

I sammanhanget är det värt att notera att tunga EU-institutioner går emot att man bereder sig tillgång till alla människors elektroniska kommunikationer.

EU-domstolen har fattat ett i sammanhanget viktigt beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Europakonventionen om de mänskliga rättigheterna och EU:s människorättsstadga föreskriver att »Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Där kan man även läsa att »Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Vilket gäller oavsett om mottagaren är tusenden eller bara en person.

Sammanfattningsvis är dagens dansk-svenska utspel om övervakning av elektroniska kommunikationer rätt mycket ett slag i luften.

Antingen är det fråga om sådant som redan är på gång i EU (Going Dark). Eller så är det sådant som saknar rättslig grund och som avfärdats av några av EU:s tyngsta institutioner – och som står i strid med de grundläggande mänskliga rättigheterna.

Snarare handlar det om att man ser ett tillfälle att flytta fram övervakningsstatens positioner. Och att man behöver säga något i media som låter handlingskraftigt.

Däremot är det välkommet med mer polisiärt samarbete mellan Sverige och Danmark för att bekämpa gränsöverskridande brottslighet. Svensk polis kanske till och med kan lära sig något på kuppen.

FN ger skurkstater makt över internet

av

En FN-konvention om cyberbrottslighet är på väg att ge länder som Ryssland, Kina, Iran och Pakistan oroväckande mycket makt över internet.

Nästa vecka samlas den kommitté som utformar FN:s Cybercrime Convention.

I namn av att bekämpa cyberbrottslighet innehåller den föreslagna texten inslag som kan användas av skurkstater för att tysta och förtrycka oppositionella.

Pådrivande är bland andra Ryssland, Kina, Iran och Pakistan.

Konventionen kan – som den föreligger – även användas för att klämma åt visselblåsare, aktivister, journalister och forskning om IT-säkerhet.

Något kriminellt uppsåt behöver inte föreligga. Konventionen innehåller inga garantier om att respektera grundläggande mänskliga rättigheter.

Texten öppnar för mer övervakning. Säker elektronisk kommunikation kommer att undermineras.

Data och information kan komma att delas och hämtas över gränserna på ett sätt som går bortom vad som kan anses vara lämpligt, nödvändigt och proportionerligt.

Detta utan rimligt dataskydd och utan hänsyn till rättsstatens grundläggande principer.

I ett upprop kräver nu EFF, EDRi och 20 andra organisationer att EU och dess medlemsstater tar kritiken på allvar:

»With the UN AHC’s concluding session about to resume, we call on the delegations of the Member States of the European Union and the European Commission’s delegation to redouble their efforts to address the highlighted gaps and ensure that the proposed Cybercrime Convention is narrowly focused in its material scope and not used to undermine human rights nor cybersecurity. Absent meaningful changes to address the existing shortcomings, we urge the delegations of EU Member States and the EU Commission to reject the draft Convention and not advance it to the UN General Assembly for adoption.«

FN:s Ad Hoc Committee on Cybercrime (AHC) sammanträder den 29 juli till den 9 augusti. Målet är en resolution som antas av generalförsamlingen.

Länkar i omvänd tidsordning:
• Urgent Appeal to Address Critical Flaws in the Latest Draft of the UN Cybercrime Convention (juli 2024) »
• Digital Rights Groups Rally Against UN Convention That Threatens Free Speech and Privacy (juli 2024) »
• The UN Cybercrime Draft Convention is a Blank Check for Surveillance Abuses (juni 2024) »
• If Not Amended, States Must Reject the Flawed Draft UN Cybercrime Convention Criminalizing Security Research and Certain Journalism Activities (juni 2024) »
• Protect Good Faith Security Research Globally in Proposed UN Cybercrime Treaty (februari 2024) »
• Skurkstater i FN vill ta kontroll över internet (januari 2024) »
• Global cybercrime treaty could be ‘disastrous for human rights,’ NGOs warn (augusti 2023) »
• UN: Cybercrime treaty must not put human rights at risk (april 2023) »

Going Dark – så vill EU komma åt dina meddelanden och din data

av

Vi har sammanställt allt du behöver veta om EU:s projekt Going Dark – som är tänkt att ge myndigheterna tillgång till medborgarnas meddelanden och data.

