Internet är vilda västern - för scheriffen?
Åklagarmyndigheten behandlar just nu en viktig utredning om de brottsbekämpande myndigheternas rättigheter att hacka sig in i privatpersoners IT-system.
Lagligheten i utredningsmetoder som bygger på att man försöker få tillgång till någons dator eller server över ett elektroniskt nätverk har diskuterats sedan mitten av 1990-talet, men sedan 2005 finns ett konsensus att det vore olagligt att skicka in en trojan eller andra distansadministrationsverktyg i en datorägares system utan att först ha dennes tillstånd. Enligt en utredning från 2005 gäller det även om man har husrannsakansbeslut. Två pågående utredningar, om modernisering av husrannsakansregler och om hemlig dataavläsning, har fått i uppdrag att se över huruvida det bör bli lagligt att hacka privatpersoner med stöd av husrannsakansbeslut eller tvångsmedelsbeslut.
Trots att utredningsmetoden har uppfattats vara olaglig, skedde en IT-attack mot en eller flera svensk(a) privatperson(er) 2012, som beordrats av en åklagare i ett husrannsakansbeslut. Beslutet var länge dolt från allmänheten, eftersom Åklagarmyndigheten åberopade utredningssekretess för beslutet. Sedan sekretessklassningen prövats i domstol under hösten 2016 kunde dock handlingen offentliggöras och brottet anmälas. Nu arbetar åklagarmyndigheten mot klockan: brottet preskriberas i oktober 2017, och ytterligare komplikationer uppdagades sista veckan i maj 2017.
Eftersom utredningen implicerar att en högt uppsatt tjänsteman i åklagarmyndigheten gjort sig skyldig till en brottslig handling mot en medborgare, är fallet känsligt. Riksåklagaren har ombetts skriva ett överprövningsbeslut. Men Riksåklagarens yttrande visar att åklagarmyndigheten är både förvirrad och dålig på att sätta gränser för sig själva:
- för det första är det tacksamt att utredningen ändå tillåts fortsätta.
- för det andra, förklarar riksåklagaren att Åklagarmyndigheten trots att utredningsmetoden sannolikt är olaglig nyligen har utfärdat en "FAQ" (ofta frågade frågor, på engelska) där utredare av IT-brott ombeds använda metoden "sparsamt".
- för det tredje, skriver riksåklagaren att själva existensen av en FAQ, och trots utredningen från 2005, kan innebära att åklagaren som beordrat det brottsliga tilltaget inte kan hållas ansvarig för sitt brott, eftersom han inte nödvändigtvis förstod att han agerade kriminellt.
Om riksåklagarens tredje hävd ska tas ordagrant, innebär det att den ansvariga åklagaren kan slippa åtal på grund av okunskap om lagens lydelse. Och det är inte första gången detta händer i Sverige - åklagarmyndigheten har tidigare lagt ned åtal mot högt uppsatta polischefer inom Säkerhetspolisen med hänvisning till att de varit outbildade och därför okunniga. Särskilt för rättsvårdande myndigheter ser det ut att gälla att okunskap om vad man får och inte får göra mot medborgare är ett säkert kort att slippa ansvar.
Men riksåklagarens yttrande är också problematiskt för att det verkar antyda att åklagare i Sverige kan skapa sina egna tvångsmedel när de är missnöjda med de tvångsmedel de fått av lagstiftaren. Eftersom riksdagen valde att inte skapa ny lagstiftning år 2005, borde åklagarmyndigheten ha funnit sig i att de inte får hacka människor. Istället har de producerat en "FAQ" där det står att de visst får hacka privatpersoner, om de gör det sparsamt.
Samma yttrande sätter också ett likamed-tecken mellan åtgärder mot IT-system som kanske juridiskt kan vara besläktade, men som tekniskt har mycket annorlunda konsekvenser för systemägaren. Till exempel går det redan idag, inom ramen för en intrångsundersökning, att begära åtkomst över ett elektroniskt kommunikationsnät till ett IT-system, så som en molnserver. Då sker åtkomsten på det anklagade företagets premisser, och det anklagade företaget kan skapa särskilda inloggningsuppgifter till den som ska söka igenom systemet och sedan avaktivera dessa så fortintrångsundersökningen är över.
När åklagarmyndigheten begär en installation av en trojan eller distansadministrationsverktyg i ett IT-system utan att systemägaren är närvarande eller har givit tillåtelse, då kan systemägaren inte återställa systemet efteråt. Det är inte ens säkert att systemägaren märker att åklagarmyndigheten försökt ta över datorn.
Sammanfattningsvis är det här ett bekymrande fall som illustrerar två viktiga tillkortakommanden i de svenska brottsbekämpande myndigheternas verksamhet. Det ena är att de inte förstår vilka tekniska skador de kan orsaka på IT-system genom att vidta olika sorters åtgärder, och varför det är viktigt att de inte gör mer skada än de måste och hur de kan åtgärda det. Men det andra, och allvarligare, är att de också övertygat sig själva om att de är sina egna lagstiftare.
Talesättet att internet är vilda västern verkar det tyvärr ligga mycket i, om man ser till scherifferna.
Dataskydd.net framförde tillsammans med Föreningen för digitala rättigheter synpunkter och förslag till den pågående utredningen om modernisering av beslags- och husrannsakanslagstiftningen med avsikten att få ett regelverk som tar tillvara på konsumenters och privatpersoners intresse av dataskydd och informationssäkerhet, även vid användning av hacking som utredningsmetod.
Läs mer:
Det omtvistade husrannsakansbeslutet (17.10.2012):
https://dataskydd.net/sites/default/files/am_52124_12_284_maskad.pdf
Beslutet om att återuppta förundersökning om dataintrånget/tjänstefelet (22.03.2017):
https://dataskydd.net/sites/default/files/1381_001.pdf
Riksåklagarens överprövningsbeslut av förundersökningen (29.05.2017):
https://dataskydd.net/sites/default/files/3040_001-1.pdf
Dataskydd.net:s och DFRI:s inlaga till utredningen om modernisering av beslag och husrannsakan (25.05.2016):
https://dataskydd.net/sites/default/files/dir201620_dfri_dataskydd_slutg...
Dagens juridik, Husrannsakan "på distans" eller dataintrång? Förundersökning mot åklagare ska fortsätta (09.06.2017):
http://www.dagensjuridik.se/2017/06/husrannsakan-pa-distans-eller-datain...
Ds 2005:6, Brott och brottsutredning i IT-miljö. Europarådets konvention om IT-relaterad brottslighet med tilläggsprotokoll:
http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...