torsdag, juni 27, 2013

Om SIUNs granskning av FRA

Flera medier har rapporterat om SIUNs granskning av mot FRA. FRA skriver om det på sin egen hemsida och länkar till en sammanställning av SIUNs granskningar. Det mest intressanta står i Metro men som ej återfinns i dokumentet:
FRA prickas även för att ha använt känsliga personuppgifter på fel sätt vid utvecklingen av signalspaningsteknik.
För de som följt frågan har det framgått att FRAs utvecklingsverksamhet omfattar väldigt stora mängder kommunikation, närmare bestämt trafikdata. Datainspektionen skriver i sin granskning den 6 december 2010 följande.
Sökbegreppen vid inhämtning av trafikdata är mer generella än vid inhämtning av meddelanden och medför en omfattande behandling av personuppgifter hos FRA. Det innebär i sin tur att det finns en relativt hög sannolikhet för att de personer som kommunicerar i de signalbärare som FRA bedriver inhämtning mot, kommer att få uppgifter om sin kommunikation sparad hos FRA i form av trafikdata.
Det är orden "relativt hög sannolikhet" och "spara" som är intressanta i ovanstående stycke. Jag skulle gärna läsa mer i SIUNs granskning i denna del. Jämför gärna med vad Runar Viksten, chef för Försvarsunderrättelsedomstolen säger i DN om signalbärare (fibrer) och mängden kommunikation som berörs.
Det är oerhörda mängder information som kokas ned genom automatisk databehandling som filtrerar den. Tekniken syftar till att bara få fram det som är relevant för analytikern. De tillstånd som FRA får gäller inte alla kablar eller hela kablar, utan trafiken i en viss fiber. Men i varje fiber går det väldigt mycket information.
Uppdatering. Av min twitterkommunikation med DN-reportern Ewa Stenberg framgår att hon misstror att FRA lagrar stora mängder trafikdata. Idag har hon också skrivit en artikel där FRA-chefen Ingvar Åkesson förklarar hur hans organisation arbetar med att förebygga läckor. Jag anser att Åkesson har rätt strategi gentemot sin egen organsation, dvs han kommunicerar med sina medarbetare vad verksamheten går ut på vilket inte skett tidigare i samma omfattning då information  hölls sektoriserad i FRAs olika enheter. Strategin kan dock misslyckas om väsentliga delar undanhålls media och allmänheten, t.ex. omfattningen av trafikdatalagringen. Jag anser att FRA på egen initiativ borde offentliggöra hur omfattande denna verksamhet är. Jag har uppfattat att FRA anser att detta skulle skada deras verksamhet eftersom det skulle röja myndighetens kapacitet. Jag håller inte med, andra länders underrättelseorganisationer behärskar själva denna typ av övervakning. Bland de saker som fortsatt förtjänar att hållas hemliga är 1) vilka specifika elektroniska adresser, telefonnummer, personer och organisationer som FRA spanar på samt 2) vilka kryptokoder som FRA kan forcera.

lördag, juni 22, 2013

Reportage om drönare

Tidningen Advokaten har ett reportage som om drönare där jag bidrar med några kommentarer. Artikeln återger diskussionen om drönare i som hälls samband med seminarium den 14 maj 2013 arrangerat av Folk och Försvar.

torsdag, juni 20, 2013

Folkmordsdom i Stockholms tingsrätt

Stockholms tingsrätt ska idag kl. 11 meddela dom i mål som rör folkmord vilket blir första gången ett sådant brott prövas i svensk domstol. När svensk media har rapporterat om saken har ibland jämförelser gjorts med det norska mål som avgjordes den 14 februari 2013. Här finns en bakgrund till målet, bl.a. varför brister i norsk lagstiftning gjorde att den tilltalade åtalades för mord och inte folkmord.

Finns det fler fall i nationella domstolar vid sidan av de mål som avgjorts vid den internationella tribunalen för Rwanda (ICTR) i Arusha?

Viss vägledning kan man få genom Oxford Reports on International Law (som jag har bidragit till). Då hittar jag följande fall.

1. Kanada, Munyaneza, 22 maj 2009. Målet gällde folkmord, krigsförbrytelser och brott mot mänskligheten i prefekturen Butare, Rwanda. Den tilltalade fälldespå samtliga åtalspunkter.

2. Rwandas överinstans (Ruhengeri ej att förväxla med ICTY). Semivumbi m.fl. Målet gällde folkmord. Fyra av de fem tilltalade fälldes för folkmord, en frikändes.

Därutöver finns en rad fall som gäller prövning av uppehållstillstånd/asyl avseende personer som misstänks ha medverkat i folkmordet samt utlämning av personer till Rwanda för rättegångar avseende folkmord i nämnda land.

Nedan finns andra fall som rör folkmord men inte Rwanda.

1. Nederländerna, Van Anraat, 9 maj 2007, Målet gällde en nederländsk affärsmans inblandning i användning av kemiska vapen gentemot och folkmordet av kurder i Irak. Van Anraat friades vad avser folkmord men fälldes för medverkan till krigsförbrytelser.

2. Tyskland, Sokolović, 21 februari 2001. Målet gällde folkmord i Bosnien och Hercegovina. Den tilltalade dömdes för medverkan till folkmord och krigsförbrytelser.

3. Tyskland, Jorgic, 12 december 2000, Målet gällde bl.a. folkmord i Bosnien och Hercegovina. Den tilltalade dömdes för flera brott, inklusive folkmord.

Här finns mina tidigare inlägg om folkmord och denna post rör det nu aktuella målet.

För journalister som vill skriva om dagens dom skulle jag rekommendera ett samtal till domare Lennart Aspegren. Han var domare i Akeyesumålet vid ICTR, det var den första domen någonsin med rubriceringen folkmord i en internationell tribunal/domstol. I Nurnberg åtalades inte under rubriceringen folkmord eftersom begreppet "folkmord" ej var etablerat när Nurnbergtribunalens stadga författades. Akeyesumålet är en av de största milstolparna vad avser internationell rättvisa. Jag anser inte att vi i Sverige har visat tillräckligt mycket värde och intresse i att en svensk var en av tre domare som avkunnade denna historiska dom. Stockholms Universitet gör sin del genom att Aspegren blir hedersdoktor med promovering den 27 september 2013, läs mer här. Lennart Aspegren medverkar också på Stockholms Universitets specialkurs "International Criminal Law" för vilken jag är kursföreståndare.

För lättillgänglig bakgrundsinformation om brottet folkmord skulle jag rekommendera utredningen "Internationella brott och svensk jurisdiction", SOU 2002:98, särskilt del B avsnitt 10.2 sid. 232-234.

Uppdatering. Här är intervju med mig i Expressen and SR Radio Sweden.

måndag, juni 10, 2013

Does FISA grant direct access to the servers of internet service providers?

A key question is whether FISA grants direct access to the servers of internet service providers. It is always difficult for legal scholars to analyse the law in foreign jurisdictions, in this case US law. I have for some time sought the provision in FISA which obligates communication service providers (CSPs) to grant NSA access to their fibre optic cables. In the Verizon court order disclosed by the Guardian there is a reference to 50 USC § 1861 but that provision concerns the production of tangible things such as records, but arguably not direct access to fibre optic cables or the entire network of a CSP. I believe that the relevant provision needs to be sought elsewhere in FISA.

In Sweden the relevant provision is to be found chapter 6 section 19(a) of the Electronic Communications Act (2003:389). It provides that the CSPs (such as TeliaSonera and Bahnhof) are under an obligation to transfer all cable communication crossing Swedish borders to certain “interaction points” (black boxes), which may include communication where the sender or receiver is in Sweden. See also section 4.3.1 in this article.
 

I thing that I have now found the relevant provision in FISA. It is 50 USC § 1881a (see also section 702 of the FISA Amendments Act)
(h) Directives and judicial review of directives
(1) Authority  
With respect to an acquisition authorized under subsection (a), the Attorney General and the Director of National Intelligence may direct, in writing, an electronic communication service provider to—
(A) immediately provide the Government with all information, facilities, or assistance necessary to accomplish the acquisition in a manner that will protect the secrecy of the acquisition and produce a minimum of interference with the services that such electronic communication service provider is providing to the target of the acquisition; and 
(B) maintain under security procedures approved by the Attorney General and the Director of National Intelligence any records concerning the acquisition or the aid furnished that such electronic communication service provider wishes to maintain.
See also the subsections on challenges to directives.
(4) Challenging of directives
(A) Authority to challenge  
An electronic communication service provider receiving a directive issued pursuant to paragraph (1) may file a petition to modify or set aside such directive with the Foreign Intelligence Surveillance Court, which shall have jurisdiction to review such petition. 
[...]
(5) Enforcement of directives
(A) Order to compel  
If an electronic communication service provider fails to comply with a directive issued pursuant to paragraph (1), the Attorney General may file a petition for an order to compel the electronic communication service provider to comply with the directive with the Foreign Intelligence Surveillance Court, which shall have jurisdiction to review such petition.
(B) Assignment  
The presiding judge of the Court shall assign a petition filed under subparagraph (A) to 1 of the judges serving in the pool established under section 1803 (e)(1) of this title not later than 24 hours after the filing of such petition.   
(C) Procedures for review  
A judge considering a petition filed under subparagraph (A) shall, not later than 30 days after being assigned such petition, issue an order requiring the electronic communication service provider to comply with the directive or any part of it, as issued or as modified, if the judge finds that the directive meets the requirements of this section and is otherwise lawful. The judge shall provide a written statement for the record of the reasons for a determination under this paragraph.
I believe that the interpretation of the term "electronic communication service provider" is crucial. Should it be interpreted narrow to only include CSPs such as Verizon and ATT (comparable with TeliaSonera and Bahnhof) or a more broad interpretation that also includes other internet service providers such as Google, Facebook, Microsoft and Skype? From the reaction of the latter companies and US Government it appears as the provision is interpreted narrowly. If this is true, the US Government would make a great favour to it self and this debate if it made the relevant court orders (and interpretation of such orders) public.  This is not only of interest to the American public, we have some Google, Facebook, Microsoft and Skype users in Sweden as well.

In comparison, I find the Swedish law more clear on this matter, it only concerns cables crossing Swedish borders, not servers of other internet service providers (Facebook has servers in Sweden, see this article).

I would be happy for any US scholars to correct any errors in this post on FISA.

Update 1. Marcus Jerräng pointed me to the fact that the US Director of National Intelligence (DNI) makes an explicit reference to section 702 of FISA in relation to the PRISM program which suggests a broad interpretation. At the same time the DNI is describing it in terms of "targeted acquisition". Is this a contradiction? The access can arguably be broad at the same time as the subsequent targeting of specific individuals (i.e. collection and storage of content data at the NSA) is narrow. That is how understand the operations of the FRA (the Swedish counterpart to the NSA).

Update 2. I have now found a blog post of Orin Kerr, professor at the George Washington University Law School, an expert on computer crime law and internet surveillance. He writes the following:
It sounds like the PRISM program is the way of implementing the statute [FISA Amendments Act of 2008], now codified at 50 U.S.C. 1881a
In other words, the PRISM program is legal.

Update 3. Here is a very interesting paper written by Joris Van Hoboken, Axel Arnbak and Nico Van Eijk, They also discuss the PRISM program in relation to FISA 50 USC 1881a (section 702).

lördag, juni 08, 2013

Comments on the NSA Prism program and Verizon court ruling

The Guardian and the Washington Post have on Thursday disclosed two very interesting documents that reveal two separate, probably interrelated, surveillance programs run by the NSA. The first document is a court order that forces Verizon to hand over phone records of millions of US customers. The second document contains selected slides from a slide PowerPoint presentation on a previously undisclosed program called PRISM. I have commented upon the story in Sveriges Radio P1 Studio Ett.

Update Sunday, June 9th, 2013. If one listens to the interview with me from Friday at 04.38-6.10, you can hear that I find the information about Verizon reliable because it confirms what has been revealed before from other sources (see for example USA Today May 10th, 2006). The documents disclosed by the Guardian strengthens this story. I am more cautious in the interview in relation to the claim that the NSA through the PRISM program has direct access to the servers of internet service providers such as Google, Facebook, Microsoft and Skype because the documents (i.e. the PowerPoint presentation) is scant on the scope and mode of these operations.

It appears as I am not the only one who is cautious in relation to the original PRISM story. Ed Bott writes that the same day (Friday June 7th 2013) Washington Post changed key details in the PRISM story. After comparing the original and the edited versions of the Post's article, Bott's conclusion is that the Washington Post "leaked PowerPoint presentation from a single anonymous source and leaped to conclusions without supporting evidence". Barton Gellman, who co-wrote the Washington Post’s story, later told the Huffington Post that he “started to hear some footsteps [from the Guardian], so I had to move” and said he "would have been happier to have had a day or two” more to work on the PRISM story. In other words, the story was published prematurely. Gellman co-authored on Saturday a new article based with a different narrative on how it works:
According to a more precise description contained in a classified NSA inspector general’s report, also obtained by The Post, PRISM allows "collection managers [to send] content tasking instructions directly to equipment installed at company-controlled locations," rather than directly to company servers. ... According to slides describing the mechanics of the system, PRISM works as follows: NSA employees engage the system by typing queries from their desks. For queries involving stored communications, the queries pass first through the FBI’s electronic communications surveillance unit, which reviews the search terms to ensure there are no U.S. citizens named as targets.
If this description is correct, the PRISM program is more targeted and narrow in scope compared to how it was described initially.

This story is very similar to the debate we had 2008 in Sweden on surveillance run by the FRA (the Swedish national authority for Signals Intelligence). My conclusion is that intelligence agencies and the politicians that have insight and power over these programs need to be more transparent if they want to continue with programs they perceive as legitimate. Otherwise we are sure to see more future "scandals" in this area, even in cases when the operations are run in accordance with the law. A good start for Government (in the U.S., Sweden and elsewhere) would be to publicly publish on an annual basis the number of messages (content data) they intercept and how many records (metadata) they have in their databases.

Here is what I have written on the topic in English.

Update Monday, June 10th, 2013. Today I am interviewed by Sveriges Radio on Snowden and potential extradition to the U.S. from Hong Kong or Iceland.