Vad är lagen om “hemlig dataavläsning”?

Den 24 Oktober 2019 överlämnade regeringen en så-kallad “lagrådsremiss” (ett utkast på en föreslagen lag) till lagrådet. Utkastet gällde lagen om “hemlig dataavläsning“, och har varit uppe för diskussion en längre tid. Lagrådet har godkänt lagen som förväntas tas i bruk den 1 Mars 2020, och som kommer att allvarligt påverka aktivister, migranter, och andra som på olika sätt kriminaliseras av staten.

Den här texten kommer att på en övergripande nivå reda ut vad “hemlig dataavläsning” egentligen innebär, och lite kort (men inte mycket) om vilka åtgärder potentiellt drabbade kan vidta för att skydda sig.

Vad är hemlig dataavläsning?

Dom så-kallade brottsbekämpande myndigheterna har idag tillgång till ett antal repressiva metoder för att avlyssna och spåra individer som på ett eller annat sätt anses vara kriminaliserade. Detta innefattar t.ex triangulering av mobilmaster och avlyssning av nätverkskommunikation. Problemet med detta är att kommunikation idag ofta sker via krypterade kanaler (som t.ex krypterade chatt-appar som Signal eller Telegram), och inom på andra sätt slutna system som polisen inte har tillgång till. Detta har gjort att staten börjat se sig om efter alternativa metoder för att komma åt den data dom anser sig behöva, och det är här den föreslagna lagen om “hemlig dataavläsning” kommer in.

Det lagen går ut på innebär i stora drag att polisen ska få tillstånd att bryta sig in i, eller ”hacka”, en misstänkts telefon, dator, eller annat ”avläsningsbart informationssystem” som den misstänkte kan tänkas använda på ett sätt som kan ge ledtrådar gällande eventuell kriminell aktivitet. Genom att installera spionprogramvara på den hackade enheten kan sedan t.ex chatt-meddelanden läsas innan dom krypterats, funktioner som t.ex kamera och mikrofon aktiveras för avlyssning, GPS-positionen läsas av, osv. Och allt detta på avstånd, över internet, utan att polisen behöver gå via en internet- eller mobil-operatör.

Förutom den enorma integritetskränkning detta innebär så tillkommer dessutom ett antal övriga konsekvenser, vilket vi kommer att återkomma till senare i den här texten.

Det ska noteras att den svenska staten långt ifrån är först med att tänka i dom här banorna, se t.ex tysklands ”staatstrojaner”, FBIs duster med Apple, och kontroverserna kring Hacking Team.

En annan sak att notera är hur lagen kategoriseras på regeringens hemsida, bland annat med taggen “Arbete mot terrorism och våldsbejakande extremism”.

Med tanke på hur staten historiskt envisats med att kalla allt från miljö- och djurrättsaktivism till våldsam, organiserad nazism, för “extremism” kan det alltså antas att detta initiativ kommer att användas även mot fredliga aktivister.

Vad innefattas av hemlig dataavläsning?

I det lagförslag som regeringen presenterat för lagrådet listas 7 olika områden som kommer att innefattas av hemlig datavläsning. Av dessa är 6 stycken relevanta för den här texten, och följande stycke är en genomgång av dom och vad dom innebär rent praktiskt.

Kommunikationsavlyssningsuppgifter

Kommunikationsavläsningsuppgifter avser avläsning av innehållet i meddelanden skickade till eller från en misstänkt, t.ex i ett chatt-program. Som tidigare nämnts använder dom flesta moderna chatt-appar någon slags kryptering, och vissa även ”end-to-end” (e2e) vilket innebär att ett meddelande krypteras av avsändaren och dekrypteras av mottagaren. Till skillnad från t.ex Facebook Messenger som inte använder e2e så finns det ingen mellanhand som polisen kan begära ut innehållet i meddelandena från, eftersom dom bara existerar i läsbart format hos avsändaren och mottagaren.

För att komma förbi detta problem så har polisen egentligen bara ett val, vilket är att hacka och installera någon sorts spionprogramvara på den dator, telefon, eller annan enhet, som skickar eller tar emot meddelandena. På så vis kan meddelanden läsas innan dom krypteras, eller efter att dom avkrypterats (om den hackade enheten är mottagare).

