Going Dark: Ett amerikanskt-europeiskt samarbete för att knäcka privat kommunikation i det dolda.
Den statliga massövervakningen
Under parollen ”tänk på barnen” försökte EU-kommissionen införa total övervakning av alla EU-medborgare. När skandalen var ett faktum visade det sig att amerikanska techbolag och säkerhetstjänster varit inblandade i lagförslaget som fick namnet chat control – och att helt andra intressen hade styrt. Nu kommer nästa försök. Under initiativet ”Going Dark” används nya murbräckor. Ambitionen är densamma: att lagstifta in spionverktyg på varenda europeisk mobiltelefon och dator.
Den 11 maj 2022 presenterade EU-kommissionären Ylva Johansson ett lagförslag som gick under det officiella namnet ”Europaparlamentets och rådets förordning om fastställande av regler för att förebygga och bekämpa sexuella övergrepp mot barn.”
Ylva Johansson gjorde en poäng av att detta var hennes lagförslag, det var hon som hade tagit fram det – ingen annan – och om det inte varit för henne skulle Europas rättsväsende “go blind” i jakten på sexuella övergrepp på barn. I Ylvas värld skulle EU “förvandlas till ett paradis för pedofiler” om inte hon fick sin vilja igenom. Det var lätt att förundras över hur Ylva Johansson vid nästan varje givet tillfälle påtalade att detta var hennes förslag. Ett narcissiskt drag? Kanske. Men det fanns kanske också något annat bakom de självcentrerade utspelen. Det skulle så småningom visa sig att Ylva Johansson inte var ensam bakom kulisserna. Redan från start fanns det andra inblandade – aktörer som skulle tjäna på att lagförslaget gick igenom men som inte skulle tjäna på att det framkom att de var med och utformade det.
Retoriken var solklar från dag ett: det handlade om barnen och när det handlar om barn så finns det inget vi inte kan tänka oss att göra för att hålla dem säkra. Så Ylva Johansson la fram ett förslag som innebar total övervakning av alla EU-medborgare och så fort någon motsatte sig drog hon fram tänk-på-barnen-kortet. De som synade bluffen gav snabbt lagförslaget (de delar av lagförslaget som handlade om övervakning på internet) ett kortare och mer rättvisande namn: chat control.
I korta drag innebar chat control att varenda EU-medborgares kommunikation skulle övervakas. Alla samtal, alla meddelande och chattar, alla mejl, alla bilder och filmer sparade i molntjänster – rubbet skulle filtreras i realtid via artificiell intelligens och sedan kontrolleras i ett nyetablerat EU-center i nära samarbete med Europol.
Eftersom lagförslaget stred mot Europakonventionen, EU-stadgarna och FN:s deklaration om mänskliga rättigheter blev chat control sågat av instans efter instans. Både ministerrådets och EU-kommissionens egen rättstjänst varnade för förslaget, likaså Europaparlamentets dataskyddsmyndighet. FN:s Human Rights Council beskrev chat control som oförenligt med de grundläggande mänskliga rättigheterna och att förslaget skulle leda till massövervakning och självcensur. Tidigare domare vid EU-domstolen menade att förslaget stred mot EU:s rättighetsstadga och 465 forskare gick samman och varnade för konsekvenserna.
Ställd inför massiv kritik gick Ylva Johansson ut och försvarade sig: alla andra hade missuppfattat lagförslaget, chat control handlade absolut inte om massövervakning och alla som påstod det var ute efter att svartmåla henne.
Chat control – en total övervakning av alla EU-medborgare.
Ibland kallas chat control även för chat control 2.0 eftersom befintlig lagstiftning gjort det möjligt för techbolag som Google och Meta att scanna efter barnpornografiskt material hos sina användare. Att det fanns en lag som gjorde det möjligt för techbolag – om de ville – att scanna efter olagligt innehåll var ett faktum som Ylva Johansson inte var sen att använda sig av. Hon förklarade att hennes lagförslag inte var något annat än en förlängning av den scanning som redan pågått i tio år. Hon hänvisade även till den befintliga lagstiftningen när hon sa att EU kommer att bli en frizon för pedofiler om inte hennes lagförslag går igenom – eftersom den lagstiftningen skulle löpa ut sommaren 2024.
