Femte juli

Nätet till folket!

Sökresultat för: chat control

EU:s digitala järnridå

av

EU:s digitala isolationism hotar vår utveckling, vårt välstånd och vår yttrandefrihet.

Ett slags digital järnridå – byggd av byråkrati – håller på att sänka sig runt EU.

Till exempel finns AI-tjänster som är blockerade i EU, på grund av EU:s nya AI Act. Om Chat Control 2 blir verklighet kommer meddelandetjänster som Signal att lämna EU. Och EU:s Digital Services Act (DSA) skapar en massiv byråkrati som driver IT-entreprenörer till andra delar av världen. För att inte nämna konsekvenserna av dataskyddsförordningen GDPR.

EU har en AI Act, men inga egna AI-företag i frontlinjen.

EU reglerar sociala media, men har inga egna stora sociala medieplattformar.

EU har ett mycket långtgående persondataskydd – samtidigt som politiken rullar ut en allt mer allomfattande massövervakning av folket.

Det är ingen naturlag att det skall vara så här. Allt är konsekvenser av medvetet fattade politiska beslut.

Samtidigt byggs en konflikt upp om censur och innehållsgranskning mellan de stora sociala medieplattformarna och EU. Resultatet kan bli att dessa måste skapa någon form av »walled gardens« för användare i EU, där informationen begränsas. Eller ytterst att vissa av företagen lämnar EU och blockerar oss användare här. (Youtube har flera gånger flaggat för att det kan ske.)

Om nu inte EU försöker stoppa dem först… Vilket landar i den debatt om yttrandefrihet och DSA vi nu ser.

På samma sätt har EU:s dataskyddsförordning (GDPR) fått många utländska medier och siter att hellre blockera användare i EU än underkasta sig förordningens massiva, byråkratiska krav. (Det är tur att det finns VPN.)

En beräkning uppskattar den totala kostnaden för GDPR i EU till drygt 200 miljarder euro. Och ytterligare 100 miljarder euro för företag utanför EU.

Kostnaderna för DSA är ännu i stort sett okända.

Center for Data Innovation uppskattar att EU:s AI Act kommer att kosta den europeiska ekonomin 31 miljarder euro under de närmaste fem åren och förväntas minska AI-investeringarna med nästan 20 procent.

EU har blivit en del av världen där det är onödigt krångligt och dyrt att driva IT-företag.

Dessutom håller vi på att skärma av oss från ett fritt och öppet flöde av in formation från övriga världen. (Det är lite som när man diskuterade att förbjuda parabolantenner i Sverige.)

På så sätt hamnar EU på efterkälken – på många områden.

Om vi till exempel inte får tillgång till samma AI-verktyg som i andra länder, då kommer det att bromsa utvecklingen på många andra områden.

Om vi inte får fri tillgång till information, då försämras vår förmåga att fatta genomtänkta beslut.

Vilket i slutändan drabbar vår tillväxt, vår utveckling och vårt välstånd. Det behöver man inte vara raketforskare för att inse.

Alla regelverk ovan är skrivna med goda intentioner och går som sådana att argumentera för. Men det betyder inte att de är bra, nödvändiga eller lämpliga. I stort sett vad som helst kan motiveras på ett eller annat sätt.

Men man kan inte bara se till ett förslags intentioner utan bör även göra en realistisk bedömning av dess konsekvenser. Vilket politiker i allmänhet och EU-politiker i synnerhet är dåliga på.

För att citera Metas Mark Zuckerberg:

»Europe has an ever-increasing number of laws, institutionalizing censorship, and making it difficult to build anything innovative there.«

EU ägnar sig enkelt uttryckt åt digital isolationism. Den tveksamma ambitionen var att bli världsledande på IT-reglering. Resultatet blev att EU nu hamnat på efterkälken både vad gäller digitala plattformar och AI. Samt att yttrandefriheten hotas.

Kusligt nog sker detta i relativt stor politisk enighet. Kampen för ett fritt och öppet internet är därför viktigare nu än någonsin tidigare.

Man kan inte samtidigt ha massövervakning och säkra elektroniska kommunikationer

av

På ena sidan står politiker som vill kontrollera innehållet i alla medborgares elektroniska meddelanden. På den andra sidan finns ett ökat behov av säkra elektroniska kommunikationer. Men våra beslutsfattare duckar frågan.

Politik kolliderar inte sällan med verkligheten. Ett praktiskt exempel är EU:s ambitioner att övervaka medborgarnas elektroniska kommunikationer, som står i konflikt med ett ökat behov av säker elektronisk kommunikation.

EU vill använda AI och/eller spionprogram för att granska innehållet i alla européers elektroniska meddelanden inom ramen för Chat Control 2 (CSAM regulation).

Den nya EU-kommissionen och EU:s ministerråd vill se ett nytt regelverk för datalagring (lagring av metadata om allas telekommunikationer, elektroniska meddelanden, mobilpositioner med mera). Detta trots att EU-domstolen redan sagt nej till sådan.

Inom ramen för projektet Going Dark vill EU skapa verktyg och metoder för att komma åt totalsträckskrypterad (E2EE) elektronisk kommunikation.

Samtidigt ser vi hur främmande makt och kriminella också vill komma åt våra elektroniska kommunikationer.

I USA har statens verktyg för att kontrollera medborgarnas meddelanden missbrukats av kinesiska hackare. Tidigare har myndigheternas hela katalog av övervakningsverktyg hamnat i orätta händer.

