Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Vad hjälper Chatcontrol 2 – om polisen ändå inte utreder de övergrepp mot barn som anmäls?

av

Svensk polis har tiotusentals outredda anmälningar om sexuella övergrepp mot barn på nätet. Med Chatcontrol 2 kommer polisen att dränkas av enorma mängder nya anmälningar – varav 80% eller mer kan vara felaktiga.

Med dagens lagstiftning (Chatcontrol 1) kan sociala media och meddelandetjänster frivilligt granska sina användares meddelanden, i jakt på sexuella övergrepp mot barn.

Med detta redan existerande och frivilliga system får polisen in anmälningar om möjliga fall av övergrepp.

Idag har den svenska polisen 13.000 outredda påstådda fall liggande på hög.

I fem års tid har det varnats internt för att detta är ohållbart. I tusentals fall har ingen människa över huvud taget tittat på anmälan. Och många brott kan komma att preskriberas.

SVT rapporterar:

»Rapporten leder till att åklagare startar en förundersökning om misstänkt tjänstefel, men den läggs ned efter bara ett par förhör. Detta bland annat eftersom man inte kan placera ett eventuellt tjänstefel i hierarkin – just eftersom varningarna funnits så länge och ansvariga gått ”hela vägen till NOA ledning och redovisat det här ända upp till rikspolischefen”.«

Detta är alltså dagens situation.

Dock skall man hålla i minnet att 76% av det bildmaterial som inrapporteras tycks vara egenproducerat av personer under 18 år. 90% av allt material som rapporteras in av Facebook är dubletter. Under en tid stod sex videofilmer för över hälften av alla rapporter. Och så vidare.

Så det finns mycket luft i siffrorna. Inte desto mindre måste polisen utreda alla brott som anmäls.

Det hela kommer bara att bli värre om EU-kommissionens förslag om obligatorisk granskning av innehållet i medborgarnas elektroniska meddelanden (Chatcontrol 2) blir verklighet.

Svepande och generell övervakning bryter mot EU:s egna regler, mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens – och mot EU-domstolens principbeslut om att man får övervaka dem som misstänks för brott, men inte alla andra hela tiden.

Och ur en praktisk synvinkel kommer högarna av outredda anmälningar att växa med en bredare övervakning. Speciellt som denna kan antas ha en mycket hög andel felaktiga flaggningar, då den bygger på teknik som till stor del är oprövad – och i vissa delar icke existerande.

När teknik liknande den som skall ingå i Chatcontrol 2 prövats i enstaka länder (Schweiz, Irland) har man fått upp till 80% felaktiga anmälningar. Då söker man ändå bara efter redan känt material. Och även felaktiga rapporter kan få förödande konsekvenser för den som drabbas.

Men det blir värre. De nya systemen skall inte bara söka efter kända bilder på övgrepp på barn – utan även okänt material. Vilket innebär att AI måste granska alla bilder du sänder eller lagrar på molntjänster för att gissa sig fram till om något otillbörligt förekommer. Du har väl inga bilder som kan missuppfattas eller feltolkas?

Dessutom skall AI granska det skrivna (och talade) innehållet i dina elektroniska kommunikationer – för att på något sätt gissa sig till om du har olämpliga kontakter med barn.

AI-teknik som saknar förmåga att bedöma kontext och som saknar omdöme skall alltså anmäla om den tycker att det du skriver i dina meddelanden verkar konstigt eller misstänkt.

Denna teknik existerar inte. Men de som driver Chatcontrol 2 säger att de hoppas att den kommer att existera till dess lagen är tänkt att träda i kraft nästa sommar

Polisens högar med outredda ärenden med redan känt förmodat övergreppsmaterial kommer alltså att växa. Speciellt med irrelevanta anmälningar och felaktiga flaggningar.

Ovanpå det kommer sedan alla bilder som en artificiell intelligens (som ännu inte är tillförlitlig) gissar kan tänkas innehålla övergrepp. Toppa sedan detta med att en likaledes ännu icke existerande AI-teknik kommer att rapportera in alla skrivna (och talade) elektroniska meddelanden som den tycker verkar misstänkta.

Lägg sedan detta till dagens situation med tiotusentals outredda ärenden hos polisen, som flaggats av de system som redan finns.