Gång på gång överbevisades Ylva Johansson av journalister och experter. För faktum var att inget hindrade EU från att – istället för att införa en ny lag – helt enkelt förlänga den befintliga lagen. Och framförallt: Ylvas lagförslag var allt annat än en förlängning. Skillnaderna mellan den rådande lagen och det nya förslaget var extrema. I Ylva Johanssons EU skulle scanningen inte vara frivillig. Alla meddelandetjänster (även krypterade tjänster som Signal) skulle innefattas av lagen och tvingas scanna sina användares bilder, filmer och konversationer. Det skulle innebära ett stort bekymmer för alla de som inte använder Meta eller Google för att konversera, eftersom de är i behov av säker kommunikation: politiska meningsmotståndare, visselblåsare, journalister och deras källor, utsatta människor som lever under hemlig identitet med flera, och människor med företagshemligheter, för att inte tala om de som bär på information som är känsliga gällande rikets säkerhet – EU-kommissionen själva använder till exempel Signal). Att kräva statlig insyn (antingen via så kallade bakdörrar eller scanning på själva datorn eller telefonen) skulle öppna en Pandoras ask för de länder med auktoritära inslag (bland annat fem EU-länder har blivit påkomna med att använda spionverktyg för att övervaka meningsmotståndare) och lämna dörren på vid gavel för kriminella att utnyttja. Men det var ju inte bara det här som skiljde den rådande lagstiftningen och den som EU-kommissionen ville införa.
Den tidigare lagstiftningen hade bara scannat efter material som tidigare stämplats och registrerats som barnpornografiskt material. Nu skulle AI användas för att hitta “nytt material” och dessutom leta efter grooming-försök. Chat control skulle därmed med all säkerhet skicka var och varannan människa rakt in i filtreringssystemet. Semesterbilder från stranden, nakenbilder skickade mellan partners, snuskiga sms – allt det där som en AI knappast kan göra skillnad på riskerade att fastna i ett filter som garanterat skulle dränka ett nytt EU-center med oändliga högar att gå igenom: Är det här en semesterbild på ett barn eller barnpornografi? Är de här lättklädda ungdomarna 18 eller 14? Är det här ett snuskigt sms från en fru till en man eller ett groomingförsök? Men framförallt skulle chat control innebära ett verktyg som skulle kunna användas för att scanna efter helt andra saker.
När Ylva Johansson fick frågan om det överhuvudtaget skulle gå att kommunicera säkert även efter att hennes lagförslag införts svarade hon ja. En hel värld av experter frågade sig hur. Ylva svarade med att hon hade något som ingen annan hade. En digital knarkhund som kunde lukta på krypterad kommunikation utan att titta på innehållet. En knarkhund som bara reagerade på barnpornografiskt innehåll – aldrig något annat.
En samlad expertkår försökte banka in budskapet: antingen är krypterad kommunikation krypterad (så kallad end-to-end-krypterad, som bara sändare och mottagare kan se) eller så är den inte krypterad. Men Ylva stod på sig. Hon återvände till samma argument om och om igen. Hon undvek att svara på frågorna (hon förstod ju uppenbarligen inte hur tekniken fungerade) utan vände istället diskussionen åt annat håll och sa till exempel att det krävdes domstolsbeslut för scanningen, vilket i sig var utstuderat missledande. För det första krävdes det inget domstolsbeslut för hennes scanning, utan det kunde vara annan instans, och för det andra handlade det om att denna instans skulle besluta och tvinga meddelandetjänster att övervaka alla dess användare. När Ylva bröt ut i ett “det krävs domstolsbeslut” var det alltså inte gällande domstolar och beslut att bevaka till exempel misstänkta pedofiler. Utan ett beslut huruvida en tjänst skulle krävas på övervakning. Vad som krävdes för att en tjänst skulle falla in under övervakningen? Att det fanns en möjlighet att på tjänsten sprida barnpornografi eller grooma barn, vilket så klart är lika med alla meddelandetjänster.
Så fort Ylva Johansson blev överbevisad flyttade hon fokus. Till slut återvände hon alltid till sista tillflyktsorten: det handlar om barnen. Hon drog anekdoter och hänvisade till siffror som pekade på en explosionsartad ökning av barnpornografiskt material på till exempel Facebook – trots att Facebook själva gick ut och sa att 90 procent av alla rapporter kommer från tidigare spritt material.
EU-kommissionen med Ylva Johansson i spetsen fick kritik från alla möjliga håll. Polischefer gick ut och sa att största delen av materialet som de får in idag är material med tonåringar som skickar bilder till varandra och att den typen av rapporter riskerar att leda polisen i fel riktning. Scanningtester som europeisk polis gjort på befintligt material visade att 80-90 procent av alla träffar var felträffar. Nu skulle dessutom “nytt material” scannas – vilket uppenbart skulle innebära en omöjlig administration för att bara reda ut vad som var olagliga bilder och vad som var semesterbilder från familjedagar på stranden. Felprocenten skulle uppenbart närma sig hundrastrecket. För europeiska rättsväsenden som inte ens idag hinner med att klara upp alla tips de får in skulle det här vara förödande. Och de kriminella skulle förstås vända sig till olagliga meddelandetjänster. Barnen skulle inte hjälpas. Samtidigt skulle varenda EU-medborgare få spionverktyg installerade på sina telefoner.