I Nederländerna varnar underrättelsetjänsten i bestämda ordalag för konsekvenserna av Chat Control 2.

Nyligen varnade FBI och experter på cybersäkerhet till och med för att använda SMS. Behovet av säkra kommunikationer blir allt mer uppenbart.

Detta är bara några exempel. Intressekonflikten är uppenbar. Det gäller inte bara privatpersoner. Företags, organisationers, medias och myndigheters elektroniska meddelanden kommer också att utsättas för risker.

När det gäller människor som misstänks för brott har staten redan de verktyg som krävs för att komma åt all elektronisk kommunikation och allt som görs och finns på dessa personers telefoner och datorer genom hemlig dataavläsning.

Att man skall kunna övervaka personer och grupper som misstänks för brott är de flesta överens om.

Den politiska striden handlar om ifall denna övervakning skall utökas till att gälla alla. Det vill säga även vanliga hederliga människor, som inte misstänks för något brottsligt. Till priset av försämrad IT-säkerhet.

EU-domstolen har redan slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den rättsliga basen för domstolens bedömning är de grundläggande mänskliga rättigheterna. Dels handlar det om rätten till privatliv och privat kommunikation. Dels om vad yttrandefriheten har att säga om allas rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning.

Nyligen efterlyste riksdagens lagråd en samlad översyn av den stora mängden lagar och verktyg för övervakning. Är övervakningen i proportion till de problem man säger sig vilja lösa?

Är övervakningen ens effektiv? Aktuella siffror visar att endast två av tio fall av hemlig avlyssning i Sverige leder till åtal.

Hur påverkar övervakning av alla samhällets fria åsiktsbildning och demokrati? Vilka är riskerna för att dessa verktyg kan komma att missbrukas, nu eller i morgon?

Det enda klara svar vi får från politiken är att man inte vill diskutera saken. Men så enkelt får våra makthavare inte komma undan.

Socialdemokraterna och internet

av

I sitt förslag till nytt partiprogram vill Socialdemokraterna se politisk kontroll av de sociala plattformarna och deras algoritmer. Så att det blir rätt.

Socialdemokraterna har lagt fram ett förslag till nytt partiprogram. Denna gång finns en del intressanta saker om internet.

Den större bilden är att S ser internet som ett problem. Under rubriken »Demokratin urholkas« (sid. 12) kan vi läsa följande:

»I slutet på 1900-talet rådde stor optimism över den digitala kommunikationens ökade möjligheter att vidga människors vyer. Resultatet har ofta blivit det motsatta, när människor fastnat i alltmer felaktiga bilder av verkligheten. Självregleringen av dessa digitala plattformar har brustit. De har alltför ofta blivit kanaler för aktörer som förmedlat desinformation, påverkat val, spridit hat, radikaliserat och skadat det demokratiska samtalet. (…)«

Att S ogillar internet är ingen nyhet. Det har talats om att införa åldersgränser och man har gått till angrepp mot och misstänkliggjort debattörer på nätet som inte delar partiets åsikter och visioner. Kritik avfärdas inte sällan som hat, när argumenten tryter.

Vad som är en korrekt respektive felaktig bild av verkligheten kan – i vart fall i delar – debatteras. Uppenbart är dock att partiet vill ge sig självt tolkningsföreträde.

Detta är förvisso inte något som är unikt för S. Politiker i allmänhet ogillar att folk käftar emot och lägger sig i. Särskilt när sådana röster kan nå en stor publik på nätet.

Att fakta lätt kan kontrolleras med ett par knapptryckningar är också ett störningsmoment för våra politiker. Speciellt för dem som sätter dogmer och utopiska projekt före verkliga förhållanden.

Åter till texten kan man fundera över formuleringen om aktörer som påverkar val. Det kan förvisso stämma att det är ett problem om till exempel främmande makt försöker påverka våra allmänna val eller destabilisera vårt samhälle.

Men att det finns »aktörer« som försöker påverka den politiska debatten kan knappast avfärdas som ett problem med svepande formuleringar.

Till exempel gör vi på denna blogg allt vi kan för att påverka nätpolitiken, försvara rätten till privatliv och yttrandefrihet samt stå upp för nätets och dess användares frihet. Ofta i strid med politiker i allmänhet och S i synnerhet. (Se t.ex. Chat Control 2.)

Är det ett problem i S värld?

Man kan även diskutera huruvida det faktum att fler röster nu kan göra sig hörda har gynnat eller »skadat det demokratiska samtalet«.

Att det sedan finns rövhattar som inte kan bete sig som folk på nätet – precis som i samhället i övrigt – är något som man inte kommer åt genom att begränsa yttrandefriheten. Snarare fungerar inskränkningar i det fria ordet som en tryckkokare, om människor inte kan få utlopp för sin oro och frustration.

Vi hoppar vidare till avsnittet »Samhällsgemenskapen har urholkats« och sidan 13.

»Den bristande demokratiska kontrollen över digitala sociala plattformar har gjort det möjligt för algoritmer att styra vilka budskap som människor nås av. I kombination med minskade resurser för journalistik, ökad digitalisering och växande mängder desinformation har människors bild av vad som sker i världen blivit alltmer splittrad och ibland helt skild från sanningen. Många som tillbringar stor tid på sociala medier har mötts av normer om ökad konsumtion och egen framgång, snarare än om solidaritet och samhällsgemenskap.«

Här är frågan hur man vill öka den »demokratiska kontrollen« över sociala media och över algoritmerna. Hur man än vänder och vrider på formuleringen landar det i att man vill flytta makten över dem till politiken.

