Femte juli

Nätet till folket!

Sökresultat för: datalagring

Så vill EU och regeringen få tillgång till innehållet i dina meddelanden

av

EU och regeringen vill komma åt totalsträckskrypterade meddelanden och e-post. Med Chat Control 2 kommer de att kunna göra det – på alla telefoner och datorer.

EU, Europol och den svenska regeringen är på krigsstigen mot totalsträckskrypterad kommunikation. Man vill ge myndigheterna en »bakdörr« för att komma åt misstänkt innehåll.

Säkerhetsmässigt vore detta en katastrof. Antingen har man säker kryptering end-to-end, eller så har man det inte. Det finns inga mellanting.

Om europeiska och svenska myndigheter skapar säkerhetsluckor (bakdörrar) i vår elektroniska kommunikation – då kommer dessa med säkerhet även att användas av till exempel kriminella, främmande makt och förtryckarstater över hela världen.

Inte desto mindre argumenterar EU och regeringen för att så skall ske. Justitiedepartementet hänvisar till rättssäkerhetsgarantier i form av att det skall krävas domstolsbeslut. (Vilket dock inte ändrar att man ödelägger den tekniska säkerheten.)

Nu måste man ha flera saker i huvudet. I EU:s ministerråd tröskas samtidigt förslaget om Chat Control 2 genom beslutsprocessen. Även om frågan för tillfället gått i långbänk – så finns en majoritet bland medlemsstaterna för client-side-scanning.

Det innebär att man lägger in spionprogram (på applikations- eller systemnivå) i alla mobiltelefoner, plattor och datorer. På så sätt vill man kontrollera innehållet i våra meddelanden och vår e-post innan de krypteras och sänds iväg. (Vilket för övrigt skapar nya säkerhetsproblem.)

Således kommer de rättssäkerhetsgarantier man talar om när det gäller »bakdörrar« att falla platt till marken – eftersom man med Chat Control 2 ändå tänker kontrollera innehållet i allas alla elektroniska meddelanden.

Som om Chat Control 2 inte är illa nog i sig kommer förslaget att drabbas av ändamålsglidning. Övervakningslagar utökas alltid vad gäller så väl form som omfattning. Alltid.

Med Chat Control 2 får EU, Europol och den svenska regeringen sina bakdörrar – på alla telefoner och datorer, alltid – utan rättssäkerhetsgarantier. Till priset av försämrad säkerhet för alla, i hela världen.

Slutligen måste man fråga sig vad framtida makthavare kan göra med de övervakningsverktyg vi nu ger dem. Att bereda sig tillgång till medborgarnas kommunikationer är varje auktoritär ledares dröm.

Det behöver inte ens handla om onda makthavare. Systemet kan lika gärna missbrukas på grund av inkompetens, dåligt omdöme, slentrian, överdriven nit, yttre påverkan, infiltration, korruption eller bara för att någon har en dålig dag på jobbet.

Att bereda sig tillgång till medborgarnas privata meddelanden är ett oerhört kraftfullt verktyg med närmast oemotståndliga frestelser för dem som kontrollerar systemet. Därför säger de grundläggande mänskliga rättigheterna:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

När de mänskliga rättigheterna stadfästes efter andra världskriget – då visste man hur illa det kan gå om man tummar på dem. Det är därför de är skyddade i internationella fördrag som vi förbundit oss att följa. De skall inte gå att ändra eller kringgå. De är till för att skydda individen mot staten.

EU:s och regeringens planer vad gäller bakdörrar till totalsträckskrypterade meddelanden och Chat Control 2 måste stoppas!

Läs mer:
• Joint Letter on Swedish Data Storage and Access to Electronic Information Legislation »
• ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden »
• Chat Control 2 – en uppdatering »
• Stoppa regeringens bakdörrs-lag! »
• Regeringens kryptoproblem »
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »
• Striden om kryptering tar ny fart »

Tyskland börjar datalagra – igen

av

För fjärde gången försöker en tysk regering nu införa lagring av data om medborgarnas elektroniska kommunikationer.

Den tillträdande tyska regeringen tänker återinföra datalagring. Dock »bara« av IP-adresser och portnummer, och »bara« i tre månader. (Ej annan metadata om telefonsamtal, SMS, meddelanden, mobilpositioner m.m.)

Det är dock tveksamt om EU-rätten ger utrymme för sådan generell lagring, speciellt om det sker utan närmare specifikation än allmän »brottsbekämpning«.

Enkelt uttryckt slår EU-domstolen (ECJ) fast följande: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Redan innan ECJ år 2014 upphävde EU:s datalagringsdirektiv var frågan het i Tyskland.

2010 ogiltigförklarade Tysklands författningsdomstol den dåvarande tyska lagen som implementerade EU:s ursprungliga datalagringsdirektiv (Telekommunikationsgesetz, TKG), med motiveringen att den stred mot rätten till privatliv.

2015 anpassades ny tysk datalagring delvis till EU-domstolens beslut 2014. 2017 kom förvaltningsdomstolen i Köln fram till att datalagringen trots detta stred mot EU-rätten, eftersom den inte var »differentierad och riktad«, utan generell. Datalagringen avbröts då.

