Hemlig dataavläsning: Demokratiskt tveksamma verktyg

Denna nyhet är till att börja med intressant i sig själv:

»Det israeliska bolaget NSO ska ha hackat sig in i 1400 konton på Whatsapp mellan januari 2018 och maj i år, enligt en stämning som lämnats in till rätten i San Francisco. Attacken ska särskilt ha riktat in sig på juridiska ombud, journalister, människorättsaktivister, politiska avhoppare, diplomater och andra statliga högre tjänstemän, enligt Bloomberg News.

Det installerade spionprogrammet Pegasus kan användas till att läsa all e-post och meddelanden på telefonen, lyssna på samtal och slå på kameran och mikrofonen för att se och lyssna på det som händer omkring, enligt Financial Times.«

Än mer intressant blir den med tanke på att regeringen vill införa hemlig dataavläsning i Sverige. Då är det precis sådana här verktyg som kommer att användas, på det sätt som beskrivs ovan. Kanske till och med Pegasus från NSO.

»NSO slår tillbaka mot anklagelserna med att deras teknik inte används mot människorättsaktivister och journalister utan är till för att hjälpa stater att bekämpa terrorism och svåra brott.

Människorättsorganisationer har dock genom åren varnat för att NSO:s produkter används av stater mot kritiker och journalister. Visselblåsaren Edward Snowden hävdade förra hösten att NSO hade hjälpt Saudiarabien att spåra och döda kritikern Jamal Khashoggi.«

Här har vi något att hålla ögonen på när/om riksdagen säger ja till hemlig dataavlyssning: Vilka verktyg kommer att användas? Vilka demokratiskt och säkerhetsmässigt tveksamma aktiviteter stöder man genom att använda dessa verktyg?

DI Digital: Facebook stämmer spionbolag efter hackerattack »

»Statliga trojaner hindrar ett säkrare internet«

Gå till Göteborgs-Posten och läs Amelia Andersdotters och Christer Spörndlys utmärkta debattartikel om regeringens föreslag till lag om hemlig dataavläsning. Ett citat…

”Frågan vi bör ställa oss är alltså hur många bankbedrägerier och falska fakturor vi ska stå ut med för att polis och säkerhetstjänst ska få ta reda på var misstänkta terrorister ska fika?

För vi ska komma ihåg att Säpo själva redan konstaterat att dessa typer av brottslingar är kunniga nog för att förstå att inte prata om känslig information över datorn eller telefon.”

Länk: Statliga trojaner hindrar ett säkrare internet »

Övervakning av icke misstänkta och andra problem med regeringens förslag om hemlig dataavläsning

Det är dags för grupparbete kring regeringens lagrådsremiss om hemlig dataavläsning. Länk (PDF) »

Här är några nedslag i den föreslagna lagtexten. Vi börjar med begreppsdefinitionerna (2.1.1§, sid 8):

I lagen avses med avläsningsbart informationssystem: en elektronisk kommunikationsutrustning eller ett användarkonto till, eller en på motsvarande sätt avgränsad del av, en kommunikationstjänst, lagringstjänst eller liknande tjänst,

Notera att man inte bara vill kunna installera spionprogram på datorer, telefoner, surfplattor, spelkonsoler, smarta tv-apparater, smarta högtalare m.m. – utan även komma åt användarkonton för till exempel e-post, molntjänster och appar.

Detta backas upp i 2.1.4§ på sidan 9, där det även framgår att det handlar om informationssystem som den misstänkte kan tänkas komma att använda men ännu inte använder:

Hemlig dataavläsning som gäller kommunikationsavlyssnings-, kommunikationsövervaknings- eller platsuppgifter får även avse ett avläsningsbart informationssystem som det finns synnerlig anledning att anta att den misstänkte under den tid som tillståndet avser har kontaktat eller kommer att kontakta.

I 2.1.6§ på sidan 9 kan vi även läsa följande:

Hemlig dataavläsning enligt första stycket får användas endast på en plats där det finns särskild anledning att anta att den misstänkte kommer att uppehålla sig. Om platsen är någon annan stadigvarande bostad än den misstänktes, får tillstånd till hemlig dataavläsning beviljas endast om det finns synnerlig anledning att anta att den misstänkte kommer att uppehålla sig där.

