Bakdörrar skapar it-kris

Djup oro för övervakningens effekter

Sammanslutningen av tekniska experter uttrycker en djup oro över vad som blivit känt om NSA:s övervakning.

"Vad vi har lärt oss om denna övervakningsapparat visar att det är komplext, systematiskt och ytterst avancerat", skriver gruppen i promemorian som överlämnast till Obamas granskningsgrupp. "Det omfattar stora insamlingsåtgärder, riktad bearbetning av system samt kraftfulla tekniker som höghastighetsfiltrering av internettrafik och nätverksutrustning och intrångstekniker som man-in-the-middle-attacker med falska X.509-certifikat och plantering av bakdörrsmekanismer i mjukvara och hårdvara ."

Bruce Schneier, säkerhetsguru

Man skriver också att man hoppas att granskningsruppen kommer att ta reda på exakt hur NSA och Storbritanniens GCHQ samlat in information, även om en fullständig redovisning troligtvis inte är möjligt med tanke på den hemlighetsfulla natur underrättelseverksamhet ändå är.

En av experterna är Bruce Schneier, teknisk chef på BT Managed Security Solutions och känd som en “säkerhetsguru”. Han är författare av flera böcker och artiklar, bland annat om NSA utifrån sin egen läsning av Snowden-dokumenten.

Han har tillsammans med resten av sammanslutningen ställt flera allvarliga frågor till gruppen som ska granska NSA. Bland annat vill man ha klarhet i om NSA hackar avlägsna servrar och om de kommer åt krypterad information utan tillstånd av, eller utan att meddela innehavaren av krypteringsnyckeln? En annan fråga är man kräver svar på är om NSA placerat analytiker eller agenter inom amerikanska företag för att underlätta att i smyg eller få tillgång till känslig säkerhetsinformation? Gör man samma sak utanför USA och sker det i samarbete med Storbritanniens GCHQ?

Mycket måste förändras

Tills vi har svar på dessa frågor handlar mycket om att själv sätta sig in i hur övervakningen fungerar. I ett senare skede menar Tomas Djurling att vi förmodligen kommer att få se förändringar i hur produkterna och tjänsterna byggs och granskas.

– Därefter måste produkter och program genomgå någon form av certifiering, som visar att de är säkra i sig. Certifieringsorganet bör vara en fristående organisation i förhållande till stater och myndigheter. I dagsläget är det få krypto-produkter och program som tillåter att kunden själv väljer eller gör en egen kryptoalgoritm. Det finns dock kunskap om detta på marknaden.Det gälleer bara att välja någon som faktiskt kan. För att valet ska bli rätt kommer många att behöva hjälp med upphandlingen.

Johan Sigholm håller med om att tilliten är en mycket viktig faktor.

– Tilliten till de produkter och tjänster som vi använder i våra dagliga liv är givetvis viktig, såväl på individnivå men även i ett större perspektiv avseende ekonomisk, social och politisk samhällsutveckling. Enligt min uppfattning bör Sverige i detta avseende dra nytta av vårt tekniska kunnande och vår vilja att främja internationellt freds- och säkerhetsbyggande och ta ledartröjan genom aktivt verka för en intensifierad debatt om normer och folkrättsliga regler kring staters agerande i cybermiljön.

På vilka sätt?

– Ett konkret exempel skulle kunna var att arbeta för en gemensam standard för redovisning av metoder och omfattning av den övervakning och inhämtningsverksamhet som stater bedriver, i syfte att öka transparensen kring denna så att oberoende parter kan bedöma proportionalitet och rättssäkerhet. Det skulle åtminstone kunna vara ett steg i rätt riktning för att öka förtroendet.

Robert Malmgren menar att oron finns hos både leverantörer och kunder.

– Leverantörerna är givetvis oroliga att det påverkar försäljningen och deras varumärken. För att citera Microsofts jurist: Folk kommer inte att använda teknik som de inte litar på. Myndigheterna har allvarligt skadat tilliten och myndigheterna måste nu hjälpa till att reparera den skadan.