Den nu avgående regeringen beslutade att man inte ville ha någon generell datalagring. Istället diskuterades en »Quick Freeze«-modell, där data inte lagras rutinmässigt, utan först »fryses« vid konkret misstanke och efter rättsligt godkännande.

Nu återuppstår dock den tyska datalagringen, om än i en light-variant. Den nya regeringen skulle säkert vilja gå längre – men EU-rätten sätter gränser.

(Samtidigt vill den svenska regeringen utöka datalagringen till att även gälla innehåll (inte bara metadata) i alla olika meddelandetjänster. Den svenska utredningen vill även att totalsträckskrypterade meddelanden skall kunna överlämnas till mydigheterna i läsbar – det vill säga av-krypterad – form.)

CC0

EU ångrar GDPR och sin nya AI Act

av

EU-kommissionen ångrar nu delar av GDPR och sin nya AI-lagstiftning: Satsar 20 miljarder euro på att kompensera med AI Gigafactories och nya datacenter.

När jag arbetade i Europaparlamentet brukade vi säga att först beslutar EU, sedan debatterar man saken och därefter tar man reda på fakta. It’s funny because it’s true.

Man kan också notera att dåliga EU-förslag nästan aldrig går i papperskorgen. Istället kompromissar man tills man kommer fram till något otympligt som alla kan bli missnöjda med. Mycket talar för att Chat Control 2 kommer att bli ett exempel på detta.

Med de bästa och vackraste ambitioner ger man sig in i projekt, skriver omfattande och detaljerad lagstiftning och hinner som regel ställa till problem ute i verkligheten och näringslivet innan man inser att man kanske gått för långt. Då backar man. När skadan redan är skedd.

EU:s dataskyddsförordning, GDPR, är ett exempel. Grundprincipen att människor skall ha makten över sin egen persondata är vacker och bra på så många sätt. Men lagstiftningen har lett till tunga regelbördor och kostsam byråkrati (10-20 miljarder euro/år enligt Accenture), i delar till liten eller ingen nytta i sak. Och till en väldig massa cookie-banners.

Så nu backar EU-kommissionen. Politico rapporterar:

»The European Commission plans to present a proposal to cut back the General Data Protection Regulation, or GDPR for short, in the next couple of weeks. Slashing regulation is a key focus for Commission President Ursula von der Leyen, as part of an attempt to make businesses in Europe more competitive with rivals in the United States, China and elsewhere.«

Jag såg på nära håll när GDPR förhandlades fram och kunde redan då säga att man skapade ett byråkratiskt monster – som ständigt växte under processens gång. Utan att nödvändigtvis tillföra mer substans i kärnfrågan, persondataskyddet.

(En paradox i sammanhanget är att EU med ena handen försökt stärka persondataskyddet i kommersiella sammanhang – och med andra handen ständigt försöker försvaga medborgarnas konventionsskyddade rätt till privatliv och privat korrespondens gentemot staten.)

Ett annat exempel är EU:s nya AI Act, som i delar också är ett exempel på överreglering, detaljstyrning och byråkrati. Även där inser man nu att man skapat något som kommer att skada europeisk AI-industri, i den mån någon sådan existerar. Politico rapporterar:

»The EU executive will launch a new ”AI Continent” plan on Wednesday. According to an undated draft of the plan obtained by POLITICO, the executive wants to ”streamline” rules and get rid of ”obstacles” that it feels are slowing companies in Europe down in competing with the U.S. and China.«

Vilket är så dags nu när man redan etablerat ett omfattande regelverk – som företagen tvingats anpassa sig till. Eller som drivit nyetableringar till andra delar av världen.

Så nu överkompenserar man. EU-kommissionen vill inte bara förenkla de regler som man ägnat sju år av sammanträden åt ta ta fram. Enligt uppgifter i media lovar ordförande von der Leyen att satsa 20 miljarder euro av skattebetalarnas pengar på fem nya »AI Gigafactories« och att tredubbla kapaciteten i EU:s datacenter till år 2032. Om elen räcker och om man kan säkra tillgången till halvledare.

Om detta är vad som krävs för att stimulera europeiskt kreativt, innovativt entreprenörskap på AI-området är oklart. Vi vill inte vara onödigt EU-kritiska på denna blogg – men vi måste ändå ställa frågan om EU:s beslutsfattare begriper vad de sysslar med.

En inte allt för vågad gissning är att även delar av EU:s nya Digital Services Act kan komma att revideras. Detta då den utestänger nya aktörer (som inte har en rejäl kassakista, bra advokater och en kår av compliance officers) från att etablera sig och på allvar ta upp konkurrensen med Meta, Google, X och ByteDance på den europeiska marknaden för sociala media.

Länkar:
• Europe’s GDPR privacy law is headed for red tape bonfire within ‘weeks’ »
• Europe prepares AI charm offensive as industry trembles from tariff shocks »

CC0

Regeringens kryptoproblem

av

Svenska och europeiska myndigheter vill skapa bakdörrar som gör de säkra meddelande-appar de använder osäkra – för sig själva och för alla andra i hela världen.

