måndag, december 29, 2008

Den där promemorian

Åter till grottekvarnen efter julandet för att mala fram nya blogginlägg. Jag har bläddrat en del i den omtalade promemorian från försvarsdepartementet, a.k.a. FRA 2.0, och jag har ett par kommentarer.

Om att få och att kunna

På sidan 42 kan man läsa:
Vid diskussion om hur en lagreglering av signalspaning mot trafik som förmedlas i tråd bör utformas, är det nödvändigt att hålla isär teknisk åtkomst och rättslig åtkomstmöjlighet. Som beskrivits ovan har Försvarets radioanstalt endast laglig rätt att för tydligt angivna syften få tillgång till en bråkdel av den samlade trafiken. Detta måste skiljas från den tekniska lösningen på hur signalspaning i tråd möjliggörs. Regleringen av den tekniska åtkomsten innebär som beskrivits ovan att de operatörer som äger tråd i vilken signaler förs i tråd över Sveriges gräns ska överföra trafiken till Försvarets radioanstalt via samverkanspunkter. Enligt den beslutade lagen skulle Försvarets radioanstalt alltså i teknisk mening få tillgång till en mängd trafik som myndigheten varken får eller har något intresse av att inhämta, däribland sådan inhemsk trafik som förmedlas via andra länder. Den teoretiska tekniska åtkomstmöjligheten innebär emellertid inte en rätt för myndigheten att tillgodogöra sig informationen.
Eller för att sammanfatta:
Visst, FRA kan avlyssna stora mängder trafik, men det får de ju inte.
Jag håller med att det är viktigt att skilja på vad FRA kan göra och vad de får göra; det har debatterats flitigt under hösten och sommaren. Men stycket ovan är helt bakvänt. Problemet är det här:
Visst, FRA får inte avlyssna mer än en minimal bråkdel av trafiken, men det kan de ju.
Som gammal datornörd ger jag inte mycket för mjukvarubegränsningar i form av rättsliga regler - de kan så lätt ändras eller kringgås. Vi behöver hårdvarubegränsningar i form av tekniska restriktioner på vad som fysiskt går att åstadkomma med systemet.

Men vi ska vara rättvisa. Promemorian har ju faktiskt kommit till bland annat för att minska just det här problemet. Vi klagade i somras på att hela trafikflödet i alla fibrer skulle gå i kopia till FRA, men med den här förslaget är så inte längre fallet. FRA ska nu bara få tillgång till vissa domstolsbeslutade signalbärare (vad nu det är), och det är naturligtvis en viss förbättring.

Närmare bestämt ser processen ut så här:
  1. Vissa myndigheter ger FRA en inriktning för sin signalspaning ("Leta efter det här, tack!")
  2. FRA utarbetar en ansökan ("För att uppfylla inriktning X vill vi söka genom trafiken i signalbärare A, B och C med hjälp av sökbegrepp av kategorierna P och Q.") och skickar den till Försvarsunderrättelsedomstolen (låt oss kalla den FUD).
  3. FUD avgör om ansökan är korrekt och rimlig, och om ansökan beviljas så
  4. ger FUD i uppdrag till Försvarets underrättelsenämnd (FUN, som dock "bör ges ett namn som bättre beskriver dess roll" (s. 107)) att verkställa beslutet att ge FRA tillgång till signalbärarna A, B och C.
Men vad betyder egentligen punkt 4? Handlar det om att verkligen fysiskt koppla in signalbärarna till FRAs utrustning, eller handlar det bara om att skriva på ett papper? Min bedömning är att vi inte vet det. Promemorian verkar vara vag på den punkten. Man skriver att "endast [FUN] ska ha rådighet över de signalbärare som innehåller de signaler som av operatörerna överförs till samverkanspunkter" (s. 48), men man definierar så vitt jag kan se aldrig om det är teknisk eller rättslig rådighet man avser.

Jag tror att det här är avsiktligt; bestämmelserna ska ju gå att tillämpa på alla varianter av elektronisk kommunikation under många år, och det är långt från säkert att operationen "fysisk inkoppling av signalbärare" har någon meningsfull tolkning i alla tänkbara kommunikationsformer. Men det är frustrerande att man talar om vikten att skilja mellan att och att kunna, och sedan inte lyckas vara tydlig på den punkten.

Granularitet

I augusti spånade jag på vad man skulle kunna göra för att få en acceptabel FRA-lag. Då tänkte jag mig att man kunde knyta en viss begränsad mängd noder (IP-adresser, telefonnummer eller motsvarande) till varje inriktning och låta FRA begära ut den och endast den trafiken från operatörerna. Men det tycker inte försvarsdepartementet är acceptabelt. Från sidan 43:
Eftersom verksamheten tar sikte på företeelser, uttryckligen inte får fokusera på enskilda individer och dessutom handlar om att söka efter det på förhand okända, är det inte möjligt att begränsa inhämtningen till i förväg fastställda enskilda teleabonnemang eller motsvarande.
"Söka efter det på förhand okända". Varför inte skriva "Vända ut och in på oskyldig trafik i jakt på något som ser misstänkt ut"? Om man har så dålig uppfattning om vad man letar efter att man inte kan göra en grov uppskattning av var den ena ändpunkten befinner sig kan det ifrågasättas om spaningen verkligen bör genomföras.

Istället väljer man att lägga tillståndsgivningen på en högre granularitetsnivå, nämligen den redan omtalade signalbäraren. Tyvärr går det inte riktigt att utröna vad en signalbärare är. Man kan ha nånting i stil med våglängdskanaler i åtanke - då rör det i dagsläget sig om förbindelser på typiskt 1-10 Gbps, eller det kan röra sig om hela fibrer - då handlar det om tiotals gånger mer data som avlyssnas.

Att inte ens möjligheten att ge tillstånd med snävare omfattning finns är besynnerligt. Det handlar kanske inte längre om att FRA får tillgång till hela trafikströmmen, men de får definitivt tillgång till mycket stora datamängder.

Birgitta Ohlsson ska ha sagt att "ska man ha en FRA-lag är det här ett helt okey förslag". Nej, Birgitta, det här är inte OK. Det duger inte.

Så långt tekniken. Mark Klamberg har skrivit om den mer juridiska sidan av förslaget, och Scaber Nestor analyserar också.

2 kommentarer:

Anonym sa...

Man får inte glömma bort metodutvecklingen, den syftar till att kartlägga kommunikationsmönster så att det är möjligt att veta vilka "signalbärare"[1] man ska avlyssna för att komma åt trafiken till en viss site och tjänst. Metodutvecklingen saknar i praktiken begränsningar och innebär att FRA kontinuerligt kartlägger och sparar vilka noder som kommunicerar med varandra i hela trafikmängden, dvs avlyssning av samtliga "signalbärare", hela tiden.
Detta innebär ett direkt hot mot källskydd och meddelarfrihet.

Dessutom så roade det mig att du använde FUD som förkortning på "domstolen". Är det något som har utmärkt förespråkarnas argumentation så är det verkligen den ursprungliga betydelsen av den förkortningen. :)

[1] I betydelsen att en "signalbärare"[2] är en våglängdskanal i en fiber eller motsvarande "minsta möjliga enhet" för andra system. I tidsmultiplexade system skulle det kunna vara en specifik tidlucka.[3]

[2] Om det är dåligt definierat kan man inte bara koppla på en brusgenerator och kalla det för signal ;)

[3] Det verkar hopplöst att uttrycka det på ett koncist sätt, man måste nog definiera "signalbärare" explicit för varje teknologi man vill avlyssna för att få en meningsfull definition.

Anonym sa...

Jag tycker FUD är ett ypperligt namn... FUD är en förkortning som betyder "Fear, uncertainty and doubt". :P

 
MediaCreeper Creeper