Risken är uppenbar att verkliga övergrepp kommer att drunkna i en flod av felaktigt flaggade och orelaterade meddelanden. Om man söker efter en nål i en höstack är det sista man behöver en större höstack.

Samtidigt kommer Chatcontrol 2 att leda till att det blir omöjligt med säker, krypterad kommunikation – om allt skall öppnas och dess innehåll kontrolleras. Vilket kommer att göra oss alla mindra säkra – till nätbedragares, främmande makts och andra ondsinta aktörers glädje.

Stoppa Chatcontrol 2 – och låt istället den relativt framgångsrika frivilliga skanning av elektroniska kommunikationer som redan sker fortsätta. (Även om inte heller den är oproblematisk.)

Och se till att ge polisen resurser att utreda de misstänkta, anmälda fall som redan samlar damm – istället för att dränka myndigheten i gigantiska mängder nytt material med en mycket stor andel felaktiga flaggningar.

Relaterat:
• Chatcontrol: Ylva Johanssons siffror är mest luft »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli

Utredning: Data om all slags meddelanden bör lagras

av

Den svenska lagen om datalagring är olaglig. Därför föreslår en utredare nu att denna form av övervakning begränsas till 70% av Sveriges befolkning. Och utökas till att även gälla meddelande-appar.

Idag har den av förra regeringen tillsatta utredningen om »Datalagring och åtkomst till elektronisk information« överlämnat ett delbetänkande till den nya regeringen.

Detta är komplex materia, men jag skall försöka vara så tydlig och kortfattad som möjligt.

Notera till en början att detta inte är samma sak som EU-kommissionens förslag om Chatcontrol / CSAR (automatiserad granskning av innehållet i folks elektroniska meddelanden). Men det finns en koppling. Mer om det längre ner.

Istället handlar det om datalagring (lagring av data om allas alla telefonsamtal, SMS, mobilpositioner, uppkopplingar m.m.)

EU-domstolen har sagt nej till svepande datalagring för alla, överallt, hela tiden och utan misstanke om brottslig verksamhet. Vilket många medlemsstater – däribland Sverige – struntar i.

• Bakgrund: Den svenska datalagringen är olaglig

Efter att den svenska datalagringslagen fick underkänt av EU-domstolen skrevs den om.

Dock är kärnfrågan olöst: Det handlar fortfarande om svepande datalagring utan misstanke om brott.

Den nya lagen har inte prövats av EU-domstolen. Medveten om problemet tillsatte den förra regeringen en utredning.

• Lagra allt men inte alltid

Till att börja med noterar utredaren att EU-rätten ger utrymme för att lagra all kommunikationsdata man kan (nationell säkerhetslagring) i händelse av ett nationellt nödläge. Vilket kan antas vara en tidsbegränsad situation.

Utredaren föreslår att huruvida detta skall ske bör bestämmas av Säkerhetspolisen.

Man kan tycka att om man skall övervaka hela folket hela tiden, då kanske det slutliga beslutet borde fattas på en högre nivå än hos en tjänsteman på hemliga polisen.

Men det är lite av ett sidospår. Nu kommer det verkligt intressanta.

• Lagra alltid men inte allt

I en av sina datalagringsdomar säger EU-domstolen att det dock kan få förekomma riktad datalagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Vilket leder till att utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

Vilket sannolikt inte skulle flyga hos EU-domstolen, som slagit fast principen: Övervaka dem som misstänks för brott – inte alla, hela tiden.

Om det sedan handlar om alla i Sverige eller alla i Örebro kommun torde i sammanhanget vara av mindre betydelse.

Man kommer att övervaka människor som inte misstänks för brott, urskiljningslöst.

• Lagra mer

Utredaren vill att även data om elektronisk kommunikation via meddelande-appar skall datalagras. (De meddelanden där EU redan vill granska innehållet med Chatcontrol.)

Vilket naturligtvis blir problematiskt då nästan alla meddelandetjänster har sin bas utanför svensk jurisdiktion och som regel även utanför EU. Vilket utredaren dock tror går att hantera.

Material från lagringen skall överlämnas till polisen i läsbar – icke krypterad – form, på operatörernas bekostnad. Detta måste kontrolleras närmare när utredningen läggs upp. För datalagringen skulle ju bara handla om metadata – och den är väl inte krypterad? Eller?