Samtidigt som EU för krig mot totalsträckskrypterad (E2EE) elektronisk kommunikation med Chat Control 2 och projektet Going Dark föreslår den svenska regeringen att meddelandetjänster på begäran skall tvingas överlämna innehållet i sina användares kommunikationer till myndigheterna i läsbar (det vill säga icke krypterad) form.

Ställd inför detta hotar meddelande-appen Signal att lämna Sverige. Det vill säga blockera svenska användare hellre än att skapa bakdörrar som öppnar säkerhetsluckor på en global nivå.

Till SVT säger Signals chef Meredith Whittaker:

»– Vårt ansvar är att erbjuda teknologi som upprätthåller de mänskliga rättigheterna i en era där de rättigheterna kränks på allt fler ställen. I den digitala världen i dag finns det väldigt få ställen där vi kan kommunicera privat eller visselblåsa.«

Signal används idag av människorättsaktivister, dissidenter, media, visselblåsare, säkerhetsmedvetna företag, organisationer och privatpersoner världen över. De skulle alla drabbas om den svenska regeringen får som den vill.

Men inte nog med det. Den svenska försvarsmakten rekommenderar nu sin personal att använda Signal för säker elektronisk kommunikation. »Beslutet syftar till att försvåra avlyssning av samtal och meddelanden som sänds via telefonnätet.«

Enligt uppgift har även Regeringskansliet och Utrikesdepartementet (med flera myndigheter) implementerat Signal i sina kommunikationssystem för att säkerställa säker och krypterad kommunikation.

Sedan februari 2020 är Signal den rekommenderade appen för snabbmeddelanden för Europeiska kommissionen och dess personal. Den används även av den tyska regeringen. Plus en mängd andra regeringar och myndigheter världen över.

Samtidigt vill alltså både EU och den svenska regeringen skapa en bakdörr – som gör Signal (och liknande meddelande-appar) sårbar för angrepp från främmande makt, kriminella och andra aktörer med ont uppsåt.

Detta i namn av att bekämpa den grova brottsligheten. Men saken är att man redan har ett sådant verktyghemlig dataavläsning. Det handlar om spionprogram på moibiltelefoner, datorer, plattor, spelkonsoler m.m. – men bara hos personer som misstänks för brott. Inte alla andra.

Med hemlig dataavläsning kan myndigheterna se allt som finns och görs på en misstänkts mobil eller dator. Plus använda mikrofon och kamera för att övervaka användaren och dess omgivning. Det är inte heller oproblematiskt.

Men det är bättre än att göra säker elektronisk kommunikation osäker för alla i hela världen genom bakdörrar till totalsträckskrypterade meddelandetjänster.

Vilket är i linje med EU-domstolens principbeslut om datalagring: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Här skall även nämnas att Europadomstolen för de mänskliga rättigheterna kommit fram till att totalsträckskrypterad kommunikation är en mänsklig rättighet.

Inte desto mindre fortsätter regeringen, EU och Europol att kräva bakdörrar för att kunna komma åt medborgarnas totalsträckskrypterade elektroniska meddelanden.

Även om regeringen skulle få igenom sitt förslag hindrar det ändå inte att den som verkligen vill kan kommunicera med totalsträckskryptering – utanför de stora meddelande-apparna. Det är en fråga om att man inte kan förbjuda matematik.

Länkar:
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »
• Försvarsmakten använder appen signal för öppen kommunikation med mobiltelefoner »
• Signal lämnar Sverige om regeringens förslag på datalagring klubbas »
• Signals chef: Då lämnar vi Sverige »
• Centern: Nej till tekniska bakdörrar i krypterade appar »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 »
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »
• Striden om kryptering tar ny fart »
• Europadomstolen: Totalsträckskryptering är en mänsklig rättighet »

CC:0

Veckans övervakningsnyheter

av

I veckan togs flera nya steg mot en allt mer omfattande svensk övervakningsstat.

På torsdagen häll Tidö-partierna presskonferens för att meddela en rad åtgärder i kampen mot den grova brottsligheten. Det blev en blandad påse, som lämnar flera frågetecken.

Regering och riksdag snabbar upp genomförandet av hemliga tvångsmedel mot barn under 15 år, utökad kameraövervakning och skärpt kontroll av sprängmedel.

Man kommer vidare att utreda möjligheten att störa och avbryta cyberbrottslighet. Polisen skall få utökade möjligheter att agera mot olagligt innehåll online.

I båda dessa fall skall det bli intressant att få veta hur det skall gå till och vad de föreslår som inte redan är möjligt med EU:s Digital Services Act.

Kommer förslaget att innehålla något slags generell övervakning av vissa kommunikationskanaler? (Vilket i så fall kan strida mot EU-lagstiftning.) Hur har man annars tänkt att det skall gå till?

Vidare föreslås förenklad delning av personuppgifter inom polisen. Varningsflaggan här är att vi redan idag ser hur anställda inom polisen gör otillåtna sökningar – av nyfikenhet eller på uppdrag av utomstående.