Notera att de statliga spionprogrammen alltså även skall kunna användas på annan utrustning än den som tillhör den misstänkte. Till exempel sådan som tillhör flick/pojkvänner, släkt och vänner, arbetsplats etc. I 8§ framgår att detta även gäller e-post, molntjänster m.m.

Så till 2.1.12§ på sidan 11:

Vid hemlig dataavläsning får den verkställande myndigheten, efter särskilt tillstånd, i hemlighet skaffa sig tillträde till och installera tekniska hjälpmedel på en plats som annars skyddas mot intrång.

Det är svårt att tolka detta på annat sätt än att myndigheterna – utöver att hacka sig in i människors datorer m.m. – även får rätt att göra inbrott för att installera spionprogram.

Och vad gäller hackandet, så skriver man i 2.1.22§ på sidan 13:

När ett tillstånd till hemlig dataavläsning har beviljats får de tekniska hjälpmedel som behövs för avläsningen och upptagningen användas. Om det är nödvändigt får systemskydd brytas eller kringgås och tekniska sårbarheter utnyttjas.

Vilket bekräftar misstanken att myndigheterna, när de får tillgång till hemlig dataavläsning, kommer att vara mer intresserade av att utnyttja säkerhetsbrister i våra IT-system än att sådana åtgärdas. Vilket naturligtvis kommer att försämra IT-säkerheten för alla.

Så långt den primära lagtexten. Det bör även nämnas att det framgår att polisen får »använda såväl hårdvara som programvara« för att bereda sig tillgång till människors datorer och tekniska utrustning.

Det finns mer att ösa ur i lagrådsremissen. Men redan de delar av lagtexten som återges ovan borde få riksdagen att tänka till innan man godkänner lagen.

Det handlar inte bara om en extremt integritetskränkande form av övervakning – som även kommer att drabba andra än människor som är misstänkta för brott – utan även om att lämna hela vår IT-infrastruktur sårbar för kända säkerhetsbrister.

Grönt ljus för polisen att använda ansiktsigenkänning

Samtidigt som många länder säger nej till ansiktsigenkänning – på grund av att den är allt för integritetskränkande och svepande – får den svenska polisen grönt ljus av Datainspektionen.

»Datainspektionen konstaterar att polisen har ett berättigat intresse av att använda ansiktsigenkänning och att Nationellt forensiskt centrum får hantera personuppgifterna på det sätt som föreslås. Polisen har också vidtagit lämpliga åtgärder för att skydda de uppgifter som hanteras. (…)

– Det är angeläget att polisen tar ställning till hur länge uppgifterna får sparas innan de startar skarpt med ansiktsigenkänningen eftersom det är viktigt ur integritetssynpunkt, säger Linda Olander som är jurist på Datainspektionen.«

Datainspektionen: Polisen får använda ansiktsigenkänning för att utreda brott »

Svårt att göra rimlig lagstiftning av EU:s upphovsrättsdirektiv

Arbetet med att göra EU:s nya upphovsrättsdirektiv till lag har börjat, såväl i Sverige som i EU. Man kan ana att de tjänstemän som arbetar med frågan börjar inse direktivets vidare problem och implikationer. Detta inte minst efter att Frankrike bestämt sig för att rusa i förväg med den så kallade länkskatten – vilket har resulterat i att Google helt enkelt har slutat publicera länkar med substans till franska media.

I Sverige har Justitiedepartementet satt upp en referensgrupp för att diskutera genomförandet av direktivet inklusive de kontroversiella delarna »länkskatt« och »uppladdningsfilter«. Det hela verkar rätt avslaget, om man får tro rapporterna. Emanuel Karlsten skriver om gårdagens möte:

»Promemorian innehöll få kontroversiella förslag. Det förefaller också som att de flesta som deltog på mötet inte hade hunnit läsa igenom promemorian innan mötet och därför inte hunnit ha någon kvalificerad åsikt. Promemorian är även denna gång en tjänstemannaprodukt och alltså inte ens regeringens inofficiell åsikt.«

Politikerna försöker gömma sig bakom departementets tjänstemän, som i sin tur gömmer sig bakom tungrodda promemorior. Detta kommer förmodligen inte att leda någonstans alls. Istället kommer frågan att bli en rent politisk strid som avgörs i riksdagen.

