Regeringen föreslår att datorer, mobiler och kommunikationstjänster ska kunna lyssnas av med hjälp av tekniska verktyg vid misstanke om mycket allvarlig brottslighet. Hur ska avläsningen gå till, och hur effektiv är metoden egentligen?
SOU 2017:89 om hemlig dataavläsning har nu lämnats över till justitieministern. I betänkandet föreslås att misstänktas datorer och mobila enheter och konton hos kommunikationstjänster ska kunna läsas av med hjälp av tekniska verktyg om misstankarna rör mycket allvarlig brottslighet om någon är skäligen misstänkt och om åtgärden är av synnerlig vikt för utredningen. Beslut om avläsning ska fattas av domstol.
Utredaren, lagmannen Petra Lundh, kommenterar betänkandet såhär i ett blogginlägg:
"Under de senaste åren har den tekniska utvecklingen liksom brotts- och samhällsutvecklingen i övrigt lett till att de brottsbekämpande myndigheterna inte längre kan ta del av många av de uppgifter som man tidigare fick del av genom användande av straffprocessuella tvångsmedel som hemlig avlyssning eller hemlig övervakning av elektronisk kommunikation. Framför allt är det den kraftigt ökade användningen av kryptering som är orsaken till detta. Idag är t.ex. mer än 90 procent av den avlyssnade internettrafiken krypterad ... Vi har mot denna bakgrund gjort bedömningen att det finns ett starkt behov av nya och bättre metoder för att de brottsbekämpande myndigheterna i hemlighet ska kunna komma åt uppgifter som redan i dag får hämtas in samt vissa andra uppgifter."
Lundh tillägger att metoden är resurskrävande och att den inte kommer kunna användas i samtliga fall där det skulle behövas.
Utredaren pekar på tre särskilt allvarliga integritetsrisker:
Hur ska avläsningen gå till?
En lång rad stater ska ha köpt "remote control systems" av företag som italienska HackingTeam. Det spekuleras nu i om Sverige kommer välja en sådan lösning eller om tanken är att utveckla egna verktyg. Båda vägarna diskuteras:
"Grovt indelat kan man säga att de brottsbekämpande myndigheterna skulle kunna införskaffa sådana tekniker på två sätt. Båda dessa sätt har sina för- respektive nackdelar. För det första skulle myndigheterna kunna köpa in programvara från kommersiella aktörer. En fördel som ett sådant förfarande skulle innebära är att det borde möjliggöra ett relativt snabbt igångsättande av tekniken för hemlig dataavläsning eftersom de produkter eller tjänster som tillhandahålls via kommersiella aktörer torde vara utvecklade redan ... Det andra sättet att komma över en teknik för att verkställa hemlig dataavläsning är egen utveckling. De uppenbara fördelarna med ett sådant tillvägagångssätt skulle vara att de brottsbekämpande myndigheterna då själva förfogar över sina tekniska metoder och utan hinder kan vidareutveckla dessa. "
Utredaren konstaterar att båda lösningarna sannolikt är förenade med höga kostnader. Det förslag som läggs fram är att "de tekniska hjälpmedel som behövs för avläsning och upptagning" ska få användas efter att tillstånd till avläsning lämnats. Om det är nödvändigt får skydd brytas eller kringgås. Myndigheten i fråga ska också få använda "tekniska hjälpmedel", med vilket avses såväl hårdvara som mjukvara, och exempelvis få installera programvara för att möjliggöra avläsningen.
Vid tillståndsprövningen ska domstolen bara ta ställning till om avläsning ska få ske - den verkställande myndigheten ska själv avgöra hur avläsningen ska gå till rent tekniskt.
Företrädare för teleoperatörer har tidigare sagt att företagen oavsett kommer bekämpa statliga trojaner på samma sätt som vilken skadlig kod som helst.
Utredaren, lagmannen Petra Lundh, kommenterar betänkandet såhär i ett blogginlägg:
"Under de senaste åren har den tekniska utvecklingen liksom brotts- och samhällsutvecklingen i övrigt lett till att de brottsbekämpande myndigheterna inte längre kan ta del av många av de uppgifter som man tidigare fick del av genom användande av straffprocessuella tvångsmedel som hemlig avlyssning eller hemlig övervakning av elektronisk kommunikation. Framför allt är det den kraftigt ökade användningen av kryptering som är orsaken till detta. Idag är t.ex. mer än 90 procent av den avlyssnade internettrafiken krypterad ... Vi har mot denna bakgrund gjort bedömningen att det finns ett starkt behov av nya och bättre metoder för att de brottsbekämpande myndigheterna i hemlighet ska kunna komma åt uppgifter som redan i dag får hämtas in samt vissa andra uppgifter."
Lundh tillägger att metoden är resurskrävande och att den inte kommer kunna användas i samtliga fall där det skulle behövas.
Utredaren pekar på tre särskilt allvarliga integritetsrisker:
- Att avläsningen skulle kunna medföra en närmast fullständig kartläggning och övervakning av den person som utsätts för åtgärden om inte tydliga begränsningar görs
- Att metoden om den används för att optiskt övervaka eller avlyssna personer skulle kunna medföra en mycket långtgående övervakning om inte tydliga begränsningar görs
- Att den skulle kunna innebära att informationssäkerheten utanför den tekniska utrustning som åtgärden avser minskar om inte särskilda krav ställs upp
Hur ska avläsningen gå till?