På sikt vill man använda »nya verktyg och digital teknik« för att hantera stora mängder personuppgifter. Vilket låter som att man krattar manegen för att använda AI för detta ändamål.

Den på presskonferensen och i media mest förbisedda delen av torsdagens paket är att en särskild utredare »ges i uppdrag att göra en samlad översyn av reglerna om hemliga och preventiva tvångsmedel«. Vilket man kan misstänka hänger samman med vad Lagrådet efterlyste i samband med att lagen om hemlig dataavläsning permanentades. Man skrev då:

»Vad den sammantagna regleringen – med den förhållandevis omfattande övervakning som den möjliggör – innebär för ett demokratiskt samhälle har kommit att falla utanför de enskilda lagstiftningsärendena.«

»Frågan om i vilken utsträckning den enskilde ska behöva tåla övervakning av det slag som hemliga tvångsmedel innebär måste emellertid enligt Lagrådets mening också bedömas samlat med beaktande av den samlade övervakning som den enskilde kan utsättas för. Lagrådet anser därför att det är synnerligen angeläget att det inom en snar framtid görs en samlad översyn, i ljuset av 2 kap. 6 § andra stycket regeringsformen och artikel 8 i Europakonventionen, av hur hemliga tvångsmedel ska kunna användas.«

Det är tveksamt om det som nu föreslås är tillräckligt brett för att tillgodose vad Lagrådet efterlyser. Den »samlade övervakningen« är mer än polisens hemliga och preventiva tvångsmedel. FRA. Den olagliga datalagringen. Med mera. För övrigt nämns inte lagrådet i sammanhanget.

Istället anges syftet med översynen vara att utreda utökade möjligheter att använda hemliga och preventiva tvångsmedel. Det vill säga mer övervakning.

Utredningen skall vara klar i maj 2026, i slutet av denna mandatperiod. Så även om utredningen skulle komma fram till något av betydelse är det inget den nu sittande regeringen hinner eller behöver bry sig om.

Det som kunde vara början på en bredare diskussion om övervakningsstaten kommer att drunkna i den valrörelse som börjar ungefär när utredningen är tänkt att presenteras. Och partierna kommer att göra allt för att ducka debatten. Som vanligt.

Länkar:
• Regeringen: Pressträff om nästa offensiv mot den organiserade brottsligheten »
• Regeringen: En översyn av reglerna om hemliga och preventiva tvångsmedel »
• Aftonbladet: Regeringens fyra spår mot organiserad brottslighet »

Tidigare bloggposter:
• Lagrådet ifrågasätter övervakningsstaten »
• Kommer regeringen att svara lagrådet om övervakningsstaten? »

EU:s planer för internet – hela (?) listan

av

Trots kritiken mot att man överreglerar kommer EU att rulla ut ett flertal nya lagstiftningsförslag som berör internet, yttrandefrihet och övervakning under den nya mandatperioden.

Den nya EU-kommissionen har nu presenterat sitt arbetsprogram. Totalt planeras 51 större nya politiska initiativ och det finns 123 sådana under beredning sedan tidigare. Låt oss titta igenom dokumenten och se vad som rör internet, övervakning och relaterade frågor.

I ett faktablad kan vi läsa att det kommer ett lagstiftande digitalt paket under fjärde kvartalet i år. Då kommer även en Digital Networks Act, en AI Continent Action Plan och en Quantum Strategy of EU. (Oklart om detta är delar i det digitala lagpaketet eller om de ligger utanför.)

Under tredje kvartalet i år tänker man komma till skott med EU:s Demokratisköld, där vi redan skrivit om kommissionens briefing paper. Intrycket är att det mest är en byråkratisk ordsallad. Vi kan även förvänta oss fördjupad lagstiftning mot diskriminering och rasism, vilket alltid väcker frågor om rättigheter och yttrandefrihet.

Det kommer också en ny intern säkerhetsstrategi för EU i närtid. Vi vet ännu inte vad den innehåller, men några heta frågor i ämnet kan vara ny datalagring, kriget mot totalsträckskryptering, och ökad massövervakning, som ju ständigt är aktuella i unionen.

Gräver man ner sig i bilagorna kan vi även se att man planerar en översyn av EU:s Geo-blocking Regulation.

Plus sådant som redan är under beredning:

  • digital Euro [COM(2023)369 final 2023/0212 (COD)],
  • ett direktiv om »payment services and electronic money services« [(COM(2023)366 final 2023/0209 (COD)],
  • reglering av ramverk för Financial Data Access [COM(2023)360 final 2023/0205(COD)],
  • Chat Control 2 [COM(2022)209 final 2022/0155 (COD)],
  • »A more inclusive and protective Europe« – utökning av listan av EU-brott till att även gälla hat och hot [COM(2021)777 final] (se vår tidigare bloggpost).

Man kan även notera att att EU-kommissionen i sista stund dragit tillbaka ett planerat AI Liability Directive [COM(2022)496 final 2022/0303 (COD)] Vilket kanske kan ses i ljuset av kritiken mot att EU överreglerar AI.

Ett annat förslag som dragits tillbaka är en reglering »concerning the respect for private life and the protection of personal data in electronic communication« [COM(2017)10 final 2017/0003 (COD)].

Något vi vid första påseende inte kan hitta i dokumenten är planen på gemensamma digitala medicinska journaler i EU, digitalt EU-ID och en EU-gemensam digital plånbok. Men det är möjligt att dessa frågor betraktas som färdigbehandlade.

Allt det ovanstående med reservation för att EU-dokumenten är snåriga, att viktiga saker ibland göms bakom missvisande rubriker och att vi kan ha missat eller missuppfattat något. Lägg till det att nya frågor ständigt dyker upp, ofta snabbt och under radarn.

• EU-kommissionen: A bolder, simpler, faster Union: the 2025 Commission work programme »

Relaterat:
• Nya EU-kommissionen och internet »

Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation

av

Regeringens förslag om att ge myndigheterna tillgång till krypterade meddelanden sågas grundligt av tunga remissinstanser.

Bort med tassarna från totalsträckskrypterad kommunikation! Det är budskapet när Försvarsmakten ger sitt remissvar på regeringens utkast till lagrådsremiss om »Datalagring och tillgång till elektronisk information«.

Förslaget bygger på en utredning som bland annat föreslår att i princip alla elektroniska meddelandetjänster (utom telefon och SMS) skall tvingas lämna ut information om innehåll i användarnas meddelanen. Det skall ske i läsbar (okrypterad) form. Även om meddelandet är totalsträckskrypterat (E2EE).

Vilket i så fall kräver något slags bakdörr. Detta kallas på kanslihus-svenska för »anpassningsskyldighet«.

Datasäkerhetsspecialisten Karl Emil Nikka har gjort en sammanställning av remissvaren, som presenteras i den utmärkta podcasten Bli Säker. Du kan se avsnittet nedan. Här är några nedslag:

Journalistförbundet menar att det är viktigt för källskyddet med anonymitet och att denna hotas med förslaget. Man pekar även på att totalsträckskrypterade meddelandetjänster är viktiga för människorättsaktivister och andra som riskerar att drabbas av repressalier i autoritära länder.

Södertörns Tingsrätt undrar hur regeringen tänkt få meddelandetjänster i resten av världen att acceptera och följa en sådan svensk lag. »Legitima globala aktörer kan dra sig ur den svenska marknaden, medan oseriösa aktörer i tredje land kan avstå från att följa skyldigheten med begränsade risker.«

Polisen tycks mena att det är möjligt för meddelandetjänster att möta utredningens krav och samtidigt tillgodose säkerhet och skydd för kommunikation. Hur det skall gå till är dock oklart. Detta känns på sin höjd som en åsikt.

Även Säkerhetspolisen menar att förslaget visar att det är möjligt att genomföra utan en generell försvagning av integritets- och informationssäkerhetsskydd. Varifrån kommer denna idé?

I den bakomliggande utredningen kan vi se hur detta är tänkt att gå till. Det verkar som om utredaren tror att det går att skapa en lösning där endast ett meddelandes avsändare, mottagare och svenska myndigheter kan läsa.

I podcasten frågar sig Karl Emil Nikka vad som får utredare och regering att tro att globala företag skulle införa detta för just Sverige. Skulle inte en sådan lösning även kunna användas av auktoritära regimer i andra länder?

IT-säkerhetsföretaget Trusec menar att det »saknas sakkunnig expertis inom cyber och cybersäkerhet i utredningen«. Man menar att förslaget kan leda till sämre säkerhet för alla användare.

De svenska användargrupperna menar att anpassningsskyldigheten skapar ett stort intrång i den personliga integriteten. Den kan även »leda till att företag som tillhandahåller kommunikationslösningar kan komma att dra sig ut från den svenska marknaden och enbart lämna kvar tjänster där kommunikationen inte kan totalsträckskrypteras.« Man efterlyser även en konsekvensanalys.

Internetstiftelsen menar att förslaget inte går ihop »eftersom hela syftet med totalsträckskrypterade tjänster är att ingen förutom mottagare och sändare ska kunna ta del av informationen.«

Näringslivet i TechSverige skriver i sitt remissvar »Vi har sett hur effektiva illvilliga aktörer är på att identifiera och utnyttja sårbarheter i digitala kommunikationssystem. Under senare tid har även experter uppmanat till en ökad användning av totalsträckskrypterad (end-to-end) kommunikation. TechSverige vill därför trycka på vikten av tydliga skydd för krypterad kommunikation så inte lagstiftningen skapar sårbarheter som kan nyttjas av illvilliga aktörer

Juridiska fakulteten vid Stockholms Universitet påpekar följande »Vidare kan krav på att tillhandahålla bakdörrar och nyckeldeponering avseende totalsträckskrypterade tjänster få motsatt effekt, eftersom det inte bara är brottsbekämpande myndigheter som kan göra bruk av dessa utan även kriminella och andra hotaktörer.« Vilket tidigare har påpekats av både Europol och EU:s cybersäkerhetsmyndighet ENISA.

