Varningen: Ny EU-lag kan leda till massövervakning av mobiler

2022-04-22 06:00  

Chatcontrol 2. Ny lagstiftning för att stoppa spridningen av bilder med sexuella övergrepp på barn (CSAM) riskerar att leda till massövervakning varnar flera organisationer: “Emot allt vad EU står för”.

I spelaren ovan kan du höra Ny Tekniks reporter Simon Campanello gå igenom det vi vet än så länge om lagförslaget.

Den 11 maj ska EU-kommissionen presentera ny lagstiftning för att upptäcka och stoppa bilder på sexuella övergrepp mot barn (på engelska kallat CSAM, child sexual abuse material). Efter att dokument från utredningen har läckt ut varnar flera ideella organisationer för att lagstiftningen riskerar att bli ett hårt slag mot den personliga integriteten.  

Kritikerna menar att det finns risk att förslaget, som i debatten kallas för Chatcontrol 2, kan leda till massövervakning av privata mejl och krypterade chatt- och meddelandetjänster.  

Det finns en oro för att EU ska kräva att meddelanden som skickas mellan medborgare ska behöva genomgå en förhandsgranskning för att säkerställa att de inte innehåller några bilder på sexuella övergrepp mot barn. Vilket i praktiken skulle betyda att även privata, krypterade meddelanden skulle behöva genomsökas.  

– Det finns flera farhågor, men den mest fundamentala är att i EU får vi inte ha en generell och odifferentierad övervakning. Det är emot allt vad EU står för, säger Eric Skoglund på föreningen Dataskydd.net.  

De är en av 43 nationella och internationella organisationer som har skrivit under ett protestbrev mot det kommande lagförslaget. Uppropet organiseras av intressegruppen European Digital Rights (Edri). 

“Människors möjlighet att kommunicera utan omotiverade intrång […] är avgörande för deras rättigheter och friheter, så väl som för utvecklingen av levande och trygga grupper, civilsamhällen och företag”, skriver Edri i brevet.

Läs mer: Fem saker du vill veta om EU:s nya techlag DMA

En del av en bredare EU-strategi

2020 lade EU-kommissionen fram en strategi för att bekämpa sexuella övergrepp mot barn. Lagstiftningen för att upptäcka och stoppa delning av CSAM på nätet är ett av åtta initiativ som ingår i strategin. 

Orsaken till att ny lagstiftning krävs uppges vara en dramatisk ökning av sexuella övergrepp mot barn på nätet. EU-kommissionen hänvisar till en rapport från organisationen Internet Watch Foundation som visar att anmälningarna om sexuella övergrepp mot barn på nätet inom EU har ökat från 23 000 år 2010 till 725 000 år 2019.  

Ny Teknik har utan framgång sökt ansvarig EU-kommissionär Ylva Johansson för en kommentar om kritiken mot lagförslaget. Men i ett blogginlägg daterat i januari 2022 förklarar hon sin syn på problemet.  

”Jag är mer övertygad än någonsin att det är brådskande med EU-lagstiftning för att upptäcka och rapportera sexuella övergrepp mot barn på nätet och att radera CSAM. Detektion kan bokstavligt talat rädda ett barns liv”, skriver Ylva Johansson.

Läs mer: Han knäckte RSA-kryptering – med 350-årig algoritm 

Läckt material eldar på debatten

Farhågor kring Chatcontrol 2 har luftats i flera år, men tog fart på nytt i mars när den franska tidningen Contexte publicerade ett läckt utlåtande från Nämnden för lagstiftningskontroll.  

Dokumentet ger grönt ljus till ett utkast på CSAM-lagstiftningen, men varnar samtidigt för ”allvarliga tillkortakommanden”.  

”Rapporten är inte tillräckligt tydlig med hur möjligheten att inkludera upptäckten av material som föreställer sexuella övergrepp på barn eller grooming ska kunna förhålla sig till förbudet mot allmän övervakning”, skriver nämnden.  

Något Ylva Johansson lyfter i sitt blogginlägg är att lagstiftningen bör vara teknikneutral, det kommer alltså inte finnas exakta instruktioner för hur jakten på CSAM-material ska gå till.  

”Lagstiftningen måste reflektera de tekniska utmaningarna, men den får inte bli en ’tidskapsel’. Vad jag menar med det är att vi måste sätta upp parametrar som förutspår hur världen ser ut 2030 och bortom det genom en teknikneutral och framtidssäkrad lagstiftning”, skriver Ylva Johansson. 

Men när det handlar om att analysera innehållet i privata, krypterade chattmeddelanden, kommer det i praktiken att krävas något som kallas för client-side scanning. Det betyder att mjukvara söker igenom meddelanden innan de skickas över en krypterad kanal. Klienten är i det här fallet din mobiltelefon eller dator.  

– Som vi förstår det innehåller lagförslaget odifferentierad massövervakning av alla meddelanden som skickas på många olika plattformar, säger Eric Skoglund på Dataskydd.net. 

Läs mer: Vad är Telegram? Appen som hamnat mitt i Ukraina-kriget

Därför är Client-side scanning kontroversiellt

Client-side scanning är en kontroversiell fråga. I augusti 2021 meddelade Apple att de skulle börja genomsöka användarnas bilder innan de laddades upp i bolagets molntjänst för att stoppa spridningen av CSAM.  

Beskedet möttes av ett ramaskri och enorma protester. Ett brett uppbåd av säkerhetsexperter, forskare och organisationer som verkar för integritet på nätet riktade skarp kritik mot Apple. 

Whatsapps högsta chef Will Cathcart varnar också för hur tekniken, som utvecklats för att stoppa CSAM, skulle kunna användas av en regim som vill övervaka sin befolkning.  

 

Pressen blev så stor att bolaget valde att lägga den nya funktionen på is. Kritiker till EU-förslaget menar att samma typ av funktion som Apple stoppade skulle kunna bli obligatorisk.  

Det handlar inte heller bara om en integritetsfråga. Redan när Apple presenterade sitt förslag för att stoppa CSAM-innehåll nämnde många att det innebär en säkerhetsrisk. Det är något som också Edri skriver i sitt öppna brev.  

”Experter är eniga om att det inte går att ge rättsväsendet undantagslös tillgång till end-to-end-krypterad kommunikation utan att skapa sårbarheter som kan utnyttjas av kriminella eller repressiva regeringar”, skriver Edri i sitt öppna brev. 

Organisationen länkar till en vetenskaplig artikel publicerad i oktober 2021 med titeln Bugs in our pockets: the risks of client-side scanning där namnkunniga säkerhetsforskare som Bruce Schneier och Matt Blaze går igenom riskerna med tekniken.  

– All kod man tillför öppnar för eventuella säkerhetsluckor. Det är en risk man inte kan bortse ifrån, säger Jonas Lejon som driver it-säkerhetsfirman Triop till Ny Teknik. 

Om ett system som skannar bilder lokalt är dåligt utformat skulle en hackare exempelvis kunna bädda in skadlig kod i bildfiler, och på så vis kunna angripa mobiler och andra enheter.

Datumet för när lagförslagen ska presenteras publikt har uppprepade gånger skjutits upp. Det senaste beskedet är att det ska vara redo till den 11 maj 2022.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt