Datum: 2017-11-29
ABC-klubbens nyhetsbrev 2017/2 ***Uppföljning*** Förra året, i nummer 2016/3 och 2016/4, skrev vi en del om den nya EU-förordning som om drygt ett halvår kommer att ersätta den personuppgiftslag (även PuL var ett resultat av ett överstatligt EU-arbete, fast den gången var det frågan om ett direktiv som skulle tolkas till nationell lag) som vi haft i Sverige sedan slutet av 90-talet. Till den här upplagan av vårt nyhetsbrev har vår medarbetare Lars Magnusson gett sina reflektioner över vad «GDPR» - General Data Protection Regulation - kan komma att innebära. Innan vi kommer dit, vill vi i redaktionen påpeka att vi här i Sverige sannolikt kommer att få leva med ett nytt tvångsmedel som Polisen, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten lär få använda sig av inom kort: Hemlig dataavläsning. Regeringen tog beslut om att tillsätta en utredning i maj förra året, alltså 2016, och satte deadline till den 13:e november i år. Får regeringen stöd av Riksdagen, och det är för övrigt ett rimligt antagande, kommer Sverige att på den här punkten ha närmat sig resten av Europa och världen i övrigt. I många av våra grannländer är nämligen hemlig dataavläsning en redan etablerad arbetsmetod för polis och åklagare när det gäller att samla bevis mot olika sorters skummisar. Redan 2005, för mer än tio år sedan, var samma fråga aktuell inom ramen för ett större reformarbete och har sedan dess poppat upp i olika sammanhang. 2016-2017 har tydligen den allmänna opinionen, efter framväxten av galenskap som den så kallade Islamska Staten och ett antal attentat i såväl Sverige som resten av Europa och världen i övrigt, ansetts mogen nog för att acceptera hur säkerhetsöverväganden får breda ut sig på den personliga integritetens bekostnad. Öppet tillgänglig krypteringsteknik (tänk bara på GnuPG, GNU Privacy Guard) är så bra att den anses vara ett hinder för rättsväsendet. Man kommer inte åt innehåll som forslas runt på Internet med ett bra textskydd i form av modern kryptering genom att använda möjligheten till traditionell avlyssning av trafiken. För att citera inledningen till den nu färdiga utredningen: "Vilket behov av hemlig dataavläsning har de brottsbekämpande myndigheterna? Under de senaste åren har den tekniska utvecklingen liksom brotts- och samhällsutvecklingen i övrigt lett till att de brottsbekämpande myndigheterna inte längre kan ta del av många av de uppgifter som man tidigare fick del av genom användande av straffprocessuella tvångsmedel som hemlig avlyssning eller hemlig övervakning av elektronisk kommunikation. Framför allt är det den kraftigt ökade användningen av kryptering i förening med att en mycket stor andel av kommunikationen i dag sker via internet som är orsaken till detta. I dag är till exempel mer än 90 procent av den avlyssnade internettrafiken krypterad. Det innebär alltså att de brottsbekämpande myndigheterna faktiskt bara kan läsa av mindre än tio procent av den datakommunikation som får avlyssnas eller övervakas. Även utrustning, till exempel datorer och mobiltelefoner, krypteras eller lösenordskyddas i allt högre utsträckning. En annan orsak till utvecklingen är anonymisering. Anonymisering sker till exempel då någon använder ett WiFi-nätverk eller särskilda anonymiseringstjänster som medför att det i princip blir omöjligt att upptäcka och identifiera en persons aktiviteter på internet med dagens verkställighetsmetoder. Vår bedömning är att det mot denna bakgrund finns ett tungt vägande behov av nya och bättre metoder för att de brottsbekämpande myndigheterna i hemlighet ska kunna komma åt uppgifter som redan i dag får hämtas in samt vissa andra uppgifter. Till grund för den bedömningen ligger också de kriminellas medvetenhet om hur nuvarande metoder fungerar liksom andra svårigheter att i vissa fall verkställa hemliga tvångsmedel. Det konstaterade behovet är lika tungt vägande i brottsutredande verksamhet som i underrättelseverksamhet." Använder du Tor och Tails? GPG? Det påstådda behovet att föregripa textskyddet, genom att dolt kunna läsa av sådant som är lagrat i klartext på hårddiskar och andra lagringsmedier innan det krypteras inför till exempel e-postning, har lett till att regeringen gått sina myndigheter till mötes. SOU 2017:89 är klar (regeringen har lagt tilläggsdirektiv, utredningsarbetet fortsätter sålunda att titta på fler frågor kring så kallade tvångsmedel) och bara undertiteln på denna SOU är rätt talande: "Ett viktigt verktyg i kampen mot