You are here: Home Topics fra-lagen
Quests integritetsblogg

fra-lagen

Sep 18, 2008

FRAs möjlighet att bekämpa terrorism

Filed Under:

I olika sammanhang har det diskuterats huruvida det skulle gå att kräva brottsmisstanke för att få bedriva trafikinspektion av svensk nättrafik. Åsikterna går isär bland motståndarna till FRA-lagen. En del menar att det kan vara en rimlig kompromiss, medan andra tillhör kablarna-ska-inte-anslutas-lägret. Förespråkarna på sin sida menar att "signalspaning i kabel" (detta mytiska djur) inte handlar om enskilda individer och inte heller om brottsbekämpning. Motståndarna har missförstått konceptet signalspaning, menar man: att signalspaningen ibland påträffar brottsligt material är incidentalt.

Jag tror en mycket viktig poäng kommer bort i denna polarisering.

I likhet med många andra europeer tror jag att kampen mot den så kallade islamiska radikaliseringen, eller jihadismen, måste bedrivas genom att erbjuda en positiv motbild till jihadismen och genom att minska europeiska muslimers utanförskap.

Ett mycket viktigt redskap i denna process är transparens. Transparensen gör motiveringar tydligare och processer tillgängligare utifrån.

Material som FRA samlar ihop om pågående radikalisering behöver kunna presenteras för omvärlden på ett sådant sätt att det inte råder något tvivel om att insamlingen skedde i enlighet med den positiva motbild som målas upp. Vi måste helt enkelt efterleva de höga ideal vi ställer upp. Likaså måste det finnas en transparent proportionalitet mellan insamlingsmetoden och det avslöjade hotet. Om så sker kommer det att stärka motbilden och kommer att öka avståndet mellan de redan radikala elementen och deras omgivning.

Terrorism tenderar i Europa att bekämpas som brottslighet, i mycket som en följd av att terroristerna är våra landsmän. I förlängningen kommer sålunda det av FRA insamlade materialet att mätas i domstol. Det kan vara i Sverige eller i något annat land, givet jihadismens internationella natur. Oavsett var, kommer materialets trovärdighet att bedömas utifrån samma krav som ställs på allt bevismaterial: autenticitet, spårbarhet, etc. Frågan blir sålunda inte i första hand om FRA behöver domstolsutslag för sin trafikinspektion, utan snarare hur insamlingen ska bedrivas så att det insamlade materialet får största värde.

Problemet är att de terrorister som arresterats hitintills i Europa har blivit arresterade efter eller i samband med sina brott. Ett effektivt spaningsbidrag bör sålunda inrikta sig mot attdetektera pågående radikalisering och förberedelser till terrorbrott.

Hemlighetsmakeri i rättsprocessen var inget stort problem när åtalet mot statssponsrade terrorister var en formalitet i en mellanstatlig konflikt. I en rättegång mot en jihadist är det väldigt lätt att sekretessen styrker den åtalades martyrskap.

I den mån FRA ska bidra till bekämpning av terrorism blir det närmast nödvändigt att hålla sig till en rigid och transparent procedur, annars finns det stor risk att arbetet får direkt motsatt effekt och blir ett diffust hot som kan integreras i radikaliseringsprocessen. I den skepnad FRA-lagen stakar ut är FRA till begränsad nytta för bekämpandet av terrorism.

Istället för det icke-syfte som FRA-lagen försöker ge FRA, behöver regeringen diskutera FRA i termer av vilka effekter man vill uppnå och i vilken utrsträckning och med vilka medel man kan komma dithän.

Aug 23, 2008

FRA-lagen ur ett Internetsäkerhetsperspektiv

Filed Under:

Den utrustning för trafikinspektion som FRA-lagen stipulerar är ett fantastiskt verktyg för den som vill kapa eller förfalska trafik över Internet. Detta gäller förvisso varje centralt placerad router i Internet. Skillnaden är att genom FRA-lagen skapas en installation som från en central punkt erbjuder denna möjlighet för, i allt väsentligt, alla routrar i Sverige.

Med hjälp av den här installationen kan FRA kapa i stort sett vilken okrypterad Internetkommunikation som helst.

