En programvara eller en dator kan inte veta om exempelvis en domstol givit tillstånd till intrånget – finns bakdörren eller säkerhetsbristen kan den utnyttjas av alla som känner till den, skriver debattörerna.
En programvara eller en dator kan inte veta om exempelvis en domstol givit tillstånd till intrånget – finns bakdörren eller säkerhetsbristen kan den utnyttjas av alla som känner till den, skriver debattörerna. Bild: Gustav Sjöholm/TT

Massövervakningen gör oss sårbara för angrepp från främmande makt

Myndigheter har de senaste åren fått allt fler verktyg att avlyssna datatrafik och ytterligare är föreslagna, däribland EU-kommissionens kontroversiella förslag om att övervaka meddelandeappar och molntjänster, känt som Chat Control 2.0. Integritetshoten som dessa för med sig har debatterats medan hoten mot IT-säkerheten, knappt har uppmärksammats alls, skriver Erik Lakomaa och Jan Kallberg.

Det här är en debattartikel. Åsikter och idéer som framförs är skribenternas egna. Vill du svara eller har du synpunkter på debattartikeln? Mejla till: debatt@gp.se

ANNONS
|

Breda befogenheter för staten att avlyssna krypterad och skyddad datatrafik innebär att man samtidigt öppnar upp en stor attackyta mot kommunikationsverktyg som kan användas för sabotage, för främmande makts underrättelseinhämtning eller av organiserad brottslighet. Detta är något som är särskilt allvarligt i det försämrade säkerhetsläge vi nu befinner oss i.

Tillgång till privata kommunikationer kräver att man försvagar kryptering, bygger in bakdörrar eller sprider skadeprogram, som trojaner som utnyttjar säkerhetsbrister. Samtliga dessa medel har det gemensamt att de både kan användas för lagliga ändamål och av illasinnade aktörer.

Utnyttjas av alla

En programvara eller en dator kan inte veta om exempelvis en domstol givit tillstånd till intrånget – finns bakdörren eller säkerhetsbristen kan den utnyttjas av alla som känner till den.

ANNONS

I och med att samhällets infrastruktur i dag är digitaliserad medför det även systemrisker. Ett område som redovisas särskilt i EUROPOL Internet Organised Crime Threat Assessment (IOCTA) -rapporteringen är attacker mot samhällsviktig infrastruktur, där driftstörningar eller förstörelse skulle ha en bred och allvarligt försvagande effekt på samhället. Attacker av sådant slag som nu diskuteras kan till exempel innebära att angriparen får tillgång till kunskap om den bakomliggande tekniska designen i systemviktiga kontrollsystem. Detta kan i sin tur leda till riktade attacker: Sabotageprogram skulle kunna manipulera kraftnät, finansiella tjänster, försvar eller sjukvårdsregister med följder i den ”riktiga världen” i form av exempelvis fysisk skada, strömavbrott eller störningar i en hel stads vattentillgångar.

Enligt IOCTA 2016 rapporterade brottsbekämpande myndigheter runtom i Europa om en rad attacker mot samhällsviktig infrastruktur. Som exempel nämns bland annat att det ukrainska kraftnätet angreps i december 2015 med trojaner som var ämnade att attackera kontrollsystemen, att ett tyskt kärnkraftverk i april 2015 attackerades med hjälp av sabotageprogram som, om det hade haft den rätta tillgången till internet, hade kunnat fjärrstyras, samt att ett tyskt stålverk angreps i slutet av 2014.

Avlyssningspolitiken som bedrivs i dag leder i själva verket till att inget datasystem längre är säkert

Att tro att de sårbarheter som används i lagliga syften inte kan missbrukas är naivt, inte ens de mest säkerhetsmedvetna aktörerna kan undvika läckor. Ta till exempel EternalBlue, ett dataintrångsverktyg som utvecklats, enligt mediauppgifter, av den amerikanska signalspaningsmyndigheten NSA. EternalBlue användes efter en läcka för att skapa trojanen Wannacry som ställde till enorm skada både i Ukraina och i en rad andra länder. Avlyssningspolitiken som bedrivs i dag leder i själva verket till att inget datasystem längre är säkert.

ANNONS

Inte heller den högst påtagliga risken att insamlad data läcker har adresserats i utformningen av övervakningslagarna. Detta trots att det ofta handlar om att samla in ytterst känsliga uppgifter. En databas över intima bilder eller privata sexmeddelanden som samlats in för att eventuellt upptäcka sexuella övergeppsförsök – ett av de föregivna syftena med EU:s Chatcontrol 2.0 - skulle exempelvis vara guldgruva för underrättelsetjänster och andra som ville idka utpressning mot makthavare.

Hanteras av andra

De myndigheter som nu fått eller föreslås få samla in privat information har inte heller – och kan inte heller ha - samma säkerhetsrutiner som militära myndigheter till vilka historiskt sådana uppgifter anförtrotts. Om inte annat för att till exempel förundersökningar är offentliga och information delas mellan myndigheter öppet. Register med insamlade uppgifter kommer inte heller endast att hanteras av polis utan även av exempelvis de IT-konsulter som de anlitar för att underhålla systemet.

Trots farorna berörs i princip inte dessa i de utredningar och propositioner som lagts fram. Riksdag och regering talar fortlöpande om det förändrade säkerhetsläget men det reflekteras inte i synen på informationssäkerhet. Grunden i all riskhantering är att den svarar mot en förändrad omvärld. Om en underbyggd och relevant riskbedömning hade gjorts är det inte osannolikt att man landat i helt andra slutsatser om lämpligheten med de nya övervakningslagarna.

ANNONS

Jan Kallberg, Fil dr, Senior Fellow, Center for European Policy Analysis (Washington D.C.)

Erik Lakomaa, Docent, forskare vid EHFF Handelshögskolan

ANNONS