Vad som skall hända med meddelandeappar som inte lagrar data om sina användares kommunikationer är oklart. (Knepet i förslaget om Chatcontrol är att förbjuda apparna i app-stores.)

• Kommentarer

Det är lite lustigt att utredaren kommer med detta förslag nu, då EU och dess medlemsstater befinner sig mitt i processen om hur man skall göra med datalagringen i framtiden. Är detta en testballong för att se hur långt man kan tänja på de gränser EU-domstolen har satt upp?

I så fall kan man konstatera att utredaren med största sannolikhet har passerat den gränsen, med råge. Vilket justitieminister Strömmer – om någon – lär vara medveten om.

Nu blir det remissrunda och sedan skall regeringen fundera på saken.

• Justitiedepartementet: Pressträff vid överlämning av betänkandet Datalagring och åtkomst till elektronisk information »

Se presskonferensen på Youtube:

Söker du information om Chatcontrol, som nämns ovan?

• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control – nu ett steg närmare

av

LIBE-rapportören avfärdar kritik mot Chat Control som tabloid-mässig – men kommenterar inte argumenten i sak.

Den ansvarige rapportören i Europaparlamentets utskott för mänskliga rättigheter, LIBE har nu lagt fram den draft report om Chat Control som vi kunde rapportera om redan förra veckan.

Enkelt uttryckt ligger förslaget om kontroll av innehållet i våra elektroniska meddelanden kvar. Man vill nu även lagra och analysera metadata. Plus möjligen begränsa sökningen till vissa kanaler – vilket dock mer framstår som en vag förhoppning.

Och rapportören – den spanske kristdemokraten Javier Zarzalejos – är irriterad. Så här säger han:

»– Att benämna detta förslag chat control är ett beklagligt sätt bagatellisera vikten av vår debatt. Det är allvarligt vilseledande och en oansvarig förvrängning av vad allt detta handlar om. Detta är ett parlament och lagstiftning kan inte diskuteras utifrån rubriker i tabloidtidningar.«

Bagatellisera?

Här förenas ledande IT-säkerhetsexperter och människorättskämpar av oro för att EU av oförstånd kan vara på väg att montera ner såväl vår digitala säkerhet som våra mänskliga rättigheter. Det är verkligen inga bagateller.

Notera att Zarzalejos inte med ett ord kommenterar kritiken i sak. Är det någon som bagatelliserar något – då är det de som arrogant viftar bort relevant och allvarlig kritik.

Mänskliga rättigheter offline skall gälla även online.

»… allvarligt vilseledande och en oansvarig förvrängning…« Det är vad rapportören har att säga när det visar sig att politikerna inte begriper vad de sysslar med. När andra ser problem och konsekvenser som beslutsfattarna inte ens kände till att de inte kände till.

Med den attityden från rapportören kan det bli en skumpig resa.

Nåväl, rapportörens förslag har även möjliga ljuspunkter. Ändringsförslag 106:

»Nothing in this Regulation shall be interpreted as prohibiting or weakening end-to-end encryption.«

Vilket kanske låter bra. Men det utesluter inte client-side-scanning, med spionprogram på din telefon. Vilket är precis vad EU-kommissionär Ylva Johansson föreslog i sitt första utkast till denna förordning.

Och att förbjuda till exempel den totalstreckskrypterade meddelandeappen Signal i Apples och Googles app-stores är fortfarande möjligt enligt förslaget. Utan att för den sakens skull förbjuda eller försvaga totalsträckskryptering som sådan.

Och detta är bara LIBE-utskottets förslag, som knappast stöds av kommissionen och absolut inte av ministerrådet. Så E2E-krypteringen är fortfarande hotad.

Och även om debatten om Chat Control har gått från 0 till 100 på ett ögonblick i Sverige, så är det fortfarande en okänd fråga i de flesta medlemsstater.

Sossar, konservativa och liberaler i Europaparlamentet kan rösta igenom det här med bred marginal. Ministerrådet vill ha en ständigt allt mer övervakad union. Och kommissionen står fast vid sitt förslag.

Det är nu den politiska thrillern börjar på allvar.

