Då var det dags igen – Sverige behöver bättre instrument för att bedriva underrättelseverksamhet. Förvånande? Knappast! Redan när lobbyingarbetet pågick, som ledde fram till datalagringsdirektivet och FRA-lagen, var det inte svårt att ana att dessa medel inte kommer att ge de utlovade effekterna. Mest förvånande är kanske att besluten drivs igenom trots att det redan då var uppenbart för de flesta som är någorlunda initierade att det kommer att vara investeringar som vida överstiger resultatet. Jag vill inte tro att de som väcker idéerna lever långt ifrån verkligheten men när idéerna når beslutsfattarna verkar de ha svärtats ner av okunskap på vägen.
Datalagringsdirektivet förutsätter att det finns centraliserade lösningar för kommunikationsutbyte. Sedan när var det en verklighet? Det är bara i teknologier som har decennier på nacken där detta fortfarande är en verklighet, inte sällan med ett arv från den analoga telefonins dagar. Det finns en anledning till att de som inte varit låsta i telefonierans tankebanor har varit drivande i internetutvecklingen vars utveckling bevisligen tagit död på en förlegad industri, men ännu inte på förlegat beslutsfattande.
FRA-lagen kan visserligen leda till att det går att se kommunikationsmönster. Men därifrån till att faktiskt uppnå förmågor att inhämta den information som passerar landets gränser är långt från självklara. Rapporteringen gör gällande att förmågan saknas för att knäcka vad som kan avses vara standardmässig kryptografi. Förvånande? Inte alls. Inte förenklas det av att dessa beslut fattas på enahanda grunder där sakens natur heller inte medger en öppen debatt som skulle göra beslutsfattandet gott.
När nu frågan återigen väcks att myndigheterna behöver kunna spionera på ändutrustning, idag i form av läsplattor, smarta telefoner och kanske sedvanliga datorer, så är det dels ett kvitto på att vare sig datalagringsdirektivet eller FRA-lagen lett till utlovade effekter, dels att beslutsfattandet fortfarande vilar på tämligen naiva grunder.
En enkel omvärldsanalys visar att länder med betydligt större resurser och generösare lagstiftning än vårt lands knappast överpresterar. Effekterna visar fler negativa än positiva sidor. I spåren av Snowden har konstaterats att NSA enbart har lyckats producera några få hållbara bevis ur den enorma massövervakning som utövats. Ett av få exempel på kvantifierabart bevisunderlag ledde till att en överföring av $8.500 från en man i San Diego till en somalisk militant grupp stoppades. Däremot missade de helt Bostonbombarna trots att en av förövarna var känd av underrättelsetjänster sedan tidigare och en av de andra förövarna i detta fall lämnade en hel del spår i sociala medier som gick under radarn.
Flera av de terrorister som nu figurerar är redan listade men trots detta så har de lyckats röra sig fritt och ingen har haft direkt vetskap om var de skulle befinna sig, ens över längre tidsperioder. Hur självklart är det då att spiontrojaner skulle kunna göra skillnad när vi inte ens vet var de ska planteras? Vi är väl ändå inte så naiva att vi ska plantera även dem brett? Har vi verkligen de förmågor, som andra med större resurser inte har, att bedriva effektiv informationsinhämtning? Jämförelsen mellan de resurser som läggs på underrättelseverksamhet i vårt land med exempelvis USA är minst sagt divergerande.
Spiontrojaner som i sin konstruktion, likt annan skadlig (?) kod, exploaterar säkerhetsbrister är en diskussion i sig. Är det rimligt att känna till säkerhetshål och inte tillse att de blir åtgärdade? Det är helt emot gängse praxis men samtidigt något som redan idag förekommer. Att det dessutom skulle investeras medel i att upptäcka än fler säkerhetsbrister enbart i syfte att göra datainhämtningen effektivare rimmar väldigt illa. Hur ska de IT-säkerhetsrelaterade skydd vi har idag bete sig? Ska de acceptera en statsfinansierad gråzon? Vem kontrollerar den gråzonen och inte minst, vem skyddar gråzonen från illvilliga krafter? En sådan gråzon skulle kunna förvandlas till ett mycket obehagligt verktyg i händerna på illasinnade krafter.
Ingen ska påstå att dessa frågeställningar är enkla, men att ånyo rusa iväg i en övertro på att någon enskild teknisk lösning gör skillnad är naivt. Den reella erfarenhet vi har efter ett antal felsatsningar torde väl ge något avtryck. Beslutsfattare behöver lära sig att fatta beslut på korrekt och verklighetsförankrat underlag.
Faktum kvarstår – den som vill vara dold på Internet, och har rätt kompetens för detta, kommer givetvis att fortsatt kunna vara det. Den som upptäcks är den som frångår regelverket och då är det i vanlig ordning de mjuka aspekterna snarare än de rent tekniska som gör skillnad. Mjuka aspekter är dock inte lika enkelt att efterfråga som tekniska, inte minst i organisationer som verkar ha en överdriven tro på förlegad teknik.
Thomas Nilsson
