Polisen har denna gång valt att agera snabbt genom att gå ut och varna direkt via media till skillnad från tidigare incident med Toys R Us, Malmö, där det tog bortåt 10 dagar innan media skrev om detta. Om detta berodde på att tidningarna själva nosat upp incidenten eller om Polisen valde att gå ut med information är oklart.

Då som nu kvarstår problemet med att man som konsument själv måste agera och kontakta sin bank för att spärra kortet. Här bör svensk lagstiftning ändras så att det drabbade företaget eller kortutgivare har skyldighet att agera genom att kontakta och informera kunder om incidenter när kortinformation har kommit i felaktiga händer. Här kan vi titta på två lagar som instiftades 2003 i Kalifornien, California civil codes 1798.29 och 1798.82, där företag och myndigheter har en skyldighet att informera de drabbade vid dataintrång där personlig information har hamnat i felaktiga händer. Detta saknas idag i Svensk lagstiftning.

Då kortinformation är personlig data bör detta även likställas med identitetsstöld något som idag inte speglas i svensk lagstiftningen. Detta skulle troligen även resultera i högre straffskala.

Även butikerna bör se över sina rutiner som att till exempel låsa in kortterminalerna över natten samt dagliga kontroller av terminalerna. Detta hade troligen förhindrat incidenten hos Plantagen då terminalerna troligen vid ett tidigare inbrott nyårsafton har manipulerats och utan att något övrigt stals. Inbrotten skrevs av som skadegörelse utan att någon reflektion gjordes över att inbrotten i sig eventuellt var en avledande manöver för att manipulera terminalerna. Liknande omständigheter skrevs det om i början av 2008 kring ett bedrägeriförsök i mångmiljonklassen mot ett av Swedbanks bankkontor i Uppsala. Även här rapporterades det om inbrott utan att något saknades; brottet skrevs av som misslyckat inbrott. I Swedbanks fall upptäcktes utrustning för att fjärrstyra en dator i ett försök att utföra transaktioner av större belopp. I båda fallen får man utgå ifrån att det har funnits bristande rutiner kring uppföljningen av inbrotten.

I samband med att media skrev om skimmingutrustningen som upptäckts vid Toys R Us i Malmö gick ett pressat bolag ut med en press release där man informerade om att man ändrat sina rutiner för hantering av terminalerna direkt efter att den tidigare skimmingutrustningen upptäcktes tio dagar tidigare. Likväl kunde vi veckan efter läsa i tidningarna att identisk skimming utrustning hittas hos Toys R Us vid Kungens Kurva.

Kim Haverblad

Dela med andra:

På grund av ändringen av lagstiftningen gällande signalspaning har FRA ovilligt hamnat i rampljuset gång efter gång kring sina aktiviteter. På detta sätt får vi trots allt anse att hela lagstiftningen har bidragit med något positivt; vilket även används som försvar till att låta FRA bedriva signalspaning inom de regler som lagen föreskriver. Vad lagstiftarna helt har missat är att FRA är en underrättelsetjänst vilka jobbar enligt principen att endast informera om det man behöver, varken mer eller mindre. Vilket kommer att försvåra insynen från bland annat Datainspektionen som är en av de organ som skall agera som kontrollant för att FRA utför sitt uppdrag lagenligt. Jag är dock inte helt övertygad om att så kommer ske.

Kim Haverblad

Dela med andra:

”Jag kan inte föreställa mig hur den här lagen ska kunna klara de krav som ställs i Europakonventionen om de mänskliga rättigheterna.”

Även Danny O’Brien, integritetsexperten, hos Electronic Frontier Foundation (EFF) kritiserar förslaget och säger följande:

”Något som FRA-lagen skulle inte gå att införa i USA. Den skulle strida mot konstitutionen”

”Att just Sverige, som varit pionjärland för konsumenträtt och integritet, förberett en sådan lag stör oss på EFF. Andra stater kan ju hänvisa till er för att skaffa något liknande.”