Netnod, tungviktarna som driver knutpunkter som kopplar ihop Sverige med resten av internet konstaterar i tydliga ordalag att kravet på anpassningsskyldighet är omöjligt.

»Detta är tekniskt omöjligt att uppfylla för en totalsträckskrypterad tjänst utan att kompromettera totalsträckskrypteringen. Och om informationen är krypterad med nyckelmaterial i säkert element kan denna nyckel inte delas med en tredje part (dvs tjänstetillhandahällaren) på ett sådant sätt som lagrådsremissen och utredningen föreslår (…)«

»Detta innebär därmed att bakdörrar maste byggas in i kommunikationstjänster. Bakdörrar är att likställa med sårbarheter ur ett riskhanteringsperspektiv, och sårbarheter får aldrig byggas in i tjänster enligt Netnod.«

Det är ord och inga visor. Och den sista spiken i kistan hamras in av Försvarsmakten som säger att »Försvarsmakten bedömer att kravet på anpassningsskyldighet av nummeroberoende interpersonella kommunikationstjänster inte kommer att kuna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part

Som synes är kritiken av förslaget massiv. Förhoppningsvis så massiv att regeringen inte kan bortse från den.

Guldstjärna till Karl Emil Nikka som gjort sammanställningen. Se hela presentationen i Bli Säker-podden nedan. (Start vid 15:45.)

Vi har tidigare skrivit om utredningen och vårt remissvar på densamma:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »

Vi har även skrivit om en annan del av förslaget till lagrådsremiss, så kallad »nationell säkerhetslagring« där Säpo i vissa situationer kan besluta om att lagra alla våra elektroniska fotspår i upp till två år:
• Undantagstillstånd i den svenska övervakningsstaten »

Man kan inte samtidigt ha massövervakning och säkra elektroniska kommunikationer

av

På ena sidan står politiker som vill kontrollera innehållet i alla medborgares elektroniska meddelanden. På den andra sidan finns ett ökat behov av säkra elektroniska kommunikationer. Men våra beslutsfattare duckar frågan.

Politik kolliderar inte sällan med verkligheten. Ett praktiskt exempel är EU:s ambitioner att övervaka medborgarnas elektroniska kommunikationer, som står i konflikt med ett ökat behov av säker elektronisk kommunikation.

EU vill använda AI och/eller spionprogram för att granska innehållet i alla européers elektroniska meddelanden inom ramen för Chat Control 2 (CSAM regulation).

Den nya EU-kommissionen och EU:s ministerråd vill se ett nytt regelverk för datalagring (lagring av metadata om allas telekommunikationer, elektroniska meddelanden, mobilpositioner med mera). Detta trots att EU-domstolen redan sagt nej till sådan.

Inom ramen för projektet Going Dark vill EU skapa verktyg och metoder för att komma åt totalsträckskrypterad (E2EE) elektronisk kommunikation.

Samtidigt ser vi hur främmande makt och kriminella också vill komma åt våra elektroniska kommunikationer.

I USA har statens verktyg för att kontrollera medborgarnas meddelanden missbrukats av kinesiska hackare. Tidigare har myndigheternas hela katalog av övervakningsverktyg hamnat i orätta händer.

I Nederländerna varnar underrättelsetjänsten i bestämda ordalag för konsekvenserna av Chat Control 2.

Nyligen varnade FBI och experter på cybersäkerhet till och med för att använda SMS. Behovet av säkra kommunikationer blir allt mer uppenbart.

Detta är bara några exempel. Intressekonflikten är uppenbar. Det gäller inte bara privatpersoner. Företags, organisationers, medias och myndigheters elektroniska meddelanden kommer också att utsättas för risker.

När det gäller människor som misstänks för brott har staten redan de verktyg som krävs för att komma åt all elektronisk kommunikation och allt som görs och finns på dessa personers telefoner och datorer genom hemlig dataavläsning.

Att man skall kunna övervaka personer och grupper som misstänks för brott är de flesta överens om.

Den politiska striden handlar om ifall denna övervakning skall utökas till att gälla alla. Det vill säga även vanliga hederliga människor, som inte misstänks för något brottsligt. Till priset av försämrad IT-säkerhet.

EU-domstolen har redan slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den rättsliga basen för domstolens bedömning är de grundläggande mänskliga rättigheterna. Dels handlar det om rätten till privatliv och privat kommunikation. Dels om vad yttrandefriheten har att säga om allas rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning.

Nyligen efterlyste riksdagens lagråd en samlad översyn av den stora mängden lagar och verktyg för övervakning. Är övervakningen i proportion till de problem man säger sig vilja lösa?

Är övervakningen ens effektiv? Aktuella siffror visar att endast två av tio fall av hemlig avlyssning i Sverige leder till åtal.

Hur påverkar övervakning av alla samhällets fria åsiktsbildning och demokrati? Vilka är riskerna för att dessa verktyg kan komma att missbrukas, nu eller i morgon?

Det enda klara svar vi får från politiken är att man inte vill diskutera saken. Men så enkelt får våra makthavare inte komma undan.

Hemlig övervakning leder oftast inte till åtal

av

70-80% av myndigheternas hemliga övervakning leder inte till åtal. Samtidigt växer övervakningsstaten utan att någon samlad översyn görs.

Regeringens skrivelse till riksdagen om användningen av hemliga tvångsmedel under 2023 är intressant läsning. Bland annat får man en bild av hur den hemliga övervakningen även drabbar många i den övervakades omgivning, även om det inte är textens syfte.

Tolkningsutrymmet är stort och skrivelsen innehåller anonymiserade beskrivningar av hur övervakningen sägs ha varit till nytta. Utan att ifrågasätta dessa utsagors äkthet kan man konstatera att de är av anekdotisk karaktär och att de inte går att verifiera.

Om man tar andelen fall av hemlig övervakning som leder till en stämningsansökan eller ett åtal ligger den på 20-30% av de beviljade tillstånden. Det vill säga att 70-80% av denna övervakning inte leder till åtal.

Till detta kan läggas att även om det blir åtal betyder det inte att den hemliga övervakningen nödvändigtvis bidragit till detta. Endast att det handlar om en person som på någon grund kunnat åtalas.

Skrivelsen argumenterar för att övervakning kan ge annan nytta än åtal. Men även i fall där ett brott kunnat förhindras måste väl i rimlighetens namn åtal kunna väckas för förberedelse eller stämpling?

Här följer en överblick av de hemliga tvångsmedel som redovisas:

Hemlig avlyssning av elektronisk kommunikation

Definitionen omfattar avlyssning av telefon- och telefaxtrafik, e-posttrafik och överföring av datafiler.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 4.203 tillstånd (1.837 personer) under 2023 (4.108/1.465 år 2022). 29% har lett till åtal.

Hemlig övervakning av elektronisk kommunikation

Enkelt uttryckt handlar detta om metadata från datalagring, mobilmast-tömningar med mera.

Används huvudsakligen för att utreda vålds- och narkotikabrott. 15.353 tillstånd (3.943 personer) under 2023 (13.146/3.314 år 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemlig kameraövervakning

Optisk personövervakning med »fjärrstyrda tv-kameror, andra optisk-elektroniska instrument eller därmed jämförbara utrustningar«. Ljudupptagning får ej ske.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 407 tillstånd (534 personer) under 2023 (239/250 år 2022). 23% har lett till åtal.

Hemlig rumsavlyssning

»Avlyssningen får omfatta tal i enrum, samtal mellan andra eller förhandlingar vid sammanträden eller andra sammankomster som allmänheten inte har tillträde till.«

Används huvudsakligen för att utreda narkotika- och våldsbrott. 146 tillstånd (110 personer) under 2023 (79/60 år 2022). 29% har lett till åtal.

Hemlig dataavläsning

Detta handlar om att installera spionprogram på telefoner, datorer, plattor och annan elektronisk utrustning. Med sådana kan man sedan komma åt allt som görs och finns på enheten, bedriva kameraövervakning och rumsavlyssning, positionsdata med mera.

(Säkerhetsluckor i hård- och mjukvara lämnas utan åtgärd för att dessa spionprogram skall kunna installeras vilket påverkar samhällets övriga IT-säkerhet negativt.)

Används huvudsakligen för att utreda narkotika- och våldsbrott. 172 tillstånd (331 personer) under 2023 (148/365 år 2022). Hemlig dataavläsning redovisas per användningssätt (se ovan) men i genomsnitt har 16% lett till åtal.

Övervakning enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott

Användning av »hemliga tvångsmedel för att förhindra brott, så kallade preventiva tvångsmedel, utanför en förundersökning« om det finns en »påtaglig risk för att en person kommer att utöva |viss] brottslig verksamhet«. Detta gäller även organisationer och grupper.

Används huvudsakligen för att utreda våldsbrott. 106 tillstånd (67 personer) under 2023. Ingen uppgift om hur stor andel som lett till åtal.

Inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet

Rätt för Polismyndigheten, Säkerhetspolisen och Tullverket att i underrättelsesyfte »i hemlighet hämta in uppgifter om meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller från ett telefonnummer eller annan adress, om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller uppgifter om inom vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits.«

På ansökan av Polismyndigheten och Tullverket beviljades 876 beslut, varav två avslagsbeslut under 2023 (727 beslut varav 23 avslag 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemliga tvångsmedel i Säkerhetspolisens verksamhet

Detta är Säpos användning av de olika hemliga tvångsmedlen ovan.

676 beslut om hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning och hemlig rumsavlyssning fattades år 2023 (562 beslut 2022); 803 beslut om hemlig dataavläsning 2023 (292 beslut 2022) samt 305 beslut med stöd av lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (203 beslut 2022). Ingen uppgift om hur stor andel som lett till åtal.

Sammanfattning

Input för de olika formerna av hemliga tvångsmedel varierar i skrivelsen och viktig information (t.ex. hur stor andel som gått till åtal) saknas i flera fall. Vilket gör det svårt att få en komplett bild av helheten.

I de fall där andelen beslut om hemliga tvångsmedel lett till åtal redovisas kan man dock konstatera att siffran förefaller låg. Man kan därför inte utesluta att ett stort antal oskyldiga personer drabbats. I vart fall om man går efter principen att »envar skall betraktas som oskyldig till dess motsatsen bevisats«.

