Den svenske aflytningssag – en fortsat sommer thriller


kikkert

 

Igennem sommermånederne har nyhederne – både de svenske og enkelte danske med Computerworld i spidsen – været meget optaget af at følge den svenske sag om ’Försvarets Radioanstalt’ og den nye lov, der bemyndiger det svenske forsvar til at aflytte indholdet af al elektronisk kommunikation, der passerer Sverige.

Flere medlemmer af det svenske regeringsgrundlag med Moderaterne i spidsen har siden heftigt debatteret og kritiseret den lov, som de selv med et spinkelt flertal vedtog i Juli. Senest med en artikel i Svenska Dagbladet den 7. august (http://www.svd.se/nyheter/politik/artikel_1523835.svd)

Går et antal lokalpolitikere til angreb mod partiledelsen og kritiserer loven med udtalelser som ’Massavlyssninger av oskyldigas kommunikation är oacceptabelt.”.

 

I Danmark har især ITEK ved Tom Togsverd har også markeret sig i debatten ved først at bede Forskningsministeren om at sikre at Danmark fik garantier fra svenskerne, der sikrede mod overvågning af industriens og erhvervslivets datakommunikation,  http://www.cio.dk/art/46792?cid=2&q=Politik&a=cid&i=2&o=3&pos=4 og da Helge Sander og senere Statsministeren meldte hus forbi og senere Statsministeren erklærede at dette var et internt svensk anliggende (http://epn.dk/teknologi/sikkerhed/article1386830.ece , blev tonen fra ITEK mere sarkastisk, og Tom Toksverd meddelte så, at så måtte man jo sørge for at kryptere al mail, så det i hvert fald blev besværligt for svenskerne. Det begyndte nu at blive mere underholdende, da Computerworld kunne berette at det svenske forsvar ’fra gammel tid’ havde meget stor datakraft til sin rådighed, og man netop havde opgraderet supercomputeren.

 

Og så indtraf det forunderlige, at den svenske forsvarsminister (fra moderaterne), nemlig Sten Tolgfors kom på banen – dels for at dæmme op for eget internt oprør, og vel også for at berolige de kritiske røster fra udlandet (Hvor Ruslands protester nok vejer tungere end de danske avisers!)

Sten Tolgfors fremførte (http://www.computerworld.dk/art/47163?a=newsletter&i=1914, )

At for det første er efterretningstjenesternes overvågning af elektronisk kommunikation altafgørende for i tide at kunne forudse og afværge international terror og andre forbrydelser rettet mod Sverige og den svenske stat, svenske borgere, virksomheder og myndigheder. Det var jo netop hele begrundelsen for at gennemføre den omdiskuterede lov.

 

Men så tilføjede Tolgfors meget interessant, at den måde, som FRA vil arbejde på når den nye lov træder i kraft, vil være på en måde så svenske statsborgere og enkeltpersoner ikke vil være mål for overvågningen, men derimod organisationer, stater og personer i udlandet med en direkte interesse i at skade Sverige. Han frmeførte, at kun enkeltpersoner, der tilhørte kendte terroristgrupper eller organiserede kriminelle bander ville få deres kommunikation scannet. Og så løftede han sløret for den type teknologi, som vil blive anvendt: (http://www.svd.se/nyheter/inrikes/artikel_1436287.svd):

– Det är inte så att man går igenom och läser alla mejl, utan FRA har sökbegrepp som plockar ut exakt rätt mejl. Det är inte så att om någon skriver “bomb” så blir det träff. Det är bara de mejl som möter sökbegreppen som tas hem för mänsklig läsning, resten passerar.

Tolgfors begrundede det også i helt basale kapacitetsbegrænsninger.

 

For de fleste vil dette sikkert være tilstrækkeligt til at trække på skulderen, men debatten viser et helt tydeligt dilemma: Selvom naturkatastrofer er langt hyppigere end terrorhandlinger, så har også de offentige myndigheder og efterretningstjenester i de vestlande lande en stadig mere kompleks og vanskelig opgave i at beskytte vores samfund mod terrorisme, og derfor har den svenske minister faktisk en pointe i at understrege, at formålet med aflytningen jo netop er at beskytte svenske interesser. Men så er det lavpraktiske, juridiske spørgsmål så blot, om hensigten og måden at føre loven ud i livet på er afbalanceret i forholdet til truslen og at der i loven eller de forskrifter, som loven skal administreres efter, klart tages de nævnte begrænsninger, som gør at den svenske lov kan siges at overholde de europæiske menneskerettighedserklæringer.

 

Argumenter som  at ’overvågning af alt er praktisk umulig’ er  derimod IKKE en acceptabel forklaring, da dette jo blot er et spørgsmål om tid, før udviklingen af lagringsmuligheder rent faktisk har fjernet forhindringer af denne art.

 

Derimod må det slås fast, at der faktisk eksisterer analyseværktøjer og redskaber, der på anonymiseret vis kan scanne store datamængder, foretage analyse af hvilke personer og organisationer, der har kommunikeret med hinanden, om der er identitetssammenfald og forbindelse mellem forskellige personer og kendte kriminelle, og først når et sådant sammenfald er noteret, advare, så f.eks. FRA kan henvende sig til en juridisk myndighed og bede om at få ophævet anonymiteten.

 

Værktøjer af denne art eksisterer og udvikles løbende, men formuleringen af den svenske lov og de tilhørende administrative forskrifter vil utvivlsomt med fordel kunne forelægges WP29 allerede i efteråret før loven træder i kraft, så man kan bringe den i overensstemmelse med hensigterne bag den Europæiske Human Rights og EU’s direktiv  94/96 om dataintegritet. (Se sidste blog om dette)

 

Flere kommentarer følger snarest!

Med venlig hilsen: Søren Duus Østergaard

Reklamer

Når naboerne kigger med …..


peeping tom

peeping tom

En af denne sommers mere interessante debatter blev rejst efter at den svenske rigsdag lige inden den gik på sommerferie den 18. juni fik vedtaget en lov, der bemyndiger det svenske forsvar – nærmere bestemt ’Försvarets Radioanstalt’ til at overvåge indholdet af al elektronisk kommunikation mellem Sverige og udlandet.

Dette er naturligvis bemærkelsesværdigt, idet intet andet europæisk land har vedtaget en så vidtgående lovgivning, der går ud over hvad det meget omdiskuterede logningsdirektiv for teletjenesterne pålagde de enkelte operatører; Direktivet for logning af teletrafik indeholder klare retningslinier for, at det, der logges vedrører afsender og modtager af elektroniske meddelelser, der skal opbevares i en given tid, men altså ikke noget om logning af selve indholdet.

Det var også bemærkelsesværdigt at loven i Sverige blev vedtaget med bare 4 stemmers flertal.

Det skabte naturligvis en vældig debat – ikke bare i Sverige (http://www.vasabladet.fi/story.aspx?storyID=22256 , eller http://www.aftonbladet.se/nyheter/article2712002.ab) men sandelig også I Danmark, dad et gik op for danskerne, at ‘Svensk Udlandstrafik’ også omfattede al trafik, hvor svenske teleoperatører (Telia m.fl.) betjente danskere. Det gjaldt ikke mindst folketinget, hvor Telia faktisk har vundet opgaven at betjene de danske folketingsmedlemmer. ( Se computerworld: http://www.computerworld.dk/art/46613? ). Efterfølgende er også Rusland blevet opmærksom på problemet og har protesteret.

Loven dækker altså al elektronisk kommunikation – mobiltelefoni, e-mails, computer-til-computer overførsler. Så det må sandelig siges at være en stor mundfuld for det svenske forsvar – og i sig rejser det naturligvis en række spørgsmål, idet Sverige som traditionelt bekender sig nøje til åbenhed og anses for at være et af de lande, der står vagt om beskyttelse af privatlivets fred.

Kort sagt: Hvad har de gang i? Er det ikke i direkte strid med de grundlæggende forskrifter og direktiver i EU om borgerrettigheder? (Se http://www.hri.org/docs/ECHR50.html#P1 ) –

Ser vi for eksempel på artikel 8 i European Human Rights Declaration, så står der:

  1. Everyone has the right to respect for his private and family life, his home and his correspondence.

Altså eksplicit også en beskyttelse af brevhemmeligheden. Men så står der godt nok også i paragraf 2:

  1. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Ved første øjekast ligner det en udvanding af paragraf 1, men spørgsmålet er altså, om den svenske lovgivning, der her foregriber anden lovgivning I andre EU-lande, kan hævde, at netop denne lov er nødvendig for at beskytte det svenske samfund mod terrortrusler og andre mulige overgreb, og det i en grad, der i det, som offentligheden fik at vide ved at læse lovteksten fra den 18. juni kun kunne forstå som et carte blanche til enhver form for overvågning af privatpersoners og virksomheders korrespondance med udlandet.

Det fremgår ikke – og er vel heller ikke sandsynligt – at den svenske lovgivning havde været forelagt nogle internationale organer endsige drøftet med nabolandene. Danske politikere kom på banen, nogle erklærede sig ’foruroligede’ , andre – med statsministeren i spidsen – var hurtige til at slå fast, at dette måtte betragtes som et internt svensk anliggende.

Det er imidlertid tvivlsomt om sagen så let lader sig afvise; og netop til dette formål er der i forbindelse med det såkaldte data-direktiv – der skal ses som en tydeliggørelse af ’Human Rights’ erklæringen for så vidt angår beskyttelse af private data – også kaldet The Data Protection Directive: http://www.cdt.org/privacy/eudirective/EU_Directive_.html etableret et organ, det såkaldte Working Party 29, WP29-organ, der er nedsat med repræsentanter og deltagelse fra alle medlemslandes Databeskyttelsesagenturer, som netop har til formål at vurdere og rådgive om nye tiltag i medlemslandene og især om mulige ændringer, udhulinger eller overtrædelser af datadirektivet.

I indledningen ( paragraf 2) af direktiv 94/96, står der bl.a.

Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals

Direktivet blev faktisk taget I anvendelse for ikke så længe siden, da det viste sig at data i bankoverførselssystemet SWIFT, der har sit fysiske hovedsæde i Bruxelles, faktisk kunne dekodes af US myndigheder. WP29 gik ind i sagen, og konkluderede, at SWIFT som et Europæisk organ var underkastet direktiv 94/96

( Se www.cbpweb.nl/downloads_int/Opinie%20WP29%20zoekmachines.pdf )

Ved første øjekast i begyndelsen af juli var der derfor meget der tydede på, at de svenske myndigheder havde været for hurtigt ude og havde forbrudt sig – ikke på et eller andet tilfældigt direktiv – men faktisk mod nogle af EU’s fundamentale borgerrettigheder, som man må formode at både tilhængere og modstandere af EU vil støtte op om.

Sagen var ikke slut hermed – og fortsættelse af denne blog følger, så vi kan vurdere flere og interessante aspekter af det, der efterfølgende indtraf.

Søren Duus Østergaard er månedens klummeskribent


pen

Søren Duus Østergaard, senior eGovernment Advisor for IBM Europe, Middle East & Africa er Dansk Privacy Netværks første klummeskribent. 

Søren er cand. polit. fra 1970, og har siden været ansat i IBM, hvor han har beklædt en række ledende stillinger: Chef for IBM’s nordiske interne uddannelse, afdelingsleder for kommuner og sundhedssektoren, Program manager for kundeplanlægning og for introduktion af leasing, afdelingschef for IBM’s markedsføring til undervisnings- og forskningssektoren i Danmark, markedsudviklingschef for den offentlige sektor, multimediechef for IBM Nordic, program manager for EU Projekter og kommunikation og siden 1998 nuværende job.

Søren har siden slutningen af 1980’erne beskæftiget sig med sikkerhed og privacy, deltog i de første projekter om borgerkortet, om den digitale signatur i Danmark og såvel privacy, som sikkerhedsrelaterede projekter siden midten af halvfemserne i Danmark og udlandet. Han er ekstern censor på IT-Universitetet og CBS i bl.a. Informationøkonomi, Filosofi, Strategisk Planlægning, e-Business og Enterprise Architecture.

Siden midten af halvfemserne har han været medlem af EU’s eksterne specialistgruppe i Trust & Confidence programmet.

Søren var fra 2001 til 2008 medlem af Teknologirådets bestyrelse, og deltog her bl.a. som medlem af advisory board i PRISE – PRIvacy og Security – et tværgående projekt som danner rammen om anbefalingerne for at afveje de to hensyn i EU’s 7. rammeprogram.

Søren er desuden medlem af IT rådet for Grønland og er bestyrelsesformand for Alexandra Instituttets center for forskning i sikkerhed.