Skip to content

"Att avlyssna Skype - statligt finansierade dataintrång handlar även om ren konsumenträtt"

DEBATT - av Amelia Andersdotter, ordförande för Dataskydd.net

 

Sedan Paris-attackerna har både inrikesministern och statsministern lyft behovet för Säkerhetspolisen att få tillgång till kommunikation från Skype. Kommunikationen är lätt krypterad och fångar man dataströmmarna hos internetleverantören är det inte säkert att man kan läsa innehållet. Det försvårar, enligt Säkerhetspolisen, möjligheten att utreda individer som kan hota samhället.

Ett sätt att ta sig runt detta är hemlig dataavläsning. Förslaget lyftes första gången runt 2005 och återkom 2012 med krav på vidare utredningar. Nu verkar det finnas ett starkt stöd för hemlig dataavläsning i samhällets politiska topplager men metoden har större konsekvenser än vad ministrarna ger den ära för.

Polisiära dataintrång understryker behovet av att diskutera integritet och privatliv inte bara som en människorättslig fråga utan också som en konsumenträttslig fråga.

Polisen kan inte begå dataintrång om de inte har hittat säkerhetsproblem i mjukvarorna som används av autonoma vänstergrupper, högerextrema och islamister. Problemet är att de här tre grupperna använder samma mjukvaror som alla andra (Windows, MacOS, Android, vad det nu kan vara).

Företagen som säljer osäkerhet till polisen, säljer allmänna säkerhetsproblem som drabbar alla. Säkerhetsproblem som gör att vår internetbank, konsumtion och e-förvaltning kan sluta att fungera så som de ska.

Europarådet, som ansvarar för den europeiska konventionen för mänskliga rättigheter, har implicit godkänt hemlig dataavläsning som förenligt med de mänskliga rättigheterna. Riktad övervakning, som bara drabbar en person åt gången, är mer rättssäkert än massövervakning, menar Europarådet som kritiserat massövervakning skarpt.

Och naturligtvis kan vi kan bestämma att polisen bara får begå dataintrång efter föregående domstolsprövning. Vi kan se till att det finns ett pappersspår så att det går att utvärdera när och hur polisen har begått dataintrång. Ur perspektivet "medborgarens relation till staten" går det att införa kontrollmekanismer som ser till att polisen inte missbrukar sin makt.

Risken att företagen som säljer osäkerhet till svenska polisen, också säljer osäkerheten till förtryckande regimer går också att åtgärda på ett rättssäkert sätt.

På EU-nivå finns sedan flera år tillbaka en diskussion om exportkontroll för "digitala vapen". Exportkontrollen förhindrar att förtryckande regimer i mindre demokratiska länder använder dataintrång för att spåra upp och trakassera dissidenter och deras familjer, på samma sätt som exportkontroll av vapen förhindrar regimerna från att skjuta dissidenterna.

Wassenaaravtalet är ett internationellt avtal som redan tagit steg i den riktningen.

Stenen som ännu inte vänts på, varken internationellt eller i Sverige, är om det är marknadsekonomiskt och konsumenträttsligt försvarbart att lägga skattepengar på osäkerhet i vanliga konsumentprodukter.

För många IT-säkerhetsexperter är det uppenbart dåligt att brottsbekämpande myndigheter ger marknaden ett incitament att hemlighålla och utnyttja säkerhetsfel, istället för att offentliggöra och laga dem.

Juridiskt saknas rätt analysmetoder: problemen som uppenbarar sig med hemliga dataintrång har mindre att göra med rättsstaten, än vad den har med privaträttsliga konsumentavtal att göra. Politiskt saknas diskussionen om huruvida säkerhet kan vara en rättighet även för privatpersoner även när de interagerar med företag.

"Samhället" kommer aldrig att öppna ett personkonto och kommer aldrig boka tid hos läkaren online. "Samhället" behöver inte heller social rådgivning och köper inte julklappsböcker med kreditkort. När vi gör avvägningar mellan polisens möjligheter att begå dataintrång gör vi inte bara en avvägning mellan rätten till personlig integritet och rätten till säkerhet, utan också en avvägning mellan vem som får vara säker, i vilka sammanhang och från vad.

Hemlig dataavläsning är inte oönskvärt för att det drabbar kriminella, utan för att det också drabbar alla andra.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

4 comments

Skype ägs av Microsoft, som är ett amerikanskt bolag. NSA har säkerligen redan ålagt Microsoft om en "backdoor". Ni som vill ha krypterat - titta på nya modellen från Blackberry (Kanada).
Avlyssning sker redan så mycket som det går och speciellt i USA. Där kan man genom lag besluta att företag skall lägga in en s.k. "backdoor" in i programmets kärna och där släppa ut den data som förmedlas. Annan lag förbjuder förteget att informera om detta till sina kunder.
Ett krypteringsprogram (TrueCrypt) som användes flitigt och som hade sitt upphov i USA försvann en dag från offentligt ljus. Ingen förstod varför bland användare. Efter en viss tid som kom programmet ut i offentligheten igen. Men nu i från Frankrike och nu hette det VeraCrypt (True = Véritable).
Bägge programmen bygger på en teknik som heter AES och i "affärsdatorer" så finns det i processorn inbyggt. Man kan då kryptera 1 miljon tecken / sekund. Med andra ord - det är knappt märkbart. AES är en "motor" som "ENIGMA". Det som är av betydelse är de "nycklar" som används. AES som sålts som "hårdvara" kan inte anses ha en backdoor men osäkert hur det är i framtiden.
Tiden som det tar att låsa upp en krypterat datafil är av sådan längd att mänskligheten troligen upphört att existera. Det är därför som myndigheter har sagt att man vill kunna lägga in "trojaner" - alltså program som tjuvlyssnar av datorn. Som om det vore en lösning, vilket det inte är.
a) skaffa en dator (a) till. Anslut aldrig den till Internet.
b) på annan dator (b) skaffa de program som behövs. Kopiera dessa till USB-minnet.
c) Från USB installera på dator a. Där skapar och sparar man nu filerna som skall vara krypterat efter kryptering, spara till ett annat USB-minne (eller SD-minne).
d) i dator b som är ansluten till internet sänder man de redan krypterade som man har på USB-minne (eller SD). Sedan förstör man minnet.
e) material som skall avkrypteras: Spara på ett nytt SD (lägst pris) --> över till dator för avkryptering. Förstör SD-minnet (eller formatera om det i t.ex. digitalkamera.)
Datorn som är "extern" kan bli hur smittad som helst, men kan aldrig sprida det vidare. Även om man lyckades få en "kopia" på SD-kortet, så avslöjas det därför att den datafilen blir lika stor som originalet.

Stoppar inte exempelvis spyshelter trojaner från att kunna få ut någon info från en infekterad dator? Spyshelter och Zemana antilogger krypterar ju tangentbordet, kamera, mic mm.
https://www.spyshelter.com/

Att överhuvudtaget tro att vi kan skydda oss från detta är naivt tycker jag. Vi måste själva se till att välja politiker som vi tror på och som tror på personlig integritet. Vi kommer alltid få saker kapade för oss och information tagen.

Jag skulle snarare säga att det är väldigt nativt att tro vi kan välja politiker med personlig integritet, och att dessa politiker lyckas förhindra hela statsapparaten att missbruka sina allt större övervakningsmöjligheter. Att skydda sig själv är däremot både klokt och möjligt.