Med tanke på polisens organisatoriska problem, omfattande byråkrati och låga uppklarningsprocent väcks frågor om huruvida övervakningen är ändamålsenlig, effektiv och proportionell.

Tidigare i höstas efterlyste Lagrådet en samlad utvärdering av övervakningsstaten. Rådet skrev (i samband med att det förgäves avstyrkte att lagen om hemlig dataavläsning görs permanent):

»Frågan om i vilken utsträckning den enskilde ska behöva tåla övervakning av det slag som hemliga tvångsmedel innebär måste emellertid enligt Lagrådets mening också bedömas samlat med beaktande av den samlade övervakning som den enskilde kan utsättas för. Lagrådet anser därför att det är synnerligen angeläget att det inom en snar framtid görs en samlad översyn, i ljuset av 2 kap. 6 § andra stycket regeringsformen och artikel 8 i Europakonventionen, av hur hemliga tvångsmedel ska kunna användas.«

För ett sådant syfte räcker denna skrivelse inte. Men regeringen verkar obekymrad:

»Regeringens bedömning är sammanfattningsvis att myndigheternas användning av hemliga tvångsmedel under 2023 har varit ett ändamålsenligt och nödvändigt instrument i brottsbekämpningen.«

• Regeringen: Redovisning av användningen av hemliga tvångsmedel under 2023 Skr. 2024/25:64 »

• Dagens Juridik: Ökad tvångsmedelsanvändning förra året – inga avslag »

FRA – ändamålsglidningen fortsätter

av

Nu föreslås Försvarets Radioanstalt – FRA – få rätt att spana på inrikes kommunikationer och begå dataintrång.

Förra veckan skrev vi om hur den nya lagen om datalagring ger Säpo rätt att på eget bevåg lagra metadata om alla våra elektroniska kommunikationer i upp till två år – om de skulle anse att det är nödvändigt.

Därför kan det även vara på sin plats att uppmärksamma att Försvarets Radioanstalt – FRA – är på väg att få rätt att spana på elektronisk trafik även inom Sverige. Utan att först behöva inhämta tillstånd.

Detta skall gälla i händelse av krig, vilket må vara en sak. Regeringen kan även besluta att så får ske vid krigsrisk, vilket möjligen lämnar ett visst tolkningsutrymme.

Även om man tycker att detta är bra bör man vara uppmärksam så att förslaget inte används för att sänka ribban för övervakningen i fråga.

Och tänka sig. Lite längre in i texten föreslås ett undantag från förbudet för FRA mot att spana på inrikes elektroniska kommunikationer (det är Säpos jobb) – i »brådskande situationer« i fredstid.

Dessutom skall det vara fritt fram för FRA att dela information med andra länder och internationella organisationer även om det inte går att garantera att denna inte används i den globala massövervakningen. Man skriver…

»Förslaget innebär att Försvarets radioanstalt, efter föreskrift eller beslut, får överföra personuppgifter till en mottagare utomlands även om Försvarets radioanstalt inte kunnat förvissa sig om skyddet för de överförda personuppgifterna hos mottagaren.«

Vad är nu detta för förslag? Jo, utredningen »Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59«.

Remisstiden gick ut i veckan och vi på 5 juli-stiftelsen har yttrat oss. Du kan läsa vårt remissyttrande genom att följa denna länk. Några nedslag…

»Stiftelsen menar att förslaget utöka FRA:s befogenheter att övervaka svenskar och svenskars kommunikationer är omotiverat och dessutom med stor sannolikt är oförenligt med Europakonventionen om mänskliga rättigheters grundläggande krav på skydd för privatliv och korrespondens. Utredningen uppvisar också påtagliga brister bland annat genom att negativa konsekvenser av föreslagen inte beskrivs och kvantifieras, vilket omöjliggör proportionalitetsbedömningar.«

»Stiftelsen avstyrker utredningsförslagen till förmån för att det görs en samlad översyn av alla övervakningslagar (oavsett syftet vid införandet). Vid en sådan översyn bör en nyttokostnadsanalys som även omfattar kostnader av övervakning göras.«

En intressant detalj som vi uppmärksammar är förslaget om att »signaler i elektronisk form får inhämtas oavsett om signalerna är under förmedling eller är lagrade«. Man betraktar alltså nu även lagrad data som signaler. Så att FRA får rätt att göra dataintrång. Detta är ändamålsglidning in action.

Vi noterar även att förslaget om »Signalspaning i övningsverksamhet« som det ligger innebär att FRA får avlyssna eller göra dataintrång hos i praktiken vem som helst av vilket skäl som helst och utan att det finns några faktiska kontrollmekanismer.

Detta är bara några exempel på märkligheter i utredningen. Läs mer i vårt remissyttrande.

• Regeringen: Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59 »

• 5 juli-stiftelsen: Yttrande/Remiss över Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning (SOU 2024:59), Fö2024/01478 »

• Tidigare bloggpost: Mer ändamålsglidning för FRA »