Nyligen vandrade ytterligare två övervakningsnyheter runt i media. NSA påstås ha samarbetat med hårddisktillverkare om den fasta programvaran i hårddiskar under många års tid, samt kommit över krypteringsnycklar för en av de största sim-kortstillverkarna i världen.
Det är bara ännu några exempel i en lång, lång rad av avslöjanden om övervakning – avlyssningar, hackning, påverkan på krypteringsstandarder, bakdörrar i program och otillbörligt utbyte av övervakningsdata mellan länder.
Övervakningshysterin kan te sig total och jag suckar uppgivet med morgonkaffet i hand när jag ser ännu ett par nyheter om övervakning på löpet. Vad vinner jag som privatperson, eller mitt företag, på detta? Inte verkar det vara för terrorismens skull man gör det i alla fall – hur många terroristrelaterade rättegångar har det varit de senaste åren i till exempel Sverige? Stoppade det Breivik, Charlie Hebdo-dåden eller Stockholmsbombaren 2010?
Effekterna blir att istället för att vi får säkerhet, får vi det motsatta. Information om oss – vanor, kontakter, rörelsemönster och värre; sjukjournaler, lösenord, affärshemligheter och planer, kanske privata nycklar – behandlas illa och hamnar någons databas för att crackas, användas och tolkas på sätt vi inte har en aning om.
Du eller ditt företag bör ha en stor del av makten över vad och vilken information du delar med dig av. Säkerheten ska inte vara beroende av att en tjänst, program eller hårdvara du använder bara råkade ha en gräddfil in för en och annan säkerhetstjänst.
Privatpersoner, företag eller den som ska upphandla tjänster och produkter i offentlig sektor i Sverige riskerar efter Snowden-läckorna att mötas av stora problem när de längre inte kan lita på avtalstexterna gällande tjänsterna.
Att stoppa övervaknings maskineriet går inte – det är svårt att stänga godispåsen när den väl har öppnats – men vi kan försöka stärka tilliten till andra leverantörer.
En av alla bitar i det pusslet är öppen källkod. Inte för att den nödvändigtvis är mer funktionsrik eller ens mer kvalitativ. Däremot har den en egenhet som stängd källkod inte har: den kan granskas. Av många. Både företag, privatpersoner och myndigheter. Vi kan i det extrema fallet vara säkra på att den binärfil vi använder är byggd från den kod vi granskat. Den är inte modifierad. Den är det den utger sig att vara, varken mer eller mindre.
Så hur skulle det här gå till rent praktiskt, i Sverige?
- För offentlig sektor, ställ skall-krav på att upphandlad programvara ska vara öppen källkod. Det finns utmärkta hjälpmedel i de nya ramavtalen för it-relaterade upphandlingar som börjar gälla under 2015 (se www. avropa.se/Upphandlingar). Du som har ett privat företag har ju förstås friheten att välja redan.
- Ställ krav på att servrar för molntjänster och liknande står på svensk mark. Kolla upp om din information är krypterad även på servrarna.
Nu ser vi till att reparera tilliten, ett steg i taget!
BÄST:
Raspberry PI 2 - nu ännu mer lämplig för allehanda intressanta projekt och prototyper. Förhoppningsvis kan den också få en ny generation intresserad av att lära sig mer om teknik.
SÄMST:
Inga svenska regeringar bryr sig vår integritet – digitala agendor och it-råd till trots. Ett skäl är förstås att svenska myndigheter sam arbetar med bland andra NSA om övervakningen.