”Hemlig dataavläsning kan hota vår cybersäkerhet”

Under fredagen den 12 maj spreds nyheten om att ett virus smittade Windowsbaserade datorer runtom i världen, ett så kallat ransomware. Det låste infekterade datorer med en uppmaning om att enda sättet att få tillgång till filerna var att betala 300 USD via Bitcoin inom en viss tidsram.

Viruset, som fick namnet WannaCry, har enligt uppgift smittat över 230 000 datorer i över 150 länder, med betydande kostnader, frustration och direkt livsfara inom sjukvård, för företag och privatpersoner. För svensk del kan man konstatera att 70 datorer i Timrå kommun drabbades av driftstopp, och att företaget Sandviks produktion påverkades.

Enligt Microsofts chefsjurist har det verktyg – den ”exploit” – som använts i attacken utvecklats av den amerikanska säkerhetstjänsten NSA, som också samlat på sig kunskap om säkerhetsbrister utan att berätta för företaget. Kunskapen om säkerhetsbristerna och NSA:s mjukvara läckte emellertid, vilket lett till förevarande attack.

En säkerhetsexpert påpekar i en debattartikel i Svenska Dagbladet att säkerhetsmyndigheters hemlighetsmakeri är ett stort problem i relation till riskhantering. Förspelet till attacken och hur verktygen utvecklats sätter fingret på en stor utmaning med brottsförebyggande myndigheters förhållningssätt gentemot säkerhetsbrister i proprietär mjukvara. Detta är också relevant för den pågående svenska utredningen om hemlig dataavläsning.

Mycket kan sägas, och har sagts, om NSA, men om vi blickar mot en svensk horisont blir frågan aktuell både i relation till de som drabbats av just den här attacken och i relation till vilka befogenheter brottsförebyggande myndigheter bör ha vad det gäller att samla kunskap om säkerhetsbrister i företags mjukvara.

Just nu utreds i vilken mån de brottsbekämpande myndigheterna ska ha befogenheter att genomföra hemlig dataavläsning, det vill säga att bereda sig åtkomst till funktioner i misstänktas datorer utan deras vetskap och tillåtelse genom att placera hårdvara eller mjukvara på dessa. Utredningen ska redovisas i november i år.

Enligt utredningsdirektivet handlar det om att ”bereda sig tillgång till en dator eller annan teknisk utrustning som används för kommunikation” genom att placera ”en eller flera trojaner, i en användares tekniska utrustning”. Men, hur man tänker sig att tillgång ska beredas till misstänktas datorer och hur hantering av kunskap kring säkerhetsbrister i mjukvara är otydligt, vilket jag konstaterat tidigare i Dagens Juridik. Ett ”worst case-scenario” är att man därigenom bidrar till en osäkrare digitaliserad tillvaro för oss alla genom att säkerhetshål i de verktyg och tjänster vi använder inte täpps igen så snabbt som de kunde.”

WannaCry är ett tydligt sådant scenario.

Det finns förvisso i utredningsdirektivet allmänna formuleringar om att utredningen ”ska utgå från de tekniska möjligheter som finns och beakta de svårigheter vid verkställighet som kan förutses”, men lägger huvudfokus vid avvägningen mot personlig integritet.

Naturligtvis ska de brottsbekämpande myndigheterna ha ändamålsenliga verktyg för att bekämpa brott, och integritetsfrågan ska i balanseringen på intet sätt förringas, men hur är det med avvägningen mellan cybersäkerhet och polisen? Hur är det med avvägningen mot näringsverksamheter där företag utvecklar mjukvara åt privatpersoner, kommuner och landsting? Och hur är det med avvägningen mot konsumenternas behov av säkra produkter?

WannaCry och statligt utnyttjande av säkerhetsbrister i mjukvara handlar inte så mycket om att uppnå en balans mellan polisiära intrång och individers integritet som det handlar om att kalkylera med risker för cybersäkerhet överlag, inklusive konsumenters och företags kostnader. Därmed borde tillitsfrågor och cybersäkerhetsfrågor tydligt vara med i utredandet av de brottsförebyggande myndigheternas användning av metoder som riskerar undergräva cybersäkerhet.

När cybersäkerheten undergrävs blir vi alla förlorare.

Stefan Larsson, docent i teknik och social förändring vid Lunds universitets internetinstitut och forskare vid tankesmedjan Fores