Oktober är EU:s informationssäkerhetsmånad (European Cyber Security Month). Har du varken hört talas om månaden, årets tema ”Var smartare än en hackare” eller tagit del någon av de hundratals olika aktiviteter som hölls runt om i Europa är det inte så konstigt. Jag hade heller inte hört talas om dem förrän jag började leta material till den här krönikan.
Men vi är många som skulle behöva lära oss mer om informationssäkerhet.
Säpo bedömer, i sin senaste årsrapport, att cyberangrepp riskerar att få allt värre konsekvenser ”i takt med att funktioner i samhället, ekonomiska värden och ytterst människors liv och hälsa knyts till sammankopplade system.”
De är inte ensamma att dra den här slutsatsen.
Enligt revisions- och konsultföretaget PWC, som återkommande undersöker cybersäkerheten hos företag, råkar allt fler bolag varje år ut för dataintrång som kostar dem mångmiljonbelopp. Hälso- och sjukvårdsbranschen hamnar i topp på listan över de branscher som får betala mest.
Men det är inte bara företag som råkar ut för intrång – även privatpersoner är ett tacksamt mål. Det rör sig om allt från att få sitt konto på Facebook kapat till att främmande makt använder sig av dina internetuppkopplade enheter för att kunna genomföra cyberattacker.
Det senare är något som Säpo varnar för. Privatpersoners enheter uppdateras sällan. De har därför fler svaga punkter, vilket främmande makt dels kan använda för att inhämta information, dels för att kunna genomföra angrepp.
Det är tyvärr inte bara hos företagen och bland privatpersoner som kunskaperna brister. Den svenska EU-kommissionären Ylva Johansson försöker exempelvis få igenom en EU-förordning med uppdaterade förslag för att förebygga och bekämpa sexuella övergrepp mot barn på nätet.
Att det ska finnas en skarp lagstiftning och effektiva rättsmedel för att bekämpa sexuella övergrepp mot barn säger sig självt.
Problemet med Johanssons förslag, som fått öknamnet ”Chat control 2.0”, är att det är allt annat än skarpt. Det öppnar även för massövervakning av alla medborgares meddelanden, bilder och ljudfiler.
Lagförslaget innebär dels att vanliga människors rätt till privatliv och yttrandefrihet skulle kunna kränkas på ett sätt som skulle få Nordkoreas säkerhetstjänst att slå volter av glädje, dels att cybersäkerhetsriskerna ökar.
För att övervakningen ska kunna utföras behöver man skapa bakvägar in i alla system – även i de ”säkra system” som i dag används för att kunna skicka krypterade meddelanden. Hackare och främmande makt får därmed vägar in till system som tidigare i stort sett varit stängda för dem.
Nu kan man, som Ylva Johansson, tycka att vår rätt till privatliv och yttrandefrihet är värt att offra i jakten på pedofiler. Det är bara det, som många kritiker påpekat, att massövervakning som metod är synnerligen ineffektiv. Den teknik som krävs för att genomföra förslagen finns ännu inte skriver exempelvis 465 forskare från 38 länder i ett öppet brev.
Enbart i programmet Whatsapp skickas cirka 100 miljarder krypterande meddelanden varje dag. Även om det bara vore en liten andel av meddelandena som flaggades skulle det kunna innebära att en eller flera miljoner av dem dagligen skulle behöva granskas av utredare. Det är inte görligt, konstaterar Stefan Axelsson, professor i digital forensik och cybersäkerhet vid Stockholms universitet, i en intervju i SVT Aktuellt (24/4)
Axelsson pekar också på att de pedofiler som man verkligen vill komma åt inte finns på de vanliga meddelandetjänsterna. De kommunicerar i stället via Darknet och andra liknande ställen.
Kritiken har fått EU-parlamentet att agera. I slutet av informationssäkerhetsmånaden oktober ställde sig samtliga partigrupper i parlamentet bakom en omarbetad version av förslaget. Flera ifrågasatta delar bland annat masskanningen av krypterade chattar har tagits bort. Enligt den nya versionen ska övervakning endast ske av enskilda personer och grupper som misstänks vara kopplade till material med sexuella övergrepp mot barn. EU-parlamentets huvudförhandlare Javier Zarzalejos, kallar det en bra balans mellan skydd av barn och respekten för grundläggande rättigheter.
Parlamentet kommer att rösta om förslaget senare i november. Därefter ska ministerrådet ta ställning till det innan slutförhandlingar med parlamentet kan inledas.
Det är därför för tidigt att förutspå vilka förslag som kommer med i den slutliga utformningen av förordningen.
Men redan nu går det att ifrågasätta Ylva Johanssons kunskaper och agerande. Det minsta man kan begära är att hon beter sig smartare än en hackare. Vill man skydda barn finns det betydligt bättre sätt än den massövervakning hon föreslår.