När man hör de som är negativa till FRA-lagen tala så är det ofta rejäla överdrifter kring vad den aktuella lagen faktiskt innebär.
Man väljer att formulera sig så att den oinsatte tror att det som kommer ske är något som motsvarar att all post kan komma att läsas. 1984, Lex Orwell, Stasi, KGB, osv. Avsikten med det aktuella förslaget är långt därifrån.
Å andra sidan, de som är positiva till FRA-lagen talar mest i tungor. Tungan formar inte sällan orden: ansvar, säkerhet och nya hot.
Om man försöker sig på att hamra ut de ord som uttalas tydligt så väcks ett par frågor, som i olika utsträckning har behandlats.
Vilka är egentligen de nya typen av hot? Och hur skiljer de sig? För vad innebär egentligen FRA-lagen—rent praktiskt?
Låt oss anta att det nya hotet är det som varit på tapeten sedan hösten 2001, terrorism—då skiljer det sig de nya hotet på uppenbara vis från den klassiska ”ryssen”.
När politikerna försöker sig på att tala om vad FRA egentligen skall göra med trafiken som skall passera deras superdator så talar de om sökord eller sökbegrepp.
Men hur ska FRA kunna utnyttja denna sökning för att möta de nya hoten?
Det korta svaret är: det kan de inte. Det längre svaret är att givet alla lätthanterliga tekniker som finns för kryptering, anonymisering och distribuering är det befängt att man skulle kunna
knyta en person till en given dataöverföring. Vidare är det lika befängt att en presumtiv terrorist eller annan aktör kring ett nytt typ av hot skulle kommunicera utan kryptering (Och i fall FRA faktiskt kan dekryptera effektivt. Oj! Vilket scoop Allan råkade(?) avslöja).
Svaret är som sagt: det kan de inte.
Investeringarna som krävs för att spegla all trafik till en hemlig bunker är, som så ofta när det gäller skattefinansierade företelser, inte försumbara. Det handlar säkerligen om minst ett par 100-tal miljoner. Hur många 007-agenter får man inte för den slanten?
Men om vi antar att 007-agenter är en företelse som hör till den dramatiserade filmens värld, hur kan vi ändra FRA-lagen så att den faktiskt stävjer de fruktade nya hoten?
Det är nu de kalla kårarna börjar gå längs ryggraden. Det är nämligen hit vi kan komma att hamna—utan att faktiskt ändra någon lag.
FRA har tidigare visat att de kan ta egna initiativ som inte behöver utsättas för denna allmänna belysning som FRA-lagen fått, eller ens respektera existerande lagar och förordningar.
Vad FRA-lagen innebär är nämligen att en infrastruktur skapas där förutsättningarna finns för en implementering av övervakning som konvergerar emot 1984, Statsi och KGB.
För hur skulle en fungerande övervakning fungera om den var riktad emot de s k nya hoten?
Ett exempel är enorma grafer över vilka maskiner som kommunicerar med vilka. Samt dumper av data från dessa maskiner. Vi har mängder av exempel på hur folk har terrorstämplats på enormt
lösa boliner och detta kan leda till att alla som kommunicerar med någon som någonsin kommunicerat med någon som kommunicerat med en av dessa misstänkta kan komma att övervakas.
Det finns något som kallas Six-degrees-of-seperation. Kanske klarar sig Kevin Bacon från att bli övervakad. Kanske inte. Betydligt större chans är att du kan komma att bli övervakad.
Det är i och med detta FRA-lagen kan komma att bli effektiv och det är i och med detta som FRA-lagen faktiskt förtjänar att benämnas Lex Orwell.
FRA-lagen är i den form som föreslås idag för tandlös för att ha ett existensberättigande, men den öppnar samtidigt dörren för en framtida mer eller mindre tyst övergång till ett förfarande med sylvassa tänder som kan komma att ta en tugga av både de hotande och de hotade och därmed bli ett hot i sig.
Om eller kanske snarare när världens nationer öppnar dörren för denna utveckling kommer vi behöva se på brevhemligheter på samma sätt som man en gång gjorde i DDR. Idag har vi dock en mer rättvis spridning av information kring kryptografi (tror jag) än under Statsis glansdagar. Detta försprång kan komma att leda till att vi när detta blir påtaglig verklighet kan upprätta end-to-end krypterade anslutningar över virtuella nät-topologier i nästan allt vårt meddelande och surfande. Ett stort skifte som även skyddar oss emot ovälkommen övervakning från icke-statliga övervakare som ISPer eller av valfri organisation köpta hackare.
Inget ont som inte har något gott med sig.
Pingat på Intressant.se
Att spåra nätverk är troligen just vad de flesta säkerhetsorganisationer gör med sina data: det är ofta mer värdefullt att veta att A har talat med B (som är skum) än att veta vad som verkar ha sagts. Diverse intressanta algoritmer har diskuterats för att hitta delnätverk i stora nätverk som kan vara värda att undersöka (t.ex. att A kommunicerar med B, som kan sprängteknik, C, som köper diverse kemikalier, D som har skaffat en skåpbil och E, som har en isolerad lagerlokal). Att effektivt sålla fram vilka fall som är viktiga eller ej är den svåra biten.
Det är när sådana här system automatiseras som det blir farligt. Det är inte svårt att föreställa sig ett system som när det hittar ett tänkbart misstänkt nätverk som ovan automatiskt samlar ihop alla data kopplade till de inblandade och serverar till lämplig tjänsteman. Än mindre svårt är det att tänka sig att tjänstemannen hellre överreagerar än ignorerar vad som kanske är nästa 911 (i synnerhet som ihopsamlat data nästan per definition kommer att innehålla en del mycket skumma indicier som människohjärnor lätt stoppar in i mönster).
Men det riktigt problematiska sker när tjänstemannen har en agenda. Kanske bara en förutfattad mening (”man kan inte riktigt lita på danskar”) eller en halvt tänkbar, halvt självtjänande tanke (”folk som ogillar FRA har ibland något att dölja”). Om undersökningar sker efter klara mål som explicit formuleras inför andra är det svårt att vinkla dem (även om kollegialitet ofta hjälper). Men om det sker genom löst trålande och formuleringar av sökfilter (”ge alla som uttryckt motstånd mot FRA 0.2 poäng extra misstänkthet”) så kan agendan smygas in i vad som undersöks och motarbetas på ett mycket subtilt sätt.
Detta blir särskilt illa om misstankar om brott skickas vidare till polisen. Om tröskeln för att bli misstänkt sänks på grund av t.ex. en viss åsikt kommer fler oegentligheter att upptäckas i gruppen med dessa åsikter, och de kommer att nagelfaras av andra myndigheter (vilka inte ens är medvetna om att de går den ursprunglige tjänstemannens ärenden). Även om inga brott har begåtts är det rimligt att tro att det blir avkylande effekter.
När det gäller övervakningsystem måste de vara kostnadseffektiva, hållas kostnadseffektiva mot den vanliga byråkratiska expansionen, och deras bruk noga övervakas. Det förefaller inte som FRA-lagen har några större chanser att uppfylla dessa krav. Hur ska övervakande organ notera att en analytiker råkat stoppa in en sökning som via en *sidoeffekt* misstänkliggör alla som råkar ogilla hans politiska antaganden?