Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Striden om kryptering tar ny fart

av

Regeringen, EU och Europol är på krigsstigen mot krypterade meddelanden. »Anonymitet är inte en grundläggande rättighet« säger Europols chef.

Ingen kan hindra den som verkligen vill från att sända krypterade meddelanden som varken staten eller någon annan kan avläsa på väg från avsändaren till mottagaren. Inte med mindre än att man förbjuder matematik.

Men människor är bekväma. Folk vill inte krångla med nycklar och krypteringsprogram. Därför erbjuder många tjänster en allt-i-ett-lösning. Meddelande-appar sköter kryptering och av-kryptering på avsändarens respektive mottagarens telefon eller dator. Så att meddelandet är oläsbart om det skulle snappas upp däremellan.

Stark kryptering används av till exempel företag, myndigheter, organisationer, media, finansbolag, forskare, läkare, advokater och vanliga människor som vill skydda känslig information.

Och av aktivister som kämpar för frihet och demokrati i skurkstater, med sin frihet och sina liv som insats.

Så länge totalsträckskrypteringen (E2EE) är intakt kan man anta att informationen är rimligt säker mot kriminella, konkurrenter, främmande makt, snokande ögon och makthavare med auktoritära tendenser.

Men sådan säkerhet ogillas av regeringen, EU och Europol. De vill kunna komma åt innehållet i medborgarnas elektroniska meddelanden.

Europols chef Catherine De Bolle, menar att de stora teknikföretagen har ett ansvar att ge polisen tillgång till krypterade meddelanden som används av kriminella.

Men kryptering skiljer inte på om en användare är hederlig eller kriminell. Kringgås den är allas säkerhet i fara.

Om man skapar en »bakdörr« för att kringgå totalsträckskrypterade meddelanden – då kan man inte längre förutsätta att någon information är säker.

»Anonymitet är inte en grundläggande rättighet« säger De Bolle när Financial Times intervjuar henne om saken.

Kanske inte formellt sett. Men privatliv är en grundläggande mänsklig rättighet. Och ibland kan privatliv kräva anonymitet. Folk som inte misstänks för brott skall ha rätt att bli lämnade i fred.

Nu är det dock inte anonymitet vi talar om här – utan om tillgång till innehållet i medborgarnas elektroniska meddelanden. Till priset av försämrad IT-säkerhet.

De Bolle gör en liknelse »När vi har en husrannsakningsorder och vi står framför ett hus där dörren är låst, och du vet att brottslingen är inne i huset, kommer allmänheten inte att acceptera att vi inte kan gå in.«

Men det hon vill ha finns redan. Nämligen hemlig dataavläsning. Det vill säga spionprogrammisstänktas telefoner och datorer – med tillgång till allt som finns och görs på dessa (inklusive användning av kamera och mikrofon). Och till alla dess meddelanden, i klartext.

Detta gäller alltså människor som misstänks för brott. Och inte heller det är helt oproblematiskt, då spionprogram kräver sina egna luckor i IT-säkerheten. Men det är ett verktyg som redan finns och används.

(Hemlig dataavläsning är för övrigt inte helt olik den client-side-scanning som föreslås i EU:s ministerråds senaste variant av Chat Control 2. Vore man konspiratoriskt lagd kunde man ana ett samband.)

Kampen om totalsträckskrypterad kommunikation är inte ny. På 1990-talet var kryptering utan licens förbjuden i Frankrike. I USA försökte redan president Clinton ge staten en (hårdvarubaserad) bakdörr. Sedan följer en lång rad angrepp mot rätten till krypterad kommunikation, fram till idag.

Här står starka motstridiga intressen mot varandra. Dessutom höjs insatserna på båda sidor i takt med teknik- och samhällsutvecklingen.

Då är det viktigt att komma ihåg att det finns mycket goda skäl för att privatliv och privat korrespondens är fastslagna som grundläggande mänskliga rättigheter. De skall inte kunna offras för att nå andra mål, då de är individens yttersta skydd mot staten.

Man kan inte samtidigt ha massövervakning och säkra elektroniska kommunikationer

av

På ena sidan står politiker som vill kontrollera innehållet i alla medborgares elektroniska meddelanden. På den andra sidan finns ett ökat behov av säkra elektroniska kommunikationer. Men våra beslutsfattare duckar frågan.

Politik kolliderar inte sällan med verkligheten. Ett praktiskt exempel är EU:s ambitioner att övervaka medborgarnas elektroniska kommunikationer, som står i konflikt med ett ökat behov av säker elektronisk kommunikation.

EU vill använda AI och/eller spionprogram för att granska innehållet i alla européers elektroniska meddelanden inom ramen för Chat Control 2 (CSAM regulation).

Den nya EU-kommissionen och EU:s ministerråd vill se ett nytt regelverk för datalagring (lagring av metadata om allas telekommunikationer, elektroniska meddelanden, mobilpositioner med mera). Detta trots att EU-domstolen redan sagt nej till sådan.

Inom ramen för projektet Going Dark vill EU skapa verktyg och metoder för att komma åt totalsträckskrypterad (E2EE) elektronisk kommunikation.

Samtidigt ser vi hur främmande makt och kriminella också vill komma åt våra elektroniska kommunikationer.

I USA har statens verktyg för att kontrollera medborgarnas meddelanden missbrukats av kinesiska hackare. Tidigare har myndigheternas hela katalog av övervakningsverktyg hamnat i orätta händer.

I Nederländerna varnar underrättelsetjänsten i bestämda ordalag för konsekvenserna av Chat Control 2.

Nyligen varnade FBI och experter på cybersäkerhet till och med för att använda SMS. Behovet av säkra kommunikationer blir allt mer uppenbart.

Detta är bara några exempel. Intressekonflikten är uppenbar. Det gäller inte bara privatpersoner. Företags, organisationers, medias och myndigheters elektroniska meddelanden kommer också att utsättas för risker.

När det gäller människor som misstänks för brott har staten redan de verktyg som krävs för att komma åt all elektronisk kommunikation och allt som görs och finns på dessa personers telefoner och datorer genom hemlig dataavläsning.

Att man skall kunna övervaka personer och grupper som misstänks för brott är de flesta överens om.

Den politiska striden handlar om ifall denna övervakning skall utökas till att gälla alla. Det vill säga även vanliga hederliga människor, som inte misstänks för något brottsligt. Till priset av försämrad IT-säkerhet.

EU-domstolen har redan slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den rättsliga basen för domstolens bedömning är de grundläggande mänskliga rättigheterna. Dels handlar det om rätten till privatliv och privat kommunikation. Dels om vad yttrandefriheten har att säga om allas rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning.

Nyligen efterlyste riksdagens lagråd en samlad översyn av den stora mängden lagar och verktyg för övervakning. Är övervakningen i proportion till de problem man säger sig vilja lösa?

Är övervakningen ens effektiv? Aktuella siffror visar att endast två av tio fall av hemlig avlyssning i Sverige leder till åtal.

Hur påverkar övervakning av alla samhällets fria åsiktsbildning och demokrati? Vilka är riskerna för att dessa verktyg kan komma att missbrukas, nu eller i morgon?

Det enda klara svar vi får från politiken är att man inte vill diskutera saken. Men så enkelt får våra makthavare inte komma undan.

EU:s nya demokratisköld tycks mest bestå av byråkrati

av

EU-kommissionen har aviserat en demokratisköld som skall skydda oss mot desinformation, påverkansoperationer och hybrid-angrepp. Men än så länge verkar det mest vara en ordsallad.

En av den nya EU-kommissionens prioriterade uppgifter är att sätta upp en »European Democracy Shield«. Syftet är att bekämpa desinformation, missinformation, hybrid-attacker påverkansoprationer från främmande makt med mera.

Det är möjligt att det behövs. Det är svårt att skaffa sig en bild av hur omfattande problemet är. Men låt oss anta att det finns ett verkligt hot och ett verkligt behov av gemensamt försvar.

I så fall bör det vara ett högklassigt försvar. För att försöka förstå frågan har jag läst Europaparlamentets briefing paper »Information integrity online and the European democracy shield«.

Det första som slår mig är att detta är del i något större. Europaparlamentets papper tar upp aktiva aktörer som FN, OECD, UNDP, the Alliance for Securing Democracy, Marshall-fonden, ungefär 500 NGO:er, allehanda amerikanska myndigheter – och EU, då speciellt dess utrikestjänst European External Action Service med både en speciell Task Force och ett Rapid Alert System.

Dokumentet innehåller väldigt mycket euro gibberish. Många buzz words, men mindre om vad man konkret vill göra. Vilket som regel är ett dåligt tecken. Ur briefen:

»The concept of information integrity is not a fixed analytical framework, and still lacks a clear definition… (…) Nevertheless, this evolving concept could offer a positive framework within which the EU can further expand its push to support healthy and sustainable information ecosystems – as a key pillar of the future European democracy shield – within and beyond the EU.«

Man tänker alltså ta något som man själv säger saknar ramverk eller ens definition… som modell för… hållbara ekosystem på informationsområdet i och utanför EU. Det låter snarare som ett argument för utökad byråkrati än ett effektivt försvar mot hybridattacker.

