måndag, februari 28, 2011

Aldrich om brittisk SIGINT

Har precis fått en bok publicerad 2010 om GCHQ. Författaren är Richard J. Aldrich, professor i internationella relationer. GCHQ är den brittiska motsvarigheten till FRA. Det är som ett eko av delar av den svenska debatten.

Analys av kommunikationsmönster
På sidan 544 skriver han om IMP (Intercept Modernisation Programme).

By analysing a person's social network as defined by their telephone calls, texts and emails, and then overlaying their internet use or combining it with their credit-card activity, an enormously detailed picture can be constructed of every individual and those they associate with.
Jag skrev följande i Svensk Juristtidning 4/2009.
FRA samlar in all eller stora delar av kommunikationen och granskar vem som är i kontakt med vem. ... Uppgifter om vem som kommunicerar med vem (trafikdata) kan användas för att analysera kommunikationstrafiken varigenom en persons sociala nätverk och ställning i en viss grupp kan kartläggas och fastställas.
Datamining
I anslutning till IMP tar Aldrich även upp Datamining (informationsutvinning) på sid. 545-547.
What does the government want with all this detail? ... The answer is 'datamining', the use of computers to comb through unimaginable amounts of information looking for patterns and statistical relationships.
I förarbetena till FRAs lagstiftning används begreppet trafikbearbetning, Prop. 2006/07:4 sid. 29. I ovan nämnda artikel i Svensk Juristidning söker jag förklara vad trafikbearbetning innebär.
I en amerikansk studie beskriver National Research Council [NRC] hur brottsbekämpande myndigheter använder metoder (Data Mining) för att identifiera mönster som i regel är kopplad till terrorverksamhet. Liknande metoder för trafikanalys kan i militära sammanhang ge indikationer på att ytterligare förband förts in i ett område, eller att förband försvunnit därifrån. På sådant sätt kan myndigheter som FRA göra mer eller mindre säkra slutsatser om varför en viss kommunikation äger rum. ... Studien utförd av NRC tar bland annat upp den lagstiftning som omfattar National Security Agency (NSA) och nämnda myndighets arbetsmetoder. NSA är den amerikanska motsvarigheten till FRA. I studien uppmärksammas exempelvis att NSA samlar in uppgifter i ”NSA Call database” om miljontals amerikanska medborgares telefonsamtal, vilket liknar FRA:s insamling av tele- och datakontakter i trafikdatabasen Titan. Lagstiftningen beträffande detta område i USA respektive Sverige är förvisso olika, men det verkar som FRA och NSA har likartade verktyg och arbetsmetoder.
Reglering av underrättelseverksamhet betyder expansion
Det är också hög igenkänningsfaktor när Aldrich skriver om konsekvenserna av reglering av underrättelseverksamhet, se sid. 483-484.
By the early 1990s there was a general shift towards the tighter regulation of intelligence. ... Civil rights campaignes found this a continual source of disappointment. Having presumed that more regulation would mean more restrictions on the secret state, they soon discovered that this was permissive legislation. Being 'legit" often meant that the agencies coudl carry out even more operations.
Vem bär ansvaret?
Aldrich menar att vi själva bär ansvaret för denna utveckling. Han avslutar sin bok med följande (sid. 550).
We have all embraced the world of surveillance with remarkable eagerness, surfing the internet in a global search for a better bargain, better friends, even a better partner. ... GCHQ is simply a vast mirror, and it reflects the spirit of the age.

Sverige
Aldrich nämner FRA på fyra ställen i boken och han placerar den svenska myndigheten på en delad tredjeplats tillsammans med tyska BND när västerländska signalspaningsorganisationer rangordnas. NSA är i toppen och brittiska GCHQ intar andraplatsen (sid. 438).

Aldrich beskriver också det schwesiska bolaget Crypto AG (tidigare AB Cryptoteknik), ägt av svensken Boris Hagelin den äldre. Bolaget sålde under 1950-talet krypteringsmaskiner till ett flertal ambassader. Det verkar som NSA på 1970-talet lyckades bygga in en dold bakdörr i Crypto AGs maskiner som gjorde att amerikanerna kunde avlyssna användarna. Detta läckte till den amerikanska kongressen 1986 vilket skapade viss oreda. I detta sammanhang beskriver Aldrich hur tyskarna sökte ändra på ägarförhållandena i Crypto AG och begränsa svenska Ericssons expanderande verksamhet inom kryptoområdet. Tyska BND samverkade med NSA för att skapa bakdörrar i kryptomaskiner tillverkade i neutrala Sverige och Schweiz. Aldrich beskriver dock såväl Sverige som Schweiz som "de facto" medlemmar av NATO sedan början av det kalla kriget, vilket torde vara allmän kännedom numera (sid. 212-215). Tydligen utyttjade NSA dessa bakdörrar så sent som på 1990-talet mot Iran.

3 kommentarer:

Anonym sa...

Hej Mark.
Intressant artikel. Ska leta rätt på den där boken.

Kanske bör påpekas dock att Sverige har två SIGINT-organisationer med statstillhörighet.. en som är civil fristående myndighet placerad under fösvarsdepartementet (Försvarets Radioanstalt, FRA) - samt en militär organisation (Militärens Underrättelse och Säkerhetstjänst, MUST.. placerad under [militära] Högkvarteret).
Framgår det med tydlighet i boken vilken organisation som avses historiskt sett? Fullgör dessa SIGINT-organisationer egentligen samma uppdrag, och varför finns det två med samma uppdragsgivare? Är det egentligen inte slöseri med skattemedel att ha två organisationer som gör samma sak? Vad kan FRA tillföra som MUST inte redan tillför statsmakten? Båda uppger samma hotkällor (terrorism, bl.a bla bl.a).

Intressant att anföra apropå diskussionen är att FRA och militären [HKV] verkar ha gravt olika åsikt om vad som utgör faktisk risk för rikets säkerhet enligt sekretesslagen, och att JK gått på militärens linje i bedömningen gällande informationsläckaget från FRA till journalist vid SVT under 2008.

/AJ

Mark Klamberg sa...

Aldrich nämner FRA, men det är bara i förbifarten.

Vad jag vet har MUST inga egna SIGINT-resurser utan de kan inrikta (beställa) FRAs spaning.

Försvarsmakten har signaltrupper men vad jag förstår ingår de i armén och ligger ej under MUST, även om jag förutsätter att MUST som ingår Försvarsmaktens högkvarter när det är påkallat får information från signaltrupperna.

Jonas sa...

Apropå trafikdata. Läser följande på Siuns hemsida:

"Siun ska på begäran från enskild kontrollera om hans eller hennes meddelande varit utsatta för signalspaning. Kontrollen ska ske med utgångspunkt från de uppgifter som den enskilde lämnar. Även företag eller organisationer kan begära kontroll."

Nyckelordet här verkar vara "meddelande". Frågan är om inhämtning av trafikuppgifter inom utvecklingsverksamheten ryms inom Siuns definition. Kontrollerar verkligen Siun om någons trafikdata har lagrats kortare eller längre tid hos FRA? Det är en mycket viktig fråga, i synnerhet som flera riksdagsledamöter på sistone har framhållit denna kontrollmöjlighet för enskild.

Jag misstänker att Siuns fokus ligger på sökbegreppen i försvarsunderrättelseverksamheten. Kanske granskar man också analysdatabasen och utgående rapportering. Men att döma av ovanstående text verkar det inte vara själva personuppgiftsbehandlingen som kontrolleras.

Enligt Siun har dessutom det internationella informationsutbytet överhuvudtaget inte granskats hittills, så det har alltså legat utanför den kontroll som enskilda begärt. Och där finns också en del frågetecken omkring vad "utsatts för signalspaning" (av vem?) innebär.

Slutligen verkar det stå klart att Siun inte undersöker om någons personuppgifter förekommit i inhämtat innehåll, såvida man inte själv utgjort mål för spaningen. Någon annan tolkning är svår att göra.

Det kanske börjar bli dags att ställa en bunt frågor till Siun.