Ett förslag om att polisen ska få installera avlyssningsprogram i mobiler och datorer ska användas mot grov brottslighet, men kritiker menar att det slår mot den personliga integriteten och leder till mindre säkra datorsystem.

Det är idag lättare än någonsin att kommunicera i hemlighet med mobiler och datorer, tack vare appar som erbjuder inbyggd kryptering av kommunikationen. Enligt polisen innebär detta stora svårigheter att samla in bevis i kampen mot gängkriminalitet och grov brottslighet. Nyligen har en lagrådsremiss presenterats av inrikesminister Mikael Damberg (S) som skulle ge polisen och andra myndigheter nya möjligheter till hemlig avlyssning.

Remissen består i sin helhet av 34 punkter, där den första punkten är ett förslag om hemlig dataavläsning. Det skulle innebära att polisen efter ett domstolsbeslut får tillstånd att exempelvis i hemlighet installera spionprogram i brottsmistänktas mobiltelefoner. Enligt förslaget ska lagen träda i kraft 1 mars 2020 och gälla på försök i fem år, för att därefter utvärderas.

Enligt inrikesminister Mikael Damberg är verktygen i den nya lagen nödvändiga, eftersom organiserad brottslighet i allt större utsträckning använder krypterad kommunikation. Detta hindrar effektiva polisutredningar. Han säger:

– Ett exempel är gängrelaterade brott i Malmö, där förekommer kryptering i alla polisutredningar. Hemlig dataavläsning skulle ge myndigheterna tillgång till denna information, som kan vara avgörande för att komma vidare i utredningarna. Nu är den oåtkomlig.

Pressbild av inrikesminister Mikael Damberg
Förslaget om hemlig dataavläsning är en nödvändig och proportionerlig åtgärd, menar inrikesminister Mikael Damberg. Foto: Kristian Pohl/Regeringskansliet.

Men flera organisationer har kritiserat lagförslaget. Farhågan är att de nya polisverktygen kan missbrukas, och att åtgärderna slår mot den personliga integriteten. Internetstiftelsens säkerhetschef Anne-Marie Eklund Löwinder formulerar kritiken:

– Det finns naturligtvis ett behov att komma åt och lagföra grova brottslingar, men vägt mot riskerna är det här inte ett bra sätt. Om polisen får tillstånd att göra en husrannsakan hemma hos dig, då kommer du att se det. Men om de installerar skadlig kod på din dator eller mobil, då kan du inte veta att de har gjort det. Och det går heller inte att veta att de tar bort den efteråt.

 Det finns naturligtvis ett behov att komma åt och lagföra grova brottslingar, men vägt mot riskerna är det här inte ett bra sätt.

Anne-Marie Eklund Löwinder

Eklund Löwinder menar alltså att det finns en viktig skillnad mellan hemlig dataavläsning och andra tvångsmedel så som husrannsakan, hemlig telefonavlyssning eller kameraövervakning. Dessa är begränsade i omfattning, men skadlig kod är svårare att kontrollera.

Domstolsbeslut ska krävas

Mikael Damberg håller med om att det nya lagförslaget skulle innebära intrång i den personliga integriteten. Enligt honom väger dock intresset av att stoppa allvarliga brott tyngre, och mekanismer finns på plats för att hindra att lagen används på ett oansvarigt sätt. Han säger:

– Det stämmer att hemlig dataavläsning leder till ökat integritetsintrång i det enskilda fallet, för den som åtgärden riktas mot. Det måste vägas mot det starka intresset av att kunna utreda och lagföra allvarliga brott och förebygga till exempel terroristbrott som ju drabbar hela samhället. Lagen har försetts med rikliga rättssäkerhetsgarantier, bland annat ska domstol alltid pröva ansökan om hemlig dataavläsning. I kampen mot allvarliga brott är det här en nödvändig och proportionerlig åtgärd.

Pressbild Anne-Marie Eklund Löwinder, säkerhetschef, Internetstiftelsen
Lagförslaget kan ge miljoner svenskar sämre datorsäkerhet enligt Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen.

Utöver att domstolsbeslut krävs för varje ansökan ska också enligt lagförslaget vissa yrkesgrupper och vissa platser vara skyddade mot hemlig datavläsning. Det gäller bland annat tidningsredaktioner, advokatkontor och sjukvårdsinrättningar. Men Anne-Marie Eklund Löwinder menar att det största problemet inte är enskilda som drabbas, utan hur verktygen bidrar till mindre säkerhet i stor skala.

– För att installera hemliga program på en skyddad enhet utnyttjas säkerhetsluckor och sårbarheter i systemen. I normala fall borde sådana brister som upptäcks rapporteras till tillverkaren, som kan uppdatera systemen och göra dem säkrare. Nu ska de sårbarheterna istället sparas i hemlighet för att riktas mot en enskild brottsling, trots att det potentiellt kan drabba ett stort antal oskyldiga användare. Det är helt enkelt oproportionerligt.

Så fungerar kryptering

Kryptering innebär i korthet att göra information svårläslig eller obegriplig för alla som inte ska läsa den. För att göra informationen läslig igen krävs avkryptering, med hjälp av en kodnyckel. Att kryptera hemliga budskap har troligtvis använts lika länge som skriftspråket har funnits.

I dagens chattappar har så kallad E2E-kryptering blivit vanligare, alltså "end-to-end". Det innebär att informationen krypteras redan på den enhet som sänder, och inte avkrypteras förrän informationen når fram till den mottagande enheten. Därmed är informationen krypterad "ände till ände", och ingen utomstående part kan få syn på det som överförs.

För att avlyssna en sådan konversation skulle man alltså behöva installera ett program i enheten som kan se det som skrivs innan den krypteras och skickas iväg. E2E anses vara en väldigt viktig del i skyddet av känslig information.

Brett stöd i riksdagen

Rent tekniskt går lagförslaget inte in i detalj på hur polisen ska få bära sig åt för att utföra hemlig dataavläsning, annat än att de får använda de tekniska hjälpmedel som behövs, bryta systemskydd och utnyttja sårbarheter. En invändning mot lagen är därmed att det kan bli svårt att överblicka hur den efterlevs. Redan idag pågår en slags kapprustning mellan tillverkare av datorsystem som Apple och Google, och andra som av olika skäl vill utnyttja säkerhetsbrister i systemen. Detta kommer givetvis fortsätta, och inrikesministern menar att lagstiftningen därför kan behövas skrivas om ytterligare:

– Det kommer givetvis komma motåtgärder från flera olika håll och den tekniska utvecklingen kommer inte att upphöra i och med den här lagstiftningen. Men den insikten kan inte få mig att avstå från att lägga fram de förslag som behövs i dagsläget. Vi kan inte resignera inför teknikutvecklingen, men den kommer att kräva en aktiv lagstiftning även i framtiden.

Vi kan inte resignera inför teknikutvecklingen, men den kommer att kräva en aktiv lagstiftning även i framtiden.

Mikael Damberg

Enligt Anne-Marie Eklund Löwinder är det däremot en oroande riktning att myndigheter aktivt deltar i ett arbete för att bevara och dölja sårbarheter i system. På sikt drabbar det samhället i stort menar hon.

– Ytterst handlar det om hur man värderar nyttan av att få fast en enskild person mot att flera miljoner svenskar får sämre säkerhet. Vi ska också komma ihåg att dessa säkerhetsbrister inte bara kan drabba vanliga människor, utan även personer inom försvarsmakten, myndigheter och annat.

Idag har lagen stöd av samtliga riksdagspartier förutom Vänsterpartiet, och väntas därför röstas igenom i riksdagen med bred majoritet. Lagrådsremissen ska enligt förslaget träda i kraft 1 mars år 2020, och därefter gälla under en prövotid på fem år. Därefter ska beslut fattas om ett permanent införande. Mer information om lagförslaget finns att läsa hos Regeringskansliet.