EU sätter ner foten mot avlyssning – igen

År 2000 förhandlade EU-kommissionen fram ett avtal med USA. All persondata som skickades från länder i Europa över Atlanten till USA skulle ha samma lagliga skydd som om det vore inom EU. Om amerikanska företag levde upp till sju principer kunde de ansluta till avtalet och fritt skicka data från Europa till USA. EU-kommissionen hade dock slutit ett avtal som inte var förenligt med EU:s lagstiftning. Här om dagen kom så ett beslut från EU-domstolen: Safe Harbor ogiltigförklaras eftersom de personuppgifter som skickas till USA inte skyddas från amerikansk underrättelsetjänst.

Read this blog post in English.

För många har det kanske varit lite science fiction att NSA, National Security Agency avlyssnar telefoner och e-post och följer trafikmönster och surfvanor för människor i hela världen, men när Edward Snowdens avslöjanden kom ut i det fria var det inte längre möjligt att sopa fakta under mattan. Men var det första gången? Nej då. Jag säger bara en sak: Echelon.

Med andra världskrigets stora framgångar med avlyssning i projekt Ultra är det kanske föga förvånande att man i väst försökte upprepa framgångarna under efterkrigstiden, inte minst under 1990-talet. Echelon var ett projekt som syftade till att avlyssna all elektronisk kommunikation. I princip avlyssnades all internationell telefontrafik, telex- och faxtrafik, e-post och annan datatrafik på internet.

Men medan andra världskrigets stora projekt Ultra verkligen var ultrahemligt så var kännedomen om projekt Echelon förhållandevis allmänt spridd, inte minst för att ett mäkta irriterat EU offentliggjorde flera utredningar i ämnet, men också för att flera grävande journalister gjorde information om Echelon tillgänglig på internet för alla och envar att ta del av och ställning till.

Det var en mörk tid i Europa. Echelon bedrevs av USA och Storbritannien gemensamt med stöd av andra stater som Kanada, Australien och Nya Zeeland. Länge fördes en diskussion om huruvida Sverige var med eller inte, och möjligen var man det i all hemlighet. Frågan om begränsning av export och import av kryptoprodukter diskuterades flitigt, och restriktioner och lagstiftning hängde i luften.

Tyskland tog däremot stark ställning i frågan genom att den 2 juni 1999 offentligt uppmana sina medborgare och företag att genast börja använda stark kryptering vid all digital trafik, samtidigt som ett fyrsiffrigt antal Echelon-anställda vid den tiden arbetade på tysk mark.

Många bäckar små…

Exempelvis var det känt att avtappningsväxlar fanns i nio så kallade IX:ar (Internet Exchange Points) i USA: FIX East, FIX West, MAE East, New York NAP, SWAB, Chicago NAP, San Francisco NAP, MAE West och CIX. All information som tappades av från undervattenskablar, satelliter, digitala växlar anslutna till internet med mera sammanfördes till en enda central ström. Avlyssning av optiska fiberkablar var länge svårt men 1999 hade man lyckats ta fram en prototyp för fiberavtappning.

Ett särskilt avlyssningsdon fogades in i optokabeln som en liten box som kunde placeras i princip var som helst. Huruvida det kom till allmän användning vet jag inte. När det gällde rösttrafik hade man i alla fall kommit så långt i den tekniska utvecklingen att en personröst kunde finnas som sökbegrepp, ”voice print”, och identifieras inom en halv till en sekund. Väsentligt svårare var det att urskilja uttalade nyckelord ur samtal, något som emellertid var trivialt i textkommunikation.

Alla parter i Echelon förband sig dessutom att bekämpa stark kryptering även om det skulle skada landets egna företag.

Svensk kryptopolitik

I oktober 1997 släpptes en rapport från Regeringskansliets referensgrupp för krypteringsfrågor med titeln Kryptopolitik – möjliga svenska handlingslinjer som ett första steg i arbetet med att utforma en svensk policy på krypteringsområdet. Arbetet med att diskutera eventuella behov av reglering på krypteringsområdet hade då pågått i sagda referensgrupp sedan början av 1996. I Utrikesutskottets betänkande 1999/2000:UU3 om kryptografi framhöll utskottet att man delade regeringens uppfattning i fråga om användning av kryptografi vid överföring och lagring av information i elektronisk form samt när det gällde handel med kryptoprodukter.

Utskottets förslag var ett tillkännagivande med innebörden att regeringen borde verka för en liberal tillämpning av den rådande exportkontrollregimen och att Sverige inom det så kallade Wassenaararrangemanget skulle verka för att förändra gällande regler i riktning mot en ytterligare liberalisering, även i andra länder.

Man slog också fast att alla har rätt att använda och själva välja kryptoteknik i Sverige.

Den europeiska irritationen

Som jag nämnde tidigare, EU offentliggjorde flera utredningar i frågan, bland annat en rapport med titeln ”Betänkande om förekomsten av ett globalt avlyssningssystem för kommunikation från privatpersoner och företag (avlyssningssystemet ECHELON)” där man diskuterade och beskrev aspekterna av ett storskaligt övervakningssystem. I rapporten försökte man bland annat svara på:

  • om detta system verkligen fanns
  • vad som var sanning och vad som var myt
  • vilka effekter ett sådant system skulle ha
  • om det var lagligt och förenligt med de mänskliga rättigheterna, internationella lagar och europagemensamma direktiv.

I den 186-sidiga rapporten som publicerades på alla de dåvarande officiella EU-språken var resultatet av en tids utredande, undersökande och tänkande runt frågor som handlade om övervakning och effekten av övervakning.

I början av rapporten under rubriken ”Förekomsten av ett globalt system för avlyssning av privatpersoners och företags kommunikation (avlyssningssystemet ECHELON) ” sägs:

”Det kan inte längre betvivlas att det finns ett globalt system för avlyssning av kommunikation, som bedrivs i samverkan mellan Förenta staterna, Förenade kungariket, Kanada, Australien och Nya Zeeland inom ramen för UKUSA-avtalet. Mot bakgrund av de indicier som föreligger och de många samstämmiga yttranden från väldigt olika personer och organisationer, bland annat från amerikanska källor, kan det antas att systemet eller delar av det åtminstone under någon tid gått under kodnamnet ECHELON. ”

Avlyssning av den här kalibern bedömdes redan då som ett intrång i den personliga integriteten och ett brott mot de internationella överenskommelser som finns rörande de mänskliga rättigheterna, till exempel i konventionen the European Convention on Human Rights (EHCR).

En av rekommendationerna i rapporten var: ”Säkerhet för företagen kan bara uppnås om hela arbetsmiljön säkras tillsammans med alla kommunikationsvägar som kan komma i fråga för överföring av känslig information.”

Vad är Safe Harbour-överenskommelsen?

På Datainspektionens webb finner vi att Safe Harbour är en samling frivilliga regler om personlig integritet och dataskydd som har tagits fram och beslutats av USA:s handelsdepartement (Department of Commerce – DoC). Organisationer i USA kan anmäla till departementet att de ansluter sig till dessa regler. EU-kommissionen har bedömt att reglerna (med tillhörande frågor och svar) utgör en adekvat skyddsnivå. Det är därmed tillåtet att föra över personuppgifter från EU/EES till organisationer i USA som har anslutit sig till reglerna.

Nu står vi här, 15 år senare. EU-domstolen har undanröjt kommissionens avtal om möjligheten att överföra data över Atlanten. Att kommissionens avtal undanröjs innebär alltså att det inte längre per automatik är okej att luta sig mot Safe Harbor. Det säger däremot inget i sig om hur en reell prövning enligt 33 § andra stycket i Personuppgiftslagen skulle falla ut i det enskilda fallet.

Konsekvenserna av ogiltigförklarandet kommer säkerligen att stötas och blötas i många vändor, bland annat av de personuppgiftsansvariga som använder tjänster som lutat sig mot Safe Harbor. Trots att många reagerade negativt på beslutet och hävdar att det leder till enorma kostnader, kaos och krångel som en konsekvens så är jag nöjd med beslutet. Det viktiga är ändå att berörda registrerade kan få det skydd som dataskyddsdirektivet ger så att de kan göra sina rättigheter gällande oavsett var informationen finns.

Jag stämmer gärna in i organisationen EDRi:s lakoniska konstaterande i sitt pressmeddelande (fritt översatt):

Företag som använde Safe Harbor kunde ha gjort mer än bara hoppas att ärendet aldrig skulle föras till domstol, de kunde ha gjort mer än att bara plocka fram absurda siffror ur tomma luften om kostnaderna som skulle uppstå om man övergav detta ohållbara avtal. Företagen valde att ta risken att detta ohållbara avtal kunde upprätthållas. De hade fel.

Etiketter: , , , , , , , , , , Foto: CCTV av Alexandre Dulaunoy (CC BY-SA 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS

Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.