”Dags att lagstifta om polisens användning av falska basstationer”

Markus Naarttijärvi är universitetslektor vid juridiska institutionen vid Umeå universitet. I en artikel som är förhandspublicerad online och publiceras i nästa nummer av den vetenskapliga tidskriften Computer Law and Security Review undersöker han om den svenska polisens användning av falska basstationer är förenlig med Europakonventionen och EU-rätten.

Falska basstationer, imsi-catchers, lurar mobiler att koppla upp sig till dem i stället för till mobiloperatörens basstationer eller nät. Beroende på vilken modell av catcher kan de inte bara snappa upp id-information om mobiler, och med vem man kommunicerar (metadata), utan också avslöja geografisk position.

Och, enligt Naarttijärvi, kan vissa så kallade Dirtboxes (DRT-boxes) även avlyssna innehållet i samtal.

Tidigare statliga utredningar, senast 2010, har kommit fram till att den svenska polisens användning kan strida mot Europakonventionen.

Men den anses inte olaglig enligt svensk rätt. Polismyndigheten stödjer sig på principen att etern är fri att lyssna på. Fast det gäller bara så länge polisen inte bryter krypteringen och avlyssnar själva innehållet i samtal eller sms, enligt Naarttijärvi.

– Polisen själv har vid olika tillfällen markerat att det vore önskvärt med ett tydligare lagstöd, noterar han.

I studien drar han slutsatsen att metoden nu blivit än mer juridiskt problematisk att använda för polisen, i förhållande till europeisk rätt - som ju ställer krav på skydd av kommunikationer.

Detta beror inte minst på den snabba teknikutvecklingen av apparaterna. De blir mer avancerade, vilket skapar nya användningsmetoder för polisen.

– Det är som en kapplöpning. När det etableras nya standarder för mobiltelefoni följer tillverkarna efter och det kommer ny teknik för imsi-catchers, uppger han.

Det går i dag att lyssna på mobiler som använder 2g- och 3g-nätet. Och forskare visade i fjol att man med falska basstationer även kan snappa upp information om mobiler som nyttjar 4g-nät. Det finns olika sätt att bryta krypteringen av elektronisk trafik.

Väldigt lite är egentligen känt om hur och i vilken grad svensk polis (samt underrättelse- och säkerhetstjänster) använder metoden. Men att polisen gör det är belagt av de statliga utredarna som beskrivit användningen som relativt omfattande.

Utöver att samla in information om enstaka individers mobiler, medger vissa basstationer också spaning på grupper av mobilanvändare, från avstånd.

Enligt Markus Naarttijärvi är det därmed möjligt för poliser att sitta i en bil och samla in information om vilka mobilanvändare som är på plats vid en demonstration, en konsert eller ett möte.

– I dag finns det bara en intern föreskrift med regler för användningen som tidigare Rikskriminalpolisen utfärdat. Det som behövs är lagstadgade regler. Det vore bra om vi använde det här instrumentet tydligare och mer förutsägbart, säger han.

Hittills har svenska politiker och lagstiftare duckat undan ansvar, uppger han. Ny Teknik noterar också att polisens bruk av falska basstationer faktiskt inte heller omnämns i det delbetänkande som den parlamentariska Integritetskommittén lämnade till regeringen i somras.

Enligt Markus Naarttijärvi är det dock långt ifrån bara polisen som använder sig av falska basstationer. Så kallade "man-in-the-middle-attacker" förekommer i exempelvis i samband med industrispionage.

Det är i inte förbjudet för enskilda eller hackare att använda imsi-catchers för att pejla mobiler - så länge inte krypteringen bryts.

 – Utifrån den argumentation som polisen använder, att etern är fri, gäller det argumentet lika mycket för polisen som för vanliga dödliga, säger Markus Naartijärvi.

Att hackare använder falska basstationer visade sig nyligen utomlands. Vid hackerkonferensen Defcon i Las Vegas nu i augusti, poppade mängder med falska basstationer poppade upp på konferensområdet, som sannolikt var uppsatta av hackarna själva. Men även i USA finns en debatt om hur polisen använder den här typen av övervakning.

Prenumerera på Ny Tekniks kostnadsfria nyhetsbrev!