Men enligt FRA egen hemsida har Lagrådet särskilt prövat om förslaget är förenligt med Europakonventionen och kommit fram till att så är fallet. Så det återstår att se vem som egentligen har gjort den korrekta tolkningen.

Ett annat problem är om själva processen för hanteringen av tillstånd för att bedriva, eller snarare beställa signalspanings uppdrag hos FRA, inte kommer ge full insyn i hanteringen. Troligen kommer den mesta av information och rapporter som passerar och skickas vidare från Försvarets underrättelsenämnd (FUN) till regeringen inte vara tillgänglig för allmänheten. Frågor som kan vara av intresse är till exempel vem som beviljas tillstånd att via FRA samla in information och varför?

Dock vad vi vet, enligt FRAs egna uppgifter har de idag tre kategorier av kunder:

• Politiska kunder (UD Fd, m fl.)
• Polisiära kunder (Säpo, Rikspolisen m fl.)
• Militära kunder (FM, FOI, FMV, m fl.)

Enligt förslaget får FRA inte agera polisiärt och inte ägna sig åt brottsbekämpning, men uppenbarligen får man agera i preventivt syfte. Dvs, de får lov att förmedla och skicka vidare information till intressenter eller till kunder; allt enligt ovan bild från FRA:s egen presentation på existerande kunder. Därmed utför man brotssbekämpning då man förmedlar denna typ av information; märkväl att brottsbekämpning inte går att göra utan spaning och är till stor del grunden för mycket av det polisiära arbetet. Så vad skall vi då kalla FRA egen verksamhet?

Så åter till grundfrågan; vågar riksdagen lita på FRA? Den samma organisation som redan fått en anmälan på sig för olaglig datalagring av telefonkontakter med Ryssland under 1990-talet. Lagstiftningen i sig skulle mycket väl kunna vara till hjälp för att reglera vad FRA får och inte får göra. Dock bör man då utreda FRA:s egna historik för att se hur de har agerat tidigare.

Under det senaste året efter att man bordlade frågan om FRA-lagen förra året så har det varit lågt intresse kring frågan. Troligen för att flertalet utgick ifrån att frågan skulle återkomma med stora förändringar, då det tidigare förslaget har sågats två gånger i riksdagen. Nu tredje gången är det i stora drag samma förslag som återkommer även om det anses i stora drag omarbetat förslag av regeringen. Vidare om förslaget ansågs vara så pass omarbetat, varför har man då valt att, mer eller mindre smyga med det och undvika all form av debatt och diskussion? Det är även på sin plats att ifrågasätta samtliga partier då ingen av dessa egentligen har lyft upp frågan till diskussion och debatt i riksdagen under det gångna året. Framför allt har de nyckelprofiler som finns inom alliansen och som agerar som talespersoner i IT-relaterade frågor helt lyst med sin frånvaro i frågan. Varför? Vi kanske får svara på dessa frågorna i dagens debatt i riksdagen.

Kim Haverblad

Dela med andra:

Vidare så delar jag min förvåning med bland annat Per Hellqvist angående Thomas Bodström som numera är helt emot samma lagförslag som han själv har initierat och varit med att lägga fram. Den proposition som överlämnats till regeringen av Maud Olofsson och Mikeal Odenberg skiljer sig i sakfrågan inte nämnvärt samt under det år som har gått sedan oppositionen lyckas bordlägga frågan har egentligen inget nytt hänt.

Det är även tydligt att man inom de borgerliga riksdagsgrupperna har gått ut med information om hur man skall bemöta den storm av kritik och e-post flod som nu väller in till riksdagen; eller som någon nu myntat; bloggbävning.

Sent skall näringslivet vakna; men en part som nu har uppmärksammat frågan är Advokatssamfundets ordförande Anne Ramberg som ger följande varning genom följande uttalande i Dagens Industri:

”När man vidgar mandatet från yttre militära hot till yttre hot, öppnar det i princip för vilken typ av avlyssning som helst.”

