This post is regarding the upcoming vote on a new wire-tapping law in Sweden. My thoughts on the law are therefore in Swedish.
Under den senaste månaden har det skrivits mycket om nästa veckas omröstning kring "en anpassad försvarsunderrättelseverksamhet", huvudsakligen på olika politiska bloggar, och nu den senaste veckan även en del i traditionell media. Frågan har drivits av människor från alla nyanser av den politiska färgskalan, och framförallt partiet som fick min röst senast har gjort mig stolt genom att en gång för alla avvärja anklagelserna om att deras partiprogram "endast rör illegal fildelning".
En snabbgenomgång av den föreslagna lagändringens effekter finns t.ex. här.
De ideologiska anledningarna till att motverka lagen är noggrant genomgångna av andra, så jag kommer inte lägga tid på att gräva mig ner i dem. Övergripande kan man säga att avlyssning av alla medborgare, utan misstanke om brott, bryter mot åtskilliga rättsprinciper i ett öppet, demokratiskt samhälle. Alla människor, även om man inte har "något att dölja", har rätt till en privat sfär, har rätt att undvika fullständig genomlysning av staten utan väldigt god anledning och domstolsöversyn. Att principlöst tillåta ändamålen att helga medlen, leder i slutändan till ett långt sämre samhälle, oavsett hur vällovliga ändamålen är (dvs att skydda sverige mot "yttre hot", vilket hos politiker som försvarar förslaget huvudsakligen översatts till "terroristhandlingar").
En sak jag dock inte sett påtalas speciellt mycket i diskussionerna, är att den föreslagna lagen saknar en rimlig chans att någonsin fungera som uppgivet. Anledningen är helt enkelt att förhållandet mellan vad man söker efter, och mängden information som ska genomsökas, är för skevt. Tillåt mig ett räkneexempel.
Antag att det går en inbäddad terrorist per 10 miljoner människor. Det är ganska högt räknat, om man tänker på att det var ungefär så många som gick åt i USA för att klara terroristattentatet 9/11, och att det förmodligen går att argumentera för att det finns ett betydligt lägre terroristhot i sverige än i USA. Med andra ord, endast 1/10 000 000 människor som avlyssnas är ett intressant mål enligt den officiella beskrivningen.
Vidare får man betänka att även terrorister gör annat vid datorn, än att bara planera terroristaktioner. Fem minuters surfande på YouTube genererar mångfalt mer data än åratals av emailad planering. Om man återigen räknar högt, kanske 1% av alla trafik kan tänkas vara relevant. Då är vi helt plötsligt uppe i ett intressant paket bland en miljard.
Vidare så läser även terrorister tidningar. De vet att de är övervakade. Jag misstänker att alla seriösa terroristceller kan mer än de flesta om hur de gör sin kommunikation oläsbar (via kryptering; vi har ingen anledning att anta att FRA har förmågan att knäcka idag vanligt förekommande krypton), hur man döljer vem som kommunicerar med vem (via t.ex. Tor), till och med att dölja att man kommunicerar överhuvudtaget (via t.ex. steganografi). Visst, det finns självklart idiotiska terrorister på samma vis som det finns idiotiska brottslingar av alla typer, och även om de för det mesta endast lyckas med att skada sig själva, så kanske de vid något tillfälle riskerar att skada andra. Risken att råka ut för en sådan är iofs långt mindre än att träffas av blixten, men ändå.
Antag att 10% av terroristerna är idioter, och filtreringen alltså får en false negative rate av 90%. Dvs filtreringen hittar en av tio terrorister (den förmodligen minst farliga av de tio), och missar de övriga nio. För att hitta en terrorist, måste man alltså gå igenom tio miljarder paket.
Antag nu att FRAs utsökningsalgoritmer är fantastiskt effektiva och välanpassade. Låt oss anta att de gallrar korrekt till 99,999% (en nästan ofattbart hög siffra; troligtvis är den mycket lägre i verkligheten). Det vill säga att man har en false positive rate på 0,001%. Det skulle innebära att av dessa tio miljarder paket, identifieras 100 000 "oskyldiga" paket som måste kontrolleras manuellt.
Nu kanske du tänker att det är värt att 100 000 oskyldiga får sin kommunikation läst (av en riktig människa) för att hitta en, potentiellt farlig, terrorist. Men här kommer det sista problemet: den potentiellt farliga terroristen kommer förmodligen missas av den mänskliga faktorn. Den mänskliga hjärnan klarar inte den uppgiften. En människa som spenderar hela dagen med att plöja igenom enorma mängder brev, kontrollera google-sökningar, följa beställningar av varor osv. där nästan allt han/hon tittar på är irrelevant, står en otroligt hög risk att missa även den där sista 1/100 000-delen som faktiskt var av intresse. En dator kan inte hjälpa till att gallra, för hela detta brutto är redan resultatet av de mesta effektiva utsökningsalgoritmerna som existerar.
Så, för att sammanfatta: systemet övervakar hela den svenska befolkningen, åtskilliga människor kommer få sin kommunikation kontrollerad i detalj av (felbara, ibland oetiska) människor, men de faktiska terroristerna kommer att missas i nästan samtliga fall. Det låter inte som en bra avvägning i mina öron.