En lång rad stater ska ha köpt "remote control systems" av företag som italienska HackingTeam. Det spekuleras nu i om Sverige kommer välja en sådan lösning eller om tanken är att utveckla egna verktyg. Båda vägarna diskuteras:
"Grovt indelat kan man säga att de brottsbekämpande myndigheterna skulle kunna införskaffa sådana tekniker på två sätt. Båda dessa sätt har sina för- respektive nackdelar. För det första skulle myndigheterna kunna köpa in programvara från kommersiella aktörer. En fördel som ett sådant förfarande skulle innebära är att det borde möjliggöra ett relativt snabbt igångsättande av tekniken för hemlig dataavläsning eftersom de produkter eller tjänster som tillhandahålls via kommersiella aktörer torde vara utvecklade redan ... Det andra sättet att komma över en teknik för att verkställa hemlig dataavläsning är egen utveckling. De uppenbara fördelarna med ett sådant tillvägagångssätt skulle vara att de brottsbekämpande myndigheterna då själva förfogar över sina tekniska metoder och utan hinder kan vidareutveckla dessa. "
Utredaren konstaterar att båda lösningarna sannolikt är förenade med höga kostnader. Det förslag som läggs fram är att "de tekniska hjälpmedel som behövs för avläsning och upptagning" ska få användas efter att tillstånd till avläsning lämnats. Om det är nödvändigt får skydd brytas eller kringgås. Myndigheten i fråga ska också få använda "tekniska hjälpmedel", med vilket avses såväl hårdvara som mjukvara, och exempelvis få installera programvara för att möjliggöra avläsningen.
Vid tillståndsprövningen ska domstolen bara ta ställning till om avläsning ska få ske - den verkställande myndigheten ska själv avgöra hur avläsningen ska gå till rent tekniskt.
Företrädare för teleoperatörer har tidigare sagt att företagen oavsett kommer bekämpa statliga trojaner på samma sätt som vilken skadlig kod som helst.
Utredningen tillsattes efter terrordådet i Paris för två år sedan.
- Det handlar inte om nya rättigheter utan om möjlighet att använda rätten. Jag vill att vi om fem år ska kunna avvärja terrorhot och inte behöva säga att tekniken sprungit ifrån oss, att vi bara kan lyssna på pensionärer som pratar genom koppartråd, sade dåvarande inrikesministern Anders Ygeman i en paneldiskussion med bl a Advokatsamfundets generalsekreterare Anne Ramberg några månader senare. Han ansåg då inte att risken för integritetsintrång är skäl att skäl att avstå:
- Det är klart att den finns, men det är därför vi har rättssäkerhetsgarantier. Säkerhetsskyddsnämnden kan i efterhand kontrollera om det gått rätt till. Men polisen måste skärpa sig när det gäller registerhållningen.
Tidigare förslag om dataavläsning – se här och här – har kritiserats av just Advokatsamfundet, som varnat för ändamålsglidningar.
– Det är ett mycket integritetskränkande verktyg, det erbjuder obegränsade tekniska möjligheter att övervaka människor i realtid. Nu har ju utredningen i och för sig uppställt vissa avgränsningar men jag finner inte att de är tillräckliga, säger generalsekreterare Anne Ramberg i en kommentar till det nu aktuella betänkandet.
Forskaren Franciskus van Geelkerken, som skrev en avhandling om polisens användning av trojaner, är också kritisk till metoden.
- The effectiveness will not be as great as politicians think it will be. To safeguard the principles of the rättsstat the crimes for which trojans can be allowed must be quite limited and the secondary requirements such as the minimum term of imprisonment and the severity of the crime itself are going to result in the situation that it will only be possible to use trojan police horses in a very small number of cases each year. As such the overall effectiveness of the use of trojan police horses on the whole criminal investigation process is going to be marginal, sade han när jag träffade honom förra året (läs hela intervjun här).
Liksom utredningen menar Geelkerken att avläsning bör reserveras för de grövsta brotten. Han tillägger dock att misstänkta måste informeras om att de avlyssnats för att användningen ska vara förenlig med Europakonventionens artikel 8.
Dataavläsning utomlands
2008 antog EU en plan för bekämpning av cyberbrott som bl a uppmanade medlemsstater att genomsöka datorer på distans. Tysklands inrikesminister presenterade en plan för trojanska hästar året innan. Ett av Tysklands förbundsländer legaliserade användning av ”remote forensic tools”, men 2008 slog en federal domstol fast att lagstiftningen var oförenlig med Tysklands grundlagar. Liknande program har föreslagits runtom i Europa, bl a i Nederländerna där regeringen föreslagit att polisen ska få bereda sig tillgång till enskildas datorer i samband med brottsutredningar.
I USA finns det inget uttryckligt lagstöd för användning av trojaner, men inte heller något förbud. Medborgare har däremot rätt att slippa ”unreasonable searches and seizures” enligt det fjärde tillägget till konstitutionen. Användningen av trojaner har godkändes av domstol i ett fall då en sexårig pojke hotade skola. I ett annat fall ville FBI avlyssna en misstänkt bedragares chattloggar, e-post m.m. samt ta kontroll över den misstänktes webbkamera. Domstolen avslog begäran, bl a med hänvisning till att FBI inte kunde garantera att oskyldiga inte kunde komma att avlyssnas.