Opinion
”Säkerhet eller avlyssning – du måste välja Damberg”
DEBATT. Hemlig dataavläsning av telefoner bygger på att det finns säkerhetshål och går stick i stäv mot Mikael Dambergs tal om ett säkert internet, skriver Måns Magnusson, Piratpartiet och Linus Karlsson, datasäkerhetsexpert.
Den 22 oktober presenterade inrikesminister Mikael Damberg en lagrådsremiss om tvångsmedlet hemlig dataavläsning. Till Sveriges Television säger Mikael Damberg: "Detta gör att polisen kan läsa vad som skrivs i krypterade appar mellan gängkriminella". Polisen får tillåtelse att installera spionmjukvara, så kallade trojaner, på misstänkta personers telefoner som får läsa av kommunikation innan den krypteras. Men det räcker inte med en lagändring för att installera trojaner, det krävs också att säkerhetshål upptäcks och hålls hemliga.
Dagens smartphones har inbyggda skydd mot installation av skadlig kod. Gamla svagheter där det räckte att användaren klickade på en länk är sedan länge åtgärdade. För att installera skadlig kod i en telefon på distans krävs nya säkerhetshål i Android eller iOS, men dessa åtgärdas kontinuerligt av Google och Apple. Det är osannolikt att den svenska polisen vinner en sådan kapplöpning mot techjättarna.
Om polisen istället får fysisk tillgång till mobiltelefonen kan de installera en modifierad version av operativsystemet, men då blir istället utmaningen att det inte ska märkas att operativsystemet bytts ut, vilket återigen kräver tillgång till okända sårbarheter.
Fysisk tillgång
Det är möjligt att polisen antingen hittar eller köper säkerhetshål för att obemärkt installera virus. Sannolikt behöver polisen få fysisk tillgång till telefonen. De flesta personer bär med sig sina telefoner hela dagen. Möjligheterna reduceras till ett fåtal tillfällen, till exempel under ett förhör. Om intrånget upptäcks kan telefonen enkelt bytas ut. Hur många av de 50 - 100 fall som tvångsmedlet är tänkt att användas mot förväntas fungera? Med en tilltänkt budget på 120 miljoner blir det en kostnad på över en miljon per fall.
En metod som den amerikanska och israeliska säkerhetstjänsterna använde redan 2005-2010 i sin cyberkrigsföring var att infektera över 200 000 persondatorer med viruset Stuxnet, i syfte att förstöra uran-centrifuger i Iran. Generella datorvirus kan vara det enda sättet att nå ett specifikt mål. Lagstiftningen borde hindra detta explicit. Vi måste akta oss för att hamna i en situation där spaningsverksamheten växer obehindrat, som den gjorde i USA mellan 9/11 och Edward Snowdens avslöjanden.
Osäkra tjänster
Denna lagstiftning förlitar sig på att vi använder osäkra tjänster. Det går stick i stäv med Mikael Dambergs tidigare uttalande om cybersäkerhet: ”En säker hantering av digital information är avgörande för Sveriges säkerhet. Dessutom är det en viktig demokratifråga att alla människor kan leva sina liv tryggt och säkert på nätet”. Samtidigt som Damberg lägger pengar på att förbättra cybersäkerheten, är säkerhetsluckor och sårbarhet en förutsättning för att den nya lagen om hemlig dataavläsning ska bli verkningsfull.
Lagen om hemlig dataavläsning är plakatpolitik. Damberg vill visa handlingskraft mot gängkriminaliteten, men det här är ett slag i luften. I riksrevisionens rapport från 2015 hänvisas till en aktgranskning som visar att polisen har så dålig it-kompetens att 20 procent av alla IP-adresser antecknas fel och därför inte kan användas i förundersökningar. Behoven av förstärkt it-kompetens hos polisen är stora och växer allt eftersom den internetrelaterade brottsligheten utvecklas och blir mer sofistikerad. Polisen bör säkra medborgare och bekämpa hacking, inte syssla med det själva.
Måns Magnusson, Civilingenjör, Piratpartiet
Linus Karlsson, tekn. doktor i Datasäkerhet