Du som följer denna blogg vet att politisk makt över internet inte alltid är ett helt lyckat koncept. Speciellt när politikerna inte begriper vad de lagstiftar om.

Det känns som att S drabbats av något slags nostalgi över en tid när informationen låg i gammelmedias händer och då dessa snällt copy-pastade och spred partiernas pressmeddelanden.

Man får även intrycket att S är frustrerade över att de själva inte lyckas nå samma framgång på nätet som andra aktörer.

Att människor idag vet oerhört mycket mer om vad som sker i världen än i det informationslandskap som förr kontrollerades av etermediemonopolet och en handfull dagstidningar är rimligen en bra sak. Men sådant kan vara svårt att diskutera med ett parti som historiskt velat hindra folk från att ta del av utländsk media.

Det nya partiprogrammets skrivningar om internet känns väldigt svepande och oprecisa. Det vore som sagt intressant att få veta exakt hur man tänkt göra verklighet av sina ord.

Vilka lagar vill man ändra och hur? Vem skall bestämma vad som skall få uttryckas eller ej? Hur har man tänkt underställa algoritmerna politisk kontroll?

Den fientliga inställningen till internet är inget som är unikt för S. I EU har alla partier och svenska regeringar av olika färg gjort sitt för att överreglera internet och skrämma bort IT-företag från Europa.

Men nu har S lagt fram sina förslag och det vore oerhört intressant att få till en diskussion om dem. Men känner vi våra politiker rätt är det mer troligt att det blir locket på.

Nya EU-kommissionen och internet

av

Den nya EU-kommissionen kommer att ha fullt upp med att reglera internet, övervaka medborgarna och skrämma bort IT-investeringar från Europa.

Idag har Europaparlamentet godkänt den nya EU-kommissionen. Här är några frågor på dess bord som rör internet under mandatperioden.

Datalagring

2014 upphävde EU-domstolen EU:s direktiv om datalagring (lagring av metadata om allas telefonsamtal, SMS, e-post-meddelanden, uppkopplingar, mobilpositioner m.m.).

Detta med hänvisning till de grundläggande mänskliga rättigheterna och vad de har att säga om rätten till privatliv och privat korrespondens. Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Nu diskuteras ett nytt datalagringsdirektiv i EU, som är tänkt att försöka kringgå EU-domstolens beslut. Precis som i Sverige vill man även komma åt de olika meddelandetjänsterna. Speciellt de totalsträckskrypterade.

Ännu finns inget konkret på bordet, men det kommer. Gissningsvis rätt tidigt under mandatperioden då det tar åratal att få igenom ett nytt direktiv. Det skulle inte förvåna om förslaget redan ligger klart och väntar på tillträdande kommissionär Brunners skrivbord.

Chat Control 2 / CSAR

Den nya EU-kommissionen står fast vid Ylva Johanssons ursprungliga förslag om att låta AI granska innehållet i folks elektroniska kommunikationer (och molntjänster m.m.).

Om ministerrådet kommer fram till en position går frågan in i trilog-förhandlingar mellan EU-kommissionen, ministerrådet (client-side-scanning) och Europaparlamentet (som säger nej till Chat Control 2 i dess bärande delar).

Vilket med största sannolikhet kommer att landa i någon form av ja till förslaget. Om inte parlamentet upplever ett yttre tryck som får det att inse att ett hårdnackat nej ligger i dess intresse.

The Digital Services Act (DSA)

Den utgående EU-kommissionen lämnar efter sig frågan om hur det är tänkt att stora sociala media skall stoppa innehåll som man ogillar – men som inte är olagligt.

I en rättsstat bör det – i förväg – tydligt framgå vad som är tillåtet att säga eller ej. Det som inte uttryckligen är förbjudet måste vara tillåtet.

Det blir även upp till den nya kommissionen att se till att DSA:s krav på nätcensorer – Trusted Flaggers / betrodda anmälare) uppfylls. Riken är uppenbar att olika särintressen och intressegrupper kan komma att se en sådan roll för sig själva som ett verktyg för att kunna styra vad som sägs på nätet.

Hat & hot blir EU-brott

Kommissionen och parlamentet (inklusive alla svenska partier i Europaparlamsentet utom SD) driver på för att göra hat och hot till ett »EU-brott« i klass med terrorism och vapensmuggling.

Än så länge finns bara pladdriga policypapper och resolutioner som inte närmare berör vad det är som skall bli förbjudet att säga, skriva och posta. Men nu måste man bli mer konkreta.

Vad gäller »hat« är utrymmet för subjektiva bedömningar stort. Givet EU:s återkommande gräl med sociala media i allmänhet och X i synnerhet är det uppenbart att detta är en fråga som kommer att beröra yttrandefriheten på internet.

Vi följer denna dossier och återkommer när det händer något av betydelse.

Going Dark

Kommissionen, medlemsstaterna och Europol håller (vid sidan av Chat Control 2) på med ett projekt för att komma åt totalsträckskrypterad kommunikation, Going Dark.

Det finns dock redan en lösning, även om den har sina brister: Hemlig dataavläsning. Det vill säga spionprogram (client-side-scanning) på misstänktas telefoner och datorer som registrerar allt som sker på och kring enheten.

Dock drar frågan åt att man vill ha en generell möjlighet att komma åt krypterade meddelanden. Vilket kan kasta ett visst ljus över ministerrådets senaste förslag om client-side-scanning på allas telefoner och datorer som en del av Chat Control 2.