I EU bedriver man också en dialog med inblandade parter, för att få fram något slags riktlinjer eller vägledning för hur direktivet skall implementeras i medlemsstaterna. Det verkar inte heller gå överdrivet bra.

Utifrån vad som framkommit från mötet den 15 oktober verkar man mest trampa vatten.

Detta är precis vad man kunde vänta sig. Politikerna röstar igenom en orimlig lagstiftning som är omöjlig att driva igenom utan att offra viktiga värden – vilket de tjänstemän som skall göra lag av besluten inte kan göra något åt. Här finns inbyggda problem, målkonflikter och juridiska återvändsgränder. Men direktivet är klubbat. Resultatet lär bli dålig lagstiftning.

Vilket i sin tur belyser problemet med att politiker har makt över sådant de inte begriper sig på.

Länkar:
• Emanuel Karlsten: Här är justitiedepartementets tolkning av ”länklicensen” »
• EDRi: EU copyright dialogues: The next battleground to prevent upload filters »
Frankrike vill ha en ny EU-myndighet för att tvinga Google att betala ”länkskatt” »

Hemlig dataavläsning: Nu lägger regeringen ett skarpt förslag

Efter flera års vånda har regeringen idag meddelat att man nu lägger fram sitt förslag om hemlig dataavläsning. På torsdag fattar regeringen beslut om en lagrådsremiss.

Vad det handlar om är att man vill att myndigheterna i hemlighet skall få installera spionprogram (även kallade statstrojaner) på människors datorer, mobiltelefoner, surfplattor och andra digitala enheter.

Till exempel kommer man att kunna använda enheternas kamera och mikrofon för avlyssning. Man kommer att kunna avläsa krypterad kommunikation innan den krypteras eller efter att den avkrypterats. Man kommer också att kunna komma åt enhetens alla filer, bilder, kontakter och allt annat som finns lagrat. Fler detaljer kommer när lagrådsremissen blir offentlig senare i veckan.

Vi har skrivit om detta flera gånger tidigare – och då beskrivit bland annat följande problem:

Om staten skall agera hackare kommer de säkerhetshål som används att förbli okända istället för att rapporteras och åtgärdas. Detta gör våra datorer sårbara för attacker och spionage från till exempel kriminella element och främmande makt. På så sätt gör förslaget oss alla – privatpersoner, företag och myndigheter – mindre säkra.

En fråga är om staten kommer att utveckla egna spionprogram – eller om man kommer att köpa dem av främmande makt eller kanske rent av på den svarta marknaden, vilket knappast är lämpligt.

Inrikesminister Mikael Damberg (S) säger att hemlig dataavläsning bara kommer att kunna användas för att utreda allvarlig brottslighet. Men det är ju ett löfte man brukar ge, för att sedan svika. Ändamålsglidning har snarare blivit regel än undantag vad gäller verktyg för övervakning.

Det är också värt att notera att utredningen om hemlig dataavläsning även öppnar för hemlig avläsning av innehåll hos internetoperatörer och plattformar. Nu återstår att se om detta finns kvar i regeringens slutliga förslag.

En detalj, som inte diskuterats, men som är värd att vara uppmärksam på är risken för missbruk av systemet. Med statstrojaner får myndigheterna inte bara möjlighet att avlyssna och avläsa – utan även plantera information, som till exempel falska bevis. Sådant kommer naturligtvis inte att vara tillåtet, men vi vet att manipulation av bevis emellanåt förekommer och att alla anställda inom de rättsvårdande myndigheterna inte alltid följer reglerna.

I slutet av veckan kommer det att finnas ett mer detaljerat förslag i form av en lagrådsremiss att granska. Man räknar med att lagen skall träda ikraft den 1 mars 2020. Lagen är tidbegränsad till fem år och skall därefter utvärderas.

