Protester mot FRA-lagen utanför riksdagen 2008.

Vad var det vi sa, FRA?

Det är inte utan en viss förstämning jag läser den stora nyheten i Ny Teknik om FRA där det avslöjas att FRA – med motivet att leta it-hot – bygger ett detekterings- och varningssystem (TDV) som ska avslöja allvarliga attacker mot statliga myndigheter. Men det nya systemet innebär samtidigt att FRA kan avlyssna svenska användares kommunikation med svenska myndigheter, tvärtemot politikernas tidigare löften om motsatsen.

Med digital teknik går väldigt mycket att göra, men bara för att det går att göra är det inte alltid säkert att det är lämpligt att göra. Det var en av de teser vi drev då debatten kring FRA-lagen var som hetast. Det är en knivskarp balansgång inte bara mellan behovet av att utreda och lösa allvarliga brott och behovet att skydda individers personliga integritet, utan även mellan behovet att förebygga it-attacker och att upprätthålla försvaret av mänskliga rättigheter. Förutom förslagen i utredningen ”Hemliga tvångsmedel mot allvarliga brott” har vi de senaste åren fört motsvarande diskussion kring införlivandet av datalagringsdirektivet i svensk lagstiftning, förändringar i lagen om elektronisk kommunikation med referenser till lag om inhämtande av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet, FRA-lagen med mera.

Ändamålsglidningen är ett faktum

Utvecklingen inom svensk lagstiftning har allt mer gått mot ett ökat utnyttjande av tvångsmedel med nya typer av integritetskänslig insamling, övervakning och lagring av information, mycket därför att det går. När ett avlyssnings- eller övervakningssystem väl är infört är fler förslag om breddning och utökning på olika sätt inte långt borta och ändamålsglidningen ett faktum.

Nya systemet är ett missbruk

Enligt Ny Teknik planerar FRA att bevaka all digital trafik som skickas till och från ”särskilt skyddsvärda” statliga myndigheter med det nya systemet. Att FRA:s nya system är ett missbruk och en ändamålsglidning är enligt min uppfattning uppenbart, samtidigt som det inte är ställt utom rimligt tvivel att åtgärden har en klar och tydlig nytta. Exempelvis skrev den tidigare nämnda utredningen om hemliga tvångsmedel att de senaste årens ökning av hemlig teleavlyssning inte motiveras av att det är ett effektivt sätt att lösa brott, utan av att polisen fått bättre tekniska möjligheter till avlyssning och kan avlyssna andra typer av telefoner. I .SE:s undersökningar av hälsoläget av den svenska delen av internet har vi gång efter gång lämnat rådet att e-postservrar för kritiska verksamheter hos svenska myndigheter fysiskt ska ligga i Sverige för att skydda spårbarheten av information mellan myndigheter och för att skydda mot de konsekvenser som följer av den så kallade FRA-lagen. Nu hjälper inte det. FRA ska kunna läsa e-post, bilagor, filer och meddelanden, trots att dessa går mellan svenska medborgare och aktuella myndigheter. I ett försök att rättfärdiga sitt handlande vill nu FRA att både Datainspektionen och Statens inspektion för försvarsunderättelseverksamheten, Siun, ska lämna välsignelse åt FRA:s hantering av personuppgifter. Låt oss hoppas att åtminstone Datainspektionen står på de svenska användarnas sida.

Etiketter: , , , , , , , , , , , , Foto: FRA-demo av https://www.flickr.com/photos/anna/ (CC BY-NC-SA 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS

Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Irene 24 april 2013, kl 16.32

    Ja, fast nu är det ju så att korrespondens som är ställ till en myndighet är enligt tryckfrihetsförordningen klassad som en allmän handling.

    Svara
    • Robert 24 april 2013, kl 18.19

      Inte så länge den omfattas av sekretess – en bedömning som görs av myndigheten först då handlingen begärs ut och inte finns tillgänglig vid FRAs framtida insamling.

      Svara
      • Carin 24 april 2013, kl 19.43

        Så den stora skandalen är att ” FRA kan avlyssna svenska användares kommunikation med svenska myndigheter”. Men FRA agerar ju inte (tvärtemot vad många tycks tro) på egen hand utan på uppdrag av svenska myndigheter. Så de svenska myndigheterna kan ju få tag på den informationen genom att bara fråga. För det är väl inte vattentäta skott mellan olika svenska myndigheter?

        Svara
        • Anne-Marie Eklund Löwinder
          Anne-Marie Eklund-Löwinder 25 april 2013, kl 08.21

          Jag kan tänka mig att svenska myndigheter, trots vår princip om eget ansvar i varje verksamhet, behöver ha hjälp med att designa ett relevant skydd, när de själva inte ids eller förmår. Däremot så är det ett problem att det är signalspaningsmyndigheten som ska ansvara för det, enligt min uppfattning. Det blir lite som att sätta geten som trädgårdsmästare.

          Det är inte heller alla myndigheter som kommer att få glädje av detta, bara de ”sexigaste”. IT-attacker kommer fortfarande att vara problem för resten.

          Svara
      • Alex 24 april 2013, kl 20.02

        Men man skickar ju inte sekretesshandlingar via e-post. Att skicka e-post är som att skicka ett vykort. Vem som helst efter vägen kan läsa vad som står i meddelandet, och ett e-post meddelande passerar minst ett dussin system efter vägen, och med största sannolikhet Sveriges gränser också.

        Svara
      • Mattias 25 april 2013, kl 07.55

        Det är en allmän handling, men den behöver inte vara offentlig.

        Svara
    • Andreas Timmelstad 25 april 2013, kl 00.38

      Det där är en vanlig missuppfattning.

      Korrespondensen med myndigheten skall vara relevant och röra myndighetsarbetet för att det ska anses nå ”verkshöjden” för allmän handling.

      Se TF 2:4 för utförligare definitioner.

      Här finns en del om just detta:
      http://itsakhandbok.irt.kth.se/sidor/vadarenallmanhandling.html

      Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund-Löwinder 25 april 2013, kl 07.59

      Tack för din kommentar, Irene. Det beror på omständigheterna. Den måste vara antingen inkommen eller upprättad. Det här med inkommen minns jag som gammal centralbyråkrat vara en stora fråga på 80-talet. Då diskuterade man bland annat om en handling knde betraktas som inkommen om den hade ställts till en tjänstemans hemadress. De kan ju bli intressant om informationen ens betraktas som inkommen till myndigheten om den fiskas upp i ”portgången”.

      Svara
  • Namnet 24 april 2013, kl 21.52

    Detta är så typiskt. FRA gör ju varken till eller från vid utländska hot, och inget har vi att sätta emot heller om något större upptäcks. Vad hoppas man kunna hitta nu? Provocerande mejl på ryska?

    Uppenbart ett steg i att hålla koll på folket ännu mer. Precis såsom journalister har missförstått sitt uppdrag att granska makten så har försvarsmyndigheter missförstått sitt uppdrag att granska utländska hotbilder.

    Inte för att vara sådan, men fram med högafflarna. Börjar bli tröttsamt.

    Svara
    • Carin 25 april 2013, kl 11.03

      Namnet, vore intressant att veta vilken information du sitter på om FRAs verksamhet eftersom du så säkert kan uttala dig om vilken nytta FRA gör.

      Svara
      • Dennis Nilsson 12 maj 2013, kl 10.22

        Det är bara läsa närmaste historiebok.

        Man försvarar inte ett demokratiskt samhälle genom att avskaffa grundförutsättningarna för den. För då har man till slut åstadkommit det samhälle den ”lede fi” önskat sig.

        Även den mest gode omdöme blir ALLTID berusat och korrumperat av makten och härligheten. Därför har vi ”utomstående” en skyldighet, som när en person blir berusad, att påtala för denne, att nu har han/hon nu fått i sig för mycket.

        Svara
  • Hjultomten 24 april 2013, kl 23.10

    Med tanke på hur kåta svenska myndigheter (och kommuner samt landsting) är i outsourcing och ”molnet” idag så är det väl bättre att FRA har koll på trafiken än de andra främmande makterna som redan idag är med bägge händerna i syltburkarna gällande svenskars personuppgifter och annat smaskigt?

    Eller vad sägs om den fina lagstiftningen i USA som tvingar företag med verksamhet i USA att i hemlighet (dvs utan att meddela kunden) överlämna privat information som kunder (såsom svenska myndigheter, kommuner och landsting) lagrar i molntjänsterna? Och detta oavsett vilket avtal som nu molnföretaget tecknar med den svenska kunden…

    Gällande TDV så publicerade både Regeringskansliet, MSB och FRA information om detta redan år 2011 på sina hemsidor (ursprungsbeslutet är från år 2010) – så varför denna plötsliga uppståndelse från Nyteknik?

    http://www.fra.se/snabblankar/nyheterochpress/nyhetsarkiv/nyheter/regeringsuppdragforstarktinformationssakerhetforsamhallsviktigverksamhet.155.html

    http://www.regeringen.se/sb/d/108/a/180832

    https://www.msb.se/sv/Start1/Nyheter-fran-MSB/Nyhetsarkiv/Nyhetsarkiv-2011/Rapporter-om-informationssakerhet/

    I övrigt kan jag tycka att ett system såsom TDV är helt rätt – allt fler svenska myndigheter, kommuner och landsting är anslutna till internet utan att man för den delen själv innehar den kompetens eller erfarenhet som krävs för att skydda sina ”guldägg”. I de allra flesta fall så är det dessutom information som inte enbart handlar om ”företagshemligheter” utan om hemligheter som rör dig och mig. Här får man en IDS-tjänst som ”outsourcas” till FRA som i sin tur hanterar känslig information bättre än många andra här i landet.