På det hela taget känns det som att EU vill att vi skall skydda oss mot digitala fiender med en sköld av byråkrati.

EU-kommissionen vill koordinera, boosta, enforca, promota och stämma av mot hållbarhetsmål. Men vi får aldrig riktigt veta hur.

På sidan åtta fångar en annan sak min uppmärksamhet:

»The enforcement of the EU’s digital regulations, for example, is arguably the strongest step ever to be taken at governmental level to hold online platforms accountable. However, the bolstering of the relevant acts, which will be a focus of the new Commission, could face challenges from the new Trump administration and its close ties with parts of the tech industry. This could bring the underlying friction between the rights-driven EU approach to digital regulation and the US market-driven model to the fore.«

Framförallt lär det vara EU:s Digital Services Act och dess skrivningar om att stora plattformar skall hålla efter olämpligt men icke olagligt innehåll som skaver.

Trump (och Musk) lär ha svårt att acceptera att amerikanska företag förväntas begränsa yttandefriheten globalt vad gäller innehåll som inte ens är olagligt.

Enligt uppgift skall Trump även ha sagt att USA:s engagemang i NATO och stödet till Ukraina kan påverkas av hur EU behandlar amerikanska företag under sina nya internetlagar.

Slutligen – hur man än vänder och vrider på frågan förutsätter EU:s nya »demokratisköld« att det finns någon instans som bestämmer vad som är rätt och fel, sant eller osant. Frågan är vilken denna instans skall vara och exakt vad det är den förväntas åstadkomma. Många lär känna sig kallade.

Vad, vem och hur är frågor som politiska förslag allt för sällan besvarar.

Denna text skall inte ses som kritik mot att vi gör något för att försvara oss mot illvilliga krafter i den digitala världen. Snarare är min farhåga att allt kommer att drunkna i eurokrati och institutionell dumhet. Samt att det finns stort utrymme för subjektivitet hos den som skall avgöra vad som i sammanhanget är problematiskt.

• Europaparlamentet: Information integrity online and the European democracy shield »

Hemlig övervakning leder oftast inte till åtal

av

70-80% av myndigheternas hemliga övervakning leder inte till åtal. Samtidigt växer övervakningsstaten utan att någon samlad översyn görs.

Regeringens skrivelse till riksdagen om användningen av hemliga tvångsmedel under 2023 är intressant läsning. Bland annat får man en bild av hur den hemliga övervakningen även drabbar många i den övervakades omgivning, även om det inte är textens syfte.

Tolkningsutrymmet är stort och skrivelsen innehåller anonymiserade beskrivningar av hur övervakningen sägs ha varit till nytta. Utan att ifrågasätta dessa utsagors äkthet kan man konstatera att de är av anekdotisk karaktär och att de inte går att verifiera.

Om man tar andelen fall av hemlig övervakning som leder till en stämningsansökan eller ett åtal ligger den på 20-30% av de beviljade tillstånden. Det vill säga att 70-80% av denna övervakning inte leder till åtal.

Till detta kan läggas att även om det blir åtal betyder det inte att den hemliga övervakningen nödvändigtvis bidragit till detta. Endast att det handlar om en person som på någon grund kunnat åtalas.

Skrivelsen argumenterar för att övervakning kan ge annan nytta än åtal. Men även i fall där ett brott kunnat förhindras måste väl i rimlighetens namn åtal kunna väckas för förberedelse eller stämpling?

Här följer en överblick av de hemliga tvångsmedel som redovisas:

Hemlig avlyssning av elektronisk kommunikation

Definitionen omfattar avlyssning av telefon- och telefaxtrafik, e-posttrafik och överföring av datafiler.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 4.203 tillstånd (1.837 personer) under 2023 (4.108/1.465 år 2022). 29% har lett till åtal.

Hemlig övervakning av elektronisk kommunikation

Enkelt uttryckt handlar detta om metadata från datalagring, mobilmast-tömningar med mera.

Används huvudsakligen för att utreda vålds- och narkotikabrott. 15.353 tillstånd (3.943 personer) under 2023 (13.146/3.314 år 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemlig kameraövervakning

Optisk personövervakning med »fjärrstyrda tv-kameror, andra optisk-elektroniska instrument eller därmed jämförbara utrustningar«. Ljudupptagning får ej ske.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 407 tillstånd (534 personer) under 2023 (239/250 år 2022). 23% har lett till åtal.

Hemlig rumsavlyssning

»Avlyssningen får omfatta tal i enrum, samtal mellan andra eller förhandlingar vid sammanträden eller andra sammankomster som allmänheten inte har tillträde till.«

Används huvudsakligen för att utreda narkotika- och våldsbrott. 146 tillstånd (110 personer) under 2023 (79/60 år 2022). 29% har lett till åtal.