Länkar:
Inrikesminister Mikael Dambergs presskonferens (Youtube) »
• SVT: Regeringen presenterar lagrådsremiss om hemlig dataavläsning »
• DN: Polisen ska få möjlighet till hemlig dataavläsning »
• Aftonbladet: Damberg: Polis redo för hemlig dataavläsning »
• Aftonbladet: M om hemlig dataavläsning: Sent och för klent »

Ur arkivet:
Nästa stridsfråga: Hemlig dataavläsning »
Ny lag vill att internetoperatörer skall lämna ut information om innehåll i användares kommunikation »

Svenskarna och internet 2019 – de viktigaste siffrorna på ett par minuter

Idag har den årliga rapporten »Svenskarna och internet« släppts. Och som vanligt innehåller den mycket smått och gott av intresse.

95% av svenska folket använder internet och 91% gör det dagligen. 91% använder internet i datorn, 90% i mobilen och 61% i surfplatta. Landsorten är på väg att hinna ikapp städerna vad gäller tillgång till bredband. Och de äldres nätanvändning är långsamt på väg att hinna ikapp alla andras.

Mest »meningsfull« upplevs användning av nätet vara vad gäller nyhetsappar, poddar/radio, film/video och ljudböcker. Det vill säga mediekonsumtion. Intressant nog upplever dubbelt så många (40%) att sociala media inte är meningsfulla, jämfört med meningsfulla (24%).

Vad gäller samhällets digitala tjänster ligger användandet på över 70% för Skatteverket och kollektivtrafiken. Användningen är högre bland unga och medelålders än bland äldre. Och högre bland högutbildade och höginkomsttagare jämfört med lågutbildade och låginkomsttagare.

45% av internetanvändarna känner sig övervakade på nätet och 30% gör det inte. Fler upplever sig övervakade av storföretag än av myndigheterna. 21% oroas av att myndigheterna inkräktar på deras integritet på nätet och 51% gör det inte.

97% av nätanvändarna uppger sig söka information på nätet, 37% gör det dagligen. »Bara 1 procent tror att all information på internet är pålitlig och lika många att ingen information alls går att lita på. Totalt sett tror 80 procent att minst hälften går att lita på varav 43 procent tror det mesta och 36 procent endast hälften. Drygt var tionde, 13 procent, tror att det endast är en liten del av informationen som är pålitlig.«

83% av användarna accepterar användarvillkor utan att läsa igenom dem »flera gånger« eller »någon gång«.

Andelen användare som delar eller skickar vidare andras information i sociala media har minskat från 59% förra året till 49% i år. Nivån av källkritik uppges vara hög, om än något sjunkande.

Användningen av e-post är fortsatt hög (97%). Att chatta blir stadigt och långsamt allt vanligare (86%). Internettelefoni och videosamtal används av 71% av användarna. Dock är det betydligt färre som använder dessa två tjänster dagligen.

Den vanligaste meddelandetjänsten är Facebooks Messenger (62%). Skype är på nedgående (45%) och WhatsApp på uppgående (35%).

Användningen av sociala medier håller på att plana ut. 83% av nätanvändarna använder sociala media och 65% gör det dagligen. Facebook (74%) och Instagram (61%) är fortsatt de vanligaste plattformarna. Värt att notera är att Twitter (24%) och LinkedIn (31%) har ett lågt dagligt användande på 5-7%. Snapchat har sin huvudsakliga publik i åldern 12-25 år. Och i åldersgruppen 26-45 år är Flashback större än Twitter och LinkedIn.

Ser man till mediekonsumtion är traditionell tv på nedåtgående (89%) medan play-tjänster planat ut (81%). Samma trend gäller traditionell radio (81%) i förhållande till digital radio (62%). Konsumtionen av papperstidningar är på väg ner (77%) – och intressant nog gäller den trenden även digitala tidningar (80%). Pappersboken behåller sina läsare (88%) samtidigt som e- och ljudböcker visar en tydligt uppåtgående trend (41%).

Andelen användare som ser på digital film och video ökar tydligt (86% ibland samt 36% dagligen). Youtube är fortfarande störst, framför övriga play-tjänster och Netflix. Även om det finns ett tydligt gap har Youtubes tillväxt stannat av medan Netflix fortfarande expanderar.

Vad gäller digitalt lyssnande konsumerar 87% av nätanvändarna musik varav 47% dagligen. För Spotify är siffrorna 70/37%. Radiostationer på internet 61/12%. Poddar 55/9%. Och ljudböcker 33/7%. Musik och Spotify ökar. Radiolyssnandet har planat ut. Poddar ökar stadigt.

77% läser dagstidningar på nätet, varav 37% dagligen. För bloggar är siffrorna 49/7%. Och för e-böcker 28/3%.

Vad gäller betalningsviljan, så är den i fallande för tidningarna (48%). Men stigande för film/tv/video (58%) och musik (57%).

Slutligen, när det gäller onlinespel är 60% av nätanvändarna aktiva någon gång och 26% dagligen. Här är de yngre användarna tydligt dominerande.

Läs hela Svenskarna och internet 2019 här (PDF) »

Ny lag vill att internetoperatörer skall lämna ut information om innehåll i användares kommunikation

I september var det tänkt att regeringen skulle presentera en lagrådsremiss om hemlig dataavläsning. Och pengar har redan anslagits i budgeten till både polisen och Säpo för de kostnader detta kommer att medföra. (155 miljoner SEK.) Men ännu har något slutligt förslag inte presenterats.

Den hemliga dataavläsningen är tänkt att med hjälp av spionprogram ge myndigheterna tillgång till alla filer, alla kontakter, alla bilder, alla meddelanden (även innan kryptering och efter avkryptering) samt i vissa fall till kameror och mikrofoner på misstänkta brottslingars datorer, smartphones, plattor – samt övriga informationstjänster.

Det där sista – informationstjänster – är intressant. I utredningen (SOU 2017:89) skriver man på sidorna 26-27:

Den som bedriver anmälningspliktig verksamhet enligt 2 kap. 1 § lagen om elektronisk kommunikation får bistå den verkställande myndigheten i samband med verkställighet av hemlig dataavläsning. Den operatör som medverkar har rätt till ersättning för de kostnader som uppstår. Ersättning för medverkan betalas av den verkställande myndigheten.

Det betyder rimligen att även internetoperatörer kommer att omfattas. Och då inte bara vad gäller metadata, som vid datalagringen – utan även innehåll i meddelanden med mera.

Detta är en detalj som verkar ha flugit under radarn – medan den tyngsta kritiken har riktats mot att hemlig dataavläsning kommer att göra våra datorer och vår IT-infrastruktur sårbar.

155 miljoner kr till hemlig dataavläsning i regeringens budget

Regeringen satsar 155 miljoner kronor i budgeten på övervakning som ännu ej godkänts av riksdagen. (120 miljoner till polisen och 35 miljoner till Säpo.)

Ur Justitiedepartementets pressmeddelande:

Utöver tidigare beslutade anslagsökningar avseende 2020 föreslår regeringen att Polismyndigheten tillförs 120 miljoner kronor för att bland annat säkerställa satsningen på hemlig dataavläsning. (…)

Regeringen föreslår att Säkerhetspolisen tillförs 35 miljoner kronor från och med 2020 för att säkerställa satsningen på hemlig dataavläsning.

Även om denna nya form av övervakning förmodligen kommer att godkännas av riksdagen är det noterbart att man anslår pengar för att finansiera kontroversiella beslut som ännu ej är fattade.

Samtidigt är detta en signal om att propositionen (som redan dragits i långbänk i 4-5 år) kommer att läggas fram i närtid. Och att den nya lagen kommer att träda i kraft snabbt efter att den klubbats.

I sak är idén om hemlig dataavläsning lika tveksam som tidigare. Statstrojaner och statliga spionprogram på folks datorer, telefoner och plattor kommer att göra hela vår IT-infrastruktur mindre säker. I sammanhanget skall man komma ihåg att sådana verktyg förr eller senare alltid tycks hamna i orätta händer.

Nu återstår att se hur propositionen kommer att vara utformad. Till exempel skall det bli intressant att få veta hur regeringen tänkt sig att garantera att statliga hacknings-verktyg inte kommer att kunna användas för att plantera falska bevis.