Hur går detta till? FRA kan väl bara avlyssna trafiken, inte påverka den? Nej, men en av Internets styrkor är att den grundläggande designen är mycket enkel - dum om man så vill. Så här går det till:

FRA ser en förbindelse som ser intressant ut. Låt oss säga att Alice vill skicka ett mejl till Bob. Alice dator ansluter till Bobs mejlserver. FRA ser Alice försök att öppna en förbindelse och skickar ett svar till Alice som om det kommit från Bobs mejlserver. På grund av Internets design kan de i princip skicka detta svar var som helst ifrån, eftersom Internet generellt tillåter att man "ljuger" om avsändaradress. Samtidigt skickar de ett meddelande till Bobs mejlserver som stänger förbindelsen igen. Nu kommer Bobs mejlserver att kasta all trafik från Alice dator, eftersom de inte har en förbindelse, men FRA kan fejka fortsatta svar till Alice, så att hennes dator tror att den pratar med Bobs mejlserver. Detta kallas en man-in-the-middle-attack. Det enda som krävs är att FRAs första svar når Alice innan Bobs mejlserver hinner svara.

En snarlik metod används för att störa fildelningvissa håll.

Låt oss nu inte vara paranoida. FRA begränsas på samma sätt som andra myndigheter av svensk lag och kan förväntas hålla sig på mattan. Det finns emellertid ingenting som hindrar att FRA använder den här mekanismen för att kapa förbindelser som initieras från utlandet.

Till detta kommer det faktum att den så kallade "samverkanspunkten" kan kapas/hackas, eftersom den är ansluten till Internet.

Aug 20, 2008

Bodström om FRA-lagen

Filed Under:

Idag skriver självaste Thomas Bodström om FRA-lagen på DN Debatt. Han sammanfattar invändningarna mot lagen.

Synd bara att hans debattartikel inte är publicerad den 10 juni, eller åtminstone, den 20 juni. Publicerad den 20 augusti blir den bara ett lumpet försök att ytterligare elda på den uppseglande regeringskrisen.

Vidare blir min tolkning att han fortfarande vill att Sverige ska skaffa sig en infrastruktur för internationell trafikinspektion. Han skriver:

Det är inte acceptabelt att ge FRA kontinuerlig tillgång till alla telekommunikationer över Sveriges gräns. Tillstånd kan krävas av ett oberoende domstolsliknade organ.

Frågan är hur detta skulle gå till? På vilken "skala" ska FRA söka tillstånd? För varje individ som drabbas? För en tidsperiod? För en typ av hot? I korthet förefaller Bodström inte riktigt ha förstått problemet. Han skriver:

I signalspaning som riktas mot en enskild person ska krävas någon form av brottsmisstanke. Vid spaning mot fysiska personer är misstankar om brott den naturliga utgångspunkten.

Problemet är ju att all trafik som passerar rikets gräns rör fysiska personer direkt eller indirekt. Även där trafiken härhör från en ambassad eller ett utländskt företag, bör vi inte av rättssäkerhetsskäl anta att trafiken härhör från en svensk medborgare tills motsatsen är bevisad?

Bodströms avslutning förbryllar mig också:

Det rimliga nu är att ta ett ordenligt grepp och börja om från början med en parlamentarisk utredning.

Vill han verkligen ha en parlamentarisk utredning? Det kommer ju sannolikt att innebära att han kommer att få det otacksamma uppdraget att implementera utredningens förslag efter nästa val...

Aug 15, 2008

Moderater besöker FRA

Filed Under:

Diverse moderater har varit och besökt FRA. Om detta bloggar Katarina Brännström, som skriver att:

cirka [en] tusendel av den inkomna trafiken som följs upp

Ett mycket vagt - för att inte säga oroande - påstående.

Låt oss för ögonblicket bortse ifrån att det är ett irrelevant påstående eftersom FRA-lagsdiskussionen handlar om verksamhet som ännu inte bedrivs och om vilken vi därför inte kan ha dylika mått.

Jag kan se tre tolkningar av detta påstående:

  1. efter att ha grovgallrat all spam, pr0n och warez återstår 1 promille av trafiken; denna matar FRA in i sin automatiska analys. Notera att detta inte innebär att FRA inte intresserar sig för terroristernas porrsurfning, bara att de inte bryr sig om att spara på bilderna.
  2. av den trafik som återstår efter grovgallring bryr sig FRA om att flagga 1 promille som intressant, vilket kan leda till att den sparas och granskas av männiksor.
  3. av den totala trafikvolymen som inkommer flaggar FRA 1 promille som intressant.

Det intressanta med dessa tre tolkningar är att i alla tre fallen är 1 promille ganska mycket. Jag hade inte förväntat mig att ryssar, ambassader och terrorister skulle utgöra 1 promille av trafiken över landsgränsen.