Hur Ylva Johansson tacklade de här upplysningarna? Inte alls. Istället fortsatte hon som en repig skiva att “tänka på barnen” och så beställde hon en undersökning som sa att 80 procent av EU:s befolkning stöttar chat control. Problemet? EU-kommissionen använde sig av Europabarometer, en undersökningsbyrå som blivit anklagade för att sudda ut gränsen mellan forskning och propaganda. När Max Planck Institute for the Study of Societies ombads att kommentera chat control-undersökningen kom de fram till att den hade en politisk agenda och bestod av frågor som var vinklade för att stödja kommissionens planer.
Ylva Johansson sysslade med uppenbar vilseledning. Hon använde sig av felaktiga siffror och vinklade undersökningar. I intervjuer var hon populistisk och undvikande. Men hon var ju tvungen att ta till de här metoderna. För det handlade ju aldrig om barnen.
Amerikanska techbolag och säkerhetstjänster bakom lagförslaget
I september 2023 kom en stor granskning från de tre journalisterna Giacomo Zandonini, Apostolis Fotiadis och Luděk Stavinoha. Efter att EU-kommissionen i sju månader försökt vägra att lämna ut allmänna handlingar fick de till sist ut ett material som gjorde att de kunde börja lägga pusslet som avslöjade spelet bakom chat control. I granskningen som publicerades i flera europeiska tidningar publicerades bland annat ett brev där Ylva Johansson skrev till Julie Cordua, vd:n för det amerikanska bolaget Thorn: “Vi har delat många stunder på resan mot detta förslag. Nu vänder jag mig till dig att se till att denna lansering blir en framgångsrik sådan.”
Thorn är ett amerikanskt bolag som bildades av skådespelaren Ashton Kutcher och som utvecklar verktyg som scannar efter barnpornografiskt material. Till det amerikanska departementet för inrikes säkerhet hade de sålt programvaror för miljoner. Ashton Kutcher själv hade haft videokonferenser med EU-kommissionens ordförande Ursula von der Leyen och han hade hållit föreläsningar i EU om hur man med ny teknik kan scanna krypterat innehåll utan att titta på det. Fram trädde bilden av Ylva Johanssons knarkhund.
Under flera år lobbade Kutcher mot EU-kommissionen (fram till att han tvingades kliva av Thorn efter att ha försvarat sin skådespelarkollega Danny Masterson när han dömdes för våldtäkt). Han hade möten med flera på EU-kommissionen och hade även ett extra nära band till EU-parlamentets Eva Kaili (fram till hon arresterades för mutbrott och fick lämna sitt parti).
Här hade vi alltså ett amerikanskt bolag som hade direktkontakt med EU-kommissionen och som sålde den teknik som skulle kunna användas vid ett införande av chat control. Dessutom byggde allt på en falsk införsäljning: tekniken som Kutcher och Johansson pratade om fanns inte. Expert efter expert dömde ut deras prat om knarkhundar.
En annan del av skandalen: i EU-s öppenhetsregister var Thorn registrerade som välgörenhetsorganisation – trots att de sålde tekniken som de föreläste om i EU. Tricket att förklä organisationer och bolag i skruden av välgörenhet skulle visa sig vara återkommande i den här soppan.
Ylva Johansson har, sedan lagförslaget chat control presenterades, intensivt pekat på välgörenhetsorganisationer som stöttar hennes förslag. Hon har jobbat med dem i PR-sammanhang, som ett sätt att visa att chat control har stöttning av oberoende, ideella krafter som bryr sig om barnen. En central organisation i detta arbete har varit WeProtect. När Zandonini, Fotiadis och Stavinoha släppte sin granskning visade det sig att EU-kommissionen varit med och grundat organisationen, att den innehöll representanter från såväl techbolag som olika länders säkerhetstjänster. I styrelsen för WeProtect satt Ylva Johanssons kollega i EU-kommissionen, Labradror Jimenez, tillsammans med Thorns vd Julie Cordua och representanter från USA:s och Storbritanniens (som samtidigt som chat control la fram ett eget övervakningsförslag med barnen som murbräcka) regeringar, även Interpol fanns representerade. Thorn hade tryckt in pengar i WeProtect. EU-kommissionen hade bidragit med en miljon euro. Det handlade alltså inte om barnrättsorganisationer som gav Ylva Johansson stöttning. Det handlade om lobbyorganisationer som bildats av EU-kommissionen i syfte att få igenom lagförslaget.
