Moderaterna blir tredje alliansparti att producera ett upprop mot FRA-lagen. Idag på DN Debatt sammanfattar fjorton moderata lokalpolitiker varför de vill att FRA-lagen ska omvärderas. De skriver bland annat:

Vi [...] träffar dagligen väljare som undrar varför en lag som innebär massavlyssning av svenska folket är så viktig att genomföra. Det är en fråga vi inte kan ge något bra svar på.

Frågan alla ställer sig är nu: var är KD?

Ingvar Åkesson fortsätter att bedriva retorik av låg kvalitet på SvD brännpunkt. I sin artikel listar han en (för) lång lista med retoriska frågor:

Ska signalspaning mot utländska politiska och militära makthavare bara vara tillåtet om de är misstänkta för brott?

Irrelevant argument. Debatten i Sverige handlar om avlyssning av svenska medborgare, inte utländska statschefer.

Har inte regeringen ett berättigat intresse av att veta hur utländska makthavare agerar eller avser agera gentemot Sverige och oss svenskar?

Det är möjligt att regeringen har ett sådant intresse, men det är inte självklart att det intresset ska tillgodoses. Det är inte självklart för mig att regeringen har rätt att godtyckligt ta del av svenskars interaktion med "utländska makthavare".

Hur går det med självständigheten om Sverige inte kan förlita sig på egen ­underrättelseinhämtning och i stället måste vara beroende av andra länder?

Vilken självständighet? Hur går det med min självständighet i ett land med massavlyssning? Vad är Sveriges självständighet värd för mig om jag inte har tillräckligt integritetsskydd i Sverige?

Ska signalspaning mot vapensystem som kan riktas mot Sverige inte vara tillåtet eftersom brottsmisstanke saknas?

Menar Ingvar Åkesson att vapensystemen använder transnationell kommunikation över publika nät för sin målsökning? "Var försiktig med när du svarar i mobilen; det kan vara en Scud som ringer för att kolla var du är!" I annat fall ser jag inte hur detta är relevant för diskussionen om massavlyssning av svenskar.

Ska signalspaning inte kunna användas när det gäller it-attacker utifrån mot svenska kommunikationer förrän brottet faktiskt begåtts och skadan är skedd?

Den typ av installation som FRA-lagen medför är knappast nödvändig för att detektera attacker mot informationsinfrastruktur. Installationen i fråga kan inte heller stoppa sådana attacker.

Ska svenska regeringen inte ha ett självständigt underlag inför beslut om svenskt deltagande i en internationell insats eftersom brottsmisstanke saknas?

Ursäkta? Jag tror att debatten handlar om massavlysning av svenskar, inte om huruvida Sverige ska bedriva underrättelseverksamhet över huvud taget.

Ska skydd av den svenska personalen på plats i form av signalspaning mot lokala fientliga grupperingar som planerar sabotage, kupper eller terrordåd inte vara tillåten förrän brotten har begåtts?

Signalspaning när den bedrivs i Afganistan är knappast behjälpt av utrustning som aggregerar trafik över Sveriges gränser. Signalspaning från Sverige mot Talibaner i Afganistan bedrivs lämpligen med webbläsare och mejlläsare över publika nätverk. Ingen särskild utrustning krävs. Avlyssning av talibansympatisörer i Sverige bör rimligen kräva brottsmisstanke.

Ska inte teknisk signalspaning för att skydda svensk trupp och svenska militära flygplan och fartyg inte vara tillåten eftersom brottsmisstanke saknas? Hur ska Sverige då kunna delta i internationella insatser?

Ursäkta igen?

Sverige skulle bli beroende av andra länder när det gäller den information som regeringen behöver för att kunna föra Sveriges utrikes-, säkerhets- och försvarspolitik. Vill vi verkligen det?

Vad Ingvar Åkesson menar är nog snarare att Sverige kommer att hamna i underläge baserat på att andra nationer kommer att massavlyssna sina medborgare och därför ha tillgång till underrättelser som Sverige saknar. Ett klassiskt exempel på ett "race to the bottom".

