Den internationella organisationen APC som försöker att arbeta för nätsäkerhet framförallt inom diktaturer har under den senaste tiden uppmärksammat att utvecklingen i Europa går åt oroande håll. EU betraktar internet som ett hot och man gör allt för att kunna kontrollera det

Ett av de nyaste påhitten är Action Plan, som europarlamentet har antagit. Dess syfte är att kartlägga och kontrollera olika länders internetanvänding och policy för att så småningom kunna reglera innehållet. Detta innebär även stora restriktioner och krav på internetföretagen, sk ISP’s.

Action Plan har som ett syfte att komma till rätta med skadligt material som barnporr och bombrecept på internet, samt kontrollera de kommersiella intressena. Utåt sett verkar Action Plan smart och därför röstade också majoriteten inom Europarlamentet för den. Men när APC var på besök i Bryssel i februari och informerade europolitiker om vad de i praktiken klubbat igenom; att säkerhetspolisen får fritt infiltrera vår kommunikation, så blev tonen en annan. Många politiker kände sig lurade eftersom alla fakta inte hade presenterats för dem i samband med förslaget. Regeringar har redan börjat implementera Action Plan, bl a i form av att internet- och serverföretagen skall rapportera om sina kunders internetanvänding till polisen.

”Harmonisering”

Just nu försöker de europeiska justitie- och inrikesministrarna – även kallade grupp K4 – harmonisera polis- och datalagstiftningen i de olika länderna med konventionen om europeisk-amerikanska teleunderrättelseregler. Det mesta tyder på att de kommer att göra det under våren och enligt tyska källor kommer EU-rådet att anta en EU-lag före juni om hur europeiska och amerikanska poliserna och ”polisiära myndigheter” (Law enforcement agencies) i framtiden kan följa all tele- och datatrafik lagligt och på realtid, d.v.s. inom sekunder eller högst några minuter från kommunikationstillfället.

I oktober 1994 antogs en av FBI initierad lag, ”the Communications Assistance for Law Enforcement Act”, av den amerikanska kongressen efter att president Clinton hade bromsat den redan en gång. Ett halvt år senare, den 17.1.1995, skrev EU-rådet under en resolution om vilka krav på polisiärt samarbete som skulle ställas på tele- och dataserviceoperatörer. Dessa krav råkade vara exakt samma som FBI hade skrivit in i den amerikanska versionen. Med andra ord gick EU med på att harmonisera sina nationella lagar så att dessa skulle passa den amerikanska polisens syften.

Under de senaste åren har man bearbetat dessa krav under flera tillfällen och den senaste versionen kom nu 1999. Enligt Ny Tids källor är det den tredje versionen. Vad man har koncentrerat sig på är att utöver den traditionella telefonavlyssningen även datakommunikationer och mobiltelefoner samt satellitkommunikationer. Idag krävs alltså att både GSM-företag och satellitföretag som Iridium anpassar sin teknik till polisens behov att avlyssna befolkningen.

– Idag kan ingen öppna ett telefonbolag utan att ha en direkt linje till polisen, säger dataexperten Laszlo Baranyi till Ny Tid.

Enfopol

De tekniska kraven som återkommer i de olika förslagen går under namnet Enfopol. Startpunkten till arbetet kom 17.1.1995, då man bestämde att alla EU-länder skulle börja se över sina lagstiftningar för att anpassa dessa till den nya konventionen som grundades på FBI:s krav. Efter det har de flesta EU-länder genomfört omfattande lagförändringar när det gäller polisens befogenheter att bugga, avlyssna, spåra samtal etc. Även en del av datalagstiftningen såsom Personuppgiftslagen i Sverige (och motsvarande lagstiftning som är på gång i Finland) är egentligen delar av en större helhet, även om de stackars riksdagsmän som försöker få reda i det hela tror att de stiftar nationella lagar för nationens bästa.

Enligt Enfopol-förslaget är syftet att bekämpa den organiserade brottsligheten. Den första reviderade versionen av Enfopol förslagen avslöjar en del av tankegångarna hos makthavare:

I dokumentet 10951/1/98 från EUs Europaråd (statsministrar och statsöverhuvuden) till ”Police Coorperation Working Party” (en del av det gamla TREVI-samarbetet, som idag ingår i K4-gruppen för rättsligt samarbete inom EU) beskrivs hur man ska avlyssna telekommunikationer och nya teknologier (och då menar man internet).