Demonstrera mot Chat Control lördag den 20 maj kl 15 på Mynttorget i Stockholm!

Länk:
• Europaportalen: Omdiskuterat EU-förslag mot nätpedofili tar form – välkomnas i ledande utskott »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control kräver spionprogram i din telefon

av

För att Ylva Johanssons förslag till ny massövervakning skall bli verklighet kommer det att krävas någon form av spionprogram i din telefon.

EU-kommissionens vill ha kontroll av innehållet i våra elektroniska meddelanden – Chat Control.

Innehållet i totalsträcks-krypterade (end-to-end-krypterade) meddelanden kan inte granskas av tjänstens operatör eller någon annan in transit. Sedan kan Ylva Johansson jämföra med knarkhundar hur mycket hon vill. Det går inte.

Enda sättet att kontrollera innehållet i ett hårdkrypterat meddelande är att göra det innan det krypteras och sänds. Eller efter att mottagaren av-krypterat meddelandet.

Det kräver i så fall att något slags spionprogramvara är installerad. Antingen i telefonen som sådan. Eller inbyggd i respektive meddelande-app.

Spionprogram med i princip samma funktion som Pegasus – trojanen som regeringar i länder som Polen och Spanien har använt för att spionera på journalister och oppositionella.

Det är precis för att hindra sådant som vi har de mänskliga rättigheterna och dess krav på rätt till privatliv och privat korrespondens. Mänskliga rättigheter som kommissionen uttryckligen väljer att bortse från (sid 13).

Dessutom skall man komma ihåg att alla former av hemlig dataavläsning kräver att man lämnar säkerhetsluckor öppna för spionprogrammet – i din telefon.

Vilket kommer att göra oss alla mindre säkra – och mer sårbara för brottslighet, främmande makt och andra ondsinta aktörer som kan använda samma sårbarheter.

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control – se hela presentationen av den kritiska konsekvensrapporten

av

Här ovan (Youtube) kan du se hela presentationen av en ny konsekvensrapport om EU-kommissionens förslag om att kontrollera innehållet i våra elektroniska kommunikationer, Chat Control. Från Europaparlamentets utskott för mänskliga rättigheter, LIBE, i går.

Som vi kunde rapporters redan igår är kritiken omfattande:

  • Hela definitionen av problemet i förslaget är för vag.
  • Man ser en påtaglig risk för falska flaggningar.
  • Förslaget kommer bara att driva ut de lagbrytare som inte redan är där till darknet, där de blir ännu svårare att komma åt.
  • Skanning av innehåll i totalsträckskrypterad (E2EE) kommunikation ställer grundläggande frågor om säker krypterad kommunikation som sådan – och kan skapa osäkerhet för alla användare av E2E-krypterade meddelandetjänster.
  • Förslaget bryter mot de grundläggande mänskliga rättigheterna; mot förbudet mot datalagring; mot förbudet mot allmän övervakning – och kan inte rättfärdigas.

Läs mer om Chat Control:
• Allt du behöver veta om #ChatControl – resurser, analyser och länkar »
• ChatControl – Ylva Johansson säger orimliga saker, del 1 »
• ChatControl – Ylva Johansson säger orimliga saker, del 2 »
• Chat Control: Ylva Johanssons okunskap får internationell uppmärksamhet »

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• Regeringen föreslår 18-årsgräns för meddelande-appar
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »
• Granskning: Lobbykampanjen för #ChatControl »

TL;DR:
• ChatControl / CSA Regulation – enkelt förklarad »

Ovan toksågar Louis Rossmann, amerikansk IT profil och frontman för Right to repair-rörelsen Ylva Johanssons medverkan i Svenska Dagbladets ledar-podd.

Youtube »

Youtube » | Soundcloud »

#ChatControl – Ylva Johansson säger orimliga saker, del 1

av

Nedan en utskrift av en del av Svenska Dagbladets ledar-podd den 23 mars 2023. I detta utsnitt medverkar Ylva Johansson, EU-kommissionär med ansvar för förslaget om Chat Control (kontroll av innehållet i alla människors elektroniska meddelanden) och SvD:s Andreas Ericson.