Denna typ av retorik brukar på IT-språk beskrivas med termen FUD, "fear, uncertainty and doubt". Det är problematiskt redan att en företrädare för FRA är den främsta försvararen av en politik som borde försvaras av den regering som driver den. Det blir rent beklämmande när det försvaret huvudsakligen bygger på spridandet av rädsla och tvivel.

Vad som är intressant att notera är hur liten vikt Ingvar Åkesson lägger vid terrorism. När den här karusellen började snurra efter 9/11 handlade det mycket om terrorism. Regeringens proposition, som huvudsakligen skrevs för två år sedan, lägger stor vikt vid skyddet mot terrorism. Det förefaller emellertid som att Åkesson gör bedömningen att terrorism inte längre har lika högt FUD-värde.

Updatering:

1. Tomas Ries (förvisso en kontroversiell figur) kommenterade på sitt sätt eget Åkessons sista retoriska fråga . Läs R&D.

Carl Bildt framhåller att Sverige behöver ett starkt försvar för vår informationsinfrastruktur. Han pekar på defacement-attackerna i Estland och Lettland. Carl Bildt försöker sälja FRA-lagen som en modernisering av Sveriges traditionella invasionsförsvar.

Problemet med denna jämförelse är att FRA-lagen (lyckligtvis) inte innebär ett gränsskydd för datatrafiken. Attacker mot Sveriges informationsinfrastruktur möjliggörs av bristande säkerhetsmedvetenhet hos de som underhåller och använder systemen. Framgångsrikt arbete för att skydda Sverige mot attacker mot svensk informationsinfrastruktur har stor likhet med de kampanjer som emellanåt bedrivs mot veneriska sjukdomar.

Den viktiga poängen här är att det inte är någon principiell skillnad mellan attacker av kriminell natur och sådana med subversiva förtecken. Nationsgränser spelar inte heller någon större roll i detta sammanhang. Om en myndighet ska ha någon rimlig chans att bedriva informationssäkerhetsarbete av denna typ måste den ha tillgång även till intern trafik i Sverige. En sofistikerad angripare (vilket jag antar att rysk underrättelsetjänst får klassas som) kommer att gömma sig i transnationellt brus och genomföra sin attack mellan noder inne i Sverige.

I den nuvarande situationen undergräver ju lagförslaget snarare sådant arbete genom att avhända sig det till en hemlig myndighet som inte kommer att vara del av den community som redan bedriver informationssäkerhetsarbete. ISPer, forskare, företag och privatpersoner har säkert inget emot att samarbeta med en svensk myndighet för att öka sin och Sveriges informationssäkerhet, under förutsättning att den myndigheten bidrar öppet och på lika villkor.

Om regeringen tar informationssäkerhet på allvar, bör den driva väsentligt annorlunda politik som a) främjar ett öppet sammarbete mellan samhällets olika aktörer och b) ökar allmänhetens förståelse för betydelsen av informationssäkerhet.

Carl Bildt avslutar:

Men utan den möjlighet som den nya lagen skulle ge oss skulle våra möjligheter till försvar - och motåtgärder - mot ett av den moderna tidens snabbaste växande hot vara tydligt svagare.

Alla de mer avancerade länder som jag har någon kunskap om har därför dessa möjligheter. Och bygger dessutom ut dem kraftigt - dock utan större pressmeddelanden.

Kanske skulle utrikesministern vilja ge oss ett exempel på ett sådant "avancerat land" som också har fått bättre informationssäkerhet som följd av lagstiftning likvärdig med FRA-lagen?

För den som undrar om data kan läcka:

"It’s staggering to learn that up to 600,000 laptops are lost in U.S. airports annually, many containing sensitive information that companies must account for," said Larry Ponemon, chairman and founder of the Ponemon Institute. "IT departments must re-evaluate the steps they’re taking to protect mobile professionals, the laptops they carry, and company data stored on mobile devices."

Det förefaller som att SÄPO delar min uppfattning om att FRA redan idag avlyssnar Internet-trafik.

