Den som vill undgå avlyssning kan alltid göra det

Kriser har en tendens att ta fram det bästa eller det sämsta hos människor. Just nu är det kris i Sverige och det är sannerligen sanningens minut i svensk politik. Det känns som att man tävlar i att komma med allt mer drastiska motåtgärder mot terrorn! Stämningen är inte olik den som var efter elfte september.

En kraftig svängning från tolerans till kontroll är inte ovanlig som en reaktion på allvarliga händelser. I hela Europa regnar det pengar över polisväsendet som en efterdyning av förra veckans händelser i Paris och på andra platser. Politiker och beslutsfattare vill visa handlingskraft. Sveriges nya terrorhotnivå kommer givetvis att innebära ökade kostnader för polisiär verksamhet även här. Det är naturligt – men eventuellt förhastat.

Det som dock väcker mest frågor hos mig och flera andra som jag talat med är dock statsministerns statliga trojaner (som DN:s Linus Larsson skrev om). Som en reaktion på att kryptering blir allt vanligare vill Löfven alltså ge Säpo rätt att infektera misstänkta terroristers datorer med statliga trojaner, något som även IDG uppmärksammar.

Utnyttja en tragedi

Alla använder kryptering. Det är det enda verktyg vi har för att skydda vår kommunikation mot kriminella, bedragare och nyfikna. Att utnyttja en tragedi för att demonisera de som använder kryptering, för att öka övervakningen, för att godkänna lagstiftning som sanktionerar användningen av installerade bakdörrar i lagar som kommer att göra alla mindre säkra – det är nästan lika obehagligt som attackerna själva.

Även om den amerikanska presidentadministrationen för ett par månader sedan drog slutsatsen om att tillåta bakdörrar i krypteringsfunktioner genom lagstiftning inte var en framkomlig väg så vittnar den senaste veckans rapportering om att Obama står allt mer isolerad i frågan.

Lagra uppgifter

I Storbritannien ligger ett förslag om en lagstiftning som innebär att det i princip blir förbjudet att använda kryptering. Bland annat kräver man i förslaget att webb- och telefonitjänsteleverantörer ska lagra uppgifter om webbplatser som besöks av alla medborgare i tolv månader för tillträde av polisen, säkerhetstjänsten och andra offentliga organ. Vidare ger man uttryckligen i lag för första gången säkerhetstjänster befogenheter för den största delen insamling av stora volymer av uppgifter om kommunikation mellan individer.

Man ger uttryckligen i lagförslaget för första gången befogenheter åt säkerhetstjänsten och polisen att hacka sig in och bugga datorer och telefoner och ålägger företag en ny rättslig skyldighet att hjälpa till med att kringgå kryptering.

Internet- och sociala media-leverantörer förbjuds alltså att göra sina kunders kommunikation onåbar för andra än kunderna själva. Sådana företag, som Apple, Google och andra kommer alltså inte längre kunna erbjuda kryptering designad på ett sätt att inte ens de som leverantör kan dekryptera den om de skulle få frågan.

Även i Sverige?

Att liknande lagförslag skulle kunna dyka upp i Sverige är väl inte helt otroligt. Polisen har rätt ofta gett uttryck för sin frustration att inte kunna ta del av information som utbyts mellan kriminella. Förslag i samma härad har ju varit uppe och vänt tidigare.

För tio år sedan föreslog en utredning att åklagare och SÄPO skulle få rätt att installera dolda spionprogram, så kallade trojaner, på misstänkta brottslingars datorer och mobiltelefoner, men då förkastades förslaget av lagstiftarna. 2014 dök diskussionen upp på nytt, inte heller nu med någon framgång. Enligt gällande lagstiftning så får polisen inte installera sådana program på misstänktas datorer. Det finns en enligt mig en befogad oro för att den här typen av lagförslag lägger ytterligare tyngd på fel sida av det sluttande planet.

Vad är det som avgör om en person är misstänkte terrorist och vem tar beslutet om att smitta en maskin för att kunna avlyssna? Var är transparensen i förfarandet? Vem kontrollerar vad? Några av er kanske till och med är gamla nog att komma ihåg den mer än 40 år gamla IB-affären?

Sårbart samhälle

Ett fritt, öppet och demokratiskt samhälle är av naturen sårbart eftersom det bygger på förtroende för individen. Det förtroendet kan givetvis missbrukas av den som vill illa. Men lösningen kan aldrig vara att göra alla lika misstänkta. Lösningen måste vara att framhärda med ett fritt och öppet samhälle. Inte att skapa ett samhälle med slentrianmässig övervakning utan föregående brottsmisstanke. Vi skall inte försvara vårt samhälle genom att konvertera det till ett samhälle vi inte vill ha.

Idag har vi fungerande lagstiftning om hemlig teleavlyssning (HTA) och hemlig teleövervakning (HTÖ) – det vill säga ”vanlig” buggning och det kan användas redan som det är. Den typen av polisiära verktyg är förhållandevis okontroversiella och det är tillräckligt omständligt att införa för att det ska vara acceptabelt. Risken för missbruk är förhållandevis liten eftersom lagen reglerar hur och när det får användas.

Jag misstänker dock att det man talar om nu är mer den typ av krav som finns i det brittiska lagförslaget om att få installera trojaner via uppdateringar för några eller alla leverantörer som ett villkor för att få sälja programvara.

Ett samhälle som slår tillbaka genom att begå handlingar som är kriminaliserade för medborgarna är ute på ett sluttande plan. Att staten själv skulle utveckla eller kanske till och med köpa skadlig kod på en diskutabel marknad är en av de sämsta idéer jag hört på mycket länge.