Naturligtvis förändras ekvationen enormt om man letar efter annat. Anledningen det inte går att fånga terrorister på detta vis, är att det finns för få terrorister i förhållande till "vanligt folk". Ifall man letar efter "vanliga" brottslingar, eller försöker åsiktsregistrera, eller något annat av allt som systemet ska eller befaras användas till, så kan det fungera bättre. Men detta är inte argumentet som används. Politiker som argumenterar för lagen säger att man vill skydda sverige från terrorister, de säger inte "jag tycker det är en rimlig avvägning att avlyssna hela svenska folket för att t.ex. hitta en stor andel hälare som säljer stöldgods, i vart fall i en övergångsperiod tills de lärt sig dölja sina spår bättre". Men om systemet väl finns där, om investeringarna redan är tagna, då kommer ändamålsglidningen som ett brev på posten… (tänk PKU-registret)
Men varför försöker man då få igenom detta höggradigt inpopulära förslag? Är riksdagen befolkad av människor som drömmer våta drömmar om östblockets forna övervakningsapparat? Nej, knappast. Jag tror det är enklare än så. De gör det som är mest naturligt för dem. Det handlar om makt och vana.
En politikers liv handlar om att ha makt över andra (allt från småuppdrag som att bestämma var vägbulor ska placeras inom kommunen, upp till lagstiftningsmakt över hela landet). Det är inget fel i det, en politiker ska använda sin makt för att skapa ett bättre samhälle utifrån den politikerns övertygelse. En politiker strävar alltid över ökad makt över andra, för då får han/hon större möjligheter att förbättra samhället. En maktlös politiker är en misslyckad politiker, som endast kan se fel och orättvisor utan att rätta dem. Det är därför man så sällan ser ens de mest liberala politiker lagstifta bort någon del av sin egen makt.
Även om en terroristhandling är en otroligt osannolik händelse, har människor rent allmänt väldigt svårt att göra rimliga avvägningar om spektakulära men osannolika risker. Om detta har det skrivits spaltmeter, men ett bra ställe att börja är t.ex. hos Bruce Schneier. Eftersom politiker knappast är vare sig bättre eller sämre än folk i gemen på att göra riskavvägningar, ser de ett allvarligt hot som måste mötas.
Vi tenderar alla att möta hot och problem med de verktyg vi är vana vid, och som har hjälpt oss tidigare. För en yrkespolitiker är den naturliga lösningen att ge sig själv (via de myndigheter man indirekt kontrollerar) mer makt och mer information. Det är därför förslaget har så starkt stöd över båda blocken (låt oss inte glömma att det i grunden är ett socialdemokratiskt förslag, anledningen de kommer rösta mot på onsdag är rent partipolitiskt, det är för att säkerställa en kännbar prestigeförlust för alliansen). Det handlar inte om att någon har för avsikt att skapa en polisstat. Man ser ett problem som upplevs som så stort att man måste göra något åt det. Verktyget man är bekväm vid är att lagstifta till sig mer information. Även om chansen att få fram nödvändig information är liten, upplevs det då som en rimlig avvägning. Man ser inte riskerna.
I grund och botten är detta inget konstigt. Det är inte lagstiftarnas roll att (direkt) begränsa sin egen makt. Det är vår, folkets, roll. Det är vi som har ansvaret för att hindra lagförslag som detta. Det är vi som måste ställa oss upp och säga "Här drar jag gränsen; det är inte acceptabelt att avlyssna mig, min familj, mina vänner, när chansen att ni hittar vad ni letar efter är nästan obefintlig. Det är ett steg för långt bort ifrån demokratins kärna. Jag kommer inte tillåta det". Man kan inte ta striden i varje fråga, så när man gör det i principiellt viktiga frågor som denna, måste det ske med sådan kraft att minnet lever kvar, inte bara i denna riksdagskonstellation, utan nästa, och efterföljande.
Detta håller på att hända nu. I början var det ett fåtal aktivister, Rick Falkvinge, Oscar Swartz, Opassande Emma, Joshua Tree, Anna Troberg och Markus Berglund för att nämna några av dem, som kämpade i uppförsbacke. Sedan kom olika politiska förbund på "lägre" nivå, dvs lokala förbund, ungdomsförbund osv. som har andra verktyg för att lösa problem. Nu börjar traditionell media vakna, och ute hos Svenssons växer det fram en folkstorm som vill säga sitt.
Jag tror att många politiker funderar över sitt ställningstagande denna helg. Jag tror att många, överraskade av det massiva motståndet, börjar ifrågasätta om det inte finns något annat sätt att skydda sig från terroristangrepp. Jag är optimistisk, jag tror att tillräckligt många kommer ångra sig för att detta förslag ska falla.
Vårt ansvar är att fortsätta på den inslagna stigen, att fortsätta höras och synas. Och, slutligen, att oavsett utgången av omröstningen komma ihåg vilka som röstade för och emot, när det är dags för nästa val.
Pingback: Insane Meditation » Blog Archive » Att tolka krypterat data