Under tiden försöker Reinfeldt FRA-smutskasta Socialdemokraterna. En hävdvunnen tradition, förvisso, men det är nog inte socialdemokraterna som är Reinfeldts stora problem, utan hans egna väljare.

Det förefaller som att regeringens strategi för att dämpa motståndet mot FRA-lagen är det klassiska auktoritära argumentet "lita på oss, vi vet vad vi gör". Senaste auktoriteten att lägga sin stämma till denna kör är Carl Bildt i sin andra bloggpost till FRAs försvar:

Alldeles lätt att ge konkreta exempel som är aktuella är det inte, och det av det enkla skälet att vi då skulle avslöja en del av den kapacitet vi har.

Annars skulle jag kunna berätta om konkreta ärenden av utrikespolitisk betydelse under den senaste tiden där existensen av FRA och dess verksamhet gjort att jag kunnat uppträda med auktoritet på ett sätt som annars aldrig hade kunnat vara fallet.

Parallellt med detta efterfrågar Ingvar Åkesson sakliga argumenet i en artikel i SvD. Han skriver bland annat följande:

En stor mängd internationell trafik går genom Sverige. Genom att FRA får spana i den trafik som går i tråd över gränsen kan FRA förse sina uppdragsgivare med information ur den internationella trafiken. Den inhemska trafiken får FRA fortfarande inte spana på.

Av dessa inlägg drar jag slutsatsen att FRA redan tar del av betydligt mer Internet-trafik än vad som är uppenbart just nu. Detta skulle innebära att upprivning av lagen skulle skapa en mycket svår situation för FRA och de myndigheter som är konsumenter av dessa underrättelser. De kunde knappast forsätta med dylik spaning efter att regeringen ändrat sig utan att riskera en mycket avslöjande granskning från oppositionen när den kommer till makten härnäst.

Man kan tycka att detta vore enkelt åtgärdat: det räcker ju med att justera lagtexten så att den explicit säger att endast trafik som både originerar och har destination utanför Sverige skulle bli föremål för spaning. Denna distinktion skulle ha fördelen att det vore enkelt för operatörerna att bidra med ett visst mått av transparens genom att bara leverera relevant trafik till spaning.

Utländska medborgare har förstås inget att säga till om. Deras integritet kan man kränka som man vill.

Knappt 1000 personer deltog i torsdagens demonstration i Göteborg mot FRA-lagen. Inte dåligt med tanke på att det bara var fyra dagars förvarning!

En städad demonstration som samlade en blocköverskridande samling ungdomspartier: Liberala ungdomsförbundet, Ung pirat, Centerpartiets ungdomsförbund, Rättvisepartiet Socialisterna och Ung Vänster.

Tack till alla för en städad demonstration. Tack särskilt till:

• Jonas Linhell från Ung Pirat, som såg till att styra upp förberedelserna. Låt oss hoppas att demonstrationerna i övriga landet blir lika lyckade och till
  
• Josefine Malmgren från LUF, som anförde det mycket relevanta - men mindre sloganistiska - paranoia-argumentet mot FRA-lagen i sitt demonstrationstal.
  

I takt med att innovativ teknologi får en mer central del i våra liv, följer behovet att modernisera lagstiftningen för att matcha människors intuition om vad som borde vara tillåtet. Under 2000-talet har en viktig komonent i denna modernisering varit att genom "teknikneutrala" formuleringar gardera sig mot framtiden.

Det mest aktuella fallet är den del av "FRA-lagen" som syftar till att utvidga underrättelseverksamhetens befogenheter till att avlyssna även sådan kommunikation. I sin proposition 2006/07:63 skriver regeringen, i avsnitt 7.3.1:

Regeringen anser att en lagreglering av signalspaning i försvarsunderrättelseverksamheten därför bör vara teknikneutral på så sätt att signalerna rättsligt sett bör behandlas lika oavsett hur och från vilket medium kommunikationen inhämtas.

Men problemet är ju att olika teknologier närmast definitionsmässigt inte kan behandlas lika. Signalspaning i etern kan inte likställas med signalspaning i kabel.

Låt oss göra ett tankeexperiment. Anta att "FRA-lagen" har trätt i kraft. Anta vidare att tillverkningen av obemannade små flygfarkoster, "bin", är så billig att de kan användas för vardaglig transport av små försändelser. Om du har en GPS i din mobiltelefon kan du få ditt paket levererat dit du för ögonblicket befinner dig.

Senaste modet bland invånarna är att skicka emotogram till varandra. Ett emotogram är en inspelning av hur man känner sig just nu, inspelat från alla de sensorer som människor bär på sig för att hålla koll på sin hälsa. Eftersom emotogram är mycket data (och det är tjockt i etern i storstäderna), skickar man dem med särskilda bin som inte kan transportera last, men istället har minnen som normalt används för att skicka stora dataförsändelser mellan företag. De äldre skakar på huvudet, men de unga älskar emotogrammen, för de gör att de kan överbrygga avgrunden som skiljer en människa från en annan.

Det specifika användningsfallet kanske är litet osannolikt, men det bygger på teknologi som är nära förestående. Ett mer drastiskt exempel på teknikneutral signalspaning kan läsas här.

Eftersom FRA-lagens skrivning försöker vara "teknikneutral" kan man nu fråga sig om lagtexten berör dessa emotogram? Propositionen (som riksdagen bifallit) säger så här i avsnitt 7.3.2:

Begreppet ”elektroniskt kommunikationsnät” definieras som ett system för överföring [...] av signaler. Det bör dock i den nu aktuella lagen fokuseras på vad som får inhämtas, snarare än i vilket system signalerna överförs. I förslaget till lag om signalspaning i försvarsunderrättelseverksamhet avses med signaler i elektronisk form alla former av signaler som överförs bl.a. med hjälp av elektromagnetiska vågor. Det saknas därför enligt regeringens uppfattning anledning att gå ifrån den i promemorian föreslagna lydelsen.

Eftersom våra bin inte använder några elektromagnetiska vågor för att överföra emotogrammen, skulle de inte att omfattas av lagen, trots att de är kommunikation. Det är emellertid ingen tvekan om att emotogrammen hade varit lovligt byte om de skickats genom optisk fiber. 

Om propositionen hade valt en något annorlunda formulering genom att fokusera än mer på kommunikation och mindre på teknologi hade emotogrammen förmodligen ansetts falla innanför lagen - sannolikt i strid med de flesta människors intuition.

Lagen är alltså inte teknikneutral. Det beror naturligtvis på att den använder begreppet "elektromagnetiska vågor". Men oavsett hur den varit formulerad, hade det kunnat inkludera eller exkludera ny teknologi, beroende på tämligen oviktiga implemnetationsdetaljer.

Min poäng är att teknologi transformerar samhället och dess värderingar. Överdrivet specifik lagstiftning kan vara lätt att kringgå, men det är på många sätt farligare att göra lagen "teknikneutral" eftersom det lätt leder till att lagen måste tolkas utöver vad som beskrivs i dess förtexter. Denna tolkning, särskilt när den görs av domstolar, tenderar att försöka utröna lagstiftarens avsikt med lagen och applicera denna på det nya området. Problemet är att teknologin har förändrat medborgarnas uppfattning; lagstiftarens avsikt får därför anses omodern.

Ett exempel på denna transformation av upptfattning och problemet med så kallade teknikneutrala formuleringar är uppdateringen av definitionen av vad som utgör en licenspliktig tevemottagare. Lagen om finansiering av radio och TV i allmänhetens tjänst (1989:41) justerades 2006 (och trädde i kraft 2007-01-01) från att ha förlitat sig på att begreppet tevemottagare i sig är tillräcklig vägledning, till att bli mer teknikneutral:

2 § En TV-mottagare är en sådan teknisk utrustning som är avsedd att ta emot utsändning eller vidaresändning av TV- program, även om utrustningen också kan användas för annat ändamål.

Det egentliga syftet är förstås att inkludera utrustning som kan ta emot program från public service även om den inte kan ta emot marksänd radio. Jag vågar påstå att mycket få svenskar tycker att det är rimligt att SVT kan kräva alla datorägare på tevelicens bara genom att publicera hela sitt programutbud på Internet. Internet fungerar inte så. Att justera den här lagen till att inkludera teveprogram över Internet verkar tämligen dumt i ljuset av att Internet är i full färd med att transformera tevemediet i sin helhet.

Ett annat intressant exempel på teknikneutral lagstiftning är förslaget på ny patientdatalag. Jag ska inte tråka ut er med detaljerna i denna lag, men den anser sig vara teknikneutral eftersom den inte längre gör skillnad på journaler lagrade på papper och sådana som lagras elektroniskt. Den är emellertid inte anpassad för att ta hänsyn till förändringar i begreppet journal. Mot bakgrund av till exempel Google Health, känns det som ett ganska sannolikt scenario att just vad som lagras i en journal och vad som betraktas som en journal kommer att ändras. Lagen kommer alltså bara att vara teknikneutral i ett ganska snävt avseende.

Begreppet teknikneutral kan hjälpa oss att utforma ny lagstiftning som inte är onödigt specifik, men som modernisering av befintlig lag förefaller det vara en bra indikation på att ett större grepp behövs.

I regeringens proposition 2006/07:63, "2.2 Förslag till lag om signalspaning i försvarsunderrättelseverksamhet" framgår det:

2 § Inhämtning som sker i tråd får endast avse signaler som förs över Sveriges gräns i tråd som ägs av en operatör.

Jamen, vafan? På vilket sätt är detta en relevant precisering av signalspaningsmyndighetens befogenheter? Signalspaning i kabelnätverken handlar om att spana efter meddelanden där minst ena parten befinner sig i Sverige. Är det acceptabelt att inkräkta på en persons privatliv åt gången, men inte när de är två på en gång?

På vilket sätt blir mitt privatliv mindre inskränkt för att de jag kommunicerar med befinner sig utanför Sverige? Senast jag kollade Europakonventionen för mänskliga rättigheter, sade den så här i artikel 10:

Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.

Historikt handlar ju signalspaning om att spana efter signaler som utbyts mellan parter som båda befinner sig utanför Sveriges gräns, eller möjligen olovligen innanför gränsen. Då kanske det var rimligt att skilja på vad som pågick inom och utanför gränsen.

En intressant konsekvens av denna distinktion per nationsgräns är att min politiska verksamhet på EU-nivå nu inte längre är skyddad. Jag kan kommunicera med andra svenskar, men mitt politiska engagemang inom EU kommer nu att övervakas av staten.

GP rapporterar idag om ett tämligen trovärdigt fall av integritetsövergrepp av arbetsgivare. Enligt GP har arbetsgivaren installerat spionmjukvara på den anställdes dator och sedan använt informationen för att (något inlindat) motivera avsked av den anställde.

Det hela förefaller vara ett klassiskt fall av trångsynt arbetsgivare. Arbetsgivaren har gjort stickprov och kommit fram till att den anställde använt i genomsnitt 92 minuter per vecka till privat surfande. Däremot har arbetsgivaren inte mätt hur mycket tid den anställde spenderar med arbete när han eller hon inte befinner sig på kontoret.

Arbetsgivaren ifråga inser det kanske inte, men han har just bedrivit aktiv signalspaning genom att installera en trojan. Signalspaning är svårt. Arbetsgivaren har just begått det grundläggande misstaget att anta att de underrättelser han har ger en heltäckande bild av situationen. Med tanke på den nyligen inröstade "FRA-lagen" skulle jag vilja rikta en uppmaning till alla arbetsgivare och myndigheter som vill pröva lyckan som signalspanare: ta en grundkurs i underrättelseverksamhet, så är risken mindre att det blir pinsamt. Glöm inte bort att du är arbetsgivare; du kan ju definiera att Wikipedialäsning ingår i dina arbetsuppgifter!