Förslaget, som dock sedan dess har finslipats en del, lyder som följer (i mycket fri översättning – någon svensk version har vi nämligen ännu inte hittat…):

”Europa-rådet har antagit följande resolution:

1. Rådet anser att de polisiära myndigheternas krav på nätoperatörer och nättjänstutbjudare beträffande laglig avlyssning av telekommunikationer, såsom beskrivet i Rådets resolution den 17 januari 1995 (96/329/01), gäller både de nuvarande och nya teknikerna, som t.ex. satellitkommunikationer och internet.

2. Rådet noterar att dessa krav p g a telekommunikationernas utveckling måste preciseras.

3. Vidare anser Rådet att telekommunikationernas utveckling har skapat ett behov av att klargöra ytterligare detaljer såsom säkerhetsmedel och abonnentrelaterad data när det gäller teleoperatörernas och tjänsteutbudsgivarnas skyldigheter.

4. Rådet anser att ovannämnda förklaringar och bifogade tilläggsdetaljer bör beaktas av medlemsländerna när de stadgar om den lagliga avlyssningen av telekommunikationer i sina nationella lagar, och de för telekommunikationer ansvariga ministrarna bör samarbeta med justitie- och inrikesministrar för att säkra att övriga detaljer och definitioner beaktas i nätverksoperatörernas och nätserviceutgivarnas verksamhet.”

Sedan börjar man förklara vad man (FBI) egentligen menar:

1. De polisiära myndigheterna begär tillgång till all telekommunikation som har överförts samt varit föremål för försök till överföring, till och från ett nummer eller en annan identifierbar adress som den avlyssnade vill nå. De polisiära myndigheterna kräver också tillgång till all data som finns i anknytning till telekommunikationen och i processen att ringa ett samtal (nummer, räkning, nummer som man ringer men som inte svarar, någon som ringer till ditt nummer utan att du svarar etc.) (…)

2. De polisiära myndigheterna kräver samtidig (in real-time) och fulltid (full-time) avlyssningskapacitet för telekommunikationer. Även samtalsanknuten data bör finnas tillgänglig i realtid. Om inte det är möjligt kräver de polisiära myndigheterna tillgång till den här informationen så fort som möjligt efter att telekommunikationen är avslutad. Notera att i detta fall information krävs inom några sekunder.”

Hur ska man då kunna förverkliga allt ovan?

”3. De polisiära myndigheterna kräver att nätverksoperatörer och nätverkstjänstgivare erbjuder en eller flera teknikska faciliteter från vilka de avlyssnade kommunikationer kan förmedlas till de polisiära myndigheterna.”

Sedan talas det om hur dessa tekniska lösningar skall vara inbyggda i de olika systemen och accepterade generellt. Inte heller IP-nummer är undantagna. Men ska du veta att dina samtal och e-post är avlyssnade?

”4. De polisiära myndigheterna kräver att avlyssning ordnas så att varken den avlyssnade eller någon annan icke-auktoriserad person är medveten om att några förändringar har gjorts för att möjliggöra avlyssningen. Speciellt skall det inte framgå för den avlyssnade att mottagaren är under hemlig kontroll. (…)

5.1 De polisiära myndigheterna kräver att nätverksoperatörer och servicegivare skyddar informationen om vilka eller hur många avlyssningstillfällen som genomförts och inte ger någon information om hur det görs i praktiken. ”

Citaten ovan är från det andra utkastet. Det finns ett ännu färskare utkast, men enligt tjänstemännen vid justitiedepartementet i Stockholm är inte förändringarna av vikt. Principen är densamma från början.

Echelon

Enfopol-kraven handlar om att skapa en juridisk ram för det globala avlyssningssystemet Echelon, som vi rapporterade om i höstas. Echelon är ett system som styrs av NSA, National Security Agency i USA, och det täcker avlyssning av all tele- data- och faxtrafik i världen. De ursprungliga länderna som deltog är USA, England, Australien, Canada och Nya Zeeland. Senare har även Norge blivit en del av systemet.

Nyligen har systemet blivit känt genom att just Echelon-avlyssning avslöjade den kurdiska ledaren Abdullah Öcalan i Kenya. Det var hans mobiltelefon som spårades genom systemet. Vill du ha en snabborientering i Echelon så rekommenderas Will Smiths film The Enemy of the State. Skala bort det hollywoodska och du har en bra bild av vad det hela handlar om.

Sedan 1995 har EUs ministrar arbetat för att implementera Echelon lagligt i hela Europa. Idag talar man om grupp 20, dvs EU plus Echelonländerna utanför. Hongkong och Marocko är också med på kanten. FBI är naturligtvis överlyckligt över att få tillgång till de europeiska ländernas interna kommunikation. Enligt vissa uppgifter är man på gång i Kina också.

Problem

Det finns en stor fara i den lagen som nu är under hemlig bearbetning i rådet. Ironiskt nog har USA definierat ganska bestämt vilka som är ”polisiära myndigheter” d v s ”law enforcement agencies”. Dessa är i princip CIA och NSA samt i vissa fall skattemyndigheten. Men i den europeiska versionen har man helt hoppat över definitionen och enligt bl a Statewatch kan det i praktiken vara vilken myndighet som helst. Med andra ord kommer vi att få vara rädda för såväl för invandrarmyndigheter som socialen…

Officiellt är syftet med lagen att bekämpa den organiserade brottsligheten. Den har dock heller inte definierats i förslaget. Därmed kan fler än två personer lätt bli definierade som organiserade brottslingar om de råkar göra någonting som tyder på kriminella avsikter. Om vi lägger till Europols nya konventioner som bl a tillåter registrering av alla som har begått brott, misstänks att komma göra det eller misstänks att ha kontakt med någon brottsling (t ex en journalist som intervjuar en misstänkt skattesmitare) så får vi underlaget för avlyssningen.

Wassenaar

I januari trädde Wassenaar-avtalet i kraft. Den behandlades under en lång tid och antogs till slut av Wassenaar-gruppen, som består mestadels av tjänstemän. Wassenaar-organisationen har sitt säte i Wien och den handhar vapenexportlicenser. 33 länder som deltar förbinder sig att följa avtalen. Det som har blivit problematiskt är att även datakrypteringsprogrammen har tagits under Wassenaars paraply. Därmed kom tjänstemännen under ledning av chefen för den f d svenska vapenexportmyndigheten Sohlman att skriva under ett avtal som kommer att begränsa medborgarnas möjligheter att använda datakryptering.

Bo Berggren på svenska industriförbundet sade i Stockholm för någon vecka sedan till mig att ”det blev så för att USA tryckte på så hårt”. Han var med när statssekreterare Alec Aalto informerade svenska affärsmän om hur Finland förebereder sin period som ordförandeland. Bl.a. kommer det att ligga på Finland att implementera datadirektiven inom EU, när de blir en del av EU:s lagverk. Icke ett ord sades dock öppet om detta på det fina mötet på Operakällaren.

Faktum är att man vet att USA inte vill att vanliga européer ska ha för starka krypteringsprogram, för att det för datorer tar för lång tid att knäcka dessa. T ex programmet Pretty Good Protection PGP av Phil Zimmerman har ett skydd bestående av 128 bitar och är mycket säkert. Under tre år har den amerikanska staten försökt att förbjuda programmet såväl i USA som i Europa. Men bl.a. norska datamedborgare ilsknade till och lade hela källkoden på pappersform, så att alla som ville kunde beställa den och programmera den själv. Och vara säkra på att det inte fanns några bakdörrar som det finns bl a i Lotus Notes.

– Lotus Notes är ett program som används bl a av den svenska riksdagen, men få vet att den amerikanska staten förfogar över krypteringsnycklarna till det, säger Eva Spira, som är journalist på den fackliga tidsskriften Statstjänstemannen i Sverige. Hon är nästan den enda som har skrivit om Echelon och kryptering på svenska.

– Hela krypteringsproblematiken är feltänkt, säger krypteringsexperten Laszlo Baranyi och fortsätter:

– Brottslingar och banditer kommer att kryptera i alla fall oavsett om det är lagligt eller ej.

Den elektroniska fronten och några andra organisationer försökte väcka debatt innan Wassenaar underteckandes men utan framgång. I Sverige är besvikelsen extra stor för den svenska staten har tagit en mycket restriktiv förhållning till medborgarnas frihet på nätet. I Finland har dock bl a utrikeshandelsminister Ole Norrback förklarat att man ämnar att tolka avtalet mycket löst för att skydda den inhemska dataindustrin. Som Wassenaar är nu, ingår där även en licensprövning för att tillverka och exportera kryptering.

I Danmark finns det ett IT-sikkerhetsråd, som är rådgivande för ansvariga ministrar i datafrågor. Ordföranden Mads Bryde Andersen, professor i juridik, har väckt en debatt om Wassenaar, som har bl.a. resluterat i en diskussion i folketinget och i en deklaration om att den danska grundlagen går före EU-direktiv och andra internationella konventioner på dataområdet.

I Sverige är det dödstyst. När jag i början av mars frågade demokratiministern Britta Lejon om den svenska regeringens hållning inom Wassenaar och Enfopol, så visste hon inte vad jag talade om. Hon bad om tid och senare, när jag återkom, hade hon kollat vad detta var. Hennes svar blev kort:

– Wassenaar är Leif Pagrotskys bord och Enfopol Laila Freivalds. Regeringen kommer att ge riksdagen en skrivelse om detta under våren .

Så mycket för den demokratiska processen.

Syftet var att informera

I ett PM, där en specialistgrupp i Finland diskuterar direktivet i januari 1995, framgår det att ämnet är känsligt och komplicerat. Därför kommer man fram till att beslutsprocessen om Enfopol kräver en folklig allmän debatt och förankring, samt en regeringsförklaring. ”Ämnet är så pass allvarligt” står det i pappret från 13.11 1995. Smarta grabbar (det var ingen kvinna med i gruppen!) som insåg att man ska diskutera den informationsteknologiska omvälvningen med folket. Men det blev ingenting av det. Hittills har man inte haft en enda diskussion i riksdagen eller dokumenterat en sådan någon annanstans heller. Och lagen är nästan här. Under de gångna åren har man sakta ändrat polisbefogenheter och datalagar utan att fatta att det man gjort har ingått i en större plan.

I den svenska regeringens redogörelse för vad man gjorde inom EU under 1995 kan man läsa följande:

”I början av året undertecknades en resolution om laglig avlyssning av telekommunikationer. Resolutionen behandlar de krav som skall ställas på operatörer och tillverkare för att möjliggöra avlyssning på telefoninätet. Innehållet i resolutionen rapporterades till de internationella standardiseringsorganen. En överenskommelse (memorandum of understanding) med samma innehåll som resolutionen, som syftar till att täcka de största producentländerna även utanför EU-gemenskapen, har utarbetats (Skr. 1995/96:190)

Och nu då?

Det stora problemet är att Enfopol, Echelon eller Wassenaar egentligen inte är EUs bord utan en del av ett överstatligt samarbete. Esko Seppänen lämnade en fråga till EU-kommissionen i höstas om Wassenaar och EU:s roll i det. Han fick svaret att EU kommer att övervaka att avtalet efterlevs, även om EU inte är en förhandlingspartner i Wassenaar-sammanhang. Echelon i sin tur går under militärt samarbete och faller därmed inom de nationella parlamentens ansvarsområde – trots att det flesta parlamentariker aldrig ens hört talas om Echelon. Likaså står Enfopol fortfarande utanför EUs lagstiftning, och blir en del av den först när den tredje pelaren – inrikes- och säkerhetsfrågor – inlemmas i Amsterdamavtalet i början av juli. Och då är hela Enfopol klar, ingen kommer att ha en chans att diskutera den, om inte de nationella parlamenten följer Danmarks exempel och börjar bry sig om vad jusititiedepartementen och inrikesdepartementen hittar på för tokigheter i gruppen K4

I Sverige brottas man med den nya lagen PUL (Personuppgiftslagen) som tillkom p.g.a. ett EU-direktiv 1995 – och som senast skulle implementeras den 24.10. 1998 – samma dag som PUL trädde i kraft. Enligt lagen får man inte nämna personuppgifter på nätet om man inte har tillstånd av den som åsyftas. Det har redan lett till att över 100 riksdagsledamöter har förbjudit att nämna deras namn på olika hemsidor där man listar vilka som sitter i riksdagen. Privatpersoner har åtalats bl.a. för att ha nämnt bankmännens namn på en hemsida som tillhör bankrättsföreningen. I ett annat fall har man åtalat en person för att ha publicerat ett offentligt dokument där en icke namngiven sjuksköterska har prickats för felvård. Enligt datainspektionen kan man med hjälp av diarienumret spåra även hennes namn och då är diarienumret att betrakta som personuppgift!

Samma lag är på kommande i Finland. IT-samhället ser just nu ut att bli ett mycket otrevligt samhälle om inte medborgare med modem och politiker med internet tar tillbaka makten från FBI.

Om den allmänna debatten inte kommer igång snart, är det för sent och både Enfopol och Action Plan blir ingångar till en allt mer skrämmande framtid i Europa.
länkar:www.pul.nu
www.efs.se
www.wassenaar.org
www.apc.org