Nu återstår att se vad som kommer ut ur Going Dark-projektet. Blir det några förslag från kommissionen? Eller är detta något som medlemsstaterna kommer att hantera synkroniserat på nationell nivå?

EU, internet och världen

EU har en allt mer omfattande reglering vad gäller internet. Regler som den nya kommissionen har att upprätthålla – även om de driver IT-entreprenörer ut ur EU.

Chat Control 2 har föranlett meddelandetjänster som Signal att hota om att inte längre tillhandahålla sina tjänster i EU. Nya aktörer på meddelande-marknaden kommer att tvingas bygga in spion-moduler från början, vilket kommer att avskräcka nya aktörer som respekterar sina användares integritet.

GDPR gav oss inte bara cockie-eländet utan begränsade även EU-medborgares tillgång till en del utländska siter, bland annat utländsk media. Denna reglering gav dessutom våra företag en ny, kostsam byråkratisk börda.

EU:s nya AI-lagstiftning har än så länge medfört att Apple inte släpper alla sina AI-funktioner på mobiler i EU. Fler oönskade konsekvenser lär följa. Och investeringarna i AI kommer att ske i andra delar av världen.

The Digital Services Act har hamnat på kollissionskurs med yttrandefriheten. Den påbjuder även en omfattande byråkrati för stora sociala plattformar – vilket är en garanti för att startups som saknar Metas och Alphabets resurser och kår av jurister aldrig kommer att kunna etablera sig eller växa sig stora på markanden.

Detta drabbar inta bara oss i EU. Internet känner inga gränser. Om till exempel Chat Control 2 leder till bakdörrar till (än så länge) toitalsträckskrypterde meddelanden kommer sådana även att kunna utnyttjas av regimer i skurkstater för att förtrycka sin befolkning och opposition.

EU:s självbild är att man är »väldsledande« vad gäller att sätta en standard för reglering av IT. Det är inte helt säkert att det är en bra sak.

Detta var bara några exempel på vad som är i görningen. Följ oss för att hålla dig uppdaterad.

Regeringen och EU fortsätter marschen in i övervakningsstaten

av

Svenska regeringen riskerar säkerheten för hela vår IT-infrastruktur och EU förbereder mer massövervakning.

Häromdagen trotsade regeringen lagrådet och höll fast vid sitt förslag om att göra lagen om hemlig dataavläsning (spionprogram) permanent.

Skälet till att lagen varit tillfällig är att den är kontroversiell. Den lämnar säkerhetsluckor öppna, för att kunna installera nämnda spionprogram.

Då lämnas dessa sårbarheter även öppna för cyberattacker, kriminella och främmande makt. Säkerhetsbrister i vår IT-miljö skall skyndsamt rapporteras in och åtgärdas.

Detta kan inte nog understrykas. Man skapar spionprogram som registrerar allt som sker på eller i närheten av våra telefoner. Som kommer åt alla filer och bilder. Som bygger på säkerhetsluckor som även kriminella, Putin, Kina, terrorister och allehanda galningar kommer att kunna utnyttja för att skada oss.

IT-tekniken känner inga gränser. Byggs det bakdörrar är det inte bara vår rättskaffens europeiska polis som kan använda dem – utan även skurkstater som inget hellre vill än att få tillgång till sina medborgares kommunikationer.

Därav att lagen om hemlig dataavläsning infördes som en tillfällig lag. Den är problematisk. Men nu har man alltså utrett frågan, regeringen har lagt fram ett lagförslag, fått nej från lagrådet men sagt att man kör på ändå.

Lagrådet påpekar att om det nu fungerat så bra med den tillfälliga lagen, varför då inte bara förlänga den med fem år till. Eftersom den fortfarande är problematisk. Lagrådet uttrycker sammanfattningsvis »stor tveksamhet till den föreslagna permanentningen«.

Men inte då. Nu skall lagen göras permanent. Att lagrådet efterlyser en »samlad översyn« av övervakningsstaten, dess verktyg, dessa verktygs risker och dess effektivitet förbigås i sammanhanget med tystnad.

Här någonstans öppnas bakdörrarna till våra digitala liv en efter en. För det är ju inte bara den svenska regeringen som rullar ut massövervakningen.

Till exempel gör EU och dess medlemsstater allt för att komma runt medborgarnas rätt till totalsträckskrypterad kommunikation.

Ett verktyg för att göra det återfinns i ministerrådets senaste version av Chat Control 2. Client Side Scanning. Programmoduler som kontrollerar innehållet i meddelanden redan innan de krypterats och sänts. Spionprogram. På allas telefoner. Och datorer. Och plattor.

Dessutom kommer EU nu att ta fram ett nytt datalagringsdirektiv. EU-domstolen upphävde det förra, då det stred mot grundläggande mänskliga rättigheter. Tanken är att göra oss och våra elektroniska kommunikationer spårbara bakåt i tiden. Alla.

Sammantaget är bilden rätt dystopisk. Detta kan vara ögonblicket då vi på riktigt stiger in i den digitala övervakningsstaten.

Vi får verkligen hoppas att ingen dum och elak människa kommer till makten och använder dessa verktyg för att förtrycka folk. Någonstans. Någonsin.

Läs vår förra bloggpost:
• Lagrådet ifrågasätter övervakningsstaten »

Pressmeddelande:
• Regeringen föreslår att hemlig dataavläsning permanentas »

Sverige och Danmark har redan de verktyg för övervakning som krävs

av

Sverige och Danmark kräver tillgång till kryperade meddelandetjänster för att bekämpa gängen. Men de har redan de verktyg som krävs.