Med i styrelsen för WeProtect fanns även representanter från Oak Foundation, som utöver sitt engagemang i WeProtect även hade varit med och startat ECLAG (ytterligare en välgörenhetsorganisation som stöttat chat control-förslaget). ECLAG lanserades bara några veckor efter Ylva Johanssons lagförslag presenterades och i organisationens kommitté fanns Thorn representerade. Ytterligare en organisation: Brave Movement, en organisation som bildades en månad innan lagförslaget chat control presenterades. Brave lanserades med hjälp av tio miljoner dollar från Oak Foundation och i ett strategidokument som journalistgranskningen kom över stod det att “once the EU Survivors taskforce is established and we are clear on the mobilised survivors, we will establish a list pairing responsible survivors with Members of the European Parliament – we will ‘divide and conquer’ the MEPs by deploying in priority survivors from MEPs’ countries of origin.”
Oak Foundation dök även upp i en kartläggning gjord av The Intercept. 2023 hade en amerikansk organisation med namnet Heat Initiative bildats. På pappret var de en “new child safety group” och det första de gjorde var att kampanja för att Apple skulle “detect, report, and remove” barnpornografiskt material från iCloud. Apple svarade med att det var något som kriminella skulle kunna utnyttja och att det också skulle kunna leda till ett “potentiellt sluttande plan av oavsiktliga konsekvenser, att skanna efter en typ av innehåll skulle till exempel kunna öppna dörren för bulkövervakning.”
Heat Initiative gillade inte svaret och slog tillbaka med anti-Apple-propaganda på stora reklamskyltar i amerikanska städer under temat “tänk på barnen”. Vilka som låg bakom Heat Initiative, förutom Oak Foundation? Heat leddes av en före detta vicepresident på Thorn. The Intercept-artikeln hänvisade också till en annan granskning som visade att Thorn samarbetade med Palantir, big-data-bolaget som hjälpte NSA att massövervaka hela världen och som var inblandade i Cambridge Analytica-skandalen där Facebookanvändares privata meddelanden och data användes för att påverka presidentvalet å Donald Trumps vägnar 2016.
EU-kommissionen var alltså med och finansierade och startade upp välgörenhetsorganisationer med målet att använda sig av gamla brottsoffer för att emotionellt påverka EU-parlamentariker. I tätt samarbete med techbolaget som erbjöd tekniken som skulle användas vid ett införande av övervakningen. Tillsammans med representanter från utom-europeisk säkerhetstjänst. Som del av en större apparat, där samma taktik användes för att påverka utvecklingen i USA.
Samtidigt satt de riktiga organisationerna som jobbade med att motverka sexuella brott mot barn och undrade varför EU-kommissionen vägrade prata med dem. I det granskande reportaget berättar Offlimits, som är Europas äldsta hotline för utsatta barn, att Ylva Johansson hellre åkte till Silicon Valley för att träffa företag med vinstintresse än att prata med dem.
Samma sak med teknikexperterna. Matthew Green, professor i kryptografi vid John Hopkins University, berättar i granskningen att “i den första konsekvensbedömningen av EU-kommissionen fanns det i princip ingen input från externa forskare, vilket är helt otroligt med tanke på den vetenskapliga infrastruktur som finns i Europa, med de bästa forskarna inom kryptografi och datorsäkerhet i världen.”
Med i utformandet av lagen fanns däremot Europol tillsammans med säkerhetstjänster från andra länder. I juli 2022 skrev Europol att de ville kunna använda scanningen och övervakningen till annat än sexuella brott mot barn. EU-kommissionen svarade att de förstod önskan men att de “var tvungna att vara realistiska i vad som kunde förväntas, med tanke på hur känsligt lagförslaget är”. Även Thorn var tydliga med att scanningen i en förlängning kunde användas till annat: “När man överväger lagstiftning inom kryptering borde man inte bara fokusera på CSAM. Lösningar för att scanna krypterade miljöer är något som är mycket bredare än ett enskilt brott”, skrev bolaget i ett dokument.
Senare framkom det också att Europol var ute efter en ofiltrerad tillgång till det scannade materialet: “All data är användbar och bör skickas till brottsbekämpande myndigheter. Materialet borde inte filtreras av EU-centret eftersom även oskyldiga bilder kan innehålla information som någon gång kan bli användbart.”
EU-parlamentet: “kommissionen var ute efter massövervakning”.
Här satt alltså EU-kommissionen och jobbade fram lagförslag tillsammans med ett Europol som ville ha tillgång till all övervakning oavsett om den innehöll något olagligt eller ej – eftersom det kunde vara bra att ha. Det visade sig handla väldigt lite om barnen.
När granskningarna av EU-kommissionens direkt odemokratiska tillvägagångssätt publicerades svarade Ylva Johanssons kontor vid EU-kommissionen med att annonsera på plattformen X (tidigare Twitter). De riktade annonser (för chat control) så att beslutsfattare i olika länder skulle se dem, men också så att människor som misstänktes vara starkt emot förslaget skulle undgå dem. Annonseringen riktades också utifrån religiös och politisk tillhörighet och bröt alltså mot EU:s egna lagar gällande micro-targeting.