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund-Löwinder 25 april 2013, kl 08.24

      Hej,
      Som jag skrev i en tidigare kommentar, jag tror också att myndigheterna kan behöva hjälp med att designa och införa vettiga system eftersom de ofta inte har förmåga eller kompetens att göra det själva. Men det jag vänder mig mot är att det är signalspaningstjänsten som ska ha det uppdraget. Dessutom är det långt ifrån alla som kommer att få del av detta.

      FRA borde ha tillräckligt att göra ändå.

      Svara
      • Carin 25 april 2013, kl 10.59

        Anne-Marie, FRA har som du kanske känner till två verksamhetsgrenar. En är signalspaning och den andra är informationssäkerhet. I det här fallet handlar det om informationssäkerhet. FRA handlar på uppdrag av regeringen, verksamheten är hårt reglerad och strängt övervakad. Vad är egentligen problemet?

        Svara
        • Anne-Marie Eklund Löwinder
          Anne-Marie Eklund-Löwinder 25 april 2013, kl 15.01

          Hej Carin, FRA agerar på svenska regeringens uppdrag och vad som står i instruktion och regleringsbrev. Helt klart. Trots den stränga regleringen så känner sig inte Siun informerad i det här fallet, enligt vad de uttalar i en artikel. Det är heller inte alltid så enkelt att hålla isär olika verksamhetsgrenar. Ge råd och stöd å ena sidan, övervaka och kontrollera å andra är en balansgång. Inte minst PTS och andra tillsynsansvariga myndigheter har erfarit det.

          I fredstid och med en politisk ledning som vi känner mer eller mindre förtroende för är det möjligen mindre kontroversiellt, men det är ingenting som säger att den situationen inte kan ändras.

          Jag förmodar att det här uppdraget faller under ”Annat tekniskt stöd” som är slaskposten i FRA:s uppdrag inom informationssäkerhetsområdet.Jag undrar dock om det var sådant som avsågs när det skrevs.

          Svara
          • Carin 25 april 2013, kl 19.33

            Antar att det är den här artikeln du menar: http://www.nyteknik.se/nyheter/it_telekom/internet/article3682976.ece Om man läser hela artikeln så ser man att anledningen till att Siun inte informerats är att det inte handlar om signalspaning utan informationssäkerhet men också att Siun kommer att informerats. Däremot har DI redan informerats.

            Argumentet att en skurkregim i framtiden skulle ta makten i Sverige och då utnyttja FRA för att spana på befolkningen ser man rätt ofta (fast jag trodde inte jag skulle råka på det här). Den logiska fortsättningen på ett sånt resonemang blir ju att vi också borde avveckla försvaret, SÄPO och kanske även polisen. De kan ju också användas mot folket av en ond regim.

            Svara
            • Anne-Marie Eklund Löwinder
              Anne-Marie Eklund-Löwinder 25 april 2013, kl 22.36

              Nåja, det behöver kanske inte vara en skurkregim, men en med andra värderingar än vi kanske har idag. Låt oss säga att FRA tar emot e-post från en annan myndighet, då faller det under begreppet allmän handling. Samtidigt kan den e-posten i förstone ha skickats från en privatperson till myndigheten. Där ser jag ett problem.

              Jag tycker hur som helst att den här typen av system förtjänar en ordentlig debatt!

              Svara
            • Dennis Nilsson 12 maj 2013, kl 10.40

              Varken försvaret, SÄPO och polisen har fått samma defacto frisedel som FRA har till obegränsad ”informationsinhämtning”. En regering med andra värderingar kan nyttja FRA till att spåra upp och förgöra politisk opposition.

              Det är inte första gången det har skett i världshistorien.

              Inte ens ett ”Dead Hand system” är pålitligt, som vi kan lära oss av historien när nazisterna ockuperade Danmark.

              Svara
  • Kjell 10 maj 2013, kl 00.43

    Om FRA ska signalspana mot svenskarna kanske de precis som NSA är intresserade av att använda Goolge. Nyligen släpptes genom FOIA en manual för NSA-agenter som ska underlätta för dem att använda Google som verktyg. Läs mer:
    http://kjellmeyer.wordpress.com/2013/05/09/anvand-nsas-google-tips-for-att-bli-battre-spion/

    Svara
  • Anne-Marie Eklund Löwinder
    Anne-Marie Eklund-Löwinder 5 juni 2013, kl 16.42

    Datainspektionen säger sitt! http://www.nyteknik.se/nyheter/it_telekom/allmant/article3709339.ece

    Svara