Den här texten publicerades första gången innan lagen hade klubbats igenom i riksdagen. Läs mer här

Utvecklingen är typisk. När tonläget ökar kring ett problem svarar politiken med drastiska motdrag. Den här gången är det gängkriminaliteten som är i fokus.

Ett problem som lett till skjutningar på öppen gata och områden där samhället förlorat kontroll.

Därför har Sveriges regering förklarat att myndigheter behöver bättre verktyg. Att avlyssna telefoner och rum hjälper inte, kriminella går bara över till Skype, Whatsapp eller andra tjänster som satt en ära i att skydda användares integritet genom att kryptera all data.

Därför ska Sverige nu få anställa, eller träna, en slags statliga hackare. Och kriminella, som misstänks för brott som ger minst två års fängelse, ska få spioneras på.

Deras digitala apparater ska hackas på ett sätt som gör att polisen kan se vad de skriver och säger – innan det krypteras. Det kan handla om att installera trojaner, eller att utnyttja säkerhetshål man hittar (eller köper).

Det kan låta självklart, polisen ska såklart kunna stoppa brottslighet, men här finns flera problem.

Polisen döljer sårbarheter som kan skada samhället

Alla appar som kodas av människor har sårbarheter. Bara den här veckan rapporterades en bugg i Whatsapp ger obehöriga tillgång till dina filer.

Med den nya lagen uppdras polisen att hitta och utnyttja den här typen av sårbarhet – innan företagen hinner lappa dem. Polisens uppdrag blir alltså att hålla tyst om sårbarheter, inte lappa dem. Det skulle kunna handla om att köpa in så kallade ”Zero days” – sårbarheter som hittas av företag och sedan säljs (lagligt) på öppna marknaden.

I andra länder i Europa har sådan försäljning gjorts olagligt, men nu kan det bli en möjlig väg för Sverige. Att köpa det är dyrt. Budgeten för gruppen som ska arbeta med det uppges vara 100 miljoner kronor om året. I en beräkning i lagrådsremissen anges att cirka 10 personer om året antas kunna åka fast med hjälp av verktyget. 10 miljoner kronor per häktning.

Staten ska eller kan alltså köpa eller hitta sårbarheter i populära verktyg för att själv utnyttja dem – men samtidigt strunta i om samma sårbarheter används av kriminella för att skada individer eller samhället.

Trojaner – ett tveeggat svärd

Att installera ett litet program i en kriminells tekniska apparatur är svårt och riskabelt. Tillvägagångssätten är olika. Det kan handla om att få den kriminella att klicka på en länk, en video som laddar ner en fil som polisen infekterat med en trojan.

Det kan också handla om att lägga en programvara i en helt ny enhet, kanske en telefon eller smart högtalare som den kriminella beställt på nätet. Polisen har varit förtegen med vilken teknik de har och enligt lagförslaget behöver de inte ens redovisa (varken för allmänhet eller domstol) exakt vilka metoder de använder – vilket är anmärkningsvärt i sig.

Men oavsett det är det uppenbart att det innebär en risk att utveckla den här typen av programvara. Det kräver enorm kompetens för att den misstänkta inte ska upptäcka en trojan och därmed ändra sina planer. Har polisen denna kompetens? Även om ansvarig minister menar att så är fallet, finns det anledning att ifrågasätta det.

För några år sedan hade den amerikanska säkerhetstjänsten NSA samlat på sig en stor mängd verktyg och sårbarheter för att komma åt kriminellas digitala tjänster. En verktygslåda som sedan läckte, och innebar stora säkerhetsrisker för medborgare.

Ska Sverige utveckla sådant som kan göra medborgare mer sårbara?

Vem är kriminell i framtidens Sverige?

Den kanske viktigaste frågan är den principiella: Hur skyddar vi medborgare från statens övergrepp? Medborgare utsätts ständigt för intrång i integritet av staten och det ska alltid viktas mot samhällets säkerhet. Det är en kompromiss som är både rimlig och självklar.

Men varje nytt intrång måste balanseras och kalkyleras med hur verktyget ser ut i både befintliga och nya beslutsfattares händer.

Detta nya intrång går längre än någon annan lag tidigare gjort. Trots det föreslås intrånget inflikas som en oproblematisk förlängning av befintlig lagstiftning.

Det innebär att ingen ny hänsyn tagits kring att detta är ett långt mycket större och djupare intrång än vad som tidigare gjorts. Eftersom förslaget bara införlivas i befintlig lagstiftning om ”tvångsmedel” vid ”inhämtning av information”, finns ingen ny utredning eller spärr som avgör om det finns särskild anledning att använda dessa nya, ojämförligt kraftfulla verktyg.

I sina remissvar skriver både Datainspektionen och Sveriges advokatsamfund att det är otillräckligt med misstanken om brott med ”minst två års fängelse” för att hacka en medborgare och att varje brott borde prövas var för sig innan kränkning. Datainspektionen menar att det endast är de allvarligaste brotten som kan kräva sådan kränkning, medan Sveriges advokatsamfund menar att det åtminstone ska vara brott som kan leda till minst fyra års fängelse på straffskalan och är ett hot mot rikets säkerhet.

I diktaturer används spionprogram för att regeringen ska hitta de med ”avvikande ideologier”. Då kan det heta att ”rikets säkerhet står på spel”, och ett ”grovt brott” kan vara att ha en avvikande åsikt.

Tänk om det kan vara tillräckligt för att hela ditt digitala liv buggas, när allt vi ville var att rösta igenom en lag som skulle fånga maffian.

Har vi diskuterat det tillräckligt?

Den här artikeln publicerades först på Emanuel Karlstens blogg - den hittar du här