Tjänstemän på högsta EU-nivå använde alltså insamlad data av big tech för att försöka skapa olagliga filterbubblor utformade för att driva igenom ett massövervakningsförslag. Det hela slutade med att Ylva Johansson kallades till utfrågning i EU-parlamentet. Ett nästintill enat Europaparlament öste massiv kritik över Ylva Johansson och hennes tillvägagångssätt. Hon ställdes mot väggen för Thorns inblandning, för de riktade annonserna och EU:s ombudsman underkände EU-kommissionens ovilja att dela med sig av allmänna handlingar gällande förhållandet med Thorn (EU-kommissionen tyckte det skulle sekretessbeläggas eftersom det riskerade att undergräva kommersiella intressen …). Ylva Johansson svarade med: tänk på barnen.
I november 2023 kom EU-parlamentets ställningstagande. I en närmast historisk enighet gick samtliga grupper i parlamentet ut tillsammans och sa nej till lagförslaget. På presskonferensen sa representanter från parlamentet att “det här är ett slag i ansiktet för kommissionen, en kommission som inte fokuserade på att skydda barnen utan som var ute efter massövervakning”. Patrick Breyer, som varit den mest aktiva motståndaren i parlamentet, kallade det en “seger för barnen, som förtjänar ett effektivt förslag som upprätthåller och respekterar rättigheter och som håller i rätten”.
Breyer hänvisade till att chat control med högsta sannolikhet inte skulle hålla i domstol om lagförslaget hade röstats igenom. Bara några månader senare kom en dom från Europadomstolen som slog fast att myndigheter inte har rätt att kräva tillgång till end-to-end-krypterad kommunikation.
Tyvärr innebar inte parlamentets tydliga ställningstagande emot chat control att kampen var över. I EU är det två instanser som är med och tycker till om lagförslag från EU-kommissionen: EU-parlamentet och Ministerrådet. Och i Ministerrådet var tongångarna annorlunda. Samtidigt som parlamentet i tydlig enighet gick emot förslaget fortsatte Ministerrådet att bråka om en gemensam hållning. Gång på gång försökte man komma fram till kompromissförslag som i det stora hela skulle innebära ett införande av chat control. Däremot blev det uppenbart att inte ens Ministerrådet trodde på Ylva Johanssons knarkhundar, när delar av rådet föreslog att scanningen borde undantas politiker, poliser och underrättelsetjänst, samt allt som klassades som “professionella hemligheter”. Uppenbarligen fanns det politiker som var rädda för att deras hemligheter skulle läcka, men som däremot inte hade något emot att massövervaka folket. Patrick Breyer var tydlig i sin respons: “de här personerna är medvetna om att chat control innebär otillförlitliga och farliga algoritmer – och ändå är de redo att släppa lös dem på medborgarna.”
När ett samlat ställningstagande från Ministerrådet drog ut på tiden närmade sig det där slutdatumet som Ylva Johansson hade pratat om i debatterna. Gång på gång hade hon argumenterat för att EU skulle ”go dark” i jakten på brottslingar om inte chat control skulle antas – eftersom den rådande lagstiftningen (den frivilliga scanningen) skulle gå ut sommaren 2024. Gick hon därmed ut, sommaren 2024, och sa att nu var det över? Så klart inte. Snabbt och lätt gjorde hon det som tidigare varit helt utom räckhåll i hennes argumentation: hon gick in och förlängde den tidigare lagstiftningen.
Nytt försök till massövervakning via initiativet “Going Dark”
Samtidigt som EU:s medlemsländer försökte komma fram till olika kompromissförslag för att kunna införa chat control var de också med och arbetade på en plan B och nya försök till lagar för massövervakning. Under Sveriges EU-ordförandeskap våren 2023 initierades ett projekt som fick namnet “Going Dark”. Tanken från det svenska ordförandeskapet var initialt att en så kallad High Level Expert Group skulle sjösättas. Uppdraget att sätta ihop gruppen gick till EU-kommissionen som direkt plockade bort “Expert”. Istället för en High Level Expert Group bildades en High Level Group. Som tidningen Netzpolitik uttryckte det: “att ta bort ordet Expert är ingen liten detalj: speciella regler gäller expertgrupper, till exempel när det kommer till transparens, regler som däremot inte gäller High Level Groups.”
Återigen valde EU-kommissionen att inleda ett förarbete kopplat till övervakning utan att på allvar låta experter vara en del av processen. När gruppen samlades en första gång slog man fast att gruppens syfte var att diskutera metoder för att “få tillgång till data som kunde effektivisera arbetet för rättsväsendet, guidat och baserat på inputs från EU-medlemsländerna.”
