Den som vill undgå avlyssning kan alltid göra det

Kriser har en tendens att ta fram det bästa eller det sämsta hos människor. Just nu är det kris i Sverige och det är sannerligen sanningens minut i svensk politik. Det känns som att man tävlar i att komma med allt mer drastiska motåtgärder mot terrorn! Stämningen är inte olik den som var efter elfte september.

En kraftig svängning från tolerans till kontroll är inte ovanlig som en reaktion på allvarliga händelser. I hela Europa regnar det pengar över polisväsendet som en efterdyning av förra veckans händelser i Paris och på andra platser. Politiker och beslutsfattare vill visa handlingskraft. Sveriges nya terrorhotnivå kommer givetvis att innebära ökade kostnader för polisiär verksamhet även här. Det är naturligt – men eventuellt förhastat.

Det som dock väcker mest frågor hos mig och flera andra som jag talat med är dock statsministerns statliga trojaner (som DN:s Linus Larsson skrev om). Som en reaktion på att kryptering blir allt vanligare vill Löfven alltså ge Säpo rätt att infektera misstänkta terroristers datorer med statliga trojaner, något som även IDG uppmärksammar.

Utnyttja en tragedi

Alla använder kryptering. Det är det enda verktyg vi har för att skydda vår kommunikation mot kriminella, bedragare och nyfikna. Att utnyttja en tragedi för att demonisera de som använder kryptering, för att öka övervakningen, för att godkänna lagstiftning som sanktionerar användningen av installerade bakdörrar i lagar som kommer att göra alla mindre säkra – det är nästan lika obehagligt som attackerna själva.

Även om den amerikanska presidentadministrationen för ett par månader sedan drog slutsatsen om att tillåta bakdörrar i krypteringsfunktioner genom lagstiftning inte var en framkomlig väg så vittnar den senaste veckans rapportering om att Obama står allt mer isolerad i frågan.

Lagra uppgifter

I Storbritannien ligger ett förslag om en lagstiftning som innebär att det i princip blir förbjudet att använda kryptering. Bland annat kräver man i förslaget att webb- och telefonitjänsteleverantörer ska lagra uppgifter om webbplatser som besöks av alla medborgare i tolv månader för tillträde av polisen, säkerhetstjänsten och andra offentliga organ. Vidare ger man uttryckligen i lag för första gången säkerhetstjänster befogenheter för den största delen insamling av stora volymer av uppgifter om kommunikation mellan individer.

Man ger uttryckligen i lagförslaget för första gången befogenheter åt säkerhetstjänsten och polisen att hacka sig in och bugga datorer och telefoner och ålägger företag en ny rättslig skyldighet att hjälpa till med att kringgå kryptering.

Internet- och sociala media-leverantörer förbjuds alltså att göra sina kunders kommunikation onåbar för andra än kunderna själva. Sådana företag, som Apple, Google och andra kommer alltså inte längre kunna erbjuda kryptering designad på ett sätt att inte ens de som leverantör kan dekryptera den om de skulle få frågan.

Även i Sverige?

Att liknande lagförslag skulle kunna dyka upp i Sverige är väl inte helt otroligt. Polisen har rätt ofta gett uttryck för sin frustration att inte kunna ta del av information som utbyts mellan kriminella. Förslag i samma härad har ju varit uppe och vänt tidigare.

För tio år sedan föreslog en utredning att åklagare och SÄPO skulle få rätt att installera dolda spionprogram, så kallade trojaner, på misstänkta brottslingars datorer och mobiltelefoner, men då förkastades förslaget av lagstiftarna. 2014 dök diskussionen upp på nytt, inte heller nu med någon framgång. Enligt gällande lagstiftning så får polisen inte installera sådana program på misstänktas datorer. Det finns en enligt mig en befogad oro för att den här typen av lagförslag lägger ytterligare tyngd på fel sida av det sluttande planet.

Vad är det som avgör om en person är misstänkte terrorist och vem tar beslutet om att smitta en maskin för att kunna avlyssna? Var är transparensen i förfarandet? Vem kontrollerar vad? Några av er kanske till och med är gamla nog att komma ihåg den mer än 40 år gamla IB-affären?

Sårbart samhälle

Ett fritt, öppet och demokratiskt samhälle är av naturen sårbart eftersom det bygger på förtroende för individen. Det förtroendet kan givetvis missbrukas av den som vill illa. Men lösningen kan aldrig vara att göra alla lika misstänkta. Lösningen måste vara att framhärda med ett fritt och öppet samhälle. Inte att skapa ett samhälle med slentrianmässig övervakning utan föregående brottsmisstanke. Vi skall inte försvara vårt samhälle genom att konvertera det till ett samhälle vi inte vill ha.

Idag har vi fungerande lagstiftning om hemlig teleavlyssning (HTA) och hemlig teleövervakning (HTÖ) – det vill säga ”vanlig” buggning och det kan användas redan som det är. Den typen av polisiära verktyg är förhållandevis okontroversiella och det är tillräckligt omständligt att införa för att det ska vara acceptabelt. Risken för missbruk är förhållandevis liten eftersom lagen reglerar hur och när det får användas.

Jag misstänker dock att det man talar om nu är mer den typ av krav som finns i det brittiska lagförslaget om att få installera trojaner via uppdateringar för några eller alla leverantörer som ett villkor för att få sälja programvara.

Ett samhälle som slår tillbaka genom att begå handlingar som är kriminaliserade för medborgarna är ute på ett sluttande plan. Att staten själv skulle utveckla eller kanske till och med köpa skadlig kod på en diskutabel marknad är en av de sämsta idéer jag hört på mycket länge.

Som min kloka vän Niklas Derouche sa till mig: De enda som påverkas negativt av trojaner och 0-days är vanliga människor. Den som vill undgå avlyssning kan alltid göra det.

Etiketter: , , , , , , Foto: Five Data Privacy Principles from Mozilla (Put on a museum wall) 2014 av Ann Wuyts (CC BY 2.0)

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.