Lagen om hemlig dataavläsning

author Maximilian Holm, om Nyheter & uttalanden

Lag (2020:62) om hemlig dataavläsning är en ny lag som träder i kraft 1:a april 2020. Lagen innebär att polis och andra brottsbekämpande myndigheter får hacka sig in i datorer, mobiltelefoner, TV-apparater, routrar eller annan typ av teknisk utrustning för att läsa av den data som finns på, eller passerar, enheten.

Kort sammanfattat, påverkas OVPN inte av lagen och vi behöver därför inte hjälpa brottsbekämpande myndigheter att avlyssna misstänkta brottslingar.

Information om lagen

Hemlig dataavläsning får användas i förundersökning, underrättelsesyfte och vid "särskild utlänningskontroll," men endast vid "särskilt grov brottslighet", vilket innebär minst två år i straffskalan.

Grunden till lagen är att den tekniska utvecklingen sker i allt snabbare takt vilket gör att brottsbekämpande myndigheter inte längre har de verktyg de behöver för att kunna motverka brottslighet.

Speciella tillstånd ges för brott som avses i 27 kap. 2 § andra stycket 2-7 rättegångsbalken vilket inkluderar sabotage, mordbrand, allmänfarlig ödeläggelse, kapning, uppror, väpnat hot mot laglig ordning, brott mot medborgerlig frihet, högförräderi, krigsanstiftan, spioneri, obehörig befattning med hemlig uppgift, olovlig underrättelseverksamhet, företagsspioneri, samt terroristbrott.

Vilka områden täcks av lagen?

I regeringskansliets rättsdatabas kan läsas att lagen avser täcka följande områden:

  1. kommunikationsavlyssningsuppgifter
  2. kommunikationsövervakningsuppgifter
  3. platsuppgifter
  4. kameraövervakningsuppgifter
  5. rumsavlyssningsuppgifter
  6. uppgifter som finns lagrade i ett avläsningsbart informationssystem men som inte avses i 1-5
  7. uppgifter som visar hur ett avläsningsbart informationssystem används men som inte avses i 1-6

Hur påverkas OVPN:s användare?

Avläsningen sker på så sätt att en brottsbekämpande myndighet installerar ett tekniskt hjälpmedel — antingen i form av ett skadligt program så som virus eller ett fysiskt hjälpmedel — för att läsa av datan innan den krypteras. Detta gör att om man blir avlyssnad hjälper inte en VPN-tjänst, förutsatt att det tekniska hjälpmedlet är installerat direkt på datorn eller mobilen.

Metoden som används för att avläsa datan kan skilja från misstänkt till misstänkt, enhet till enhet och till och med vilken typ av avläsning som den brottsbekämpande myndigheten har fått tillstånd för. Om det är nödvändigt får systemskydd brytas eller kringgås och tekniska sårbarheter utnyttjas, förutsatt att den brottsbekämpande myndigheten återställer informationssäkerheten på enheten till minst samma nivå som innan avlyssningen påbörjades.

Brottsbekämpande myndigheter kan som exempel, om de har fått tillstånd för rumsavlyssningsuppgifter, använda olika sårbarheter i telefon eller TV-apparater för aktivera mikrofonen och på så sätt avlyssna samtal som äger rum där enheten befinner sig. Sårbarheter i kameror kan även användas för att se vad som händer i ett rum. Ett tillstånd för kameraövervakning för brott på minst två år i straffskalan får inte ges till någons fasta bostad.

Om en person är misstänkt för något av brotten definierade i 27 kap. 2 § andra stycket 2-7, kan brottsbekämpande myndigheter genomföra flera åtgärder. Exempelvis får de filma i den misstänktes fasta bostad, men också andras bostäder, om det finns anledning att tro att den misstänkta kommer befinna sig i den bostaden.

Hur påverkas OVPN?

I lagen står följande:

24 § Den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 § lagen (2003:389) om elektronisk kommunikation är på begäran av den verkställande myndigheten skyldig att medverka i samband med verkställighet av hemlig dataavläsning.

VPN-tjänster är inte en anmälningspliktig verksamhet enligt 2 kap. 1 § lagen (2003:389) vilket betyder att OVPN inte kan tvingas hjälpa en brottsbekämpande myndighet. Vi fortsätter att stå fast vid vårt öppna brev till Polisen.

OVPN kommer fortsätta att publicera månatliga transparensrapporter som innehåller information om förfrågningar från myndigheter, advokatbyråer och andra företag.

Hur påverkas OVPN:s internetleverantörer?

Våra svenska internetleverantörer kan tvingas samarbeta med polis och skulle därför rent tekniskt kunna avlyssna våra servrar. Men vi driftar våra VPN-servrar på ett väldigt speciellt sätt för att skydda just mot fysiska attacker.

Till skillnad från andra VPN-leverantörer hyr vi inga servrar utan vi äger alla våra servrar. Alla VPN-servrar använder vår egna modifierade hårdvara samt mjukvara och vi använder flera olika metoder för att försvåra att våra servrar manipuleras både mjukvarumässigt och fysiskt. Vi kan också garantera att om vi upptäcker ett försök av en fysisk manipulation så kommer vi titta på att byta till andra datahallar.

All hårdvara som används för att driva vår tjänst ägs utav oss och är låsta i isolerade rackskåp. Samtliga VPN-servrar körs utan hårddiskar - istället finns hela operativsystemet endast temporärt i serverns RAM-minne. Det finns inte heller någon möjlighet att nå servrarna fysiskt via konsol, tangentbord eller USB, vilket gör att det inte går att utföra bland annat cold-boot attacker för att läsa av data eller modifiera något i själva servern.

När servrarna startar hämtas den korrekta diskbilden via iPXE från våra krypterade boot-servrar. När diskbilden har laddats ner så verifieras kerneln och initrd-signaturen med en checksumma som finns på boot-servrarna för att säkerställa att inget har manipulerats. Om verifikationen lyckas, så laddas operativsystemet in i RAM-minnet och servern kan startas.

Om verifikationen misslyckas kommer servern att automatiskt starta om och försöka samma process om och om igen tills dess att signaturen kan verifieras. Detta gör att det i praktiken inte är möjligt för oönskade program att installeras på våra servrar i avlyssningssyfte.

Dagens datum

Trots dagens datum är detta inget aprilskämt. Lagen röstades igenom i februari och träder i kraft idag (1:a april).

Maximilian Holm