Hemlig dataavläsning

Detta handlar om att installera spionprogram på telefoner, datorer, plattor och annan elektronisk utrustning. Med sådana kan man sedan komma åt allt som görs och finns på enheten, bedriva kameraövervakning och rumsavlyssning, positionsdata med mera.

(Säkerhetsluckor i hård- och mjukvara lämnas utan åtgärd för att dessa spionprogram skall kunna installeras vilket påverkar samhällets övriga IT-säkerhet negativt.)

Används huvudsakligen för att utreda narkotika- och våldsbrott. 172 tillstånd (331 personer) under 2023 (148/365 år 2022). Hemlig dataavläsning redovisas per användningssätt (se ovan) men i genomsnitt har 16% lett till åtal.

Övervakning enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott

Användning av »hemliga tvångsmedel för att förhindra brott, så kallade preventiva tvångsmedel, utanför en förundersökning« om det finns en »påtaglig risk för att en person kommer att utöva |viss] brottslig verksamhet«. Detta gäller även organisationer och grupper.

Används huvudsakligen för att utreda våldsbrott. 106 tillstånd (67 personer) under 2023. Ingen uppgift om hur stor andel som lett till åtal.

Inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet

Rätt för Polismyndigheten, Säkerhetspolisen och Tullverket att i underrättelsesyfte »i hemlighet hämta in uppgifter om meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller från ett telefonnummer eller annan adress, om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller uppgifter om inom vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits.«

På ansökan av Polismyndigheten och Tullverket beviljades 876 beslut, varav två avslagsbeslut under 2023 (727 beslut varav 23 avslag 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemliga tvångsmedel i Säkerhetspolisens verksamhet

Detta är Säpos användning av de olika hemliga tvångsmedlen ovan.

676 beslut om hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning och hemlig rumsavlyssning fattades år 2023 (562 beslut 2022); 803 beslut om hemlig dataavläsning 2023 (292 beslut 2022) samt 305 beslut med stöd av lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (203 beslut 2022). Ingen uppgift om hur stor andel som lett till åtal.

Sammanfattning

Input för de olika formerna av hemliga tvångsmedel varierar i skrivelsen och viktig information (t.ex. hur stor andel som gått till åtal) saknas i flera fall. Vilket gör det svårt att få en komplett bild av helheten.

I de fall där andelen beslut om hemliga tvångsmedel lett till åtal redovisas kan man dock konstatera att siffran förefaller låg. Man kan därför inte utesluta att ett stort antal oskyldiga personer drabbats. I vart fall om man går efter principen att »envar skall betraktas som oskyldig till dess motsatsen bevisats«.

Med tanke på polisens organisatoriska problem, omfattande byråkrati och låga uppklarningsprocent väcks frågor om huruvida övervakningen är ändamålsenlig, effektiv och proportionell.

Tidigare i höstas efterlyste Lagrådet en samlad utvärdering av övervakningsstaten. Rådet skrev (i samband med att det förgäves avstyrkte att lagen om hemlig dataavläsning görs permanent):

»Frågan om i vilken utsträckning den enskilde ska behöva tåla övervakning av det slag som hemliga tvångsmedel innebär måste emellertid enligt Lagrådets mening också bedömas samlat med beaktande av den samlade övervakning som den enskilde kan utsättas för. Lagrådet anser därför att det är synnerligen angeläget att det inom en snar framtid görs en samlad översyn, i ljuset av 2 kap. 6 § andra stycket regeringsformen och artikel 8 i Europakonventionen, av hur hemliga tvångsmedel ska kunna användas.«

För ett sådant syfte räcker denna skrivelse inte. Men regeringen verkar obekymrad:

»Regeringens bedömning är sammanfattningsvis att myndigheternas användning av hemliga tvångsmedel under 2023 har varit ett ändamålsenligt och nödvändigt instrument i brottsbekämpningen.«

• Regeringen: Redovisning av användningen av hemliga tvångsmedel under 2023 Skr. 2024/25:64 »

• Dagens Juridik: Ökad tvångsmedelsanvändning förra året – inga avslag »

FRA – ändamålsglidningen fortsätter

av

Nu föreslås Försvarets Radioanstalt – FRA – få rätt att spana på inrikes kommunikationer och begå dataintrång.

Förra veckan skrev vi om hur den nya lagen om datalagring ger Säpo rätt att på eget bevåg lagra metadata om alla våra elektroniska kommunikationer i upp till två år – om de skulle anse att det är nödvändigt.

