KRÖNIKA. Är svenska företag verkligen förberedda på att polisen både skapar, nyttjar och undanhåller deras säkerhetsluckor? För på onsdag ska ett sådant beslut klubbas i riksdagen.
Vem minns inte Wannacry, som kostade både det statliga och privata många miljarder kronor. Ett säkerhetshål som amerikanska hackers skapat – och som sedan läckte.
Kommer svenska polisen klara det bättre?
Kanske har någon av er läst på om bakgrunden. Svenska myndigheter kommer inte åt gangsters som blivit allt bättre på att kryptera sin kommunikation. Därför vill Sverige nu utbilda eller anställa hackers som planterar trojaner eller använder sig av säkerhetshål som kan avlyssna brottslingar. Förslaget har majoritet i riksdagen – och väntas klubbas igenom på onsdag. I förra veckan undrade jag om vi diskuterat det tillräckligt. För det är framför allt de digitala företagen, plattformarna och infrastrukturen som kommer att falla offer – för intrång gjorda av polisen.
I lagförslaget framgår inte exakt vad den svenska polisen ska tillåtas göra. Inte heller kommer någon annan att få reda på det. Polisen måste inhämta tillstånd från domstol när de ska göra en hemlig dataavläsning, men de måste inte redovisa hur de ska göra det. Varken före eller efter. Det innebär att polisen har stora möjligheter att göra allt från rena attacker, till att plantera trojaner eller köpa så kalla “zero days”, okänd säkerhetsluckor hittade och sålda av företag på den öppna marknaden.
Polisen har heller ingen skyldighet att täppa till eller rapportera om hålet efter avslutad användning. De behöver inte ens kassera dokumentationen som anger hur man utnyttjat det.
Vilket är exakt vad som blev upprinnelsen till världens största cyberattack.
Wannacry var ett virus som utnyttjade en sårbarhet i Windows. Sårbarheten hade skapats eller hittats av NSA och de amerikanska motsvarigheterna till statliga hackers och användes för just hemlig dataavläsning. Men NSA hade inte räknat med att själva bli hackade, vilket är precis vad som hände. I alla fall enligt hackergruppen Shadow brokers, som menar att de hittade säkerhetshålet Eternal blue via NSA.
Konsekvensen blev en av världens mest kostsamma cyberattacker. I Sverige och världen över stängdes sjukhus och privata företag ner av ransomeware som krävde lösensummor för att släppa tillbaka access till system. Totalt beräknades kostnaderna i samband med attackerna kosta de drabbade företagen och samhället 4 miljarder dollar.
Allt för att myndigheter hade hittat ett säkerhetshål, men utnyttjade det på medborgare istället för att varna och skydda dem mot det.
Kan vi lita på att polisen har tillräcklig kompetens för det? Räcker de årliga 100 miljonerna till för att säkerställa det?
Företag ska alltså nu, med den nya lagen, inte bara skydda sig mot illegala hackers, virus och intrång – utan också mot polis-hackers som försöker hitta och utnyttja svagheter i deras system.
Det är en unik situation. Och samtidigt så enkelt att göra annorlunda. För lagen är i grunden odramatisk – det tycker samtliga experter i frågan.
Amelia Andersdotter, ordförande i föreningen Dataskydd.net, menar till exempel att det hade räckt att lägga till några få justeringar i lagen om att polisen efter intrång och avslutad utredning kan meddela både den misstänkte och företaget om hur intrånget gått till. Det hade bidragit till transparens, till ökad kännedom om säkerhetsbrister, och en effekt av att stötta företag och samhället mot allvarligare intrång.
Samtidigt som de hade fått tag på brottslingar. Men just nu finns inga sådana förslag. Och knappt ens en debatt om saken?
På onsdag väntas riksdagen ta beslutet.
Den här artikeln är gratis och tillgänglig med hjälp av personer som varje månad bidrar ekonomiskt för att journalistik ska vara öppen.
Du kan också bidra, genom tjänsten Patreon.
Artikeln är skriven under licensen CC-BY, fri att dela och återpublicera om du hänvisar tillbaka hit.
