Finans Nyhet

Svenska molntjänster säkerhetsrisk

Publicerad

Är det läge att välja bort Telia? Självklart, säger en säkerhetsexpert. Nej, säger partnern Cisco och den hemliga nämnd som ska övervaka avlyssningen. Kanske, säger Telia själva.

Tvinga it-företag och operatörer att utan vidare avslöja sina kunder för polisen. Det föreslår justitiedepartementet i en läckt promemoria.

– Föreställ dig att du ska lagra information om varje mejl du skriver, varje webbsida du besöker, varje telefonnummer du ringer upp.

– Nu lagstiftar Sverige att operatörerna ska göra det och dessutom göra det tillgängligt för myndigheterna.

Annons

Det säger Michael Westlund, expert på it-säkerhet hos svenska Omegapoint.

– Man kan förstås tycka att antiterror är ett hedervärt syfte, men det här ska ju förvaltas av någon. Denne någon måste man lita på.

– Företag är ofta utsatta för industrispionage. Kan vi lita på att myndigheterna klarar av att skydda all insamlad information? Det är en risk.
Och hur vet vi hur lagrade data används om tio år?

Annons

EU-domstolen har redan fällt Sverige för att riksdagen inte gjort direktivet om datalagring av elektronisk trafik från 2006 till lag.

Nu skissar regeringen på att få med polismetodutredningen från 2009 i samma svep.

Innebär det att Telias företagskunder borde tänka sig för innan de flyttar ut i det så kallade molnet?

Annons

– Nej, det tycker jag inte. Tvärs om.

Det säger Peter Rådeström, Ciscos partner account manager för det nya samarbetet med Telia om outsorcing till centraliserade serverhallar, ”business class cloud”.

– Om något kan vår lösning vara säkrare för företag i och med att den generella informations-säkerheten är högre än i vanliga företagsnät vilket gör dem svårare att avlyssna.

Problemet är bara att hur säkra Telias lösningar än är så kan snart vilken polis som helst kräva ut uppgifter. Telia får inte ifrågasätta skälet. Polismannen behöver inte be någon om lov.

Hur påverkar det här Ciscos val av samarbetspartner?

– Visst är vi ett partnerskap, men det här måste Telia svara på, säger Peter Rådeström.

Hos Telia konstaterar juristen Patrik Hiselius att det är svårt att kommentera en läckt promemoria innan den blivit en proposition till riksdagen eller åtminstone en remiss till lagrådet.

– Däremot väcks inte bara din utan också min nyfikenhet. Om det här nu blir ett formellt förslag.

Telia är inte oroliga för att tappa kunder när de nya lagarna träder i kraft till våren.

– Den här typen av regelverk finns i alla länder och finns redan i Sverige också, säger Patrik Hiselius.

Per Bergstrand på tillsynsmyndigheten PTS är inte heller orolig.

Förändringen av lagen gäller bara vad som kallas uppgifter om abonnemang (se faktaruta).

Möjligheten att kräva ut vad som kallas uppgift om trafik flyttas till domstol, men förändras inte.

Vad som sägs och mejlas, själva innehållet , ska vara lika skyddat som tidigare. Det kan polisen inte kräva ut med mindre än att en domstol beslutar om avlyssning.

”Så vitt jag kan förstå av det knapphändiga material som ännu finns att tillgå”, skriver Per Bergstrand till Realtid.se i en kommentar efter uttalanden från it-företaget Netlight och lobbyorganisationen It- och telekomföretagen.

”Därmed torde, så vitt jag kan förstå, inte molntjänster påverkas på det sätt som antyds i artikeln”, skriver han.

Cisco gör samma bedömning.

– Och då spelar det ingen roll om informationen ligger i molnet eller ej, säger Peter Rådeström.

Så kallad trafikanalys innebär att ta reda på vem som pratar med vem, hur och när.

– Det räcker inte med bara abonnemangsuppgifter för detta. Däremot medger datalagringsdirektivet en mycket omfattande trafikanalys, säger säkerhetsexperten Michael Westlund på svenska it-företaget Omegapoint.

Men läckta uppgifter kan skada företag även
om det bara handlar om abonnemanget.
Att kunna koppla trafikuppgifter som redan är kända till ett företag som identifieras med sitt abonnemang kan bli den pusselbit som avslöjar en affärshemlighet.

Tolkningen av vad som är uppgifter om abonnemang respektive trafik och vad som ska räknas som innehåll har varit föremål för prövning både hos PTS och i kammarrätten.

Är till exempel ett domännamn en del av innehållet eller bara en adress som ip-numret? Får polisen veta vilket sim-kort som hör till vilken mobil eller är identifikationsnumret för sim-kortet en del av meddelandet?

Polismetodutredningen tycker att Rikspolisstyrelsen själva kan göra den bedömningen.

I sitt remissvar skriver PTS dåvarande generaldirektör Katarina Kämpe att ”det är viktigt ur rättsäkerhetssynpunkt att beslut om tvångsmedel inte fattas inom den organisation som ska använda informationen i sin verksamhet och som därmed har eget intresse i saken”, men konstaterar också att utredarna inte lyssnat på det örat.

När uppgifterna väl läckt ut är det bara att lägga ihop två och två.

– Det kan vara intressant att veta att ett företag helt plötsligt börjar kommunicera med ett annat företag. Det kan ju vara tecken på en förestående affär eller uppköp, säger Michael Westlund.

Det kan snabbt bli väldigt konkret. I lördags grep polisen av misstag ett vittne efter bombhot i Göteborg. Mannen släpptes under söndagen men uppger själv att han nu finns på myndigheternas terrorlista i hela världen.

– Tänk dig att du mejlar
eller pratar i telefon
med någon på Blocket som råkar bli terrormisstänkt. Helt plötsligt står polisen vid dörren för att jag kommunicerat med honom, säger Michael Westlund.

Flera faktorer tyder på att Sverige förlorar i konkurrenskraft med de nya lagarna.

Kanske kommer polisen inte ha tid att kräva ut så mycket uppgifter att det blir ett problem för vare sig privatpersoner eller företag.

Men det är inte bara polisen som får betala för hanteringen. IT-företagens kunder kan räkna med höjda priser, trots att operatörerna ska få ersättning från staten för att lämna ut uppgifter.

– Om tillverkarna ska införa funktionalitet i sin utrustning för att kunna erbjuda datalagringen och om operatörerna ska
använda tekniken så blir det självklart dyrare, säger Michael Westlund.

Och när vi ändå har informationen kan vi ju lika gärna använda den till annat.

– Jag tror det är så många ser på saken. Det där är alltid en risk med all sorts lagring och loggning.

Kommunikation inom EU omfattas av EU:s datalagringsdirektiv. Kommunikation mellan EU och USA som omfattas av det så kallade Safe Harbor-avtalet följer dessutom EU:s dataskyddsdirektiv.

Och rättighetsinnehavare i Sverige kan sedan 2009 begära informationsföreläggande enligt ipred-lagen som tillämpar EU-direktivet om säkerställande av skyddet för immateriella rättigheter.

Det här skapar incitament för företag i EU att välja en it-leverantörer i USA som omfattas av säkerhetsavtalet, men inte av datalagringen.

– Det kan vara en fördel – förutsatt att man istället litar på amerikanska staten och NSA, säger Michael Westlund.

Sammantaget kan det här bli avgörande för valet av leverantör av molntjänster. Telia får svårare att behålla gamla och hitta nya kunder och samarbetspartners.

– Det är klart att det påverkar.

– Företag i Sverige kommer inte bli lika intressant som utomeuropeiska leverantörer för kunder som inte är beredda betala för de ökade kostnader som datalagringen leder till
och kanske också är rädda för konsekvenserna.

Det finns en politisk risk att räkna med utöver den tekniska säkerheten. Hur säkert system än är kan polisen alltid kräva ut uppgifterna. Och det hjälper inte alltid att se till att servrarna finns utomlands.

– Om du sitter i EU och kommunicerar utifrån EU så omfattas den trafiken också av datalagringsdirektivet, påpekar Michael Westlund.

Avlyssnas den trafiken mer än trafik inom EU?

– Det är sannolikt. Men för ett företag i EU med kunder utanför EU kan det vara idé att ha sina molntjänster utanför EU.

Att inte bara den personliga integriteten utan också näringslivets konkurrenskraft blir lidande av myndigheternas övervakning visar exemplet Frankrike.

Så sent som på 1990-talet
fick företag i Frankrike bara kryptera sin kommunikation staten hade nyckeln. Tanken var att staten alltid skulle ha möjlighet att avlyssna allt.

Möjligen bidrog reglerna till att Airbus förlorade en order på sex miljarder dollar till Boeing 1995 efter att NSA, amerikanska FRA, avslöjat att franska företagsledare försökt muta sig till kontraktet med Saudiarabien.

Frankrike ändrade lagstiftningen så att det blev
lättare för franska företag att kryptera och svårare för konkurrerande företag och stater att avlyssna affärshemligheter.

– Man tog helt enkelt kommersiella hänsyn, säger säkerhetsexperten Michael Westlund.

I dag drar de kommersiella krafterna åt andra hållet. Hollywoodlobbyn MPAA vill att svensk polis ska få rätt att tvinga operatörer att röja identiteten på sina kunder för att lagföra upphovsrättsbrott, även om det bara handlar om böter.

Justitiedepartementet är inne på samma linje i den läckta promemorian.

Delar av dagens bestämmelser ska nu flyttas från Lagen om elektronisk kommunikation till Rättegångsbalken. Nya delar ska in i en ny lag, enligt utredningen och promemorian.

– I praktiken innebär det att PTS som idag är tillsynsmyndighet inte längre kommer att ha tillsyn över tillämpningen av de här bestämmelserna, säger Patrik Hiselius på Telia.

Idag ser Post- och telestyrelsen till att operatörerna skyddar vad som kallas telehemligheten och operatörernas tystnadsplikt.

– Exakt hur det kommer se ut i framtiden går inte att spåna kring, men det är viktigt att det nya regelverket tar höjd för tystnadsplikten och telehemligheten och att det efterlevs, säger Patrik Hiselius.

Alternativet till PTS heter Säkerhets- och integritetsskyddsnämnden. De övervakar inte företagen utan hur polisen använder hemliga tvångsmedel som avlyssning – men precis som FRA utan insyn genom offentlighetsprincipen enligt grundlagen.

Nämnden kan nu få uppdraget att i efterhand kontrollera hur polisen avlyssnar datorer och smarta mobiler.

– Då är frågan: Blir deras mandat, deras roll och deras kostym ett lika bra skydd för integriteten som PTS varit, frågar Telias jurist Patrik Hiselius som har bra erfarenheter av PTS men inga erfarenheter av nämnden.

Hos PTS vill Per Bergstrand inte heller kommentera den läckta promemorian innan det kommer en riktig lagrådsremiss, men han noterar att mycket av den kritik PTS framförde 2009 i remissvaret på polismetodutredningen liksom 2005 mot Beredningen för Rättsväsendets Utveckling ser ut att vara lika aktuell idag.

– Vi har efterlyst ett helhetsgrepp när det gäller integritetsfrågor generellt.

Regeringen har hoppat över avvägningen mellan effektiv brottsbekämpning och skyddet för den personliga integriteten. Det är bara polisen som kommit till tals.

Chefsrådmannen Stefan Reimer som skött polismetodutredningen tiger om behovet att skydda uppgifter som omfattas av tystnadsplikt.

– Denna brist ansåg myndigheten vara något som fanns i de flesta delar av polismetodutredningen, säger Per Bergstrand på PTS.

Telias Patrik Hiselius efterlyser också ”en bra balans mellan brottsbekämpande intressen och integritetsintresset”.

Förslaget att polisen ska få ut abonnemangsuppgifter utan begränsning ”är bristfälligt motiverat”, skriver PTS. Anmärkningsvärt och märkligt, är några av omdömena.

Och det blir svårt med gränsdragningen när olika myndigheter ska bedöma avlyssning som ska prövas i olika domstolar. Kategorierna ”uppgift om abonnemang” och ”annan uppgift” är förlegade och skapar ett oklart rättsläge. Ändå blir just kategoriseringen avgörande för bedömningen av vad som är okej.

”Förslaget innebär en utvidgning av gällande rätt att inhämta uppgifter på bekostnad av att skyddet för den personliga integriteten minskar”, skriver PTS och pekar på att enskilda poliser själva får bestämma att de har rätt att begära ut uppgifter till sin egen utredning.

Utan att den avlyssnade får veta något och med ”mycket få rättssäkerhetsgarantier i övrigt”.

PTS kräver också att ett lagförslag ska bli tydligare ”så att rättssäkerheten inte framstår som högre än vad den faktiskt är”.

Kerstin Bröms Lumpus är ny hos Säkerhets- och integritetsskydds-nämnden som sitter på Kungsholmen i Stockholm, granne med Ekobrottsmyndigheten och inte långt från Säpo, Rikspolisstyrelsen och tingsrätten.

Hon tycker att förslaget stärker rättssäkerheten genom att låta nämnden i efterhand kontrollera att polis och åklagare haft domstolsbeslut för avlyssning, att de följt proportionalitetsprincipen och att de förstört upptagningarna efteråt.

– Tillsynsområdet utvidgas, men det blir en striktare bedömning än idag med prövning i domstol. Det här är bara en rättslig reglering av något som redan sker. Så har jag fattat förslaget, säger hon.

– Det kommer underställas proportionalitetsprövning. Det blir ett av de moment som stärker integritetsskyddet för den enskilde, som inte vet att de utsätts för detta.

Hemligt PM

• Slopa inskränkningar i tillgång till abonnemangsuppgifter.

• Gör det möjligt att hämta lokaliseringsuppgifter från elektronisk utrustning. Polisen ska alltså kunna ta reda på var du är bara mobilen eller datorn är påslagen.

Idag finns två parallella regelverk: Lagen om elektronisk kommunikation (före detta telelagen), LEK, samt Rättegångsbalken, RB.

• Låt utlämnandet av uppgifter om abonnemang (vem som mejlat vem) blir kvar i LEK och låt det gälla varje misstanke om alla möjliga brott.

• Flytta från LEK till RB reglerna om ”andra uppgifter som angår ett särskilt meddelande” (trafikuppgifter; hur, var och när något mejlats), där det redan idag finns möjlighet att begära ut sådant. Kräv domstolsbeslut.

Avlyssning av telefoner enligt RB kräver idag domstolsbeslut, skälig misstanke, synnerlig vikt för utredningen och minimistraff fängelse.

LEK låter polisen få uppgifter från operatörerna utan domstolsbeslut vid misstanke om brott som inte kan ge mindre än två års fängelse.

Källa: Justitiedepartementet den 15 oktober 2010, SOU 2009:1 den 23 januari 2009.

Röjer identiteten

• Abonnemang

– SIM-kort

– Namn, telefon, adress (om det inte är ett kontantkort)

– IMEI-id för mobil eller dator.

– IP-adress

– Möjligen domännamn

• Trafik

Vem som mejlat eller ringt eller surfat till vem, när och hur.

• Innehåll

Vad som sagts, mejlats eller surfats fram.

Källa: PTS

FRA-lagen

Så kallas de ändringar som riksdagen antog den 14 oktober 2009 i lagen om försvarsunderrättelseverksamhet samt nya offentlighets- och sekretesslagen och LEK samt nya lagen om signalspaning, efter att regeringen ändrat det förslag riksdagen antog 17 juni 2008.

Källa: Riksdagen.

Hemlig nämnd

Säkerhets- och integritetsskyddsnämnden är en statlig myndighet som inrättades den 1 januari 2008.

Nämnden lyder direkt under regeringen. Särskilda bestämmelser i nya Offentlighets- och sekretesslagen gör att myndigheten inte lämnar ut allmänna handlingar. Media har alltså ingen insyn.

Nämnden ”utövar tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel

och kvalificerade skydds- identiteter och därmed sammanhängande verksamhet”.

Dessutom utövar myndigheten tillsyn över säkerhetspolisens behandling av uppgifter enligt polisdatalagen.

Nämnden ska även på begäran av enskild kontrollera om han eller hon har utsatts för hemliga tvångsmedel och om sådan avlyssning varit laglig.

Sju ledamöter från riksdagen bestämmer i nämnden tillsammans med två höga jurister som ordförande och vice.

Kanslichefen som är myndighetschef fattar mindre viktiga beslut själv.

För ett år sedan lämnade flera personer nämnden efter vad regeringen beskrev som ”samarbetsproblem”. Ordföranden Anders Eriksson, tidigare Säpochef, och kanslichefen Joel Brorsson fick sparken. Vice ordföranden Göran Håkansson, tidigare ambassadör, avgick. Chefsjuristen Eva Melander Tell blev ny kanslichef. Hon är nu förädraledig.

Kerstin Bröms Lumpus är tillförordnad kanslichef och därmed myndighetschef. Hon började den 1 september och fanns tidigare hos justitiedepartementet.

Inte bara IT

Övervakningen gäller inte bara digitala spår utan också människors arvsmassa.

Flera svenska regeringar har sagt nej till DNA-register över alla svenskar liksom över alla svenska män. Men polisen har redan DNA från alla som döms till mer än böter samt ett utredningsregister för alla som varit skäligen misstänkta för något som kan ge fängelse.

Dessutom finns det så kallade PKU-registret för alla svenskar födda från och med 1975. Det använde polisen i fallet Anna Lindh. I fallet Hagamannen blev det nej och regeringen har just bestämt att det inte blir fler blodprov eftersom forskningen blir lidande om fler vill gå ur registret. Samma risk gäller så kallade topsningar, senast i fallet Örebromannen.

Annons