digital vägledning

Sveriges regering vill nu genomdriva massövervakning med Chat Control 2.0

En majoritet av de svenska riksdagspartierna vill nu ta ifrån alla EU-medborgare deras grundläggande rättigheter till privat kommunikation och införa en övervakning som kan tillämpas av tredje land.

Det är svårt att föreställa sig att det är en slump att regeringens hållning gällande ett av EU:s mest bekymmersamma förslag klubbas dagarna innan midsommarafton, när Sveriges befolkning är lagom semestersugen och rejält dåsig efter skolavslutningar. Men nu sitter vi här med en officiell svensk hållning (framröstat i justiteutskottet med stöd av S, V och MP) som är precis tvärtemot den linje som utlovades i de flesta partiers valkampanjer till EU-valet för bara tre veckor sedan (M, L, V, MP). Det känns nästan svagt att kalla det svek. Hoppas sillen smakade.

För Sverige är sveket dessutom dubbelt. En samlad journalistkår har svårt att bevaka ämnet och har fortfarande inte lyckas förklara tekniken på en grundläggande nivå för läsare och tittare. Efter två år med turer kring detta förslag ser de flesta inte igenom vilseledande påståenden och håller inte aktivt koll på händelseförloppet, debatterna och besluten. Förmågan att bevaka viktiga EU-frågor tycks hindrad av ett oroväckande ointresse.

Och håll i dig: det här handlar alltså om en fråga som bland annat innebär en kraftig försämring av källskyddet, en fråga som borde vara av utmärkande intresse för… just det, journalister. Faktum är förstås att både Journalistförbundet och Tidningsutgivarna har uttryckt skarp kritik mot förslaget av denna anledning. Trots detta är svensk media ofta sena på bollen i ämnet, och ger utrymme åt osanningar.

Frilansande journalisten Emanuel Karlsten är dock den starkast lysande stjärnan i den senaste veckans avslöjanden. Han uttrycker läget så här:

Sammantaget innebär det här att en av samtidens viktigaste frågor, den om hur vi hanterar internet och vår privata sfär här, är helt underbevakad. Och allt beror på ett missförstånd.

Missförståndet som Karlsten åsyftar handlar om att det här skulle vara svårt att förstå. För även om många politiker blandar bort korten och vilseleder gång på gång i den här frågan så är det just det som journalister har till uppgift att avslöja. Man kan inte skylla bristande bevakning på att man aldrig tog datorkörkort. Vi har ett djuplodande demokratiproblem om tredje statsmakten får kalla fötter så fort det handlar om digital teknik.

För det handlar också om våra rättigheter, våra värderingar och vår syn på demokratiska principer. Vi kan inte kritisera Kina med ena handen och införa massövervakning med den andra. Det är som om vi helt glömt vad vi som demokrati har gett staten i uppdrag att beskydda!

Jag vill ägna det här inlägget åt att hjälpa fler att förstå. Inte bara journalister utan alla som är nyfikna på vad det egentligen är som gör så många experter inom både datasäkerhet och mänskliga rättigheter så innerligt upprörda.

Vad är Chat Control?

Den 11 maj 2022 la EU-kommissionen fram ett förslag till förordning som skulle innebära att det blir obligatoriskt för alla leverantörer av chat, e-post och meddelandetjänster att söka igenom användarnas meddelanden. Detta skulle då även gälla alla tjänster som erbjuder end-to-end encryption, som på svenska heter totalsträckskryptering.

Det fanns och finns redan en förordning som tillåter att tjänsteleverantörer på eget bevåg skannar okrypterad kommunikation på sina plattformar. Detta kallas ibland för Chat Control 1.0 och det nya påträngande förslaget omtalas då som Chat Control 2.0.

Chat Control 2.0 inbegriper alltså även tjänster med totalsträckskryptering och det är viktigt att förstå varför det förändrar allt. Det är oerhört mycket mer långtgående än det som finns idag.

Totalsträckskryptering är en metod för säker kommunikation som förhindrar att någon utomstående part kan läsa meddelandet under tiden det skickas från en enhet till en annan (en enhet är till exempel en dator eller mobil). Eftersom överföringen från en enhet till en annan ofta går på några millisekunder idag så tänker du kanske inte på att ditt meddelande passerar flera "växlar" där någon skulle kunna läsa ditt meddelande.