De danska och svenska justitieministrarna och rikspolischeferna har träffats för att diskutera problemet med svenska gängkriminella som begår allvarliga brott i Danmark.

Ett krav är att man vill komma åt krypterade meddelande-appar. Men om man tittar närmare så har myndigheterna redan de verktyg som behövs – utan att underminera kryptering för vanligt hederligt folk. Låt oss bena ut detta…

Rikspolischef Petra Lundh säger att den initiala värvningen av minderåriga gärningsmän sker helt öppet på sociala media som till exempel TikTok och SnapChat. Och så länge det sker öppet går det att spana och stoppa verksamheten samt lagföra de ansvariga. Stämpling till mord är olagligt.

Sedan, säger man, flyttar värvningen över till krypterade meddelande-appar. Därför vill man komma åt krypterad kommunikation. Detta är inget nytt krav. Den svenska regeringen och EU är redan djupt engagerade i det så kallade Going Dark-projektet.

Saken är dock att man redan har de verktyg som krävs för att komma åt denna krypterade information – utan att för den sakens skull etablera bakdörrar till alla krypterade meddelandetjänster eller potentiellt bereda sig tillgång till alla människors meddelanden.

Verktyget heter hemlig dataavläsning. Om man har en misstänkt (värvningsförsöken ovan plus the usual suspects) får polisen redan idag installera spionprogram på de misstänktas telefoner och datorer.

Med hemlig dataavläsning kan man se allt som sker och finns på enheterna. Man kan till exempel läsa meddelanden innan de krypteras och sänds – alternativt efter att de tagits emot och av-krypterats.

(Hemlig dataavläsning är visserligen inte oproblematisk. Den bygger på att säkerhetshål i systemprogramvara och IT-infrastruktur lämnas öppna för att man skall kunna installera spionprogrammen. Och då är de även öppna för kriminella, främmande makt med flera. Så verktyget är inte perfekt, men det är vad man redan har och använder.)

Finns en misstanke kan man alltså redan komma åt innehållet i alla meddelandetjänster, även totalsträckskrypterade (end-to-end encryption, E2EE) sådana.

Sedan oktober förra året krävs för övrigt inte ens en konkret brottsmisstanke för att polisen skall få övervaka folk med hemliga tvångsmedel. Utrymmet för övervakning av gängkriminella som ägnar sig åt stämpling till mord m.m. bör därför redan vara betydande.

Någonstans här dyker en misstanke upp om att det kanske inte handlar om behov av nya övervakningsverktyg – utan att det mer är en fråga om kompetens och effektivitet. Vilket är områden där svensk polis på goda grunder kritiserats under lång tid.

Hemlig dataavläsning är problematisk nog. Att skapa bakdörrar till alla krypterade meddelande-tjänster kommer att göra alla medborgare, företag, organisationer, myndigheter med mera mindre säkra online.

Det samma gäller hemlig dataavläsning på alla telefoner och datorer – det vill säga det som EU:s ministerråd och den svenska regeringen vill ha inom ramen för Chat Control 2, client-side-scanning.

Skapar man sårbarheter i våra elektroniska kommunikationer kommer de även att kunna utnyttjas av aktörer med ont uppsåt. Inte ens amerikanska CIA och NSA lyckas hålla sina spionverktyg hemliga.

I sammanhanget är det värt att notera att tunga EU-institutioner går emot att man bereder sig tillgång till alla människors elektroniska kommunikationer.

EU-domstolen har fattat ett i sammanhanget viktigt beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Europakonventionen om de mänskliga rättigheterna och EU:s människorättsstadga föreskriver att »Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Där kan man även läsa att »Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Vilket gäller oavsett om mottagaren är tusenden eller bara en person.

Sammanfattningsvis är dagens dansk-svenska utspel om övervakning av elektroniska kommunikationer rätt mycket ett slag i luften.

Antingen är det fråga om sådant som redan är på gång i EU (Going Dark). Eller så är det sådant som saknar rättslig grund och som avfärdats av några av EU:s tyngsta institutioner – och som står i strid med de grundläggande mänskliga rättigheterna.

Snarare handlar det om att man ser ett tillfälle att flytta fram övervakningsstatens positioner. Och att man behöver säga något i media som låter handlingskraftigt.

Däremot är det välkommet med mer polisiärt samarbete mellan Sverige och Danmark för att bekämpa gränsöverskridande brottslighet. Svensk polis kanske till och med kan lära sig något på kuppen.

FN ger skurkstater tillgång till data på svenska servrar

av

FN ger länder som Ryssland, Kina och Iran rätt att kräva ut information från IT-företag i andra länder för att förfölja oppositionella.

United Nations Office on Drugs and Crime godkände på torsdagen sin så kallade Cyber Crime Convention. Denna kommer nu att framläggas för FN:s generalförsamling.

Detta dokument är problematiskt på många sätt. Vi har tidigare varnat för dess konsekvenser:

  • Man är inte ens överens om vad »cyberbrottslighet« egentligen är. Vilket skapar utrymme för godtycke.
  • Vad vi i de demokratiska rättsstaterna betraktar som helt lagliga yttranden online kan komma att kriminaliseras.
  • Verksamhet som bedrivs av cybersäkerhetsexperter, visselblåsare, aktivister och journalister kan komma att kriminaliseras.
  • Säker elektronisk kommunikation kommer att undermineras.
  • IT-tekniker kan tvingas kringgå dagens verktyg för säkerhet online.
  • Data och information kan komma att delas och hämtas över gränserna på ett sätt som går bortom vad som kan anses vara lämpligt, nödvändigt och proportionerligt. Detta utan rimligt dataskydd och utan hänsyn till rättsstatens grundläggande principer.