AE: Får jag bara fråga dig en sak, Ylva. Om det är så, kommer du och jag kunna ha kontakt i framtiden. Om du exempelvis känner att du vill vara visselblåsare på EU-kommissionen och höra av dig till Svenska Dagbladet under källskydd, kommer du och jag kunna ha krypterad kontakt som myndigheterna inte kommer läsa i framtiden. Även med det här förslaget?

YJ: Ja, det är självklart.

AE: Men om det är så, kommer inte då alla pedofiler använda samma krypterade kontakt? Vad är i så fall vunnet?

YJ: Nej men grejen är att det enda som… Sexuella övergrepp på barn, bilder på det är alltid kriminellt.

AE: Ja men de kommer väl ändå kunna… Om du och jag kommer kunna kryptera vår kommunikation, då kommer väl pedofiler också kunna krypteras sin?

YJ: Om man delar det materialet så kan det vara så att det detekteras det materialet. Men det är ju inte så att man kan läsa någons kommunikation. Och det finns tekniker att detektera utan att bryta krypteringen. Jag tror det är väldigt viktigt att vi försvarar möjligheten och rätten till krypterad kommunikation. Men det betyder inte att man ska säga att så länge du använder krypterad kommunikation gör vi inga åtgärder för att komma åt sexuella övergrepp på barn.

Man kan undra hur det är tänkt att gå till – att respektera kryptering och samtidigt inspektera innehållet i våra meddelanden.

Människan förstår uppenbarligen inte vad hon sysslar med.

Fortsättning följer. Det blir mycket värre…

• Läs mer om Chat Control »

Statligt ”Bank-ID”?

av

Myndigheten för digital förvaltning (DIGG) har fått i uppdrag att ta fram en statlig e-legitimation. En positiv aspekt är att man gör detta på ett mjukt sätt, utan att tvinga någon.

Ett statligt elektroniskt ID kan vara förfärligt och farligt om det inte finns några alternativ.

Men desto bättre är tanken att det skall vara ett av flera eID, tillsammans med dagens aktörer som till exempel BankID, Freja eID, AB Svenska Pass och Foreign eID.

Det vill säga på ungefär samma sätt som det nationella ID-kortet finns för den som inte har (eller vill använda) körkort eller annan godkänd svensk ID-handling.

Ett statligt eID kan vara en bra lösning för personer med samordningsnummer och andra som inte kan eller vill använda dagens lösningar.

Men det räcker inte med mångfald av alternativ, utan det krävs även möjlighet att använda dem. Idag är BankID ofta det enda alternativet på olika tjänster. Idealt bör alla godkända former av eID fungera på alla plattformar.

Samtidigt bör man se upp så att eID inte kommer att krävas i större omfattning än nödvändigt. Det måste till exempel finnas utrymme för anonymitet och privat kommunikation på nätet. Det kan även hända att man vill ha en ”identitet” privat och en i jobbet.

ID-krav bör rent generellt bara förekomma när det är nödvändigt, inte av slentrian.

Möjligheten att välja eID måste även fungera med EU:s planerade digitala plånbok (EU:s eIDAS Regulation). Det talas om att denna kan bli ett alternativ för inloggningar på nätet.

• DIGG: Statlig e-legitimation »
• SVT: Så kan en statligt e-legitimation utformas »

Och nu – biometrisk massövervakning

av

Vi närmar oss en punkt där vi inte bara skall kameraövervakas på offentlig plats – utan även identifieras och få vårt beteende analyserat i realtid, av massövervakningens algoritmer.

Artificiell Intelligens (AI) är det senaste EU vill reglera. Något slutligt förslag finns inte ännu, men väl ett läckt arbetsdokument (PDF).

Den nya förordningen täcker väldigt mycket – men tycks göra undantag när det gäller övervakning. Vilket öppnar för en del dystopiska perspektiv.

Idag används AI bland annat för system med biometrisk identifiering. Vilket blivit en stridsfråga.

Sådan kan i sin tur delas upp i flera delar. I sin enklaste form kan det handla om kontroll av till exempel fingeravtryck, ansiktsform eller iris när man passerar EU:s yttre gräns. Eller för att fastställa en persons identitet vid andra tillfällen.

(Ett sådant system användes av de västliga styrkorna i Afghanistan. Tyvärr tycks det ha fallit i talibanernas händer, med potentiellt katastrofala konsekvenser för enskilda.)