Kommunikationsövervakningssuppgifter

Kommunikationsövervakningsuppgifter är meta-data, eller ”data om data”. Det vill säga information om ett meddelande, men inte själva meddelandet i sig. Detta innefattar t.ex vem som kontaktade vem, när kontakten skedde, storleken på meddelandet, och ibland även avsändarens och mottagarens position. Denna kapacitet finns i stor utsträckning redan hos polisen, men lagen skulle t.ex kunna innebära att polisen får tillstånd att inhämta den här sortens information direkt från den misstänktes hackade enhet utan dess vetskap. Det är dessutom otydligt exakt när denna övervakning ska få ske, i och med att det både står att kommunikationsövervakningsuppgifter endast ska få läsas av gällande historiska händelser, men även att det ska vara tillåtet att hindra meddelanden från att komma fram vilket rimligen skulle behöva ske i realtid.

Platsuppgifter

Platsuppgifter innebär information om var en misstänkt befinner sig, vilka mönster den rör sig i, och så vidare. Även denna kapacitet finns hos polisen idag, men med den nya lagen skulle det vara möjligt att göra detta utan att gå via en mobiloperatör och istället helt enkelt t.ex aktivera och läsa av en hackad telefons GPS i realtid. I dagsläget behöver polisen veta vilket MSISDN- och/eller IMEI-nummer en telefon använder för att kunna triangulera den med hjälp av en mobiloperatör, men detta skulle inte behövas om telefonen är hackad. Detta innebär dessutom att polisen får befogenhet att agera helt på egen hand, vilket skulle minska den transparens och spårbarhet som samarbetet med en tredje part (mobiloperatören) innebär.

Kameraövervakningsuppgifter

Kameraövervakningsuppgifter avser enligt lagförslaget ”uppgifter som framkommer genom optisk personövervakning”, dvs övervakning med hjälp av bild. I sammanhanget hemlig dataavläsning så skulle detta kunna innebära att polisen aktiverar den misstänktes hackade mobil- eller web-kamera och filmar denne och dess omgivning.

Rumsavlyssningsuppgifter

Rumsavlyssningsuppgifter påminner om kameraövervakningsuppgifter, men handlar istället om att avlyssna ljud. Detta skulle t.ex kunna innebära att aktivera en hackad mobiltelefon eller dators mikrofon, och helt enkelt ”tjuvlyssna”. Både denna punkt och ”kameraövervakningsuppgifter” kommer med största sannolikhet även innebära att andra individer kommer att bli spionerade på och potentiellt få privata uppgifter röjda, enbart genom att vara i närheten av den misstänkte personen.

Uppgifter som finns lagrade i ett avläsningsbart informationssystem

Ett ”avläsningsbart informationssystem” kan egentligen innebära allt från sociala medier, privata chattsystem (som t.ex Mattermost eller Slack) till ett lagringsutrymme som Dropbox eller ett Network Attached Storage (NAS) system. Det kan därför sägas att polisen redan har denna kapacitet, eftersom dom har möjlighet att begära ut information från t.ex Facebook, men att denna kapacitet nu utökas till att även innefatta intrång i privata system.

Det ska noteras att den här sortens system ofta används av mer än en person, och att dessa personers uppgifter alltså med största sannolikhet också kommer att komma polisen till gagn, vilket måste ses som extremt integritetskränkande då dessa måste antas vara ej misstänka för brott.

Övrigt

Som nämnts tidigare så finns det även en paragraf som säger att polisen även ska få hindra meddelanden, både i realtid och redan skickade, från att levereras, vilket innebär rent destruktiva åtgärder och inte bara ”passiv avläsning”.

”Vid hemlig dataavläsning som gäller kommunikationsavlyssnings- eller
kommunikationsövervakningsuppgifter får meddelanden som överförs
eller har överförts i ett elektroniskt kommunikationsnät även hindras från
att nå fram.”

Hur ska detta gå till?

Som nämnts tidigare så är det här lagförslaget en produkt av att IT-säkerheten, framförallt gällande nätverkskommunikation, blivit såpass hög att polisen anser att dom inte kan göra sitt jobb på grund av den (eller, det är åtminstone den anledning som uppges). För att komma runt detta så ska polisen få möjlighet att hacka en misstänkts telefon, dator, eller annan IT-plattform som denne använder.

Följande stycke är från paragraf 22 under rubriken ”Tillåtna tekniska metoder” från lagförslaget.

”När ett tillstånd till hemlig dataavläsning har beviljats får de tekniska hjälpmedel som behövs för avläsningen och upptagningen användas.

Om det är nödvändigt får systemskydd brytas eller kringgås och tekniska sårbarheter utnyttjas.”