Antas konventionen i generalförsamlingen kan internetoperatörer och nätplattformar tvingas lämna ut information om sina användare och deras aktiviteter till skurkstater.

Den ger alltså länder som Ryssland, Kina och Iran rätt att kräva att internetföretag i till exempel Sverige lämnar ut information för att komma åt oliktänkande och oppositionella. Detta även om den handling som avses inte är olaglig här.

I januari varnade vi:

»I sammanhanget skall man komma ihåg att många länder anser saker vara olagliga som är helt lagliga och självklara i en demokratisk rättsstat och i ett öppet samhälle.

Enkelt uttryckt är den aktuella texten skräddarsydd för auktoritära och totalitära stater som vill övervaka folket, kontrollera oliktänkande och hindra fri information.

Texten är inte förenlig med svensk eller EU:s lagstiftning. Och om man skall vara petig, inte heller med FN:s egen stadga om de mänskliga rättigheterna.

Dessutom finns redan nödvändiga konventioner på området, som Budapest-konventionen. Dock anser bland andra Ryssland att dessa inte går långt nog.«

Konventionen godkändes enhälligt även om länder som Ryssland, Iran, Venezuela, Nordkorea och Syrien in i det sista försökte få bort de vanliga standardformuleringarna om att grundläggande mänskliga rättigheter skall respekteras.

Att organisationer som arbetar med mänskliga rättigheter och digitala frågor protesterar har inte hindrat beslutet. Inte heller att en i princip enig IT-industri högljutt varnat för konventionens konsekvenser.

Sverige har företrätts på tjänstemannanivå och det verkar som att den politiska nivån på UD, Justitiedepartementet och Finansdepartementet (där civilministern har hand om de digitala frågorna) inte brytt sig särskilt mycket. Om alls.

Detta med enhälligheten är ett tecken på något slags modern politisk-byråkratisk sjuka där man gärna petar i detaljer men är oförmögen att ifrågasätta de grundläggande premisserna, hur tokiga de än är. (Det var samma sak med Chat Control.)

Nu måste frågan upp på bordet – i både Sverige och EU – innan konventionen klubbas i FN:s generalförsamling.

Nyhetslänkar:
• Le Monde: UN approves its first treaty targeting cybercrime »
• Euronews: UN committee approves first cybercrime treaty despite widespread opposition »
• The Record: UN cybercrime treaty passes in unanimous vote »

Relaterat:
• United Nations Office on Drugs and Crime: Ad Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communications Technologies for Criminal Purposes »
• EFF’s Concerns About the UN Draft Cybercrime Convention »
• Open Letter from Civil Society and Industry Stakeholders on the Final Draft of the
Convention on Cybercrime »
• Urgent Appeal to Address Critical Flaws in the Latest Draft of the UN Cybercrime Convention »
• Skurkstater i FN vill ta kontroll över internet »
• FN ger skurkstater makt över internet (med djuplänkar) »

Going Dark – så vill EU komma åt dina meddelanden och din data

av

Vi har sammanställt allt du behöver veta om EU:s projekt Going Dark – som är tänkt att ge myndigheterna tillgång till medborgarnas meddelanden och data.

Vi har tidigare skrivit om EU:s Going Dark-grupp. Tanken är att komma åt medborgarnas elektroniska kommunikation, särskilt krypterad sådan.

En »High-Level Expert Group« har tillsatts. Den bytte snabbt namn till en »High-Level Group«, då expertgrupper har högre krav på på öppenhet och allsidighet. Deltagarlistan har varit hemlig.

Gruppen är speciellt inriktad på att ge myndigheterna tillgång till krypterad kommunikation och data, geodata och komma åt användning av anonymiseringstjänster som VPN och TOR/darknet.

Man har diskuterat tillgång till data i användarnas enheter (mobil, dator, platta, spelkonsoll etc.), tillgång till data i meddelande-apparnas system samt tillgång till data i transit.

Gruppen har även tagit upp statstrojaner (hemlig dataavläsning) och hur man skall komma runt EU-domstolens förbud mot generell datalagring. (I Sverige har en utredare redan föreslagit ny datalagring och att meddelandeoperatörer skall tvingas att överlämna begärd data i läsbar, det vill säga icke krypterad form.)

Going Dark-projektet var uppe som en informationspunkt i riksdagens EU-nämnd den 1 december 2023. Justitieminister Gunnar Strömmer sa då att…

»Vi som land fortsätter att vara utomordentligt aktiva i detta och i gruppens arbete i syfte att kunna bidra till att det kan presenteras verksamma rekommendationer inför tillträdet av den nya kommissionen hösten 2024 och för att de rekommendationerna sedan ska genomföras.«

EU-nämnden hade inga frågor, åsikter eller kommentarer.

I anknytning till Going Dark-gruppens arbete gick de europeiska polischeferna ut via Europol med uppmaningen »European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out«.

Vad de vill ha är laglig tillgång (lawfull access by design) till kommunikationstjänsternas lagrade data och skanning i realtid efter olagliga aktiviteter i användarnas meddelanden.

I ett 42-punktsprogram vill Going Dark-gruppen nu att meddelande-appar skall certifieras av EU. Man vill ha inflytande över branschens produktprotokoll och tekniska arkitektur.