Några utmaningar pekades ut som särskilt angelägna: tillgång till krypterat material (såväl sparad data som kommunikation), datalagring, location data och anonymisering (inklusive vpn och darknet).
Gruppen delades in i tre arbetsgrupper: den första skulle jobba med tillgång till data i användares enheter (dator och mobil), grupp två skulle fokusera på tillgång till data i tjänsternas system (meddelandeapparna till exempel), tredje gruppen skulle diskutera tillgång till data i förflyttning.
Enligt mötesprotokoll från den svenska riksdagens EU-nämnd arbetade gruppen “för att presentera verksamma rekommendationer inför tillträdet av den nya kommissionen 2024 och för att de rekommendationerna sedan ska genomföras.”
Kommande lagstiftningsförslag från EU-kommissionen kan alltså antas handla om att ge tillgång till data i användarnas enheter, meddelandetjänsternas system och data i förflyttning. Patrick Breyer, som jobbat hårt med att motverka chat control, menade att gruppen bara var en förlängning av tidigare övertramp och att “Going Dark” arbetade för att införa olaglig massövervakning. När han begärde ut dokument från gruppens möten och vilka som deltagit fick han tillbaka sekretessmaskerade uppgifter. EU-kommissionen hade alltså satt ihop en arbetsgrupp som jobbade för massövervakning av folket samtidigt som de inte var transparenta gällande vilka som ingick i gruppen. Det var en repig skiva. Borta var den tidigare ursäkten “tänk på barnen”, men målet var detsamma.
En del insyn gick däremot att få via det svenska justitiedepartementet som på Mullvad VPN:s förfrågan lämnade ut såväl mötesanteckningar som uppgifter om vilka svenska representanter som fanns med i mötena.
Där framgår det att det första “Going Dark”-mötet leddes av två personer. Den ene var Olivier Onidi, som är biträdande general direkt under Ylva Johansson i EU-kommissionen. Onidi har dels uttryckt att “det värdefulla” med chat control är att “förslaget täcker alla former av kommunikation, privat kommunikation inkluderat”, dels gick han ut och försvarade Ylva Johansson och chat control när han sa: “Jag tycker det är totalt orättvist att peka ut det här som en obligatorisk kontroll av all privat kommunikation. Det är inte vad ni har framför er. Det här förslaget är en oerhörd förbättring jämfört med nuvarande situation.”
Onidi har också ifrågasatts för sina möten med det amerikanska bolaget Palantir (ökända för sin inblandning i amerikanska myndigheters olagliga massövervakning).
Den andre personen som ledde det första “Going Dark”-mötet var Anna-Carin Svensson, internationell chefsförhandlare vid det svenska justitiedepartementet, och som enligt Wikileak-dokument 2010 ska ha uppmanat amerikanska utrikesdepartementet och FBI att fortsätta med ett rådande informellt informationsutbyte länderna emellan istället för att skriva formella avtal. Enligt de amerikanska företrädarna på mötet handlade det om att undanhålla den svenska riksdagen informationen:
“Hon trodde att, givet den svenska grundlagens krav på att presentera ärenden av vikt för nationen inför riksdagen, och i ljuset av den pågående kontroversen om den nyligen beslutade FRA-lagen, kommer det vara politiskt omöjligt för justitieministern att inte låta riksdagen granska några datautbytesöverenskommelser med USA. Enligt hennes åsikt kan offentliggörandet av det här också äventyra de informella informationsutbytena”, stod det i de läckta dokumenten.
Enligt dokumenten frågade Anna-Carin Svensson FBI om de inte kunde fortsätta använda sig av de starka men informella arrangemangen. När dokumenten läckte förnekade Svensson allt och svarade: “hur amerikanerna uttrycker sig kan inte jag stå för”.
Från svensk sida var justitiedepartementet representerat på “Going Dark”-mötena, men även säkerhetspolisen (Säpo) och polismyndigheten. Tillsammans med representanter från de andra medlemsländerna använde de High Level Group-mötena till att diskutera hur krypterade tjänster via lagstiftning skulle kunna krävas på att tillhandahålla data i läsbart format. Flera medlemsstater framförde att “arbetsgrupperna behövde titta på lösningar som innebar “laglig tillgång genom design”. Det var något som gladde amerikanska representanter.
Med på “Going Dark”-mötet den 21 november 2023 fanns nämligen även en tidigare anställd vid FBI som sa att “lösningar för laglig tillgång borde prioriteras” och att “företagen behövde ha ett ansvar och följa samma regler”. Som tidigare FBI-anställd framförde han också “sin tacksamhet över att frågan drevs inom EU.”
Europas samlade polischefer: vi kan inte acceptera att kriminella använder säker kommunikation.
“Going Dark”-mötena mynnade ut i ett utspel från Europas samlade polischefer. I april 2024 gick Europol ut med uppmaningen “European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out”. Deklarationen var en “direkt förlängning av initiativet Going Dark” och tillsammans var de europeiska polismyndigheterna tydliga med att “även om kryptering stärker cybersäkerheten och den personliga integriteten så accepterar vi inte ett binärt val mellan cybersäkerhet eller personlig integritet å ena sidan, och den allmänna säkerheten å andra sidan. Absolutism hjälper inte någon av sidorna.”
Det var som om Ylva Johanssons knarkhund fått upp vittringen igen. I frånvaro av expertis försökte Going Dark-initiativet trixa bort det faktum att end-to-end-kryptering är absolut – antingen har man säker kommunikation eller så har man det inte.
De samlade polischeferna pekade ut två nyckelfaktorer för att uppnå onlinesäkerhet, vilka var direkta upprepningar av resonemang i Going Dark-diskussionerna. Nummer 1: så kallad laglig tillgång till techbolagens lagrade data. Nummer 2: scanning i realtid av olaglig aktivitet i techbolagens tjänster. Allt skulle givetvis ske under starka skyddsåtgärder och tillsyn.
Representant för den svenska polismyndigheten var Stefan Hector som gick ut och sa att “ett samhälle kan inte acceptera att kriminella idag har ett utrymme att kommunicera säkert i syfte att begå grova brott.” En vecka senare avslöjades det att den svenska polisen infiltrerats och läckt till kriminella.
Trots att FN klassar kryptering som en mänsklig rättighet gick Going Dark-initiativet och den samlade europeiska poliskåren ut till strid för att knäcka end-to-end-kryptering. Deras första utspel var rentav en reaktion på att Meta rullade ut just end-to-end-kryptering.
Europols utspel var dock bara en första fingervisning. I slutet av maj 2024 mynnade Going Dark-initiativet ut i 42 rekommendationer som EU-kommissionen ska ha med sig i sitt arbete för framtida lagförslag. I dokumentet går det bland annat att läsa att kryptering gör det svårare för myndigheter att få tillgång till innehållsdata i realtid, inte minst gällande meddelandetjänster som använder sig av end-to-end-encryption. I dokumentet går det också att läsa att myndigheter behöver ha tillgång till data en clair (alltså i klartext) via ”lawfull access without weakening privacy”. Going Dark-initiativet pratar om principen “security through encryption and security despite encryption” som en central grundsten.
Going Dark-initiativet visar alltså upp samma tendenser som chat control-förslaget. Experter har än en gång stängts ute från diskussionerna och ministrar och polisrepresentanter har återigen missat huvudpoängen: antingen är end-to-end-krypterad kommunikation privat och säker – eller så är den inte det.
Lösningen som Going Dark-initiativet (precis som chat control) är ute efter är scanning som sker innan kommunikationen skickas iväg. Med det argumentet menar de att krypteringen inte har brutits. Men det skulle innebära att hela poängen med krypteringen har brutits. Om kommunikation scannas av innan den skickas är den inte privat och säker.
Going Dark-initiativets 42 rekommendationer pratar om hårdare konsekvenser mot de meddelandetjänster som inte ger ”laglig tillgång” till deras data. Och om de ska upprätthålla sin princip om “security through encryption and security despite encryption” återstår egentligen bara två uppenbara metoder för sådan access. Antingen genom så kallade bakdörrar till systemen – där myndigheter har tillgång att ta sig in i tjänsternas system för att ta en titt på datan, alternativt via ”extranycklar” till de end-to-end-krypterade konversationerna. Eller så är det en så kallad klientscanning, en scanning som sker i användarens app på själva datorn eller telefonen. Klientscanningen skulle också kunna ske på själva operativsystemet – vilket skulle göra det enklare för myndigheterna; för då skulle allt som händer på telefonen kunna avlyssnas i ett svep. Ungefär som när Microsoft börjat utveckla sin feature Recall som kör en printscreen av skärmen varannan sekund.
Att införa den här typen av statliga spionverktyg på EU-invånarnas telefoner skulle inte bara innebära att allas personliga integritet är förlorad. Det skulle också innebära stora säkerhetsrisker. Det här borde massövervakningsförespråkarna veta vid det här laget. Ekona från chat control-debatten är bokstavliga. Men det är också ett eko från en äldre strid.
Going Dark-initiativet är egentligen bara en förlängning av det så kallade kryptokriget (kriget mot kryptering) som amerikanska myndigheter deltagit i sedan internets intåg. Som Signals vd Meredith Whittaker uttrycker det i ett föredrag:
“Kryptering var avgörande för att kunna ha ett kommersiellt internet. Men brottsbekämpningen och säkerhetstjänsterna såg alla nätverk som är resistenta mot statlig övervakning som ett hot och ett problem.”
De amerikanska myndigheterna har redan testat bakdörrarna som det europeiska Going Dark-initiativet nu är ute efter. De har redan fått bevis på att det inte går att införa dem på ett säkert sätt utan att fientliga stater eller hackare kan nyttja dem. Edward Snowden avslöjade att NSA la 250 miljoner dollar varje år på att få techbolag att installera bakdörrar i sina tjänster, vilket också blottade riskerna med just bakdörrar. 2010 lyckades kinesiska hackare att använda en bakdörr hos Google för att ta sig in i Gmail. Samma sak 2005 när statlig övervakning av Vodafone utnyttjades av utomstående för att bugga den grekiska premiärminister och hans utrikesminister, justitieminister och hundra andra regeringsmedlemmar.
Going Dark-initiativet kanske väljer att gå på så kallad client-side scanning istället; för att scanna direkt i apparna på användarnas telefoner, eller till och med scanna hela operativsystemet. Det här är också en övervakningsmetod som, förutom att innebära statlig spionvara på allas telefoner, också skulle misslyckas ur ett säkerhetsperspektiv. Det skulle inte gå att hålla privat och säkert. Detta vet vi eftersom Apple, som är ett av världens mest tekniska och förmögna företag, har slängt otroliga resurser på att reda ut om det går att göra på ett säkert sätt. När Apple gjorde sin satsning publik tog det hackare två veckor att ta sig in. Apple gav upp försöket och säger nej till alla som ber dem att testa igen – eftersom det är för enkelt att hacka system där klientscanning förekommer.
Going Dark-initiativets ambitioner att införa bakdörrar och klientscanning är inte förenligt med EU-lagar och mänskliga rättigheter. Men istället för att arbeta på lagförslag som inte bryter mot mänskliga rättigheter har Going Dark-initiativet fokuserat på propaganda för att få igenom sina kommande lagförslag. I läckta dokument framgår vikten av att ”sätta rätt narrativ” och att man ska ta fram en ”communication strategy that underlines that the recommendations aim to protect fundamental rights”. Ett snabbt tips från Mullvad VPN: ta fram lagförslag som inte bryter mot mänskliga rättigheter – sen är det bara att gå ut och visa upp dem.
Going Dark-initiativet är ute efter lagförslag som dömts som olagliga och som bryter mot mänskliga rättigheter. De är en sen svallvåg efter Snowdens avslöjande, som i mångt och mycket förändrade internet. Efter Snowdens visselblåsning blev krypterade hemsidor (https) standard. End-to-end-krypterade meddelandetjänster som Signal fick ett allmänt uppsving. Apple började använda stark kryptering i sina operativsystem. Från att ha haft i princip fri tillgång till människors internettrafik (om de inte använde en trovärdig vpn vill säga) och från att ha kunnat läsa människors meddelande sinsemellan i klartext blev nu internet svårare för amerikanska myndigheter att massövervaka.
I sitt föredrag pekar Meredith Whittaker på en viktig poäng: “Stark kryptering var en viktig vinst. Men resultatet av vinsten blev inte integritet. Arvet från kryptokrigen var att vi klev in i den kommersiella massövervakningens tidsålder. Makten att möjliggöra – eller kränka – den personliga integriteten lämnades i händerna på företag, inte i händerna på de som förlitar sig på deras tjänster. Företag som gavs incitament att implementera övervakning i form av reklam och kommersiell handel.”
I mer än tjugo år har den så kallade kommersiella massövervakningen skapat några av världshistoriens rikaste företag. Att Meta rullar ut end-to-end-kryptering innebär inte att de övergett sin affärsmodell. Men det var tillräckligt för att de europeiska polischeferna, påhejade av amerikanska myndigheter, skulle gå ut i samlad trupp och kräva laglig tillgång till innehållet i säker och privat kommunikation. Meredith Whittaker igen:
“Våldsamheten i den attack som nu sker mot end-to-end-krypteringen, och andra integritetsbevarande tekniker, är relaterat till önskan från vissa i den amerikanska regeringen att återvända till den mindre begränsade tillgång till övervakning som de ser att de har förlorat efter Snowdens avslöjanden.”
Vi ser attacken komma i Europa nu. Men rörelsen har sin bas i USA. Redan 2014, bara ett år efter Snowdens avslöjanden, gick FBI-chefen James Comey ut och pratade om “det växande problem som kryptering innebär för brottsbekämpande myndigheter som vill ha laglig tillgång till elektronisk kommunikation.”
De amerikanska myndigheterna som 2014 nyligen blivit påkomna att spionera på precis hela världen använde sig av ett speciellt uttryck när de började lobba för att åter få tillgång till att kontrollera allt och alla utan större ansträngning. FBI-chefen Comey pratade om “Going Dark”.