Vi har tidigare skrivit om EU:s Going Dark-grupp. Tanken är att komma åt medborgarnas elektroniska kommunikation, särskilt krypterad sådan.

En »High-Level Expert Group« har tillsatts. Den bytte snabbt namn till en »High-Level Group«, då expertgrupper har högre krav på på öppenhet och allsidighet. Deltagarlistan har varit hemlig.

Gruppen är speciellt inriktad på att ge myndigheterna tillgång till krypterad kommunikation och data, geodata och komma åt användning av anonymiseringstjänster som VPN och TOR/darknet.

Man har diskuterat tillgång till data i användarnas enheter (mobil, dator, platta, spelkonsoll etc.), tillgång till data i meddelande-apparnas system samt tillgång till data i transit.

Gruppen har även tagit upp statstrojaner (hemlig dataavläsning) och hur man skall komma runt EU-domstolens förbud mot generell datalagring. (I Sverige har en utredare redan föreslagit ny datalagring och att meddelandeoperatörer skall tvingas att överlämna begärd data i läsbar, det vill säga icke krypterad form.)

Going Dark-projektet var uppe som en informationspunkt i riksdagens EU-nämnd den 1 december 2023. Justitieminister Gunnar Strömmer sa då att…

»Vi som land fortsätter att vara utomordentligt aktiva i detta och i gruppens arbete i syfte att kunna bidra till att det kan presenteras verksamma rekommendationer inför tillträdet av den nya kommissionen hösten 2024 och för att de rekommendationerna sedan ska genomföras.«

EU-nämnden hade inga frågor, åsikter eller kommentarer.

I anknytning till Going Dark-gruppens arbete gick de europeiska polischeferna ut via Europol med uppmaningen »European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out«.

Vad de vill ha är laglig tillgång (lawfull access by design) till kommunikationstjänsternas lagrade data och skanning i realtid efter olagliga aktiviteter i användarnas meddelanden.

I ett 42-punktsprogram vill Going Dark-gruppen nu att meddelande-appar skall certifieras av EU. Man vill ha inflytande över branschens produktprotokoll och tekniska arkitektur.

Gruppen vill ha ny datalagring. Den kräver tillgång till begärd data i läsbar (ej krypterad) form. Data om IP-nummer / port skall också lagras. Detta skall även gälla operatörer som är baserade utanför EU.

Utöver datalagring vill man också ha tillgång till data. (Här kan nämnas att Europols utökade mandat redan ger dem rätt att bereda sig tillgång till data hos privata aktörer. Detta gäller även data om personer som inte är misstänkta för brott.)

Man vill även kunna övervaka dig i din uppkopplade bil – och genom allt annat under rubriken internet of things.

Man efterlyser infrastruktur som är »compatible with the transfer in real time of interception of potentially very large amounts of data of various nature«.

Gruppen har tydligen problem med att komma åt »home routing« via 5G. Därför vill man vara med i utformandet av standarden för 6G. Och så vill man komma åt internettrafik som går via satellit.

Man vill ha ökade resurser, inte bara för att komma åt krypterad data utan även för att utveckla AI-verktyg för dataanalys. (Som Chat Control 2, i sin grundform.)

Gruppen vill även se en mekanism för gränsöverskridande utbyte av information om tekniska sårbarheter som kan utnyttjas för övervakning.

Man kräver »state-of-the-art technological solutions« och en ny researchgrupp för att komma åt totalsträckskrypterad /end-to-end-krypterad kommunikation.

Meddelandeplattformar som inte underkastar sig det ovanstående skall kunna utsättas för administrativa sanktioner och begränsad möjlighet att verka på EU:s marknad.

(När samma resonemang är på tapeten i förslaget om Chat Control 2 föreslås att meddelande-appar som inte lyder order skall förbjudas på de tekniska plattformarnas app-stores.)

Man talar till och med om fängelse för »non-cooperative hosting providers«.

Allt detta och mer därtill hoppas man skall ligga till grund för den nya EU-kommissionens arbete de kommande fem åren.

Här kan det vara på sin plats att konstatera att Europadomstolen i februari slog fast att kryptering är en mänsklig rättighet. Europakonventionen och EU:s egen rättighetsstadga säger att…

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Även EU-domstolen har fattat i sammanhanget principiellt viktiga beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Man kan också konstatera att det inte finns något säkert sätt att komma åt krypterad information utan att också göra den tillgänglig för kriminella, främmande makt och andra aktörer med onda avsikter. Det har gjorts försök. Alla har misslyckats.