Även om man kan tycka att det är rationellt att använda biometriska data för identifiering vid en viss säkerhetspunkt (som en gräns) – så kan systemet även användas för massövervakning. Till exempel genom att identifiera alla som passerar en viss knutpunkt. (Och spara biometrisk data om dem man ej lyckas identifiera.)

Då är man plötsligt inne på att massövervaka människor som inte misstänks för något brott – utan bara för att de rört sig på allmän plats. Vilket inte är OK. Det strider mot människans rätt till privatliv.

Sedan har vi användning av automatiserad ansiktsigenkänning för att identifiera personer på exempelvis en övervakningsfilm från en plats där ett brott de facto begåtts. Vilket är mindre problematiskt.

Dock har det visat sig finnas risker med att endast granska övervakningsvideos med maskiner. I jakt på ett ansikte kan det vara lätt hänt att algoritmen missar andra detaljer och händelser som är relevanta i sammanhanget.

Den tredje delen är automatiserad ansiktsigenkänning i realtid, med livefeed från övervakningskameror. När man sedan identifierat en person kan det kopplas direkt till olika databaser med information om personen i fråga.

EU har under årtionden finansierat utvecklingen av sådana system (gm. INDECT) – trots varningar och protester. Och nu tycks dystopin vara fullbordad.

Som vanligt är det en fråga om hur systemet används. För att till exempel skugga en misstänkt brottsling eller för att avvärja konkret fara kan det kanske vara försvarligt. Men finns det någon som tror att det stannar där?

Det finns även add-ons (vilka också finansierats av EU) som att koppla ljudupptagning med akustisk analys till systemen ovan. Ett annat exempel är automatiserad beteendeanalys för att upptäcka avvikande beteende.

Blotta vetskapen om att man är ständigt observerad, identifierad och att ens handlingar i varje stund analyseras av maskiner kommer att påverka människor och deras psykiska hälsa.

Detta för att inte nämna problemet med falska positiva. Även i ett system med orealistiska 99,9% träffsäkerhet kommer tusentals och åter tusentals människor att flaggas med fel identitet eller för helt oskyldigt avvikande beteende. Vilket kan få allvarliga konsekvenser.

Som vanligt tycks det finnas en övertro på teknisk övervakning, där polisen sitter vid en skärm istället för att patrullera gatorna och ägna sig åt traditionellt polisarbete. Vilket kan komma att straffa sig genom att i slutändan göra oss alla mindre säkra.

• EU governments open the door for biometric mass surveillance in public spaces »

Europol brainstormar om att knäcka krypterade kommunikationer

av

Myndigheternas krig mot krypterad information fortsätter. Samtidigt vill EU:s ministerråd begränsa insynen i hur polisen använder artificiell intelligens i sitt arbete.

Bakdörrar, superdatorer och samarbete med internetoperatörer var några av de idéer som diskuterades när EU:s olika polis- och säkerhetsorgan nyligen brainstormade hur man kan gå vidare för att knäcka krypterade kommunikationer.

Detta skedde på en konferens med EU Innovation Hub for Internal Security som hölls förra månaden, enligt Statewatch som har utskrifter av vad som diskuterades.

Särskilt uppseendeväckande är att man öppnar för att hålla säkerhetsluckor i vår IT-infrastruktur öppna istället för att anmäla dem – för att själva kunna utnyttja dessa för övervakning.

Men sådana säkerhetsluckor kan även användas av andra, till exempel kriminella och främmande makt. Vilket gör oss alla mindre säkra.

Statewatch rapporterar:

»At a recent event hosted by Europol’s Innovation Hub, participants discussed questions relating to encrypted data and the ability of law enforcement authorities to access digital information. One issue raised was a possible ”EU Vulnerability Management Policy for Internal Security,” which could allow for ”temporary retention of vulnerabilities and their exploitation by the relevant authorities.” In effect, this would mean identifying weaknesses in software and, rather than informing the software developers of the problem, exploiting it for law enforcement purposes.«

EU Innovation Hub for Internal Security består av nio olika EU-myndigheter och organ som på olika sätt arbetar med polisiära och säkerhetsrelaterade frågor. Spindeln i nätet är EU:s polismyndighet Europol. Såväl EU-kommissionen som ministerrådet är medlemmar – men inte Europaparlamentet.