Här är en enkel illustration av hur totalsträckskryptering fungerar, om jag skulle skicka ett meddelande till dig via appen Signal, som för övrigt är den app som EU-kommissionen själva rekommenderar att medarbetarna använder. Meredith Whittaker, talesperson för Signal, har gått ut och sagt att företaget drar sig ur EU om Chat Control 2.0 blir verklighet.

Bild 1. Illustration av totalsträckskryptering där jag skickar ett meddelande till dig via appen Signal. Meddelandet krypteras på min telefon och dekrypteras på din telefon. Leverantören av tjänsten har alltså inte i något skede tillgång till meddelandet, och ingen kan avlyssna när det skickas. Endast den avsedda mottagaren kan öppna meddelandet på sin enhet.

E-post är ett bra exempel på okrypterad kommunikation, där ditt meddelande ofta skickas helt läsbart av vem som helst hela vägen, precis som ett vykort från semestern. Om någon "hittar" ditt okrypterade mejl hos tjänsten som hanterar din e-post, eller avlyssnar din datatrafik, så kan de läsa meddelandet direkt. Det kan de inte om de hittar ett krypterat meddelande. Men ja, det finns även tjänster för att kryptera e-post.

Vi kommer återkomma till det här med kryptering eftersom det är centralt i förståelsen av varför förslaget Chat Control 2.0 skapar så oerhört mycket problem.

Varför vill man söka igenom alla meddelanden?

De mer officiella begreppen för ChatControl 1.0 och 2.0 är 'tillfälliga CSAM-förordningen' respektive 'permanenta CSAM-förordningen'. CSAM står för Child Sexual Abuse Material. Möjligheten att hitta innehåll och konversationer där barn far illa är således skälet som framförs för att införa massövervakning.

Den uttryckta intentionen bakom förslaget är det ingen som kritiserar. De som står bakom förslaget säger sig vilja skydda barn mot sexuella övergrepp. Skanningen av alla våra meddelanden skulle då handla om att till exempel hitta bilder på övergrepp på minderåriga, eller samtal om övergrepp, tänkta att leda till avslöjanden för att lagföra personerna som begår brotten.

Observera: Ingen kritiker av förslaget motsätter sig den ambitionen. Alla motsätter sig metoden.

Kritiker lyfter aspekter som förklarar varför förslaget kan få svårt att nå detta uttryckta mål, och belyser de effekter som slår mot andra delar av samhället – inklusive barn.

10 områden som det framförs kritik inom gällande Chat Control 2.0

Rättsvidriga förhållanden. Det är oförenligt med mänskliga rättigheter att bedriva övervakning på det här sättet. Det bryter mot Europakonventionen och svensk grundlag. Det bryter även mot Barnkonventionens artikel 16, som vidhåller att barns korrespondens inte får "utsättas för godtyckliga eller olagliga ingripanden". Läs gärna om Sveriges posthemlighet.
Falska positiva i stor skala. Många experter tvivlar på att det ens går att genomföra avlyssningen på den här enorma skalan (alla medborgare i hela EU) på ett sätt som ger relevant underlag som går att agera på på ett ändamålsenligt sätt. Det kommer regelbundet rapporter om personer som utpekas felaktigt av automatiserade system. Rättsväsendet i varje land skulle sannolikt överbelastas av felidentifierat lagligt material och det skulle bli oerhört många oskyldigt utpekade. Det leder också till mindre tid för rättsväsendet att hantera faktiska sexualbrott mot barn.
Ändamålsglidning. Det går inte att garantera att avlyssningen av alla våra meddelanden endast används i det här syftet. När möjligheten väl har realiserats kan en bakdörr användas till vad som helst. Det är även stora bolag utanför EU som på det här sättet uppmuntras att skanna alla EU-medborgares meddelanden. Det går inte att tekniskt begränsa vad de kan eller inte kan titta efter när EU gett grönt ljus för att lyssna på allt. Man kan juridiskt förbjuda, men vem ska bevisa vad som sker bakom stängda dörrar?
Orättfärdig proportionalitet. Det bedöms inte proportionerligt att skapa en aldrig tidigare skådad totalitär övervakning av alla medborgares kommunikation, utan brottsmisstanke, för ett oprövat experiment vars påstådda effekter är obevisade och ifrågasatta av expertis.
Missbruk av illasinnade aktörer. Alla system kan hackas och nås av den som vill illa. Systemet skulle vara utsatt för idoga intrångsförsök, och några skulle sannolikt lyckas. Ett exempel på missbruk är också att illasinnade personer skulle kunna placera material på andras datorer/telefoner för att misstänkliggöra dem och skapa rättsliga påföljder mot oskyldiga människor.
Hämmande effekter på samhället (engelska så kallad Chilling Effect). Hur påverkas människors förmåga och vilja att agera och tala fritt med vetskapen om att deras kommunikation är ständigt övervakad? En tvekan att nyttja sina rättigheter att tala fritt, självcensur, är potentiellt samhällsförändrande.
Eskalerande orättvisa. Vilka grupper i samhället missgynnas mest med så här omfattande övervakning? Vem blir mer rädd för att tala för sin sak och stå upp för sina rättigheter när andra smutskastar dem? Inom EU skulle det till exempel innebära ett stort bakslag och ökade risker för Hbtqi-personer, som redan lever under hat och hot i många länder.
Missriktad åtgärd. Barnrättsorganisationer säger att det inte ens idag är i sociala medier och på de mest populära meddelandetjänsterna som dessa typer av brott uppdagas. Lagringen sker på andra ställen. Men det är på de plattformar som Chat Control 2.0 riktar sig mot som barnen själva messar varandra – och redan idag handlar hälften av sexualbrottsmålen i Tyskland, där minderåriga är inblandade, om kommunikation mellan ungdomar som skett lagligt och med samtycke.
Impotent förtryck. Om totalitär skanning av våra vanligaste kommunikationsplattformar och telefoner införs, utan brottsmisstanke – och brottsutövarna använder andra kanaler eller de tänkta effekterna uteblir av andra skäl – vilket skräckvälde har då skapats som i huvudsak drabbar oskyldiga personer som inte alls är den uttalade måltavlan.
Underminerat källskydd. Möjligheten till krypterad kommunikation har blivit ett viktigt verktyg för anonyma källor, visselblåsare och informatörer. Ingen, varken media, poliser, jurister eller andra, skulle längre med denna förordning ha tillgång till ett sådant verktyg.

Med så många betydande bekymmer är det rimligt att ställa sig frågande till varför förslaget fortsätter att drivas, mer än två år efter att det först lades fram.

Vem ligger bakom förslaget?

Det här är kanske den viktigaste frågan för att förstå all lobbying (och lögner, tyvärr) som fortsätter trots de tydliga baksidorna jag precis redogjort för. Det skulle gärna få grävas än mer av journalistkåren för att reda i detta.

Svenska medier gör det ofta väl enkelt för sig när de skriver att Ylva Johansson ligger bakom förslaget. Ja, den svenska socialdemokratiska EU-kommisionären har varit frontfigur, drivit frågan oerhört hårt och ofta förmedlat vilseledande och direkt felaktiga uppgifter till media, något som dokumenterats på ett tydligt sätt av Karl-Emil Nikka.

Det är nog få som tror att Ylva Johansson vaknade upp och hade en idé om att föreslå en sådan djupt teknisk och rättsvidrig lösning på ett så specifikt problem. En teknisk lösning som hon inte själv heller riktigt förstår eller kan förklara utan att man som it-kunnig vrider sig i plågor.

Vi hittar ledtrådar i vem Ylva Johansson haft möten med, och vem hon inte haft möten med:

I en granskning gjord av Balkan Insight i september 2023 får vi en hel del insyn i vem det är som kan gynnas ekonomiskt om förslaget skulle röstas fram. En nyckelspelare som Ylva Johansson haft mycket kontakt med innan och efter förslaget lades fram, och som varit en framträdande lobbyist för Chat Control 2.0, är en organisation som heter Thorn.

Thorn är grundat av Demi Moore och Ashton Kutcher med syftet att bekämpa sexuella övergrepp mot barn. I EU:s öppenhetsregister står de omnämnda som välgörenhetsorganisation. Men organisationen är även vinstdrivande, i sin roll som säljare av en programvara som fått namnet Safer. Det råkar vara en sådan programvara som skulle behövas för att realisera Chat Control 2.0.

Ashton Kutcher är för övrigt inte en del av Thorns styrelse längre. Han fick lämna i september 2023 när det uppdagades att han vädjat till domaren om att lindra straffet för sin tidigare skådiskollega från That ‘70s Show, Danny Masterson, som dömdes för två fall av våldtäkt tidigare samma månad.

'Följ pengarna' är ofta ett gott råd när någon envist vilseleder och hävdar fördelar med ett förslag trots att en stor samlad expertis pekar på tydliga och lättbegripliga argument som visar varför det inte är möjligt eller varför det skulle vara direkt skadligt.

Läs gärna Balkan Insights granskning om du är nyfiken på vilka fler organisationer som varit involverade längs resan. Artikeln går igenom vilken tillgång och insyn individer från dessa organisationer fått samtidigt som andra försökt få till möten men inte lyckats.

Hur skulle Chat Control 2.0 fungera?

Hur gärna man än vill tro det så finns det ingen magisk teknik som kan detektera övergrepp. Det finns inte en teknisk lösning som automatiskt skulle känna igen övergrepp mot barn och på ett rakt igenom tillförlitligt sätt, identifiera olagligt material och i princip peka ut vem som är skyldig eller oskyldig. Idén om att "teknik kan inte ha fel" är ett farligt mantra att anamma.

All form av automatiserad detektering är oerhört trubbig och leder till svar som är falskt positiva, alltså indikerar positivt utfall även där det sökta elementet inte finns. Viss teknik mer än annan beroende på hur den byggts. Tänk då vilka problem vi kan försätta oss i när vi ska använda tekniken inom ett så här känsligt område, på över 400 miljoner människor.

Vi tar det från början. När man nu vill att även tjänster med totalsträckskryptering ska avlyssna användarnas meddelanden så måste man bryta in i den säkra överföringen på något sätt. Oavsett vad någon säger till journalister så är det självklart då inte längre fråga om totalsträckskryptering. Det argumentet faller på sin egen orimlighet. Någon kan nu läsa meddelandet som skickas.

Bild 2. Illustration av hur totalsträckskryptering bryts av EU:s krav på avlyssning om Chat Control 2.0 skulle införas. Så fort någon avlyssnar ditt meddelande är det självklart inte längre totalsträckskryptering. Det går inte att på ett säkert sätt kontrollera vem som gör vad med bakdörren som nu har byggts in i systemet. Som användare tappar du helt kontrollen och kan inte känna dig säker.

Det som inte framgår av min illustration är att för att bilddetektering ska fungera så måste det i förväg finnas en databas med bilder som används för att skapa så kallade hashar, i all sin enkelhet en lång kodsträng som representerar varje bild. Dessa kodsträngar jämförs med kodsträngar som skapas utifrån användarnas bilder, för att hitta en match. Den databasen skulle också behövas för den maskininlärning som ska "känna igen" sådana bilder.

När jag skrev om Apples tidigare ambitioner om att införa CSAM-skanning på alla iPhones (som de övergav efter kritik) så noterade jag hur aktivister som Ashley Lake ifrågasatte att sådana här databaser ens ska få existera. Nästan alla som utsatts för övergrepp som barn vill att dessa bilder ska raderas, menar hon. Man vill inte att bilderna och filmerna ska arkiveras i anslutning till egennamn och annan personlig metadata.

Chat Control 2.0 skulle uppmuntra att fler och mer omfattande sådana här databaser med bilder skapas. Och för att populera dessa databaser, enligt Ashley Lakes beskrivningar, så tas foton även från barns läkarbesök, personliga chattar och även bilder som aldrig tidigare laddats upp online.

Kort sagt: tekniken för att detektera skulle skapa många felidentifieringar, skulle kunna användas för vilken typ av övervakning som helst (inte bara för CSAM), och tekniken uppmuntrar till skapandet av databaser som inte bara vid skapandet, utan även vid intrång och läckor, kan skapa mer lidande för de personer man vill skydda.

💡

I artikeln om Apple redogör jag även för hur detektering med hashar fungerar om du är nyfiken på att läsa djupare om detta.

Vad säger förespråkarna om kritiken?

Förslagsförfattarna är öppna med att deras förslag är oförenligt med mänskliga rättigheter. Deras argument blir hela tiden att dessa rättigheter inte måste skyddas till varje pris.

Ylva Johansson uttrycker det ofta som att det är bra att integritetsexperterna tänker på säkerheten men att någon måste tänka på barnen.

I debatten, och tyvärr i många artiklar och inslag i media, lyckas förespråkarna få det att låta som att kritikerna är helt känslokalla och emot att införa åtgärder som syftar till att bekämpa sexuella övergrepp mot barn. En SVT-artikel häromdagen inleddes med "Oenigheten i EU tycks kvarstå om förslaget mot övergreppsmaterial på nätet" vilket blir oerhört missvisande. Motståndet handlar inte om övergreppsmaterial, utan om huruvida totalitär övervakning av alla EU-medborgare i alla digitala meddelande-tjänster, även tjänster från tredje land, är önskvärt eller proportionerligt i det syftet.

Experter på säkerhet och mänskliga rättigheter försöker förstå om det ens finns skäl att tro att förslaget kan ge de effekter som, utan närmare bevis, hävdas. Samtidigt tittar de på hela bilden av konsekvenser för barn, vuxna, samhälle och demokrati, inklusive de negativa konsekvenser för just barn som förslaget leder till. Lobbyisterna för Chat Control 2.0 är förstås allt annat än öppna med hur förslaget slår negativt mot barn.

Kommer barn gynnas av förslaget?

Det vet vi inte. Det tycks inte behöva bevisas att ett förslag som fråntar barn och vuxna sina självklara rättigheter och underminerar demokratiska grundpelare verkligen kan åstadkomma det som hävdas.

Att det finns flera sätt som barn missgynnas på vet vi förstås, som jag har redogjort för ovan.

Att man vill bekämpa övergrepp mot barn med precis alla medel man kan komma på är på alla sätt förståeligt. Det kan dock samtidigt göra att man missar att utreda vilka andra problem som åtgärden skapar, och om det medel man tar till verkligen leder till det man vill.

Vad händer nu?

Det blev ingen omröstning i ministerrådet om CSAM-förordningen i torsdags som man utlyst. Frågan togs bort från dagordningen – till mångas lättnad – med argumentet att man inte såg några möjligheter till en majoritet.

Förslaget i torsdags lades fram som ett kompromissförslag designat av nuvarande ordförandelandet Belgien, men det var fortfarande utformat så att det tvunget skulle bryta möjligheten till totalsträckskryptering.

Lyssna gärna på fredagens avsnitt av Bli säker-podden för en snabb sammanfattning av förra veckans händelser.

Lättnaden blir dock kortvarig.

Det är dags att vakna till

Den 1 juli tar Ungern över ordförandeskapet i EU. Ungern är ett av de länder, nu jämte Sverige(!), som vill driva igenom att totalsträckskryptering blir otillåten. Vi har all anledning att tro att frågan kommer upp på agendan snart igen.

Ungern gick i dagarna ut med budskapet att de med sitt ordförandeskap lovar att ‘make Europe great again’. Låt oss hoppas att det inte handlar om införande av en övervakning som vida överstiger Stasis aktiviteter i Östtyskland.

Det är precis nu det är dags att sätta press på våra folkvalda. Och hoppas på att journalistkåren kraftsamlar för att ge läsarna och tittarna en helhetsbild av vad som håller på att hända.

Din roll kan handla om att hjälpa fler förstå, skapa engagemang, ringa och skriva till politiker för att berätta om dina och andras farhågor. Kanske kan vi hjälpas åt att få fart på den här debatten igen, denna gång med bättre förklaringar av konsekvenserna.

👛

Bidra till Barncancerfonden. Jag har har precis fyllt 50 och haft en insamling igång till Barncancerfonden som sträcker sig till sista juni. Om du uppskattar mina texter och vill skänka en slant blir jag oerhört tacksam. 🙏