Det gäller även client-side-scanning oavsett om den sker på system- eller applikationsnivå. Den kräver svagheter i hård- eller mjukvaran som kan missbrukas. Finns det en bakdörr kommer information om den att läcka. Inte ens CIA och NSA har lyckats hålla sina verktyg hemliga.

Här skall också påpekas att det redan finns verktyg för client-side-scanning på systemnivå (hemlig dataavläsning) som efter prövning kan sättas in mot personer som faktiskt är misstänkta för brott. Men EU:s ministerråd och Europol tycker uppenbarligen att det inte räcker.

Ju mer man gräver ner sig i pappren, ju mer uppenbart blir det att Chat Control 2 inte kan ses som ett isolerat förslag. Det är en del i en större drive för att komma åt privat kommunikation och data. Det handlade aldrig om barnen.

Länkar och resurser:
• High-Level Group “Going Dark” outcome: A mission failure »
• Going Dark expert group – EU’s surveillance forge »
• Going Dark: Ett amerikanskt-europeiskt samarbete för att knäcka privat kommunikation i det dolda. »
• Going dark – EU:s krig mot krypterad kommunikation »
• EU-kommissionen: High-Level Group (HLG) on access to data for effective law enforcement »
• Europol: European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out »
• Europol: Equilibrium between security and privacy: new report on encryption »
• Europadomstolen om rätten till krypterad kommunikation »
• UNHCR: What is Encryption? »
Anti-encryption EU expert group to make access to data a political and technical standard »
• EU-Staaten wollen Zugriff auf verschlüsselte Daten und mehr Überwachung »
First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission
• Going Dark-gruppens 42-punktsprogram »

Chat Control 2 i riksdagen: V+C+SD mot M+KD+L+S+MP

av

Riksdagspartier som kritiserat client-side-scanning inom ramen för Chat Control 2: V+C+SD. Partier som stöttat regeringens position: M+KD+L+S+MP.

Det utgående belgiska EU-ordförandeskapet har ett kompromissförslag vad gäller Chat Control 2. Den centrala punkten är att man vill tillämpa client-side-scanning, det vill säga att dina meddelanden skall granskas innan de krypterats och sänts.

Vilket kräver en av två saker. Antingen att själva meddelande-apparna utrustas med bakdörrar för att göra sådan skanning möjlig. Eller att din telefon och dator utrustas med spionprogram på systemnivå.

Vilket i båda fallen kommer att drabba användare världen över, vars kommunikationer då kan komma att hamna i händerna på bland andra skurkstater, spioner och kriminella.

Den svenska regeringen ställer sig positiv till detta förslag. Den anser sig dessutom ha förankrat det hela i riksdagen, redan förra hösten. Samtidigt tycks EU-nämndens ledamöter osäkra kring om de givit klartecken till något sådant. Låt oss därför dyka ner i protokollen.

Den 14 september 2023 sammanträdde riksdagens justitieutskott. Föredragande var statssekreterare Charlotte Kugelberg. I protokollet kan man läsa den svenska regeringens position.

»En spårningsorder måste i sista hand kunna verkställas utan hinder av att en tjänst är krypterad, t.ex. genom en maskinscanning innan meddelandet krypteras och skickas.«

Det vill säga client-side-scanning, precis som belgarna nu föreslagit.

»Ordföranden konstaterade att det fanns stöd för regeringens ståndpunkt.«

Socialdemokraterna anmälde avvikande mening till förmån för EU-kommissionär Ylva Johanssons ursprungliga förslag. Vänsterpartiet anmälde avvikande mening mot (både kommissionens förslag och) den framlagda svenska ståndpunkten.

När den svenska positionen sipprat ut från justitieutskottets möte framförde såväl denna blogg som IT-experten Karl-Emil Nikka hård kritik mot densamma, den 17 september.

I en kommenterad dagordning – från regeringen till EU-nämnden – inför ett extrainsatt ministerrådsmöte, daterad den 18 september 2023 redovisar justitieminister Strömmer åter den svenska positionen.