Det gör mig ledsen att Katarina tror att hon kan bedöma kvaliteten av sitt beslut genom att besöka en verksamhet som i allt väsentligt är hemlig och därför otillgänglig för henne. Särskilt som den delen av verksamheten som debatten rör ännu inte bedrivs där - hoppas jag.

Aug 14, 2008

Vem vill snälla FRA spana på?

En av mina tumregler är att - tills motsatsen är bevisad - utgå ifrån att ingen är ond, korkad eller okunnig. Nu tänkte jag applicera denna tumregel på FRA-lagen.

Låt oss anta att de som "beställt" lagstöd för att bedriva omfattande trafikinspektion i gränsöverskridande kabel inte är onda, korkade eller okunniga. Sålunda förstår de distinktionen mellan lagstöd för att inspektera transittrafik (d.v.s trafik där varken mottagare eller avsändare finns i Sverige) och lagstöd för att inspektera gränsöverskridande trafik (där minst en part befinner sig inom Sveriges gräns). Om de är respektabla individer, har de en god anledning när de begär det senare, snarare än det tidigare.

Vidare stipulerar tumregeln att de inte ljuger (eller är brottsligt optimistiska) när de menar sig kunna vinna kunskap om utrikes förhållanden genom denna trafikinspektion.

Frågan blir nu: vad är det för kommunikation som de vill samla kunskap om, där den ena parten befinner sig i Sverige, men som ändå kan anses vara ett "utrikes förhållande"? Detta vill jag spekulera litet i.

Ambassader: Ambassader är det mest uppenbara målet för trafikinspektion. En ambassad tjänar som ett fokus för sitt lands kontakter med Sverige. Det torde sålunda vara betydligt effektivare att spana på ryska ambassaden än att försöka spana på alla delar av den ryska förvaltningen som kan tänkas ha intressen i Sverige.

Det torde vara lätt att veta vilken trafik som är på väg till och från en ambassad, eftersom ambassaden får sin nätanslutning som vilket företag som helst. Man torde inte behöva vrida om ISP:ns arm så hemskt mycket för att få veta vilka IP-nummer de tillhandahåller till ambassader.

Ambassader används av allehanda besökande attachéer och lägre diplomater. Sannolikt händer det att de använder ambassadens nätverk för att kommunicera med hemlandet. Den som kan penetrera de lager av tunnling och kryptering som ambassaden använder kan säkert utläsa en hel del matnyttigt.

Besökande diplomater: Carl Bildts blogg får mig att misstänka att han spenderar en stor del av sin vakna tid åt att prata i mobiltelefon - även när han är utomlands. Motsvarande gäller säkert besökande ministrar och diplomater i Sverige. Snarare än att försöka jaga besökande diplomater med riktantenn över Stockholms gator och torg, kan man avlyssna deras telefontrafik i den kabel där mobiloperatören hjälpsamt har samlat dem.

Utländska företag: Alla stater med regional eller global ambition har en portfölj av statliga eller kvasistatliga företag som agerar som en förlängning av den verkställande makten. Gazprom och Boeing torde vara det mest i ögonfallande exemplen, men på senare tid har försvars- och energibolagen fått sällskap av ett antal statliga finansinstitut (ofta kallade "sovereign wealth funds"). När dessa verkar i Sverige bör vi utgå ifrån att de har både ekonomiska och nationella intressen. Deras kommunikation med sina moderorganisationer är mestadels rutin, men emellanåt passerar det säkert matnyttiga saker.

Subversiva utländska besökare: De allra flesta utlänningar som besöker Sverige är turister eller konsulter. Bland dem finns en mycket liten andel som har mer eller mindre subversiva avsikter. Kanske är det en gammal hederlig spion eller en militant jihadist på rekryteringsresa. Deras kommunikation är sannolikt svår att snappa upp, men kanske inte helt omöjlig. Kanske har snälla amerikaner talat om för oss att jihadisterna använder en speciell mejlserver för att kommunicera eller kanske har spionen en kontaktperson som SÄPO har ögonen på.

Två saker blir tydliga när man tittar på dessa punkter:

  1. Ambassader och utländska företag - stationära mål, om man så vill - skickar sannolikt mycket litet trafik i etern dessa dagar. Här har FRA i allt väsentligt förlorat sin förmåga. Kravet på "teknikneutral" signalspaning blir viktigt för att återupprätta förmågan att spana på sådana stationära mål.
  2. Avlyssning av mobiltelefoni är en central del av signalspaningen. Mobiltelefonin passerar både etern och kabel och är både publik och privat. Det oklara rättsläget riskerar att explodera i ansiktet på signalspaningsmyndigheten.

