Bekymmersam övertro på hemlig dataavläsning

2019-11-29
Det ska sägas direkt att jag är stark förespråkare att använda alla till buds stående medel för att stävja brott, inte minst för att nu vända en samhällsutveckling av sällan skådat slag.

 

Hemlig dataavläsning lyfts fram som den viktigaste punkten i 34-punktsprogrammet för regeringens åtgärder mot gängkriminalitet. Det gör mig bekymrad. Lika bekymrad som för 14 år sedan när Sverige drev på förslaget i EU om lagring av trafikuppgifter i tron att det var ett viktigt medel i kampen mot den grova brottsligheten, se Förbättrad spårbarhet i jakten på terrorister.  Idag vet vi bättre.

Den 18 november gav lagrådet klartecken till lagförslaget om hemlig dataavläsning. Detta trots att lagrådet riktar kritik mot den komplexa lagstiftningstekniken och uttrycker oro att förslaget inte står i proportion till intrånget i enskildas integritet och riskerna för informationssäkerheten som förslaget utgör. Av lagrådsremissen framgår att regeringen gör uppskattningen att nyttan med hemlig dataavläsning är i jämförelse med hemlig rumsavlyssning som 2017 ledde till att 10 personer åtalades. Det framgår också i lagrådsremissen att den uppskattade kostnaden för detta tvångsmedel är ca 100 miljoner kronor per år. Jag kan inte, och ska inte bedöma, om det är rimligt att ett bevis som leder till åtal är värt ca 10 miljoner. Men beloppet passerar mig inte obemärkt.

Lagrådsremissen ger en god insyn i hur tvångsmedlet är tänkt att användas. Exempelvis behöver de brottsbekämpande myndigheterna inte tillkännage upptäckta sårbarheter som kan bidra till förbättringar av informationssäkerheten i samhället som exempelvis MSB, FRA och andra expertmyndigheter värnar om och bidrar till. Utredningen konstaterade kort att för tillverkaren okända sårbarheter kommer att finnas oavsett om de brottsbekämpande myndigheterna får kännedom om dem eller inte. Det är ju också ett sätt att resonera. Alla sårbarheter är väl okända tills de upptäcks? Den goda sidan har för vana att uppmärksamma tillverkaren på nya sårbarheter för att inte de onda ska dra fördel av dessa och därigenom potentiell stävja ytterligare kriminella handlingar! Här menar alltså regeringen att de brottsbekämpande myndigheterna ska agera på samma sätt som de onda. Är det verkligen brottsbekämpande?

Vad gäller verktygen för hemlig dataavläsning finns det också övrigt att önska. Regeringens uppfattning, liksom utredningens, är att det inte finns skäl att reglera hur myndigheterna väljer att gå tillväga i det avseendet samtidigt som slutsatsen dras att det enda praktiska alternativet är att köpa den tekniska lösning som behövs för hemlig dataavläsning. Här öppnas dörren till en ny gråzon.

Det mest kända verktyget är Pegasus från NSO Group Technologies som enligt egen utsago bara levererar verktyg till nationella säkerhetstjänster och brottsbekämpande myndigheter. Här väcks frågan om NSO gör samma bedömning som vår säkerhetstjänst vilka som är de goda och vilka som är de onda aktörerna?

Pegasus är för övrigt ett imponerande spionverktyg som nyttjar för NSO kända sårbarheter för att installeras spårlöst på enheter med iOS och Android. Det finns flera kända fall där Pegasus påträffats hos journalister, advokater, diplomater och människorättsaktivister som väcker frågan hur kontrollerad spridning spionverktyget egentligen har. I lagförslaget är merparten av dessa yrkeskategorier undantagna från hemlig dataavläsning.

I maj uppmärksammades en sårbarhet i WhatsApp (CVE-2019-3568) som gjort det möjligt att fjärrinstallera Pegasus genom ett obemärkt WhatsApp-samtal. Enligt WhatsApp egna uppgifter har 1400 enheter i 20 länder infekteras innan de täppte till sårbarheten. WhatsApp/Facebook stämmer i skrivande stund NSO för det inträffade. Stämningsansökan i case 3:19-cv-07123 ger en bra bild av NSO’s tillvägagångssätt.

Att röster höjs för att verktyg likt Pegasus används i syften som är högst diskutabla är inte förvånande. Verktygens träffsäkerhet är också tveksam. Inte minst i en tid där anonymisering är en minst lika stor utmaning som krypteringen vilket lagrådsremissen också konstaterar. Det är inte svårt att ställa sig frågan om det är rätt att investera skattepengar i verktyg som utvecklas av ljusskygga organisationer, har tveksam träffsäkerhet, avtagande effekt över tid och som förutsätter att sårbarheter hemlighålls för att verktygen ska vara verkningsfulla? Samma sårbarheter som den onda sidan nyttjar för bedrägerier, stölder, utpressning, informationsinhämtning osv. Det är också väldigt naivt att tro att de onda inte har förmåga att skydda sig mot hemlig dataavläsning.

Jag var bekymrad för politikens euforiska övertro på trafiklagring för 14 år sedan, jag är minst lika bekymrad till övertron för den proposition som inom kort ligger på riksdagens bord. Och då har vi inte ens vidrört integritetsintrånget av detta tvångsmedel som är vida i jämförelse med andra tvångsmedel.