allvarlig brottslighet". "I vilken utsträckning använder kriminella kryptering? Av naturliga skäl finns ingen tillförlitlig statistik beträffande kriminellas användning av krypteringstjänster. Emellertid framhålls från olika håll att användningen av sådana tjänster minskar effektiviteten i de brottsbekämpande myndigheternas användning av befintliga tvångsmedel. Europol har i en rapport från 2015 konstaterat bland annat följande om kriminellas - främst terroristorganisationers - användning av kryptering. /.../ Även Darknet, främst Tor, synes användas i hög utsträckning av kriminella. På flera håll har bilder av Darknet målats upp som ett nätverk där alla typer av olagliga produkter och tjänster finns tillgängliga. Exempelvis hävdas att det genom Darknet är möjligt att beställa mord eller droger." Ja, det var ytterligare några citat från utredningen, det. Redaktionen uppmanar därför läsarna att gå till källan. Vi kan inte återpublicera en statlig utredning på mer än 600 sidor, hur gärna vi ens skulle vilja göra det. Å andra sidan den väldigt lätt att få tag på via regeringens webbplats. Använd sökfunktionen och utredningens identitetsnummer - 2017:89. Då kommer du att hitta den. ***Några goda råd?*** Det går knappast att diskutera en fråga som hemlig dataavläsning utan att akronymen FRA dyker upp förr eller senare, oftast förr. Nästan alltid handlar det då om mindre smickrande sammanhang för myndigheten Försvarets Radioanstalt. Det (antagligen nödvändiga) hemlighetsmakeri som omgärdar dess verksamhet är på samma gång både lockande och frånstötande. Men FRA visar ibland upp sin verksamhet (nåja) - i det här fallet på den åttonde upplagan av den återkommande konferensen "Informationssäkerhet för offentlig sektor". Tidningen Tjugofyra7, utgiven av en annan myndighet, MSB, rapporterade utförligt därifrån i sitt septembernummer. Tydligen präglades konferensen en hel del av skandalen på Transportstyrelsen, men också i någon mån av FRA:s Robin Blokker som tydligen hade att berätta om den gratis hjälp som FRA numera kan ge för att höja informationssäkerheten (förr fick den som ville ha hjälpen betala för den, då verksamheten var intäktsfinansierad istället anslagsfinansierad som nu). Tjugofyra7 publicerade 12 av Robin Blokkers tips i ämnet - och vi vill åtminstone återge vissa av dem, eftersom tipsen är användbara även för dig: * Undvik komplexitet. Sträva efter minsta möjliga angreppsyta, systemet ska inte ha mer funktioner än det behöver. * Prioritera säkerhet från start. * Övervakning och dektektering. Du ska kunna skilja på det som är vanligt från det som inte är det. Du måste ha en normalbild. "Vi vill ha en homogen miljö, då blir avvikelser tydliga. Den bör se ut som en öken, där ser man spår i sanden." * Logga, logga, logga. Det som inte loggas kan inte analyseras. Loggningen ska vara detaljerad för att kunna följa varje process som startas och stängs. * Ska krävas dubbelfel. System ska utformas så att det krävs två fel i rad för att orsaka katastrof. * Lösenord. "Avveckla lösenord som byts med intervall, de är dåliga. Förslaget är tvåfaktorsautensiering (inloggning via två olika källor). Därefter ett lösenord med 20 tecken. * Vitlista. Använd vitlistning överallt, både för klienter och servrar för att specificera vilka som är tillåtna användare. ***Dataskydd*** Innan vi lämnar ordet till Lars Magnusson vill redaktionen be läsarna att lägga märke till en sak som Magnusson tar upp, nämligen «rätten att bli glömd». En bra sak...eller inte? Den allmänt stärkta rätten för enskilda, alltså fysiska personer, vis-à-vis dem som samlar in, förvaltar, förädlar och utnyttjar uppgifter om dessa fysiska personer är inte politiskt okontroversiell. För en tid sedan ondgjorde sig två svenska EU-parlamentariker, varav den ena var den icke helt okända Anna Maria Corazza Bildt, genom en debattartikel i Dagens Industri om hur dataskyddet "bakbinder annonsbranschen", "riskerar att kraftigt försämra shoppingupplevelsen online" och hur "[a]ndra restriktioner berör telemarketing, processande av metadata som behövs för att ta fram nya tjänster, och förbud att samla in data från hårdvara som krävs för säkerhetsuppdateringar". De två konkluderade sin debattartikel så här: "Genom att bromsa innovation kommer Europa endast cementera begreppet 'den gamla världen'". ***Framtiden är över oss - EU-GDPR och NIS*** Av Lars Magnusson Snart skriver vi 2018 och en ny tid skall till att gry i Europa. Den 10 maj är det dags för NIS-direktivet [Directive for Security of Network and Information Systems (EU 2016/1148)] samt den 25 maj 2018 för General Data Protection Regulation (EU GDPR 2016/679). NIS har få tagit notis om hittills. Synd, för den påverkar staten, myndigheter, ISP:er (frågan är om klubben numer är regristerad som sådan) samt leverantörer av IT till viktiga kunder och funktioner. Tänk på skandalen vid Transportstyrelsen! Eller apoteken, SJ, flyget, privat sjukvård eller samhällsviktiga tjänster som vatten och avlopp. Som sagt, NIS kommer att påverka, bland annat hur CERT-SE kommer att arbeta. Det talas alltså väldigt lite om NIS, även i de organisationer som omfattas - inklusive min egen arbetsgivare som levererar IT-tjänster till den offentliga sektorn. Det skall bli intressant att se vad som händer efter 10 maj. Klubbstyrelsen borde nog kika lite på detta. GDPR är något annat, som orsakat mycket skriverier, även om jag tror att få av oss klubbmedlemmar sett något. Men panikslagna IT-chefer över hela landet har inte saknats! GDPR påverkar för övrigt även ABC-klubben. Speciellt på grund av att vi har ett antal hundra medlemmar. Hur föreningar skall hantera GDPR är fortfarande rätt oklart, men helt klart är att kraven på styrelsen och systemoperatörerna lär öka. Mer arbete. Det skall finnas relevanta system-kartor, t.ex. listor över de system som innehåller persondata, med beskrivningen hur dataposterna ser ut. Även våra användar-ID räknas som persondata. Vilket gör att även bibliotek uppkallade efter användar-ID:et kan ses som persondata. Det skall finnas tidsstämplade dokument över beslut om hantering av persondata samt systemutseendet samt förklaringar till varför klubben hanterar den persondata klubben hanterar. Ovanpå detta bör klubben på nytt hämta in ett godkännande för att hantera persondata från alla medlemmar. Detta då det godkännande som idag finns blir ogiltligt från 25 maj. Godkännandet måste täcka all persondatahantering klubben gör. Jobbigt, visst, men GDPR är egentligen inget nytt. GDPR är en europeisk samordning till Persondatadirektivet från 1995, enligt den tyska tolkningen, med ett par tillägg. Dessa tillägg är: * Medlemmen äger från 25 maj all information om sig själv, oavsett vem som samlar in, lagrar eller processerar datat. Även om amerikanska, ryska eller kinesiska underrättelsetjänsten har samlat in datat. Vi har ingen kontroll över informationen, men vi äger den. * Rätten att bli glömd. Om en medlem vill lämna klubben och försäkra sig om att all data tas bort, måste klubben utföra * detta och kunna bevisa att man gjort så. * Rätten att få felaktig data omgående rättad. * Tjänstebyte. Om medlemmen vill flytta till en annan klubb, skall klubben kunna ge medlemmen all dennes data i läsbar form till den andra föreningen (t.ex. som CSV-filer). * Gammal data får inte lagras rörande medlemmar som lämnat klubben (med beslut från styrelsen att icke betalande medlemmar indirekt lämnat) längre än vad som är rimligt. * Klubben bör i driftdokumenten beskriva skydd av data, t.ex. hur brandväggar med mera hindrar obehöriga att komma åt data. Här kan kryptering av diskar vara en lösning. Det kan i och för sig finnas en del problem att låsa upp en sådan kryptering vid en automatisk reboot. * Det ovan nämnda gäller framförallt vid inbrott i klubblokalen och stöld av diskar, inte bara vid nerladdning via Internet. * Tappas data bort, genom inbrott, hackning eller att någon flyttar en disk eller glömmer den på tunnelbanan, så skall detta anmälas till inom 72 timmar till Datainspektionen. GDPR påverkar klubben i mycket högre grad är PuL. Men är GDPR något dåligt? Jag arbetar dagligen med GDPR gentemot IT-säkerhetsuppdrag och samt doktorerar på en del av regleringen, att säkert hantera/managera dataflödena inom en organisation och deras underleverantörer (datamappingkravet). För mig är GDPR faktiskt en riktigt bra EU-lag, trots dess ofta tvetydiga formuleringar och nödvändigheten med framtida vägledande rättsfall. Från och med den 25 maj nästa år äger jag min data och när en svensk eller europeisk eller amerikansk organisation sänder mig e-post eller ringer mig fast jag finns i NIX-registret, så kan jag kontakta dem och säga att de använt min persondata utan godkännande och måste deleta all data om mig. Om jag fortsatt utsätts av deras intresse, kan jag gå till EUs nya byrå för övertramp och begära hjälp *och* skadestånd. För missbrukar någon vår persondata har vi rätt till kompensation... Redaktionen red@abc.se artikel@abc.se