Går det att spana på dessa personer och verksamheter på något annat sätt än det föreslagna? Om man ska tro tumregeln, har "beställarna" försökt och misslyckats med att komma på en bättre strategi.

Den som är seriös i sitt ställningstagande för eller emot FRA-lagen måste väga dessa faktorer mot det integritetsintrång som omfattande inspektion av transnationell trafik innebär.

Aug 05, 2008

Internet är ett globalt samförstånd

Filed Under:

Jag är emot FRA-lagen för att den innebär massavlyssning av svenska medborgare. Så långt verkar de flesta av motståndarna till 2006/07:63 vara överens. När jag diskuterar detta med min omgivning blir det emellertid tydligt att det finns flera olika motivationer bakom detta argument.

Min främsta motivering är att Internet är ett transnationellt samförstånd mellan aktörer på lika villkor. För första gången i mänsklighetens historia har en global arena skapats som är i det närmaste helt egalitär - där kostnaden för att distribuera sitt budskap är så låg att alla kan delta.

Detta tillstånd är ingen självklarhet, inget oundvikligt jämviktstillstånd. Det måste försvaras och utvecklas.

Denna demokratiska platform måste till exempel försvaras mot nationalstater som försöker påföra den en nationell prägel. Det spelar inte så stor roll om det är kinesiska staten som försöker hindra sina medborgare från att föra en dialog om Kinas demokratisering eller Sverige som försöker värna sina medborgare från "yttre" hot genom omfattande trafikinspektion. Båda dessa handlingar minskar Internets förmåga som egalitär platform genom att skapa osäkerhet om spelreglerna. Det finns naturligtvis en gradskillnad, men båda ingreppen har samma verkan. Det är möjligt att möjligt att med utebliven trafikinspektion kommer att svenska medborgare att behöva ge upp ett litet mått av säkerhet. För mig är detta är försumbart i förhållande till den enorma modererande kraft som global, egalitär kommunikation innebär.

Studera det så kallade GOFA-förslaget i USA och det motsvarande förslag som förts fram i EU-parlamentet. Kontentan av detta förslag är att det skulle bli möjligt att straffa företag som hjälper andra nationer att begränsa sina medborgares möjlighet att yttra sig publikt och internationellt.

Det kan diskuteras om det är en bra idé att misstänkliggöra företag på det sättet. Trots allt är deras nettobidrag till yttrandefriheten där de verkar sannolikt positiv.

Min poäng är snarare att detta är ett av flera tecken på att Internet formar en arena som nationalstaten inte självklart ska få inskränka. Internet insinuerar att alla dess användare delar samma gemenskap. Då blir FRA-lagens separation av svenska och "yttre" företeelser märklig. Varför ska svensk lagstiftning förbjuda ingrepp i min integritet, men tillåta sådana ingrepp i mina vänners integritet bara för att de inte råkar vara svenskar?

Makten utgår från folket, brukar man säga. Internet är ett mycket viktigt forum i vilket folket kommunicerar om kvaliteten och inriktningen på denna maktutövning. Delar av kommunikationen är publik oppinionsbildning, medan andra delar är av privat natur. För mig förefaller det rimligt att denna kanal inte ska vara tillgänglig för statsmakten, lika litet som företagsägares inbördes kommunikation är tillgänglig för företagets VD.

FRA-lagen blir en fråga om demokratisk hygien och den frågan måste med nödvändighet ses i det globala sammanhang som den gemenskap den hotar att undergräva. Låt oss inte delta i det idiotiska race to the bottom som argumentet "andra gör det redan" innebär. Låt oss istället föregå med gott, jämställdhetsfrämjande exempel.

Aug 04, 2008

Moderat anti-FRA-upprop

Filed Under:

Moderaterna blir tredje alliansparti att producera ett upprop mot FRA-lagen. Idag på DN Debatt sammanfattar fjorton moderata lokalpolitiker varför de vill att FRA-lagen ska omvärderas. De skriver bland annat:

Vi [...] träffar dagligen väljare som undrar varför en lag som innebär massavlyssning av svenska folket är så viktig att genomföra. Det är en fråga vi inte kan ge något bra svar på.

Frågan alla ställer sig är nu: var är KD?

Jul 20, 2008

Åkesson forstätter fudda

Filed Under:

Ingvar Åkesson fortsätter att bedriva retorik av låg kvalitet på SvD brännpunkt. I sin artikel listar han en (för) lång lista med retoriska frågor:

Ska signalspaning mot utländska politiska och militära makthavare bara vara tillåtet om de är misstänkta för brott?

Irrelevant argument. Debatten i Sverige handlar om avlyssning av svenska medborgare, inte utländska statschefer.

Har inte regeringen ett berättigat intresse av att veta hur utländska makthavare agerar eller avser agera gentemot Sverige och oss svenskar?

Det är möjligt att regeringen har ett sådant intresse, men det är inte självklart att det intresset ska tillgodoses. Det är inte självklart för mig att regeringen har rätt att godtyckligt ta del av svenskars interaktion med "utländska makthavare".

Hur går det med självständigheten om Sverige inte kan förlita sig på egen ­underrättelseinhämtning och i stället måste vara beroende av andra länder?

Vilken självständighet? Hur går det med min självständighet i ett land med massavlyssning? Vad är Sveriges självständighet värd för mig om jag inte har tillräckligt integritetsskydd i Sverige?

Ska signalspaning mot vapensystem som kan riktas mot Sverige inte vara tillåtet eftersom brottsmisstanke saknas?

Menar Ingvar Åkesson att vapensystemen använder transnationell kommunikation över publika nät för sin målsökning? "Var försiktig med när du svarar i mobilen; det kan vara en Scud som ringer för att kolla var du är!" I annat fall ser jag inte hur detta är relevant för diskussionen om massavlyssning av svenskar.

Ska signalspaning inte kunna användas när det gäller it-attacker utifrån mot svenska kommunikationer förrän brottet faktiskt begåtts och skadan är skedd?

Den typ av installation som FRA-lagen medför är knappast nödvändig för att detektera attacker mot informationsinfrastruktur. Installationen i fråga kan inte heller stoppa sådana attacker.

Ska svenska regeringen inte ha ett självständigt underlag inför beslut om svenskt deltagande i en internationell insats eftersom brottsmisstanke saknas?

Ursäkta? Jag tror att debatten handlar om massavlysning av svenskar, inte om huruvida Sverige ska bedriva underrättelseverksamhet över huvud taget.

Ska skydd av den svenska personalen på plats i form av signalspaning mot lokala fientliga grupperingar som planerar sabotage, kupper eller terrordåd inte vara tillåten förrän brotten har begåtts?

Signalspaning när den bedrivs i Afganistan är knappast behjälpt av utrustning som aggregerar trafik över Sveriges gränser. Signalspaning från Sverige mot Talibaner i Afganistan bedrivs lämpligen med webbläsare och mejlläsare över publika nätverk. Ingen särskild utrustning krävs. Avlyssning av talibansympatisörer i Sverige bör rimligen kräva brottsmisstanke.

Ska inte teknisk signalspaning för att skydda svensk trupp och svenska militära flygplan och fartyg inte vara tillåten eftersom brottsmisstanke saknas? Hur ska Sverige då kunna delta i internationella insatser?

Ursäkta igen?

Sverige skulle bli beroende av andra länder när det gäller den information som regeringen behöver för att kunna föra Sveriges utrikes-, säkerhets- och försvarspolitik. Vill vi verkligen det?

Vad Ingvar Åkesson menar är nog snarare att Sverige kommer att hamna i underläge baserat på att andra nationer kommer att massavlyssna sina medborgare och därför ha tillgång till underrättelser som Sverige saknar. Ett klassiskt exempel på ett "race to the bottom".

Denna typ av retorik brukar på IT-språk beskrivas med termen FUD, "fear, uncertainty and doubt". Det är problematiskt redan att en företrädare för FRA är den främsta försvararen av en politik som borde försvaras av den regering som driver den. Det blir rent beklämmande när det försvaret huvudsakligen bygger på spridandet av rädsla och tvivel.

Vad som är intressant att notera är hur liten vikt Ingvar Åkesson lägger vid terrorism. När den här karusellen började snurra efter 9/11 handlade det mycket om terrorism. Regeringens proposition, som huvudsakligen skrevs för två år sedan, lägger stor vikt vid skyddet mot terrorism. Det förefaller emellertid som att Åkesson gör bedömningen att terrorism inte längre har lika högt FUD-värde.

Updatering:

1. Tomas Ries (förvisso en kontroversiell figur) kommenterade på sitt sätt eget Åkessons sista retoriska fråga . Läs R&D.

FRA-lagen som informationssäkerhetsverktyg

Filed Under:

Carl Bildt framhåller att Sverige behöver ett starkt försvar för vår informationsinfrastruktur. Han pekar på defacement-attackerna i Estland och Lettland. Carl Bildt försöker sälja FRA-lagen som en modernisering av Sveriges traditionella invasionsförsvar.

Problemet med denna jämförelse är att FRA-lagen (lyckligtvis) inte innebär ett gränsskydd för datatrafiken. Attacker mot Sveriges informationsinfrastruktur möjliggörs av bristande säkerhetsmedvetenhet hos de som underhåller och använder systemen. Framgångsrikt arbete för att skydda Sverige mot attacker mot svensk informationsinfrastruktur har stor likhet med de kampanjer som emellanåt bedrivs mot veneriska sjukdomar.

Den viktiga poängen här är att det inte är någon principiell skillnad mellan attacker av kriminell natur och sådana med subversiva förtecken. Nationsgränser spelar inte heller någon större roll i detta sammanhang. Om en myndighet ska ha någon rimlig chans att bedriva informationssäkerhetsarbete av denna typ måste den ha tillgång även till intern trafik i Sverige. En sofistikerad angripare (vilket jag antar att rysk underrättelsetjänst får klassas som) kommer att gömma sig i transnationellt brus och genomföra sin attack mellan noder inne i Sverige.

I den nuvarande situationen undergräver ju lagförslaget snarare sådant arbete genom att avhända sig det till en hemlig myndighet som inte kommer att vara del av den community som redan bedriver informationssäkerhetsarbete. ISPer, forskare, företag och privatpersoner har säkert inget emot att samarbeta med en svensk myndighet för att öka sin och Sveriges informationssäkerhet, under förutsättning att den myndigheten bidrar öppet och på lika villkor.

Om regeringen tar informationssäkerhet på allvar, bör den driva väsentligt annorlunda politik som a) främjar ett öppet sammarbete mellan samhällets olika aktörer och b) ökar allmänhetens förståelse för betydelsen av informationssäkerhet.

Carl Bildt avslutar:

Men utan den möjlighet som den nya lagen skulle ge oss skulle våra möjligheter till försvar - och motåtgärder - mot ett av den moderna tidens snabbaste växande hot vara tydligt svagare.

Alla de mer avancerade länder som jag har någon kunskap om har därför dessa möjligheter. Och bygger dessutom ut dem kraftigt - dock utan större pressmeddelanden.

Kanske skulle utrikesministern vilja ge oss ett exempel på ett sådant "avancerat land" som också har fått bättre informationssäkerhet som följd av lagstiftning likvärdig med FRA-lagen?

Jul 02, 2008

Säpo utreder om FRA bedrivit olaglig datalagring

Filed Under:

Det förefaller som att SÄPO delar min uppfattning om att FRA redan idag avlyssnar Internet-trafik.

Under tiden försöker Reinfeldt FRA-smutskasta Socialdemokraterna. En hävdvunnen tradition, förvisso, men det är nog inte socialdemokraterna som är Reinfeldts stora problem, utan hans egna väljare.

Jul 01, 2008

Regeringen försöker med "lita på oss"

Filed Under:

Det förefaller som att regeringens strategi för att dämpa motståndet mot FRA-lagen är det klassiska auktoritära argumentet "lita på oss, vi vet vad vi gör". Senaste auktoriteten att lägga sin stämma till denna kör är Carl Bildt i sin andra bloggpost till FRAs försvar:

Alldeles lätt att ge konkreta exempel som är aktuella är det inte, och det av det enkla skälet att vi då skulle avslöja en del av den kapacitet vi har.

Annars skulle jag kunna berätta om konkreta ärenden av utrikespolitisk betydelse under den senaste tiden där existensen av FRA och dess verksamhet gjort att jag kunnat uppträda med auktoritet på ett sätt som annars aldrig hade kunnat vara fallet.

Parallellt med detta efterfrågar Ingvar Åkesson sakliga argumenet i en artikel i SvD. Han skriver bland annat följande:

En stor mängd internationell trafik går genom Sverige. Genom att FRA får spana i den trafik som går i tråd över gränsen kan FRA förse sina uppdragsgivare med information ur den internationella trafiken. Den inhemska trafiken får FRA fortfarande inte spana på.

Av dessa inlägg drar jag slutsatsen att FRA redan tar del av betydligt mer Internet-trafik än vad som är uppenbart just nu. Detta skulle innebära att upprivning av lagen skulle skapa en mycket svår situation för FRA och de myndigheter som är konsumenter av dessa underrättelser. De kunde knappast forsätta med dylik spaning efter att regeringen ändrat sig utan att riskera en mycket avslöjande granskning från oppositionen när den kommer till makten härnäst.