Hon säger vidare:

”När man vidgar mandatet från yttre militära hot till yttre hot, öppnar det i princip för vilken typ av avlyssning som helst”, säger hon.”Det står också rent ut i propositionen att ’begreppet yttre hot är vidsträckt och måste också vara det för att ge utrymme för nödvändig flexibilitet’. Den här lagen tillåter massiv, preventiv avlyssning av människor som inte är misstänkta för något brott.”

När jag ögnar igenom de svar jag fått från diverse riksdagsledamöter så är följande text återkommande:

”Integritetsskyddet är en central del av den föreslagna lagstiftningen. Frågan är extra viktig eftersom det här är två mycket centrala intressen som står mot varandra – den nationella säkerheten och skyddet för privatlivet. Vi anser att förslaget innebär en tydligare och rättsäkrare reglering än dagens läge, och försvarsutskottets borgerliga majoritet har föreslagit åtgärder som ytterligare förstärker rättssäkerhetsaspekterna.”

Visst låter ovan vackert, men med tanke på att bland annat moderaterna under många år har levt under parollen, individen framför staten, så rimmar ovan ganska illa. Vidare vad man även avser med rättssäkerhetsaspekterna är att man ger FRA ett lagligt mandat och uppdrag för att genomföra den typ av signalspaning som de troligen redan idag genomför. Dvs, regeringen vill alltså lagstadga så att FRA med lagliga medel kan bedriva verksamhet som de med stor sannolikhet redan gör idag. Vågar regeringen då lita på att FRA inte gör något utanför de riktlinjer som man avser att ge från regeringen? Eller som en riksdagsledamot skrev:

”Enligt lag blir det nu OLAGLIGT för FRA att spana (eller som det heter i facktermer rikta in sökbegreppen) mot en enskild person om det inte är av synnerligen vikt för verksamheten.”

Låt oss för stunden strunta i skrivelsen ”om det inte är av synnerligen vikt för verksamheten” vilket ger FRA carte blanche. Vidare så skriver även samma person att det dessutom blir olagligt att spana mot svenskar eller svenska förhållanden samt att kommunikation mellan två parter i Sverige där kommunikationen går via utländska servers så skall även denna information förstöras. Frågan är bara hur man avser att garantera detta? Svaret är att man avser att hantera kontrollen genom två nya instanser.

När det gäller ovan nämnda kontroller införs två nya instanser inom Försvarets underrättelsenämnd (FUN), den första en instans som kommer att ledas av en jurist och därutöver bestå av riksdagsledamöter från de olika partierna. Denna instans har till uppgift att ge klartecken till vilka sökbegrepp som får användas med mera. Därutöver kommer det att finnas en andra instans med även den en jurist och riksdagsledamöter från partierna (dock inte samma personer) som även gör efterkontroller att lagstiftning och godkännande följs. Varje år kommer det levereras en skrivelse till riksdagen från regeringen om hur arbetet fortskrider, exakt vad den kommer att innehålla finns det dock ingen klar information kring. Det krävs tillstånd av FUN för att en myndighet ska kunna uppdra åt FRA att signalspana. Tillståndet ska vara tidsbegränsat. Regeringens beslut om inriktning av signalspaningsverksamheten ska föregås av samråd med FUN som gör en bedömning av lagenligheten på förhand. FRA får inte starta ett signalspaningsprojekt om spaningsinriktningen inte är förenlig med lagen. Därutöver ska FUN i efterhand kontrollera att FRA genomfört verksamheten i enlighet med lagen och givna tillstånd. Tyvärr kommer det inte vara möjligt för allmänheten att få total insyn i ovan process och en kontrollstation har lagts in till 2011 som troligen skall göra en utredning kring FRA-lagen.

Det verkar även finnas en övertro på FRA:s kapacitet vilket tydliget påvisar av följande blogg citat där följande finns att läsa:

”Ett argument i debatten är att den som har något viktigt att dölja lätt kan kryptera trafiken för att undvika att fastna i signalspaningen. Det stämmer säkert, men det blir ändå både dyrare och krångligare att komunicera för den som har något viktigt att dölja. Man glömmer dessutom att FRA har mycket god kompetens att dekryptera information, kanske är man en av de skickligaste i världen på detta.”

Ovan visar klart hur dåligt insatta våra folkvalda är i det tekniska; för att säkra upp sin kommunikation är med dagens mått varken svårt eller kostsamt. Jag har även svårt att tro att FRA med sina 650 anställda och anslag på 562 miljoner kan mäta sig med amerikanska NSA som enbart vid sitt huvudkontor i Fort Meade, Maryland har drygt 18 000 parkeringsplatser (finns inga officiella siffror på antalet anställda). Även om FRA idag har rätt skaplig datorkraft som placeras högt på Top 500 listan över världen snabbaste superdatorer, så tror jag att NSA system kan springa cirklar runt det mesta som återfinns på listan.

NSA huvudkontor i Fort Meade, Maryland, USA

En annan riksdagsledamot skrev att man har förvånats över den uteblivna dialogen i samband med att förslaget bordlades under ett år:

”Jag är också uppriktigt förvånad över att så få utnyttjat det senaste året för en bredare och djupare debatt kring förslaget. Förra årets vilandeförklaring var ju tänkt att just skapa förutsättningar för en tid av resonemang. Få sådana har förts”

Jag tror att många här hade hoppats på att riksdagen hade gjort lite mer för att bjuda in till dialog då förslaget trots allt kom från regeringen med moderaterna i spetsen; man har dock valt att inte göra så. Visserligen har det varit en del andra utfrågningar relaterat till IT-säkerhet men framför allt inget kring gällande lagförslag och frågan är om man helt enkelt har gjort allt för att undvika detta.

Avslutningsvis så kan jag även konstatera att det finns antal inom den borgerliga alliansen som inte ansluter sig till den gemensamma linjen men att man valt att vika sig trots allt ändå. Man anser att det inte är någon idé att ta strid i frågan och att det knappast kommer vara framgångsrikt. Kanske inte framgångsrikt för den borgerliga alliansen, men för riksdagen och demokratin i sin helhet. Till trots detta finns det nu ett antal ledamöter som har civilkurage att stå emot det interna trycket från riksdagsgrupperna och dessa förtjänar stöd och uppmuntran; de som för stunden skulle vara möjliga Nej sägare är Fredrick Federley (c), Annie Johansson (c), Sven Bergström (c), Karl Sigfrid (m), Fredrik Schulte (m) och Fredrik Malm (fp) samt Henrik von Sydow (m), Birgitta Ohlsson (fp) och Anne-Marie Pålsson (m) under förutsättning att rätt uppmuntran och stöd ges.

Kim Haverblad

Dela med andra:

Förslaget i sig framhåller denna typ av informationsfiske som modern signalspaning, vilket även är huvudsyftet med lagförslaget; att modernisera de tekniska möjligheterna för att samla in information på lagligt sätt. Möjligen så kan vi det vara så att det går att dra paralleller till amerikanska Department of Homeland Security som även de har uppdrag att övervaka och skydda mot externa hot eller om man vill gå till ytterligheterna George Orwells 1984 eller en svensk light version av ECHELON (eller Swechelon).

Om vi bortser från den politiska diskussionen och istället fokuserar på de eventuella risker som finns med införande av lagen så kan man ganska snabbt konstatera att genom att höja ribban för hur och vad som kommer att avlyssnas och analyseras kommer troligen få de eventuella intressegrupper, att anpassa kommunikationen efter den nya hotbilden som de eventuellt ser med lagförslaget genom att nyttja tillgänglig teknik såsom:

• Kryptering av datorer
• Krypterad access till hemsidor
• Kryptering av telefoner
• Kryptering av e-post och sms

Ovan teknik används idag för att skydda ljusskygga gruppers kommunikation och även uppsättning av slutna nät för att stänga ute all form av insyn såvida man inte lyckas infiltera grupperna eller på annat sätta penetrera deras kommunikation.

Risken är att man faktiskt försvårar övervakningen genom att de grupper eller individer man avser att övervaka snabbt anpassar sig till de nya spelreglerna och därmed är frågan vilken effekt övervakningen har då det som är det primära intresset inte går att övervaka. I takt med att kryptering ökar bland gemene man för att eventuellt skydda sig, av rädsla mot till exempel åsiktsregistrering, ökar även bruset på nätet. Därmed måste denna typ av signalspaning lokalisera specifik informationskälla för att överhuvudtaget ha någon funktion. Man får därmed nöja sig med de mindre oförsiktiga grupper och individer som utgår ifrån att det inte finns något intresse för deras kommunikation då granulariteten troligen kommer öka för att fånga in mer information och därmed ökar även mängden information som skall analyseras.

Amerikanska FBI har även tidigare uttalat sig om att kryptering försvårar avlyssnig och övervakning; men man har dock svängt på denna punkt och numera vill även FBI avlyssna Internet.

I förslaget lyfts nya hotbilder mot Sverige fram såsom:

• Terror
• Massförstörelsevapen
• Tekniska sabotage

Inget av ovan har än så länge varit aktuellt för Sverige. Det är möjligt att man har lyckats avstyra eventuella hotbilder, men inget som har påvisats någonstans i media eller andra externa rapporter.

Tekniken har förändrats då signalspaning per definition avser information som sprids via radiovågor och inte de nya moderna medium som Internet som majoriteten av information idag skickas via. Kärnfrågan kvarstår huruvida den personliga integriteten skyddas? För den som har rent mjöl i påsen skall, enligt förslaget, skyddas från FRA övervakning såvida den enskilda individen inte är av betydelse för en utredning. Frågan är då vilka dessa kriterier är och vem som avgör detta och om en person är under utredning avser man då en brottsutredning? All så kallad spill information skall enligt förslaget raderas samt även information som meddelarskyddet och efterforskningsförbudet skall även förstöras. Men hur vet vi att detta görs och att det trots allt inte kommer finnas backup eller logg information kvar för att eventuellt användas vid framtida behov?

FRA beskriver själv metoden som informationsfiske:

”Man kan beskriva sökbegreppen som fiskekrokar som sänks ned i en flod. En del fiskar fastnar, men de allra flesta är otillåten fångst och fastnar inte utan försvinner för alltid med strömmen”

Vem bestämmer vilken typ av krok och bete som skall användas för ovan informationsfiske? Och kommer det finnas total insyn i verksamheten för att kontrollera att man inte har adderat några extra fiskekrokar med speciellt bete för att fånga information som ligger utanför uppdragsbeskrivningen? Även regering och myndigheter ges befogenhet att söka i den privata kommunikationen vilket öppnar för nya, godtyckliga användningsområden då materialet lätt kan missbrukas eller hamna i fel händer.

Även om svensk nyhetsmedia agerat långsamt samt även svenskt näringsliv så har en del uttalande redan gjorts som visar att lagförslaget kommer ha konsekvenser för Sverige samt även uppmärksammats av amerikanska tidningen CIO.

Google har deklarerat att man inte kommer att investera i nya servrar i Sverige om lagförslaget går igenom, bland annat har Peter Fleischer, Googles ansvarige för integritetsfrågor, sagt följande om förslaget:

”Vi kan helt enkelt inte kompromissa med våra användares integritet och låta svenska myndigheter ta del av data som kanske inte ens rör svensk aktivitet. [...] Förslaget är sprunget ur en tradition inledd av Saudiarabien och Kina och hör helt enkelt inte hemma i en västerländsk demokrati.”

Även TeliaSonera flyttade bland annat e-post servers och cirka en halv miljon e-post konton från Sverige till Finland efter rekommendation från Finska myndigheter enligt Ahti Martikainen, TeliaSonera Finland. I tidningen Ny Teknik säger Juha-Pekka Weckström, chef för affärsenheten bredband på Telia Sonera i Finland:

”Det här är ett viktigt ämne för våra kunder. De vill vara absolut säkra på att den planerade lagstiftningen i Sverige inte ger någon som helst möjlighet för svenska myndigheter att se och kolla deras mejl. Så vi vill minimera risken”

Frågan kvarstår om detta egentligen var till någon hjälp då det är ganska stor sannolikhet kommunikationen till och från TeliaSonera Finland går via Sverige.

Hur många andra internationella företag har egentligen satt sig in i frågan och gjort en riskbedömning av att svenska staten kommer få möjligheten att övervakar in och utgående trafik till Sverige?

Även SÄPO har uttalat sig kring lagförslaget och ställer sig negativt, troligen på grund av att avlyssning kan komma försvåras (på grund av ökad användning av kryptering) med lagförslaget samt troligen oönskad konkurrens; men i SÄPOs kommentar lyfter man fram kränkning av den enskildes integritet:

”Det är således fråga om en massiv telefonavlyssning och förslaget innebär en kränkning av enskilds integritet som vida överstiger den kränkning som förslaget om buggning och preventiva tvångsmedel sammantaget innebär.”

Flertalet organisationer har även uttalat sig negativt om förslaget, däribland Åklagarmyndigheten, Kustbevakningen, Datainspektionen, Kammarrätten i Stockholm, Lunds universitet, Rikspolisstyrelsen, Sveriges Advokatsamfund, varnar för gränsdragningsproblem mot det polisiära arbetet där FRA-lagen ger befogenheter som överskrider de möjligheten som polisiärt arbete idag möjliggör.

Frågan är om det eventuella riskerna verkligen har lyfts fram och öppet diskuterats och vem skall övervaka övervakarna?

Kim Haverblad

PS! Att ämnet intresserar och har väckt reaktioner återges i följande inlägg Bloggbävning.

Dela med andra:

Med tanke på att IT upptar en allt större del av vår vardag så bör vi fråga oss om vardags IT-säkerhet inte skall lyftas med på schemat i skolorna för diskussion och dialog gällande hur man handskas med personlig information överhuvudtaget och framför allt på Internet.

Det är kanske färre som reflekterar över de så kallad communties och tjänsteportaler som vänder sig till företag som mycket väl kan användas i samma syfte, att komma åt företagsspecifik information.

Bland företag varierar det mycket kring hantering av vilken typ av information som får lagras externt och framför allt hur och på vilket sätt det har kommunicerats ut till de anställda. Hos merparten företag förekommer det ingen form av grundutbildning eller introduktion kring IT-säkerhet och hur information hanteras. Framför allt bör denna typ av utbildning genomföras innan nyanställda får access till informationssystem; vilket sällan sker. Utbildningen handlar även om att förankra företagets synsätt, grunder och värderingar, saknas denna förståelse ökar även risken att de anställda struntar i de uppsatta regler och rutiner för hur olika aktiviteter och scenarios skall hanteras.

Kim Haverblad

Note: Tidigare postad artikel kring FaceBook finns här (engelsk).

Dela med andra:

Den information som samlas in omfattar bland annat enhetens namn, MAC adress, plats och tidpunkt. Genom en enkel informations ”triangulering” så syns personens rörelse mönster mellan de olika sensorerna. Själva problemet uppstår när bluetooth enheterna är konfigurerade för att automatiskt acceptera att ta emot filer eller på annat sätt är öppen för informations utbyte. Möjligheten finns att skicka över någon form av trojan för att tömma enheten på intressant information i form av personlig data såsom kreditkorts nummer, bankkonto uppgifter och lösenord till olika system.

Spårning av individer har under många år varit en känslig fråga och Bluetoothtracking.org påvisar hur enkelt det är för en privatperson att själv bygga upp ett enkelt nät för att spåra sin omgivning eller samla in information som kan vara av intresse. Kombinera spårningen i sig av bluetooth, RFID (som bland annat används i pass), mobiltelefoner (triangulering via basstationerna) med att vi adderar biometrisk data – det blir än mer intressant att samla in denna typ av information.

Även om det finns tydliga regler kring integritetskränkande aktiviteter och insamling av personlig data kvarstår frågan hur vi kan säkerställa att detta inte missbrukas. Det finns alltid individer, företag och myndigheter som är mindre nogräknade med hanteringen av denna typ av information och frågor och detta bör tas med i risk scenariot.

Kim Haverblad

Dela med andra: