Det ska inte vara fritt fram för polisen att hacka din dator

Regeringen har – med brett stöd i riksdagen – föreslagit att införa så kallad hemlig dataavläsning. På enklare språk: polisen ska få rätten att hacka mobiler och datorer.

Hur kommer det gå till i praktiken? Det är svårt att se polisen utveckla egna verktyg, med tanke på den i dag katastrofalt bristande it-kompetensen, så lösningen kommer högst troligen bli att köpa in virus från företag inom övervaknings- och intrångsbranschen. På så sätt gynnas samma aktörer som utvecklar de virus som möjliggör id-kapningar, överbelastningsattacker och dataintrång.

Virus – oavsett om det är polisens trojaner eller kriminellas – är beroende av någon form av sårbarhet i programmen eller systemen på din dator för att kunna möjliggöra intrång. Sårbarheterna är stora problem för många medborgare, men också företag och det offentliga. Detta syntes extra tydligt under 2017, då viruset WannaCry slog ut hundratusentals datorsystem.

Bland annat drabbades Region Uppsala av viruset, som stoppade ventilations-, värme- och kylsystem i deras fastigheter. Som tur var drabbades bara system med enkelt inkopplade manuella backuper den gången, men sådan tur hade inte till exempel den brittiska vården. Där fick man ställa in mer än 19 000 vårdbesök. Deras kostnader för intrånget översteg 1 miljard kronor.

WannaCry utnyttjade en sårbarhet i Microsofts system Windows för att spridas. Fem år innan viruset spreds upptäckte anställda på den nationella säkerhetsmyndigheten i USA, NSA, denna sårbarhet. De kunde ha informerat Microsoft, så att företaget direkt kunnat åtgärda bristen och motverka intrånget. Istället valde de att bygga ett virus som utnyttjade sårbarheten, samma virus som 2017 läckte och var grunden för WannaCry.

Regeringens förslag om hemlig dataavläsning riskerar att orsaka fler liknande situationer. Vi vill se ett förslag som skapar krafter för att stärka allmänhetens trygghet genom robustare digitala system, istället för att undergräva vår gemensamma infrastruktur. Istället för att säkra bevis ska man säkra det digitala samhället.

Om polisen ska få nyttja sårbarheter genom hemlig dataavläsning, så bör de också föreläggas med plikt att göra sin bit för att se dem åtgärdade. Om sårbarheten är okänd (så kallad zero-day) vill vi att de ska informera tillverkarna av mjukvaran. Sedan ska alltid allmänheten informeras om vilken sårbarhet som använts. Då kan inte polisen schablonmässigt använda hemlig dataavläsning, utan tvingas spara verktyget till särskilt viktiga fall. Samtidigt ökar vår generella cybersäkerhet, när bristen rapporteras och kan åtgärdas varje gång polisen väljer att använda hemlig dataavläsning.

Vi vill att polisen begränsas till att endast använda metoden när det föreligger goda skäl att misstänka personer för allvarliga brott och när det föreligger ett starkt allmänt intresse av utredningen. Att tillåta den typen av otroligt grova ingrepp som hemlig dataavläsning utgör för ett så trivialt brott som fildelning är inte rättssäkert.

Det är generellt bra om polisen har befogenheter, metoder och material för att utreda brottslighet. Men det förslag som nu läggs fram är direkt skadligt. Signalen som skickas är att polisen ska få hacka mer eller mindre fritt och så otrygghet och osäkerhet i det digitala samhället. Så kan vi inte ha det. Om hemlig dataavläsning ska tillåtas måste mekanismer för att garantera rättssäkerhet och cybersäkerhet inkluderas.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.