Man kan tycka att detta vore enkelt åtgärdat: det räcker ju med att justera lagtexten så att den explicit säger att endast trafik som både originerar och har destination utanför Sverige skulle bli föremål för spaning. Denna distinktion skulle ha fördelen att det vore enkelt för operatörerna att bidra med ett visst mått av transparens genom att bara leverera relevant trafik till spaning.

Utländska medborgare har förstås inget att säga till om. Deras integritet kan man kränka som man vill.

Jun 29, 2008

Lyckad demonstration i Göteborg 28/6

Filed Under:

Knappt 1000 personer deltog i torsdagens demonstration i Göteborg mot FRA-lagen. Inte dåligt med tanke på att det bara var fyra dagars förvarning!

En städad demonstration som samlade en blocköverskridande samling ungdomspartier: Liberala ungdomsförbundet, Ung pirat, Centerpartiets ungdomsförbund, Rättvisepartiet Socialisterna och Ung Vänster.

fra_demo_20080628

Tack till alla för en städad demonstration. Tack särskilt till:

Jun 28, 2008

Problemet med "teknikneutral" lagstiftning

Filed Under:

Det finns flera exempel under 00-talet på lagstiftning som moderniserats för att bli teknikneutral. Man kan tycka att detta är berömvärt, men som "FRA-lagen" visar, kan det vara det problematiskt att faktiskt vara relevant neutral.

I takt med att innovativ teknologi får en mer central del i våra liv, följer behovet att modernisera lagstiftningen för att matcha människors intuition om vad som borde vara tillåtet. Under 2000-talet har en viktig komonent i denna modernisering varit att genom "teknikneutrala" formuleringar gardera sig mot framtiden.

Det mest aktuella fallet är den del av "FRA-lagen" som syftar till att utvidga underrättelseverksamhetens befogenheter till att avlyssna även sådan kommunikation. I sin proposition 2006/07:63 skriver regeringen, i avsnitt 7.3.1:

Regeringen anser att en lagreglering av signalspaning i försvarsunderrättelseverksamheten därför bör vara teknikneutral på så sätt att signalerna rättsligt sett bör behandlas lika oavsett hur och från vilket medium kommunikationen inhämtas.

Men problemet är ju att olika teknologier närmast definitionsmässigt inte kan behandlas lika. Signalspaning i etern kan inte likställas med signalspaning i kabel.

Låt oss göra ett tankeexperiment. Anta att "FRA-lagen" har trätt i kraft. Anta vidare att tillverkningen av obemannade små flygfarkoster, "bin", är så billig att de kan användas för vardaglig transport av små försändelser. Om du har en GPS i din mobiltelefon kan du få ditt paket levererat dit du för ögonblicket befinner dig.

Senaste modet bland invånarna är att skicka emotogram till varandra. Ett emotogram är en inspelning av hur man känner sig just nu, inspelat från alla de sensorer som människor bär på sig för att hålla koll på sin hälsa. Eftersom emotogram är mycket data (och det är tjockt i etern i storstäderna), skickar man dem med särskilda bin som inte kan transportera last, men istället har minnen som normalt används för att skicka stora dataförsändelser mellan företag. De äldre skakar på huvudet, men de unga älskar emotogrammen, för de gör att de kan överbrygga avgrunden som skiljer en människa från en annan.

Det specifika användningsfallet kanske är litet osannolikt, men det bygger på teknologi som är nära förestående. Ett mer drastiskt exempel på teknikneutral signalspaning kan läsas här.

Eftersom FRA-lagens skrivning försöker vara "teknikneutral" kan man nu fråga sig om lagtexten berör dessa emotogram? Propositionen (som riksdagen bifallit) säger så här i avsnitt 7.3.2:

Begreppet ”elektroniskt kommunikationsnät” definieras som ett system för överföring [...] av signaler. Det bör dock i den nu aktuella lagen fokuseras på vad som får inhämtas, snarare än i vilket system signalerna överförs. I förslaget till lag om signalspaning i försvarsunderrättelseverksamhet avses med signaler i elektronisk form alla former av signaler som överförs bl.a. med hjälp av elektromagnetiska vågor. Det saknas därför enligt regeringens uppfattning anledning att gå ifrån den i promemorian föreslagna lydelsen.

Eftersom våra bin inte använder några elektromagnetiska vågor för att överföra emotogrammen, skulle de inte att omfattas av lagen, trots att de är kommunikation. Det är emellertid ingen tvekan om att emotogrammen hade varit lovligt byte om de skickats genom optisk fiber. 

Om propositionen hade valt en något annorlunda formulering genom att fokusera än mer på kommunikation och mindre på teknologi hade emotogrammen förmodligen ansetts falla innanför lagen - sannolikt i strid med de flesta människors intuition.

Lagen är alltså inte teknikneutral. Det beror naturligtvis på att den använder begreppet "elektromagnetiska vågor". Men oavsett hur den varit formulerad, hade det kunnat inkludera eller exkludera ny teknologi, beroende på tämligen oviktiga implemnetationsdetaljer.

Min poäng är att teknologi transformerar samhället och dess värderingar. Överdrivet specifik lagstiftning kan vara lätt att kringgå, men det är på många sätt farligare att göra lagen "teknikneutral" eftersom det lätt leder till att lagen måste tolkas utöver vad som beskrivs i dess förtexter. Denna tolkning, särskilt när den görs av domstolar, tenderar att försöka utröna lagstiftarens avsikt med lagen och applicera denna på det nya området. Problemet är att teknologin har förändrat medborgarnas uppfattning; lagstiftarens avsikt får därför anses omodern.

Ett exempel på denna transformation av upptfattning och problemet med så kallade teknikneutrala formuleringar är uppdateringen av definitionen av vad som utgör en licenspliktig tevemottagare. Lagen om finansiering av radio och TV i allmänhetens tjänst (1989:41) justerades 2006 (och trädde i kraft 2007-01-01) från att ha förlitat sig på att begreppet tevemottagare i sig är tillräcklig vägledning, till att bli mer teknikneutral:

2 § En TV-mottagare är en sådan teknisk utrustning som är avsedd att ta emot utsändning eller vidaresändning av TV- program, även om utrustningen också kan användas för annat ändamål.

Det egentliga syftet är förstås att inkludera utrustning som kan ta emot program från public service även om den inte kan ta emot marksänd radio. Jag vågar påstå att mycket få svenskar tycker att det är rimligt att SVT kan kräva alla datorägare på tevelicens bara genom att publicera hela sitt programutbud på Internet. Internet fungerar inte så. Att justera den här lagen till att inkludera teveprogram över Internet verkar tämligen dumt i ljuset av att Internet är i full färd med att transformera tevemediet i sin helhet.

Ett annat intressant exempel på teknikneutral lagstiftning är förslaget på ny patientdatalag. Jag ska inte tråka ut er med detaljerna i denna lag, men den anser sig vara teknikneutral eftersom den inte längre gör skillnad på journaler lagrade på papper och sådana som lagras elektroniskt. Den är emellertid inte anpassad för att ta hänsyn till förändringar i begreppet journal. Mot bakgrund av till exempel Google Health, känns det som ett ganska sannolikt scenario att just vad som lagras i en journal och vad som betraktas som en journal kommer att ändras. Lagen kommer alltså bara att vara teknikneutral i ett ganska snävt avseende.

Begreppet teknikneutral kan hjälpa oss att utforma ny lagstiftning som inte är onödigt specifik, men som modernisering av befintlig lag förefaller det vara en bra indikation på att ett större grepp behövs.

Jun 26, 2008

Transnationell kommunikation inte en mänsklig rättighet?

Filed Under:

I regeringens proposition 2006/07:63, "2.2 Förslag till lag om signalspaning i försvarsunderrättelseverksamhet" framgår det:

2 § Inhämtning som sker i tråd får endast avse signaler som förs över Sveriges gräns i tråd som ägs av en operatör.

Jamen, vafan? På vilket sätt är detta en relevant precisering av signalspaningsmyndighetens befogenheter? Signalspaning i kabelnätverken handlar om att spana efter meddelanden där minst ena parten befinner sig i Sverige. Är det acceptabelt att inkräkta på en persons privatliv åt gången, men inte när de är två på en gång?

På vilket sätt blir mitt privatliv mindre inskränkt för att de jag kommunicerar med befinner sig utanför Sverige? Senast jag kollade Europakonventionen för mänskliga rättigheter, sade den så här i artikel 10:

Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.

Historikt handlar ju signalspaning om att spana efter signaler som utbyts mellan parter som båda befinner sig utanför Sveriges gräns, eller möjligen olovligen innanför gränsen. Då kanske det var rimligt att skilja på vad som pågick inom och utanför gränsen.

En intressant konsekvens av denna distinktion per nationsgräns är att min politiska verksamhet på EU-nivå nu inte längre är skyddad. Jag kan kommunicera med andra svenskar, men mitt politiska engagemang inom EU kommer nu att övervakas av staten.