Hur själva intrånget går till beror på sårbarheten och dess natur, och även i vilken mjuk- eller hårdvara den finns. I vissa fall kan det gå att utföra på avstånd över internet genom att den misstänkte klickar på en länk i ett mail eller får ett specialkonstruerat meddelande i en chatt-app, och i andra fall kan fysisk tillgång till en telefon eller dator behövas. Det finns historiska exempel på sårbarheter i en telefons SMS-app, där det har räckt med att telefonen tar emot meddelandet, men den sortens fall hör inte till vanligheterna.

Efter detta, dvs när själva sårbarheten utnyttjats, kommer någon slags spionprogramvara installeras på enheten. Denna kan sedan fjärrstyras av polisen, för att på så vis läsa av information på enheten, aktivera funktioner som kamera, mikrofon, GPS, osv.

Problemet med detta

För att ett systemskydd ska kunna ”brytas” eller ”kringgås” så krävs det en eller flera sårbarheter i den mjuk- eller hårdvara som det gäller. Dessa sårbarheter har polisen idag inte tillgång till, och det är svårt att tänka sig att en myndighet som polisen skulle kunna locka till sig den kompetens som behövs för att hitta och utnyttja sådana. Alternativet är att köpa in den kompetensen i form av den sortens verktyg som tillhandahålls av företag som tidigare nämnda Hacking Team. Det är ingen överdrift att säga att den sortens företag, och den marknad dom verkar på, är synnerligen suspekta, och att skattepengar skulle gå till att främja den sortens verksamhet är något som alla borde motsätta sig.

Ett annat problem med den här strategin är att den bygger på att sårbarheter i populära enheter och mjukvaror som mobiltelefoner, operativsystem, osv, inte rapporteras till tillverkaren så att dom kan täppas till med hjälp av en säkerhetsuppdatering. Det vill säga, hela upplägget bygger på att alla som använder dessa enheter eller mjukvaror kommer att fortsätta vara sårbara för att polisen ska kunna hacka ett fåtal, än en gång på skattebetalarnas bekostnad.

Andra konsekvenser

Förutom det faktum att polisen i sin jakt på förövare kommer att utsätta oskyldiga för både integritetskränkningar och osäkerhet på grund av öppna säkerhetshål, så tillkommer även aspekten att i stort sett samtliga punkter som innefattas av lagen om hemlig dataavläsning förutsätter att en misstänkts telefon, dator, eller annat informationssystem hackas. Dvs, även om en utredning ”bara” får OK på att inhämta ”platsuppgifter” så kommer detta sannolikt att göras via en hackad telefon, vilket rent effektivt kommer ge den operatör som är ansvarig för att läsa av uppgifterna tillgång till hela den hackade enheten med allt vad det innebär. Det vore otroligt naivt att anta att detta inte kommer att missbrukas, oavsett om informationen som kommer fram av övertrampet går att använda i en rättegång eller inte. Kort sagt så är den här sortens kapaciteter farliga, och att lämna över dom till en notoriskt opålitlig och aggressiv myndighet som polisen än mer oroande.

När får det användas?

Även om lagförslaget innehåller ett stort antal förslag på regler om när, var, och hur, dessa avläsningar ska få göras så är dom flesta skrivna på ett sätt som kommer gå att ta sig förbi med lite kreativ tolkning och uppfinningsrikedom. Den här texten kommer därför inte att fokusera på den delen, utan konstaterar istället att polisen är världsmästare på att bryta mot reglerna och komma undan med det, och att det inte finns någon anledning att tro att det skulle förändras i och med detta.

Vad kan jag göra?

För det första så kan du protestera. Även om förslaget blivit godkänt så är det ännu inte verklighet, och det finns fortfarande en liten chans att en folklig opinion mot det här integritetskränkande ingreppet kan göra skillnad.

Förutom detta så är basal säkerhetshygien fortfarande det absolut mest effektiva; installera säkerhetsuppdateringar direkt, installera aldrig något som du inte är 100% säker på var det kommer från, klicka inte på länkar från okända, skydda din enhet med en pinkod eller ett lösenord, slå på fulldisk-kryptering, osv. Även om polisen får laglig möjlighet att göra intrång så är chansen liten att dom kommer ha tillgång till sårbarheter för att ta sig runt allt och under alla omständigheter, så även en liten detalj kan göra skillnad.

För mer avancerade användare så finns det en mängd olika verktyg att använda, men det kommer vi att återkomma till i en framtida text.