Ur dokumentet »En spårningsorder måste i sista hand kunna verkställas utan hinder av att en tjänst är krypterad, till exempel genom en maskinscanning innan meddelandet krypteras och skickas.«

Detta väckte en hel del reaktioner bland oss nätaktivister och det hölls inte mindre än tre demonstrationer mot Chat Control 2 och regeringens position utanför riksdagen.

Frågan fanns på dagordningen för EU-nämndens möte den 22 september 2023. Ärendet ströks dock med hänvisning till att det då spanska EU-ordförandeskapet dragit tillbaka punkten från ministerrådets föredragningslista.

Sverigedemokraterna ställde ändå vissa utforskande frågor och Vänsterpartiet ville försäkra sig om att frågan skulle komma tillbaka till nämnden innan beslut slutligen fattades. Socialdemokraterna försökte skynda på processen. (Anförande 42-52.)

Inför det sista belgisk-ledda ministerrådet den 13-14 juni i år blev det skarpt läge igen. Den 5 juni skulle frågan diskuteras på EU-nämnden.

Redan den 27 maj – redan 12 dagar innan EU-valet – fanns det belgiska förslaget på pränt.

Men på EU-nämnden den 5 juni fattades inget beslut, då frågan plötsligt strukits från ministerrådets föredragningslista. Då blev Chat Control 2 bara en snabbt avklarad informationspunkt.

Istället öppnades en möjlighet att man skulle kunna fatta ett beslut hos medlemsstaternas permanenta respresentanter i COREPER II, den 19 juni.

På så sätt flyttades frågan till efter EU-valet. Ett val där alla partier utom Socialdemokraterna och möjligen Kristdemokraterna värvat röster på budskapet att säga nej till Chat Control 2.

Således blev det åter skarpt läge på justitieutskottets möte den 18 juni i år, en dryg vecka efter EU-valet. Alla partier utom Centern och Sverigedemokraterna ställde sig nu bakom den svenska ståndpunkten.

Vilket blev en mediesnackis när det lyftes av journalisten Emanuel Karlsten. Vänsterpartiet och Miljöpartiet skulle sedan pudla och säga att de röstat fel. I MP:s fall motsägs detta av interna dokument. Och enligt rimligt trovärdiga källor har Vänsterpartiet något slags principbeslut på att inte stödja Sverigedemokraterna i utskotten.

Dock blev det inget beslut i COREPER II heller, då det verkar som att det belgiska ordförandeskapet inte fått ihop tillräckligt stor majoritet bland medlemsstaterna.

Ovanstående visar att det faktiskt stämmer att regeringen förankrat sin position om Chat Control 2 i såväl riksdagens justitieutskott som EU-nämnden redan förra året. Även om en del ledamöter inte uppfattat det så.

Sammanställning:
• På justitieutskottets möte den 14 september 2023 var det bara Vänsterpartiet som hade invändningar mot den svenska linjen.
• Vid EU-nämndens möte den 22 september 2023 var det bara Vänsterpartiet och Sverigedemokraterna som var oroade.
• Och på justitieutskottets möte nu senast, den 18 juni i år ställde sig alla partier utom Centern och Sverigedemokraterna bakom den svenska ståndpunkten.

Således:

I någon mening har V+C+SD vid något eller några tillfällen varit kritiska till den svenska positionen. Medan M+KD+L+S+MP givit den aktivt eller passivt stöd. Plus att S vill gå ännu längre och genomföra EU-kommissionens ursprungliga, grundligt sågade förslag.

Den svenska positionen är som sagt »En spårningsorder måste i sista hand kunna verkställas utan hinder av att en tjänst är krypterad, till exempel genom en maskinscanning innan meddelandet krypteras och skickas.«

Det vill säga att skapa en bakdörr för att kringgå kryptering som kan komma att utnyttjas av illvilliga aktörer och som därmed utsätter användare i både EU och resten av världen för en risk.

Nu lämnar Belgien över ordförandeklubban i ministerrådet till Ungern, som satt upp frågan på dagordningen för sina möten den 10-11 oktober och 12-13 december. Till dess vore det bra om vi kan få riksdag och regering att backa om client-side-scanning.

Tidigare poster:
• Chat Control 2 – vad händer nu? »
• Chat Control – från start till politiskt kaos »
• Chat Control 2 vs. yttrandefriheten »
• Riksdagen röstade ja till Chat Control 2 »
• Regeringens dubbelspel banar väg för Chat Control 2 »

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli