Stora risker med statliga trojaner
Statlig hackning kan i vissa fall vara ett hjälpmedel för polisen att komma åt brottslighet, men riskerna är stora eftersom metoden kräver att man medvetet minskar IT-säkerheten. Metoden skulle underlätta både för kriminella och främmande makt att göra intrång i svenska företags, myndigheters och privatpersoners datorer.
Av regeringen, och många andra politiker, beskrivs hemlig dataavläsning (det vill säga hackning av, och installation av trojaner i, misstänkta personers datorer) som ett nödvändigt verktyg för att komma åt brottsligheten. Andra, exempelvis Försvarsmakten, är inte lika imponerade. Myndigheten såg så stora säkerhetsproblem med förslaget att den krävde att få information om försvaret självt riskerade att utsättas för hemlig dataavläsning. Samma sårbarhet och/eller intrångsvektor som polisen använder kan ju med automatik även användas av främmande makt.
Av Polismyndigheten, som varit mycket angelägen om att få tillgång till detta tvångsmedel, har möjligheterna beskrivits som fantastiska. Den flitige Twitterdebattören, Malmöpolischefen Stefan Sinteus, skrev exempelvis att hemlig dataavläsning innebar att polisen skulle kunna dekryptera brottslingars smartphones på distans.
Det är dock närmast en Hollywoodfantasi. Så kommer det inte att gå till. Att något fungerar i James Bond-filmer eller i TV-serier som CSI betyder inte att det gör det i verkligheten. Inte heller är Fast and Furious 6 helt lyckad som instruktionsfilm i hackning.
Ibland skulle hemlig dataavläsning förvisso tänkas kunna leda till att polisen kunde få tag på information som skulle kunna underlätta uppklarning av brott. Risken är dock större att metoden i stället underlättar för brottslingar och därför leder till ökad brottslighet totalt. Precis som främmande makt kan använda sårbarheter i Försvarsmaktens datorer kan nätbedragare använda sårbarheter i företags och privatpersoners. Det är därför mjukvaruföretagen ständigt letar efter sårbarheter och skickar ut uppdateringar som gör att säkerhetshålen täpps till. Statlig hackning förutsätter dock att hålen hålls öppna.
Skadlig kod som släppts ut i form av virus eller trojaner vet inte vilken dator som infekteras. Även när man lagt mycket stora resurser på att rikta attacken mot ett speciellt system, eller på datorer på en viss plats finns risk för spridning.
Precis som främmande makt kan använda sårbarheter i Försvarsmaktens datorer kan nätbedragare använda sårbarheter i företags och privatpersoners.
De som är måltavlan är samtidigt de som är svårast att träffa. Den som ägnar sig åt terrorism eller organiserad brottslighet har starka incitament att se till att skydda sig. Det gör att metoden sannolikt inte kommer att ge resultat i de flesta fall. Däremot kommer det att finnas en stor lockelse i att använda trojaner och virus när man kan räkna med resultat – mot brott som begås av personer som inte lägger energi på att skydda sig.
Det är med den lägsta graden av säkerhetstänkande som kommer att klicka på nätfiskelänkar, eller som inte brytt sig om att installera de senaste säkerhetsuppdateringarna. De mest förslagna brottslingarna och terroristerna kommer sannolikt inte att använda internetuppkopplade datorer alls. Usama bin Ladin kommunicerade exempelvis via USB-minnen som levererades med kurirer.
Även indirekt kan hemlig dataavläsning leda till att man i stället för att bekämpa brottslighet främjar sådan. Den svenska polisen har knappast möjlighet att själv utveckla de virus eller trojaner som behövs för att genomföra intrången. Dessa kommer i stället sannolikt att behöva köpas in. De som säljer sådana är ofta samma aktörer som förser dem som ägnar sig åt nätbedrägerier, dataintrång och industrispionage med verktyg – knappast en bransch som det ligger i samhällets intresse att gynna.
En regel om att de skador som metoden orsakar måste ersättas skulle skapa effektiva incitament att inte använda metoden annat än när det var helt oundgängligt. Vissa tredjemansskador kan nog staten tänka sig vara ett rimligt pris om målet är att stoppa en skurkstats kärnvapenprogram, men knappast för att jaga cykeltjuvar.
Det innebär att det är mer sannolikt att ett brottsoffer utsätts än en brottsling.
En regel om att polisen är skyldig att ersätta alla kostnader som spridandet av skadlig kod orsakar skulle sannolikt även förhindra samma okontrollerade utveckling som inträffade med datalagringen. Det sades inför riksdagsbeslutet att verktyget endast skulle användas mot ”de grövsta brotten, grov organiserad brottslighet och terrorism”, men sedan kom datalagringsdata att begäras ut tusentals gånger i månaden.
Rätt använd och med adekvata säkerhetsrutiner är hemlig dataavläsning betydligt mindre problematisk än datalagring. Vid datalagring samlas information från alla, de flesta totalt oskyldiga, in hela tiden. Det innebär också att det är mer sannolikt att ett brottsoffer utsätts än en brottsling. Hemlig dataavläsning är i teorin riktad mot personer som är brottsmisstänkta. Riskerna kommer av att personer som inte bör drabbas gör det genom att skadlig kod sprids eller att sårbarheter inte rapporteras och därmed även står öppna för personer eller organisationer med ont uppsåt. Men riskerna för sådant går att begränsa.
En rad remissinstanser pekade på att det måste vara obligatoriskt för polisen att informera om vilken sårbarhet de använt så att säkerhetshålen kan täppas till. Även detta skapar incitament att spara kända sårbarheter till när de verkligen behövs och inte använda metoden bara för att den finns i polisens arsenal.
Regeringen vill dock inte ställa sådana krav på polisen. Regeringen vill inte heller gå Försvarsmakten till mötes när det gäller dess berättigade krav på information.
I dagsläget lutar det åt att alla partier utom Vänsterpartiet kommer att stödja regeringens förslag. Inte heller har oppositionen krävt att tvångsmedlet ska omgärdas av erforderliga säkerhetsbarriärer eller att man ska använda de möjligheter att begränsa skadorna för tredje man som finns. Det är olyckligt. Risken är betydande att det som var tänkt som brottsbekämpningsverktyg i stället leder till försämrad säkerhet och till ökad brottslighet.