Det här är en opinionstext. Åsikter som uttrycks är skribentens egna. I slutet av mars började allmänmedia intressera sig för förslaget som i folkmun kallas ”Chat Control 2.0”. Förslaget, som har lagts fram av EU-kommissionär Ylva Johansson, vill enligt sin rubrik förebygga och bekämpa sexuella övergrepp mot barn. Jag är en av få förunnade som […]
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
I slutet av mars började allmänmedia intressera sig för förslaget som i folkmun kallas ”Chat Control 2.0”. Förslaget, som har lagts fram av EU-kommissionär Ylva Johansson, vill enligt sin rubrik förebygga och bekämpa sexuella övergrepp mot barn. Jag är en av få förunnade som har fått debattera förslaget med Ylva Johansson, något jag gjorde i Svenska Dagbladets podd Ledarredaktionen. Då fokuserade jag på de stora problemen med förslaget, till exempel att det bygger på tekniska orimligheter, att det utsätter redan utsatta folkgrupper för nya risker och att det inte ens har förutsättningarna för att nå sin målsättning. Jag lyfte även faktumet att förslaget tar bort barnens Barnkonventionsskyddade rättigheter och bryter mot såväl Europakonventionen som FN:s deklaration om mänskliga rättigheter.
Här i Aktuell Säkerhet vill jag fokusera på två av förslagets lite mindre problem. Båda problemen berör informationssäkerheten i våra organisationer och är därför högst relevanta för tidningens läsarskara. Trots att förslaget enbart omfattar allmänt tillgängliga interpersonella kommunikationstjänster kommer det nämligen att få spillövereffekter som påverkar verksamheter, både i Sverige och resten av världen. Detta eftersom förslaget förutsätter att totalsträckskrypterade tjänster bygger in bakdörrar.
Det första problemet uppstår vid kommunikation mellan en medarbetare och en privatperson. Idag kan sådana konversationer föras via allmänt tillgängliga tjänster utan risk för avlyssning. Det vill Chat Control 2.0 sätta stopp för. Konsekvenserna drabbar många, däribland journalister. Flera av våra svenska medier uppmanar sina källor att kommunicera med journalisterna via Signal. Detta eftersom Signal är en totalsträckskrypterad tjänst där ingen utomstående, inte ens de som driver Signals infrastruktur, kan se vad som skrivs, sägs eller skickas. Chat Control 2.0 tolererar inte detta.
”Ylva Johansson påstår visserligen att tjänsteleverantörer såsom Signal kan ”sniffa” efter CSAM (Child Sexually Abuse Material) i totalsträckskrypterade konversationer, men det är självfallet helt fel. ”
Ylva Johansson påstår visserligen att tjänsteleverantörer såsom Signal kan ”sniffa” efter CSAM (Child Sexually Abuse Material) i totalsträckskrypterade konversationer, men det är självfallet helt fel. I vår ovannämnda debatt påstod hon att Signal redan använde denna påhittade teknik för att skanna efter virus, vilket är precis lika fel. Det är och förblir tekniskt omöjligt för tjänsteleverantörer att skanna efter någonting överhuvudtaget i korrekt implementerade totalsträckskrypterade kommunikationslösningar. Jag skrev rent av en krönika i Aktuell Säkerhet 2022/01 (tillgänglig i biblioteket) om hur behovet av bra klientskydd ökar i takt med att totalsträckskrypteringstrenden tar bort möjligheten att skanna efter skadeprogram på serversidan.
För att en tjänsteleverantör ska kunna skanna efter någonting i totalsträckskrypterade konversationer måste tjänsteleverantören bygga in en bakdörr. Och med en sådan bakdörr blir totalsträckskrypteringen snudd på meningslös. Det är därför inte konstigt att svenska Journalistförbundet avråder från förslaget. Till och med FN:s människorättskommissionär varnar för konsekvenserna i ett publikt brev (augusti 2022) med en uttrycklig avrådan från denna typ av bakdörrar.
Chat Control 2.0-förslaget är visserligen tydligt med vad tjänsteleverantörerna får skanna efter, men det är av underordnad betydelse. För att tjänsteleverantörerna ska kunna skanna efter någonting alls behöver de först ha tillgång till datan i okrypterat skick. Vad EU sedan säger att tjänsteleverantörerna FÅR göra med datan spelar knappt någon roll. Lagar kan aldrig skydda lika bra som dagens tekniska skydd, vilka effektivt begränsar vad tjänsteleverantörerna KAN göra. Framförallt inte med tanke på att det rör sig om globala tjänster från företag som oftast har säte utanför EU. Ifall exempelvis USA vill att amerikanska tjänster ska utnyttja samma bakdörrar för andra ändamål blir det uppenbart hur värdelösa juridiska skydd är jämfört med tekniska.
Det andra problemet berör skaran av totalsträckskrypterade molntjänster som både organisationer och privatpersoner använder. För att dessa tjänster ska kunna skanna efter CSAM och grooming måste de också bygga in bakdörrar. Utöver de uppenbara GDPR-problemen ökar då risken för dataläckor.
Fram tills nu har totalsträckskrypteringstrenden stärkt vårt dataskydd och reducerat risken för dataläckor. I och med att leverantörerna av totalsträckskrypterade tjänster inte har haft tillgång till vår data har de inte heller kunnat läcka den vid eventuella intrång eller cyberincidenter. Med krav på bakdörrar backar vi tillbaka mot dataskyddet som vi hade före totalsträckskrypteringstrenden. Det är i min mening fel väg att gå och ytterligare ett skäl till att stoppa det oetiska, människorättskränkande och Barnkonventionsbrytande massövervakningsförslaget.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