Därför kan det även vara på sin plats att uppmärksamma att Försvarets Radioanstalt – FRA – är på väg att få rätt att spana på elektronisk trafik även inom Sverige. Utan att först behöva inhämta tillstånd.

Detta skall gälla i händelse av krig, vilket må vara en sak. Regeringen kan även besluta att så får ske vid krigsrisk, vilket möjligen lämnar ett visst tolkningsutrymme.

Även om man tycker att detta är bra bör man vara uppmärksam så att förslaget inte används för att sänka ribban för övervakningen i fråga.

Och tänka sig. Lite längre in i texten föreslås ett undantag från förbudet för FRA mot att spana på inrikes elektroniska kommunikationer (det är Säpos jobb) – i »brådskande situationer« i fredstid.

Dessutom skall det vara fritt fram för FRA att dela information med andra länder och internationella organisationer även om det inte går att garantera att denna inte används i den globala massövervakningen. Man skriver…

»Förslaget innebär att Försvarets radioanstalt, efter föreskrift eller beslut, får överföra personuppgifter till en mottagare utomlands även om Försvarets radioanstalt inte kunnat förvissa sig om skyddet för de överförda personuppgifterna hos mottagaren.«

Vad är nu detta för förslag? Jo, utredningen »Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59«.

Remisstiden gick ut i veckan och vi på 5 juli-stiftelsen har yttrat oss. Du kan läsa vårt remissyttrande genom att följa denna länk. Några nedslag…

»Stiftelsen menar att förslaget utöka FRA:s befogenheter att övervaka svenskar och svenskars kommunikationer är omotiverat och dessutom med stor sannolikt är oförenligt med Europakonventionen om mänskliga rättigheters grundläggande krav på skydd för privatliv och korrespondens. Utredningen uppvisar också påtagliga brister bland annat genom att negativa konsekvenser av föreslagen inte beskrivs och kvantifieras, vilket omöjliggör proportionalitetsbedömningar.«

»Stiftelsen avstyrker utredningsförslagen till förmån för att det görs en samlad översyn av alla övervakningslagar (oavsett syftet vid införandet). Vid en sådan översyn bör en nyttokostnadsanalys som även omfattar kostnader av övervakning göras.«

En intressant detalj som vi uppmärksammar är förslaget om att »signaler i elektronisk form får inhämtas oavsett om signalerna är under förmedling eller är lagrade«. Man betraktar alltså nu även lagrad data som signaler. Så att FRA får rätt att göra dataintrång. Detta är ändamålsglidning in action.

Vi noterar även att förslaget om »Signalspaning i övningsverksamhet« som det ligger innebär att FRA får avlyssna eller göra dataintrång hos i praktiken vem som helst av vilket skäl som helst och utan att det finns några faktiska kontrollmekanismer.

Detta är bara några exempel på märkligheter i utredningen. Läs mer i vårt remissyttrande.

• Regeringen: Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59 »

• 5 juli-stiftelsen: Yttrande/Remiss över Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning (SOU 2024:59), Fö2024/01478 »

• Tidigare bloggpost: Mer ändamålsglidning för FRA »

Undantagstillstånd i den svenska övervakningsstaten

av

Regeringen föreslår att Säpo skall kunna införa »nationell säkerhetslagring« av svenska folkets elektroniska fotspår – inklusive metadata om våra meddelanden – i upp till två år.

Enligt regeringens utkast till lagrådsremissDatalagring och tillgång till elektronisk information – skall Säpo på eget bevåg kunna proklamera nationell säkerhetslagring.

Inom ramen för denna skall alla tele- och internetoperatörer samt meddelandetjänster samla in och lagra följande uppgifter.

6.5 »Beslutet ska få omfatta uppgifter om abonnemang, trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter och som rör användare som är fysiska personer eller abonnenter. Uppgifterna ska vara nödvändiga för att spåra och identifiera kommunikationskällan och slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning, lokalisering av kommunikationsutrustning vid kommunikationen samt lokaliseringsuppgifter som inte är trafikuppgifter.«

Vilket som synes är mer än vad den redan existerande datalagringen (som för övrigt står i strid med EU-domstolens beslut om att upphäva EU:s datalagringsdirektiv) föreskriver.

Operatörerna oroas bland annat över att lokaliseringsuppgifter kommer att kräva orimliga lagringsvolymer med tillhörande kostnader.

Dessutom skall lagringsplikten vid nationell säkerhetslagring vara ett eller två år, till skillnad från den vanliga datalagringens huvudregel om sex månader.

Den nationella säkerhetslagringen skall kunna införas när Säkerhetspolisen anser att det föreligger ett allvarligt hot mot nationen. Så här motiveras det på sidan 65:

»Det går inte med någon större säkerhet att förutse vilka företeelser som kan komma att innebära ett tillräckligt hot mot den nationella säkerheten. Det är i stället mer ändamålsenligt att den behöriga myndigheten, på ett så komplett underlag som möjligt, avgör om det finns tillräckligt konkreta omständigheter för att anse att det finns ett allvarligt hot mot Sveriges säkerhet som är verkligt, aktuellt eller förutsebart.«

Men då så… Frågan man måste ställa sig är om det verkligen är tjänstemän på Säpo som skall fatta beslut om något slags nationellt undantagstillstånd vad gäller massövervakning.

Detta känns mer som en fråga för regeringen, om nu detta är något vi alls skall ha. Den kan också fatta snabba beslut om det kniper. Om det skulle bli krig eller terrorangrepp eller så.

Enligt förslaget skall Säpos beslut verkställas omedelbart och sedan bekräftas i efterhand av Försvarsunderrättelsedomstolen.

Hemliga polisen skall alltså fatta beslut om en aldrig tidigare skådad inhämtning av data i syfte att kunna kartlägga alla svenskar, deras kommunikationer och platsdata upp till två år bakåt i tiden. Vilket sedan skall bekräftas av en hemlig domstol. Orwell hade blivit imponerad.

Man kan även fråga sig hur regeringen tänkt sig att alla de utländska meddelandetjänster och appar som vi använder skall förmås verkställa svensk nationell säkerhetslagring.

Som historien visar tenderar alla övervakningslagar att utvidgas till syfte och metod. Tröskeln kommer att sänkas med tiden.

Det skulle inte förvåna om Säpo klipper till med en nationell säkerhetslagring så fort lagen trätt i kraft, med någon allmänt diffus motivering om det yttre och inre säkerhetsläget. Finns verktyget kommer det att användas.

Och så får vi väl hoppas att all denna integritetskänsliga data som skall lagras i åratal ute hos en stor mängd olika operatörer aldrig kommer att hackas, läcka eller missbrukas.

Detta är bara ett av alla uppseendeväckande förslag i regeringens utkast till lagrådsremiss, som nu skall ut på en ny remissrunda.

Vår ordförande filar redan på ett remissyttrande. Och här kommer vi att fortsätta gräva ner oss i detta dokument – som innehåller mycket mer som är anmärkningsvärt och oroande.

Stay tuned.

Länkar:
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »
• Direkt till dokumentet ovan (PDF) »
• Aftonbladet / Oisín Cantwell: Säpo får helt nya möjligheter till massövervakning »
• SVT: Integritetsfrågorna offras på säkerhetens altare »

Bakgrund (nyast överst):
• Striden om ett nytt datalagringsdirektiv i EU »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »

Regeringen och EU fortsätter marschen in i övervakningsstaten

av

Svenska regeringen riskerar säkerheten för hela vår IT-infrastruktur och EU förbereder mer massövervakning.

Häromdagen trotsade regeringen lagrådet och höll fast vid sitt förslag om att göra lagen om hemlig dataavläsning (spionprogram) permanent.

Skälet till att lagen varit tillfällig är att den är kontroversiell. Den lämnar säkerhetsluckor öppna, för att kunna installera nämnda spionprogram.

Då lämnas dessa sårbarheter även öppna för cyberattacker, kriminella och främmande makt. Säkerhetsbrister i vår IT-miljö skall skyndsamt rapporteras in och åtgärdas.

Detta kan inte nog understrykas. Man skapar spionprogram som registrerar allt som sker på eller i närheten av våra telefoner. Som kommer åt alla filer och bilder. Som bygger på säkerhetsluckor som även kriminella, Putin, Kina, terrorister och allehanda galningar kommer att kunna utnyttja för att skada oss.

IT-tekniken känner inga gränser. Byggs det bakdörrar är det inte bara vår rättskaffens europeiska polis som kan använda dem – utan även skurkstater som inget hellre vill än att få tillgång till sina medborgares kommunikationer.

Därav att lagen om hemlig dataavläsning infördes som en tillfällig lag. Den är problematisk. Men nu har man alltså utrett frågan, regeringen har lagt fram ett lagförslag, fått nej från lagrådet men sagt att man kör på ändå.

Lagrådet påpekar att om det nu fungerat så bra med den tillfälliga lagen, varför då inte bara förlänga den med fem år till. Eftersom den fortfarande är problematisk. Lagrådet uttrycker sammanfattningsvis »stor tveksamhet till den föreslagna permanentningen«.

Men inte då. Nu skall lagen göras permanent. Att lagrådet efterlyser en »samlad översyn« av övervakningsstaten, dess verktyg, dessa verktygs risker och dess effektivitet förbigås i sammanhanget med tystnad.

Här någonstans öppnas bakdörrarna till våra digitala liv en efter en. För det är ju inte bara den svenska regeringen som rullar ut massövervakningen.

Till exempel gör EU och dess medlemsstater allt för att komma runt medborgarnas rätt till totalsträckskrypterad kommunikation.

Ett verktyg för att göra det återfinns i ministerrådets senaste version av Chat Control 2. Client Side Scanning. Programmoduler som kontrollerar innehållet i meddelanden redan innan de krypterats och sänts. Spionprogram. På allas telefoner. Och datorer. Och plattor.

Dessutom kommer EU nu att ta fram ett nytt datalagringsdirektiv. EU-domstolen upphävde det förra, då det stred mot grundläggande mänskliga rättigheter. Tanken är att göra oss och våra elektroniska kommunikationer spårbara bakåt i tiden. Alla.

Sammantaget är bilden rätt dystopisk. Detta kan vara ögonblicket då vi på riktigt stiger in i den digitala övervakningsstaten.

Vi får verkligen hoppas att ingen dum och elak människa kommer till makten och använder dessa verktyg för att förtrycka folk. Någonstans. Någonsin.

Läs vår förra bloggpost:
• Lagrådet ifrågasätter övervakningsstaten »

Pressmeddelande:
• Regeringen föreslår att hemlig dataavläsning permanentas »

Mer ändamålsglidning för FRA

av

Försvarets Radioanstalt (FRA) ska få utökad möjlighet att hacka mobiler och datorer. Man ska i vissa fall även få avlyssna kommunikationer inom Sverige.

I vad som liknar polisens hemliga dataavläsning föreslår en utredning att FRA ska få hacka mobiler och datorer (»aktiv signalspaning«). Dagens Nyheter skriver:

»Utredningen föreslår också en lagtext som medger att FRA ska få utnyttja tekniska sårbarheter, förbiseenden och inbyggda åtkomstmöjligheter i nätverk för att komma åt lagrade signaler.«

På samma sätt som med hemlig dataavläsning lämnar man alltså säkerhetsluckor öppna för att kunna installera spionprogram och komma åt filer. Luckor som då även kan användas av cyberbrottslingar, av främmande makt och av andra illvilliga aktörer.

Detta drabbar inte bara kriminella utan oss alla, i form av försämrad säkerhet. Hur rent mjöl man än har i sin påse kanske man inte vill ge nätbrottslingar och spioner tillgång till det.

Tydligen pågår FRA:s intrång redan. Vad utredningen föreslår att det mer tydligt ska framgå att detta är lagligt. Vilket tyder på att man idag rör sig i en gråzon. DN skriver vidare…

»Utredningen vill också se en större förändring: att FRA i vissa specialfall ska få lyssna av två personer som båda befinner sig i Sverige. Dagens lagstiftning kräver att den ena parten befinner sig i utlandet.«

Att övervaka elektronisk kommunikation som helt och hållet sker inom landet har alltid varit ett stort no-no för FRA. Sådant skall skötas av polisen och Säpo.

Så här skrev dåvarande FRA-chefen Ingvar Åkesson i Svenska Dagbladet under den stora FRA-striden sommaren 2008 – om uppgifterna om att FRA kan komma att spana på inrikes kommunikationer…

»En vidrig tanke. Hur kan så många tro att en demokratiskt vald riksdag skulle vilja sitt folk så illa?«

Nu är vi där. Visserligen sägs det handla om nödsituationer och specialfall. Men vi vet att alla övervakningslagar utökas med tiden.

För inte så länge sedan passerades en annan av FRA-debattens röda linjer. Då gav man myndigheten rätt att även spana åt utländsk underrättelsetjänst. (Vilket var extra kontroversiellt innan vi gick med i Nato.)

Tyvärr är inget av detta särskilt förvånande. Ironiskt nog drivs frågan av en justitieminister som när det begav sig var en av FRA:s kritiker.

Länk:
• Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59 »

Chat Control 2, justitieministern och verkligheten

av

Justiteminister Strömmer har åter lyckats ducka sakargumenten mot Chat Control 2, denna gång i riksdagen.

Förra veckan hölls en interpellationsdebatt om Chat Control 2 i riksdagen.

Bakgrunden var att säkerhetstjänsten i Nederländerna (AIVD) menar att förslaget i allmänhet och ministerrådets senaste utkast i synnerhet gör våra elektroniska kommunikationer och känsliga uppgifter sårbara.

Med anledning av detta har riksdagsledamoten Ulrika Liljeberg (C) ställt en fråga till justiteminister Gunnar Strömmer (M), som mynnar ut i följande…

»Har ministern tagit några initiativ till en förnyad analys av säkerhetsriskerna för Sverige som land, och för vår digitala motståndskraft, mot bakgrund av Nederländernas nya ställningstagande efter att deras säkerhetspolis varnat för och motsatt sig införandet av chat control?«

Det senaste förslaget från det ungerska ordförandeskapet i EU:s ministerråd medför client-side-scanning (10:1). Det vill säga spionprogram som kontrollerar innehållet i våra elektroniska meddelanden i våra telefoner och datorer redan innan de krypterats och sänts.

Trots att detta uppenbart är ett sätt att kringgå kryptering säger justitieministern följande i sitt svar…

»Bland annat har det tydliggjorts att förordningen inte ska förbjuda, försvaga eller kringgå helsträckskryptering…«

Skillnaden mellan vad justitieministern säger och vad som står i pappren är uppenbar. Men han kommer undan med det, även i riksdagens interpellationsdebatt.

Strömmer säger också:

»Spårningsordern är en sista utväg som endast ska användas om andra, mindre ingripande åtgärder är otillräckliga.«

Vilket också står i konflikt med vad som går att läsa i dokumenten. Kravet på skanning gäller meddelandetjänster som gör det möjligt att kontakta andra användare direkt och/ eller möjliggör delning av bilder eller video (3:2da & e:iii). Vilket i praktiken är alla meddelandetjänster.

Justitieminister Strömmer fortsätter med en klassisk bluff:

»Förordningen är också tydlig med att spårningstekniken ska utformas för att enbart hitta övergreppsmaterial.«

När möjligheten att kontrollera innehållet i medborgarnas elektroniska meddelanden väl är på plats, då är användningsområdet bara en fråga om politisk dagsform. Då räcker det med ett klubbslag för att bredda syftet.

Och vad gäller själva frågan i interpellationen – om man drar några slutsatser eller tagit några initiativ med anledning av den nederländska underrättelsetjänstens varning för Chat Control – blir ministerns svar…

»Jag har noterat synpunkten från den nederländska säkerhetstjänsten, och det är något som får tas med i den fortsatta processen.«

Det vill säga att den svenska regeringen inte tycker att varningen från Nederländerna inte är tillräckligt allvarlig för att man skall ompröva sitt ställningstagande om Chat Control 2. I vart fall inte nu.

Hela interpellationsdebatten (protokoll här och video nedan) är en uppvisning i hur politiken duckar fakta och debatt i sak. Det är som att inga argument biter, inte ens när de stöds av de officiella dokumenten.

Vilket gör det svårt att föra en meningsfull debatt i sak. Faktaresistens är ett problem om man vill ha en öppen demokratisk debatt och process.

Slutligen… Vad Europakonventionen om de mänskliga rättigheterna och EU:s egen rättighetsstadga har att säga om rätten till privatliv och om yttrandefriheten berördes dock inte i debatten:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Länkar:
• Interpellationsdebattens protokoll »
• Debatten på Youtube (även nedan) »
• Ministerrådets senaste förslag till CC2 »
• Kommentarer till ministerrådets förslag »
• Nederländerna slår larm om CC2 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

Regeringens hemliga dataavläsning hotar vår säkerhet

av

Regeringen gör hemlig dataavläsning permanent. Samtidigt medför den allvarliga risker för allas vår IT-säkerhet.

Regeringen tänker göra hemlig dataavläsning (polisens spaning med spionprogram på misstänktas telefoner och datorer) permanent. Att lagen hittills bara varit tillfällig antyder hur kontroversiell den är.

Ett uppenbart problem med hemlig dataavläsning är att polisen behöver säkerhetsluckor i hård- och mjukvara för att kunna installera sina spionprogram. Därför lämnas sådana luckor öppna istället för att rapporteras och åtgärdas. På så sätt utsätter man oss alla för en risk – då inget hindrar att nätbrottslingar, främmande makt och andra ondsinta aktörer använder samma säkerhetsluckor.

Information om säkerhetsbrister sprids alltid. Inte ens den amerikanska underrättelseindustrin lyckas hålla sina verktyg hemliga. Om man lämnar säkerhetsluckor öppna utan åtgärd kommer de att utnyttjas av andra.

Övervakningslagar utökas alltid med tiden. Därför är det inte förvånande att regeringen även vill att hemlig dataavläsning skall kunna användas i fler fall och på nya sätt.

Dessutom bör det nämnas att hemlig dataavläsning på till exempel en mobiltelefon kan komma att utsätta många icke misstänkta i den övervakades omgivning för övervakning.

• Regeringens pressmeddelande »
• Justitieministerns Powerpoint »
• Lagrådsremiss (PDF) »