Gruppen vill ha ny datalagring. Den kräver tillgång till begärd data i läsbar (ej krypterad) form. Data om IP-nummer / port skall också lagras. Detta skall även gälla operatörer som är baserade utanför EU.

Utöver datalagring vill man också ha tillgång till data. (Här kan nämnas att Europols utökade mandat redan ger dem rätt att bereda sig tillgång till data hos privata aktörer. Detta gäller även data om personer som inte är misstänkta för brott.)

Man vill även kunna övervaka dig i din uppkopplade bil – och genom allt annat under rubriken internet of things.

Man efterlyser infrastruktur som är »compatible with the transfer in real time of interception of potentially very large amounts of data of various nature«.

Gruppen har tydligen problem med att komma åt »home routing« via 5G. Därför vill man vara med i utformandet av standarden för 6G. Och så vill man komma åt internettrafik som går via satellit.

Man vill ha ökade resurser, inte bara för att komma åt krypterad data utan även för att utveckla AI-verktyg för dataanalys. (Som Chat Control 2, i sin grundform.)

Gruppen vill även se en mekanism för gränsöverskridande utbyte av information om tekniska sårbarheter som kan utnyttjas för övervakning.

Man kräver »state-of-the-art technological solutions« och en ny researchgrupp för att komma åt totalsträckskrypterad /end-to-end-krypterad kommunikation.

Meddelandeplattformar som inte underkastar sig det ovanstående skall kunna utsättas för administrativa sanktioner och begränsad möjlighet att verka på EU:s marknad.

(När samma resonemang är på tapeten i förslaget om Chat Control 2 föreslås att meddelande-appar som inte lyder order skall förbjudas på de tekniska plattformarnas app-stores.)

Man talar till och med om fängelse för »non-cooperative hosting providers«.

Allt detta och mer därtill hoppas man skall ligga till grund för den nya EU-kommissionens arbete de kommande fem åren.

Här kan det vara på sin plats att konstatera att Europadomstolen i februari slog fast att kryptering är en mänsklig rättighet. Europakonventionen och EU:s egen rättighetsstadga säger att…

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Även EU-domstolen har fattat i sammanhanget principiellt viktiga beslut. När den upphävde EU:s datalagringsdirektiv 2014 etablerade den principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dessutom har Europaparlamentet – i samband med behandlingen av Chat Control 2 – slagit fast följande relevanta punkter:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.

Man kan också konstatera att det inte finns något säkert sätt att komma åt krypterad information utan att också göra den tillgänglig för kriminella, främmande makt och andra aktörer med onda avsikter. Det har gjorts försök. Alla har misslyckats.

Det gäller även client-side-scanning oavsett om den sker på system- eller applikationsnivå. Den kräver svagheter i hård- eller mjukvaran som kan missbrukas. Finns det en bakdörr kommer information om den att läcka. Inte ens CIA och NSA har lyckats hålla sina verktyg hemliga.

Här skall också påpekas att det redan finns verktyg för client-side-scanning på systemnivå (hemlig dataavläsning) som efter prövning kan sättas in mot personer som faktiskt är misstänkta för brott. Men EU:s ministerråd och Europol tycker uppenbarligen att det inte räcker.

Ju mer man gräver ner sig i pappren, ju mer uppenbart blir det att Chat Control 2 inte kan ses som ett isolerat förslag. Det är en del i en större drive för att komma åt privat kommunikation och data. Det handlade aldrig om barnen.

Länkar och resurser:
• High-Level Group “Going Dark” outcome: A mission failure »
• Going Dark expert group – EU’s surveillance forge »
• Going Dark: Ett amerikanskt-europeiskt samarbete för att knäcka privat kommunikation i det dolda. »
• Going dark – EU:s krig mot krypterad kommunikation »
• EU-kommissionen: High-Level Group (HLG) on access to data for effective law enforcement »
• Europol: European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out »
• Europol: Equilibrium between security and privacy: new report on encryption »
• Europadomstolen om rätten till krypterad kommunikation »
• UNHCR: What is Encryption? »
Anti-encryption EU expert group to make access to data a political and technical standard »
• EU-Staaten wollen Zugriff auf verschlüsselte Daten und mehr Überwachung »
First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission
• Going Dark-gruppens 42-punktsprogram »

Kriget mot krypterad kommunikation

av

Europeiska polischefer kräver det omöjliga: Bakdörrar till krypterade meddelanden utan att sätta säker kommunikation på spel.

I veckan gick ett antal europeiska polischefer ut och krävde att myndigheterna får tillgång till totalsträckskrypterad / end-to-end-krypterad (E2EE) kommunikation.

Detta är en dragkamp som pågått i många år. Polisen och de flesta politiker ägnar sig åt ett ständigt krypskytte mot privat kommunikation. Trots att sådan är en grundläggande mänsklig rättighet.

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.« Så säger EU:s människorättsstadga, som är en del av Fördragen.

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens« instämmer Europakonventionen om skydd för de mänskliga rättigheterna.

Naturligtvis skall man övervaka människor som misstänks för brott. Men inte alla andra, hela tiden. Principen har slagits fast av EU-domstolen.

Krypterad kommunikation är en förutsättning för privat korrespondens och därmed är E2EE en del av denna mänskliga rättighet, säger Europadomstolen.

Polisen kan redan använda sig av spionprogram (hemlig dataavläsning) för att komma åt misstänktas meddelanden på själva telefonen eller datorn – innan de krypterats och efter att de av-krypterats.