Som min kloka vän Niklas Derouche sa till mig: De enda som påverkas negativt av trojaner och 0-days är vanliga människor. Den som vill undgå avlyssning kan alltid göra det.

Etiketter: , , , , , , Foto: Five Data Privacy Principles from Mozilla (Put on a museum wall) 2014 av Ann Wuyts (CC BY 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Anders A 20 november 2015, kl 17.57

    Nu blir jag en smula besviken. Att insinuera att hemlig dataavläsning skulle bli nån sorts fri resurs för polisen är väl ändå att vara alarmistisk i överkant? Du tror väl inte på allvar att verktyget inte skulle omgärdas av beslutsprocesser och restriktioner i stil med HAK eller hemlig rumsavlyssning? Vad har du för belägg för det i så fall?
    Tråkigt, detta minska respekten för någon som jag betraktat som en auktoritet.

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund-Löwinder 20 november 2015, kl 18.06

      Jag kan inte riktigt se var jag insinuerar det, men det finns idag en kontrollapparat kring både FRA och HTA/HTÖ som är under tillsyn av tredje part. Låt oss behålla den modellen och inte införa generiska bakdörrar i standardprogram – eller en svensk motsvarighet till Patriot Act för den delen.

      Svara
      • Anders A 20 november 2015, kl 19.46

        Och vad i jösse namn får dig att dra (den naiva) slutsatsen att HDA skulle medföra generellt utnyttjande av bakdörrar i mjukvara? Att ”misstänka” som du gör är naturligtvis insinuant. Snillen spekulerar, jag rekommenderar att du väntar på ett färdigt förslag innan du kommenterar. / F ö har ert formulär brister, rubrikerna försvinner när man ska svara/.

        Svara
      • Jimmy Ekström 20 november 2015, kl 21.47

        Tack för en klok och välskriven artikel. Låt alla som sitter Riksdagen läsa den plus Säpo och Rikspolisstyrelsen

        Svara
        • Anne-Marie Eklund Löwinder
          Anne-Marie Eklund-Löwinder 20 november 2015, kl 21.50

          Tack! Jag välkomnar en debatt som jag hoppas att alla som vill kan delta i. Det är viktigt med transparens.

          Svara
    • Niklas 20 november 2015, kl 20.09

      Det finns flera problem med ditt resonemang Anders.

      1) De leverantörer av verktyg som finns på marknaden har bevisligen relationer med en uppsjö regimer som är minst sagt tveksamma. Att stödja den branschen är att stödja en industri som bygger på att utnyttja säkerhetshål vitt spridd hård- och mjukvara. Att tro att kunskapen om hur 0-dayattacker och svagheter skulle stanna hos aktörer som vi har förtroende för är en smula märkligt.

      2) Att förutsätta att ett lands parlamentariska situation alltid kommer att vara statisk får jag hoppas att du inte gör. Vi ska naturligtvis tro på demokratin men vi ska inte heller skapa situationer som skulle sätta tvångsmedel i händerna på individer vars politiska agendor är tveksamma.

      3) Jag har inte sett ett enda exempel på när övervakning av den här typen har räddat liv från något land. Bruce Schneier – som vi väl får betrakta som en av de mer framstående experterna på området – har ju upprepade gånger kommenterat tillkortakommande i ämnet. Det borde definitivt ge oss anledning att tänka mer än en gång, speciellt i kombination med punkt 1 och 2.

      4) Om du hävdar att den här typen av tvångsmedel aldrig missbrukats i Sverige så undrar jag över hur intellektuellt ärlig du faktiskt är. Ett av i tiden närliggande exempel är ju http://www.dagensjuridik.se/2014/09/namnden-anmaler-polisen-till-aklagare . I mina ögon finns det ingenting som säger att utökade möjligheter skulle minska riskerna för missbruk. Så när du säger att det inte finns belägg för att de här verktygen inte skulle kontrolleras så är ju det ett argument som är irrelevant när myndigheter uppenbart ignorerar de kontrollinstanser som införts.

      5) Den principiella invändningen är också att den som är ens marginellt kompetent på ett enkelt sätt skulle kunna skydda sig mot de verktyg som diskuteras här. Jag är inte säker på vad det säger om polisens IT-mognad och förståelse för väldokumenterade (se otaliga föredrag från DefCon bland annat som finns publikt tillgängliga) sätt att minimera den eventuella effektivitet som de här verktygen ger.

      Jag vill också avsluta med att det är min personliga övertygelse om att den typ av övervakning som du förespråkar är diametralt motsatt mot de värden som polis och inte minst författningsskyddsdelen av polisens uppdrag. Avlyssning och övervakning är verktyg som vi historiskt sett förknippar med ofria samhällen och vi bör även framgent vara vaksamma mot eventuella glidningar som försämrar medborgarnas rättigheter. Resonemanget att det underlättar polisens arbete är, i mina ögon, att betrakta som en irrelevant invändning. Statens uppgift är inte att underlätta polisens arbete genom att skapa inskränkningar i medborgarnas friheter.

      Jag tvivlar inte på att dina personliga anledningar till att vilja ha ökade möjligheter bottnar i en vilja att göra gott men, som det heter, så är vägen till helvetet stenlagd med goda föresatser. Den grundläggande principen i sammanhanget bör alltid vara extrem återhållsamhet och jag ser inga anledningar att göra fler avsteg från den än vad vi redan gjort.

      Svara
  • Anne-Marie Eklund Löwinder 21 november 2015, kl 19.28

    Här är ett inlägg i Svd från en integritetsförespråkare, och en av mina idoler: http://www.svd.se/radslan-far-oss-att-glomma-skydda-integriteten/om/det-hojda-terrorhotet

    Svara