I övrigt diskuterade man även hur artificiell intelligens (AI) kan användas i polisiärt arbete samt vad man kan göra för att komma åt elektroniska kommunikationer i 5G-nätet (vilket tydligen är oväntat krångligt).

Intressant nog vill EU:s ministerråd begränsa transparensen vad gäller hur polisiära myndigheter använder AI i sitt arbete. Statewatch skriver:

»The Czech Presidency of the Council has inserted new provisions into the proposed AI Act that would make it possible to greatly limit the transparency obligations placed on law enforcement authorities using ”artificial intelligence” technologies. A new ”specific carve-out for sensitive operational data” has been added to a number of articles. If the provisions survive the negotiations, the question then becomes: what exactly counts as ”sensitive operational data”? And does the carve-out concern just the data itself, or the algorithms and systems it feeds as well?«

Detta är ytterligare en het fråga som lär hamna på det svenska EU-ordförandeskapets bord efter årsskiftet.

Läs mer:
• Statewatch: EU: Discussion on encryption ponders ”retention of vulnerabilities and exploitation by the authorities” »
• ”Wicked problem”: Europol considers vulnerability exploitation to break encryption »
• Statewatch: EU: AI Act: Council Presidency seeks more secrecy over police use of AI technology »

En grundlig sågning av #ChatControl

av

Bloggen Lawfare levererar svidande kritik mot EU-kommissionens förslag om Chat Control / meddelandekontroll. Läs mer nedan, där du även hittar länkar och resurser i ämnet.

#ChatControl är nätaktivisternas namn på EU-kommissiones förslag för att bekämpa (känd och tidigare okänd) barnpornografi samt sexuella övergrepp mot barn online.

Förslaget innebär bland annat att innehållet i dina meddelanden och din e-post skall granskas. (Artikel 7.) Och för att så skall kunna ske måste dess kryptering brytas eller kringgås, vilket är ytterst olämpligt.

Dessutom kommer det att leda till en 18-årsgräns för användning av meddelandeappar. (Artikel 6.)

Kritiken har varit omfattande. Till exempel står den ovan nämnda meddelandekontrollen i strid med vad Europakonventionen om de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens. Dessa är att anse som grundläggande mänskliga rättigheter.

Nyligen levererade Lawfare-bloggen en omfattande och genomarbetad kritik, som är rekommenderad läsning. Några nedslag i texten:

»The EU proposal would undo 20 years of progress in securing communications, while employing a set of technologies unlikely to achieve its stated goals. Even worse, the solutions it proposes for handling CSAM would create national security risks by weakening the best tool available for securing communications, end-to-end encryption, and defining a mission without the technology to accomplish it.«

»This lack of current technology leads to the fundamental flaw of the EU proposal. The proposal sets up a bureaucracy requiring industry solutions to a problem that no one—not service or hosting providers, nor governments—has technical solutions for or knows how to operate at this scale.«

»(A) lack of technical methods to effectively accomplish what the proposal claims to do with a strong likelihood that the technologies at hand would fail to produce the desired effect.«

»EU human rights law requires that surveillance solutions be proportionate. The proposal argues that the recommendations are indeed proportionate, but it does so on the basis of technology that does not yet exist (“EU Centre should facilitate access to reliable detection technologies to providers”). A surveillance solution with a low likelihood of accomplishing its goals without impeding fundamental privacy protections cannot be proportionate. Until and unless there is a technology that satisfies the requirements of low false positives and false negatives successfully operating at scale on encrypted communications, the claim that this proposal is proportionate is not a meaningful one.«

Förslaget har försenats på vägen, huvudsakligen på grund av dess bristande kontakt med verkligheten och dess nonchalans inför grundläggande mänskliga rättigheter. Kritiken inifrån EU-kommissionen har också varit hård.

Läs mer:
• EU-kommissionens förslag »
• EU avskaffar rätten till privat korrespondens »
• Resurs-sida: Chatcontrol.eu »
• Granskning: Lobbykampanjen för #ChatControl ›
• Går Chat Control att stoppa? »
• Chat Control är en idiotisk och farlig idé »
• EU-förslag: 18-årsgräns för alla meddelandeappar »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »