Vid misstanke om allvarlig brottslighet ges polisen med en ny lag möjlighet att i smyg göra intrång i datorer och mobiltelefoner. Många kritiska röster har höjts mot lagförslaget som man menar kan hota IT-säkerheten för vanligt folk, men i Riksdagen var det endast Vänsterpartiet som röstade emot.
Polisen ska med stöd av den nya lagen kunna komma åt uppgifter som redan finns i exempelvis en mobiltelefon eller en dator. Kryptering av datatrafik och den kommunikation som sker inom appar, såsom Whatsapp, Imessage eller Facetime, har begränsat polisens möjligheter att avlyssna datatrafiken. Det har gjort att hemlig avlyssning och övervakning av elektronisk kommunikation, där uppgifterna hämtas när de är på väg till eller från någons mobiltelefon, inte är lika effektiv längre.
Lagen ger polisen en möjlighet att utnyttja tekniska hjälpmedel och sårbarheter i system för att komma åt informationen, vilket är den mest kontroversiella delen av lagen som gäller i fem år från och med den 1 april 2020. Polismyndigheten, Säkerhetspolisen, Tullverket och Ekobrottsmyndigheten är de som får använda sig av hemlig dataavläsning vid brottslighet som kan ge fängelse i minst två år. Tillstånd till avläsning ska beslutas i domstol. Om det brådskar får dock en åklagare fatta beslut i avvaktan på rättens prövning.
Att utnyttja säkerhetshål för att göra intrång i mobiltelefoner är något som vanligtvis förknippas med kriminalitet, auktoritära regimer eller främmande makter som vill spionera, inte hederligt polisarbete. Det normala i IT-branschen är att den som hittar en säkerhetslucka sprider kunskap om det, så att sårbarheten kan åtgärdas.
Sammanblandning av onda och goda
En som är tveksam till den nya lagen är Thomas Nilsson, som driver informations- och IT-säkerhetsföretaget Certezza.
- Vi har ett team som enbart letar efter sårbarheter. Allt som vi hittar berättar vi om för tillverkarledet så att de kan rätta till det, berättar han.
- Myndigheter som arbetar med detta agerar på samma sätt, de rapporterar så att det kan rättas till. På så sätt hjälps vi alla åt att göra samhället säkrare. Men i och med den nya lagen ska polisen utnyttja sårbarheter man känner till utan att informera tillverkarledet om sårbarheten, så frågan är till vems nytta den nya lagen är egentligen? Buset använder ju även de sårbarheterna för sina ljusskygga verksamheter.
Både Advokatsamfundet och Journalistförbundet är emot införandet av en den nya lagen. Journalistförbundet anser att de positiva effekterna för brottsbekämpningen inte överväger de negativa effekterna i form av integritetskränkningar. Tunga publicister som Sveriges Radios VD Cilla Benkö, SVT:s VD Hanna Stjärne och Viveka Hansson, programdirektör på TV4, har i ett öppet brev till justitieminister Morgan Johansson även varnat för att den nya lagen kommer att påverka källskyddet negativt.
Advokatsamfundet anser att möjligheten till hemlig dataavläsning inte är proportionerligt i förhållande till det grundläggande integritetsskyddet samt att kontrollen av tvångsmedlet i fråga riskerar att bli chimär till följd av den komplicerade tekniken.
Frågetecken kring regelefterlevnad och nytta
Amelia Adamsdotter, ordförande i föreningen Dataskydd.net och före detta EU-parlamentariker för Piratpartiet, uttrycker också farhågor om hur lagen kommer att tillämpas i praktiken.
- Vi är inte negativa till tvångsmedel som sådana, men man måste ha respekt för de säkerhetsproblem som dessa skapar, säger hon.
Även hon varnar för de risker som finns med att polisen ska kunna använda metoder som seriösa aktörer inte skulle befatta sig med, som att installera en trojan för att läsa av meddelanden och avlyssna samtal i krypterade program och appar eller skaffa sig tillgång till ett konto i sociala medier.
- Det finns inget särskilt operativsystem som bara brottslingar använder utan polisen kommer att orsaka skador på samma system vi alla använder för myndighetskontakter, köp- och sälj, prata med mamma med mera. Då måste det finnas ett regelverk som motsvarar den risk det orsakar.
Just kontrollen och regelefterlevnaden är något som Amelia Adamsdotter trycker särskilt på. Enligt henne innehåller lagen bestämmelser om hur polisen borde göra, men ingen pekas ut som ansvarig för att det blir på det sättet.
Det är Säkerhets- och integritetsskyddsnämnden som ansvarar för tillsynen av den nya lagen. Myndigheten ska säkerställa att polisen och övriga brottsbekämpande myndigheterna tillämpar den på rätt sätt. Gunnel Lindberg är nämndens ordförande, hon anser att den nya lagstiftningen är komplex och kan bli svårtillämpad. Ingen vet dock exakt hur och i vilken utsträckning som lagen kommer att tillämpas.
- När det gällde buggning gick det långsamt i början, det var ganska lite som skedde där de första åren, förklarar hon.
- Det var samma med preventiva tvångsmedel*. Varken jag eller någon annan vet om det här kommer att bli något stort redan från början eller om det kommer att bli enstaka ärenden.
Hur stor nytta den nya lagen kommer att få är något som Thomas Nilsson på Certezza har funderingar kring.
- Många politiker pratar om den här lagen som att den kommer att göra en stor skillnad. Men läser man lagtexten är det svårt att förstå hur det här ska gå till.
- Jag har försökt att sätt mig in i hur polisen skulle tänka för att genomföra det här inom de ramar som anges. Skadlig kod ska planteras i någons mobil, men hur ska man exempelvis veta vem koden planteras hos och att man träffar rätt. Och hur vet man att man använder verktyget på ett lagligt sätt? Det finns flera exempel redan idag på svårigheter och oväntade effekter som dessa verktyg lett till.
Ifrågasatt IT-kompetens
Något annat som ifrågasätts är polisens generella IT-kompetens. Bristen på densamma var en av de huvudinvändningar som Vänsterpartiet hade mot lagförslaget. Att bygga upp en egen organisationen inom polisen kommer inte bli det lättaste tror Thomas Nilsson.
- För det måste man samla de i Sverige som är riktigt duktiga på det här, och då är nog polisen inte den mest attraktiva arbetsgivaren.
- De som är mest kompetenta tror ofta inte på den här idén och tycker inte att de här metoderna är rätt väg att gå. De arbetar efter sina värderingar och värdesätter inte pengar lika högt.
Alternativet är polisen köper in kompetens och IT-verktyg externt. Men även det kan visa sig vara lättare sagt än gjort, i alla fall om man letar inom Sveriges gränser.
- Ska man köpa den typen av verktyg så finns det inte jättemånga leverantörer, och de som finns rör sig lite i en gråzon om det verkligen är ok att göra så, säger Thomas Nilsson.
- Skulle någon komma till oss på Certezza med ett uppdrag som vi uppfattar som oetiskt skulle vi tacka nej till det.
Även Gunnel Lindberg vid Säkerhets- och integritetsskyddsnämnden funderar över frågan om IT-kompetens och vilka resurser som krävs för myndighetens uppdrag att utöva tillsyn.
- Tyvärr har vi inte fått några extra anslag för att lösa den här nya uppgiften. Det är naturligtvis bekymmersamt att andra myndigheter som ska hantera det här, men inte vi, har fått resurstillskott.
Riskerna ska inte överdrivas
Samtidigt som det finns frågetecken kring resurstilldelningen vill Gunnel Lindberg dock nyansera bilden av att det skulle vara riskfyllt för allmänheten. Hon pekar på den tillvänjning till ny lagstiftning som sker över tid och reser även frågan om hur integritetskänslig allmänheten egentligen är när det kommer till mobiltelefonen.
- Samhällsklimatet har nog förändrats väldigt mycket. För 20 år sedan var kameraövervakning det hemskaste man kunde tänka sig, men så är det inte idag. Idag har så gott som alla en mobil och man lämnar exempelvis mycket uppgifter till sin telefonoperatör t.ex. om var man befinner sig.
* Lag (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott
Av: Ulf Widlund, jurist och redaktör JUNO nyheter, Norstedts Juridik