E2EE används för säker kommunikation av journalister, dissidenter, visselblåsare, företag, myndigheter och privatpersoner världen över. Konsekvenserna av att undergräva den är närmast oöverskådliga och oacceptabla.

Vad polisen vill är att e-post- och meddelandetjänster skall skapa bakdörrar i den kryptering de använder för sina kunders räkning.

Verkligheten går dock åt ett annat håll. Nu erbjuder även Meta (Messenger, WhatsApp, Instagram) sina användare E2EE. Meddelande-appar som Signal erbjuder redan tidigare säker, krypterad kommunikation.

Vilket fått de europeiska polischeferna att göra sitt uttalande. Graeme Biggar, director general på brittiska National Crime Agency (NCA) säger till BBC:

»Tech companies are putting a lot of the information on end-to-end encryption. We have no problem with encryption; I’ve got a responsibility to try and protect the public from cybercrime, too — so strong encryption is a good thing — but what we need is for the companies to still be able to pass us the information we need to keep the public safe.«

Detta är en självmotsägelse. Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte.

Öppnar man bakdörrar kommer dessa att läcka och att exploateras av hackare, bedragare och kriminella. Samt av andra aktörer med onda avsikter, till exempel främmande makt som vill spionera på våra myndigheter och företag.

TechCrunch noterar:

»In recent years, the U.K. Home Office has been pushing the notion of “safety tech” that would allow for scanning of E2EE content to detect CSAM without impacting user privacy. However, a 2021 “Safety Tech” challenge it ran, in a bid to deliver proof of concepts for such a technology, produced results so poor that the expert appointed to evaluate the projects, the University of Bristol’s cybersecurity professor Awais Rashid, warned last year that none of the technology developed for the challenge is fit for purpose. “Our evaluation shows that the solutions under consideration will compromise privacy at large and have no built-in safeguards to stop repurposing of such technologies for monitoring any personal communications,” he wrote.«

Naturligtvis finns här en bakomliggande historia, vilket bekräftas av polisens pressmeddelande. »Deklarationen som nu antagits av polischeferna i Europa är en direkt förlängning av det svenska initiativet Going Dark, som Sverige drev under det svenska EU-ordförandeskapet första halvåret 2023.«

Going Dark är ett ljusskyggt projekt som inleddes med att EU-kommissionen tillsatte en »High-Level Expert Group« för att diskutera hur man skall komma åt krypterad kommunikation.

Snabbt ändrades namnet till en »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man tyckte var olämpligt i detta fall. Vilka som ingår i gruppen är hemligt.

Men vi har ändå viss information om vad gruppen sysslar med. På sina möten har man bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, spionprogram och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Något sätt att komma åt E2EE kommunikation har de dock inte funnit. Därav de europeiska polischefernas uttalande.

Striden om totalsträckskryptrad kommunikation fortsätter.

Länkar:
• Polisen: Europas polischefer går samman mot grov brottslighet i en digital värld »
• TechCrunch: European police chiefs target E2EE in latest demand for ‘lawful access’ »
• MEP Patrick Breyer (PP, DE): Police chiefs want to halt secure end-to-end encryption to enable chat control bulk scanning of all private messages »

Relaterat:
• Going dark – EU:s krig mot krypterad kommunikation »

Nu står striden om det fria ordet i EU

av

Konspirationsteori, slump eller något annat? Olika lagar från EU som klubbats eller är på gång utgör sammantaget ett tydligt hot mot yttrandefriheten på nätet.

Ibland är helheten större än delarna. Så är till exempel fallet med EU:s lagstiftning vad gäller internets frihet, övervakning och yttrandefrihet. Så här:

Med EU:s nya Digital Services Act (DSA) etablerar man en laglig grund och verktygen för att avlägsna innehåll på nätet.

DSA:s så kallade Trusted Flaggers (betrodda anmälare) blir statligt godkända nätcensorer, med en direktlina till sociala media för att rekommendera vilket innehåll som bör plockas bort.

Myndigheter i ett EU-land kan beordra borttagning av innehåll på servrar i en annan medlemsstat, även om innehållet i fråga inte är olagligt i den senare.

Med Chat Control 2 (CC2) vill EU-kommissionen och EU:s ministerråd låta AI granska innehållet i alla våra elektroniska meddelanden, konversationer på nätet och de bilder och filer vi sänder till varandra.

Vilket nästan alla andra anser står i strid med vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

Till och med kommissionens och rådets respektive egna rättstjänst säger nej till förslaget. Kommissionen själv medger att CC2 kränker rätten till privat korrespondens. Samt yttrandefriheten, persondataskyddet och informationsfriheten. Men att den inte bryr sig.

Lägg till detta att EU nu vill göra hat och hot till ett EU-brott, i klass med terrorism och vapensmuggling. Detta utan att berätta vilka yttranden det är man vill göra olagliga. I vart fall får vi inte veta innan sommarens EU-val.

Således har vi här en laglig grund för att censurera internet (DSA), verktyget för att upptäcka otillåtna konversationer (CC2) – samt en kommande, ospecificerad inskränkning av yttrandefriheten.

Konspiration, slump eller något annat – dessa tre pusselbitar passar oroväckande bra ihop.

Även om CC2 skulle falla ger DSA och den nya lagstiftningen om hat och hot EU mycket långtgående möjligheter att censurera oönskade yttranden och innehåll på nätet.

Striden om det fria ordet i EU – på och utanför nätet – avgörs under den kommande mandatperioden, efter sommarens EU-val.