Avsnittet: #121 – IT-säkerhet enligt åklagaren
Inspelat: 2021-04-24 (publicerat 2021-04-25)
Deltagare: Erik Zalitis och Håkan Andersson

Lyssna på avsnittet

Medan du lyssnar

Våren 2020 skapade jag en tråd i ”Säkerhetsbubblan” på Facebook, en grupp om just IT-säkerhet. Jag bad deltagarna ställa frågor som senare skulle hamna hos åklagaren, Håkan Andersson, en vän till mig. Det tog ett år innan detta verkligen hände, men nu är vi här och Håkan svarar. Det är värt att notera att jag fått uppdatera en del av materialet, eftersom en hel del hänt under året. Sen har jag lagt till egna frågor och förtydligat området på några av dem.

Här är frågorna:

• Vi börjar med en enkel fråga: Anders skrev att ”Jag har alltid undrat om det heter ”legala” eller ”juridiska” frågor, så där har du en fråga.”. 

Ja, Håkan tyckte ju att det var strunt samma, men nu vet ni också varifrån orden har sitt ursprung. Som något av en språknörd, gillar jag sånt här!

• Vi har även fått frågor om hur det är med Cloud act, Stored Communications Act och nu senast Schrems II-domen. Detta har diskuterats tidigare I podden, men nu ställer jag frågan till dig: har vi som vanliga användare tillräckligt med skäl att lita på att vårt data i molnet är säkert och kan den Svenska lagen hjälpa oss om vi råkar illa ut därav?

Detta har vi frågat ett antal personer om här i podden, men denna gång frågar vi om vad det betyder för en vanlig privatperson.

• SSL används för att kryptera förbindelser och vi har haft det på tapeten senast förr-förra avsnittet om huruvida datacenter ska få bryta din kryptering för att läsa ditt data. Vad säger den Svenska lagen?

En klassisk vid det här laget som inspirerats av videokonferensdebatten förra våren.

Vi pratade om FLoC, Googles föreslagna system för att ersätta tredjeparts cookies. Jag hade just läst om detta och kom inte ihåg namnet på det, men det är en ganska oroväckande idé att Google som har en majoritet av webbläsarmarknaden, i princip kan skapa ett monopol på att styra och sälja annonser via webbläsaren. Se länkarna nedan för en mer djuplodande kritik av systemet.

• Ett år efter att Lag (2020:62) om hemlig dataavläsning trädde I kraft, vad har vi nu för erfarenheter?

Inte många här, då den verkar ha applicerats sparsamt. Man kan förstå varför, att bedriva denna typ av spaning är dyrt och komplicerat. ”The jury is out on this question”, eller i detta fall åklagaren…

• Peter undrar om MD5. Denna hash-standard för att kontrollera datas äkthet är osäker då det går att ändra data och lura MD5 att påstå att det inte ändrats. Ändå används denna standard av många forensiska verktyg. Egentligen handlar det inte om just den standarden, utan mer om vilka brister I forensiken som ändå kan accepteras I en rättegång och vilka som inte kan det.

Såååå… Man kan alltså INTE vråla ”Objection your honor – I am #kränkt – MD5 is bad and I’m innocent” i domstolen och förvänta sig att de lägger ner åtalet. Bra att veta.

• Sista frågan är: vad ser du för faror och möjligheter I framtiden för IT-säkerheten och lagen.

Frågan vi alltid ställer och som ofta leder till insiktsfulla svar och vilda gissningar.

Länkar

• Vad är Federated Learning of Cohorts (FLoC) ?
• EFF är mycket kritiska mot FLoC.
• ARS Technica hatar FLoC.
• ”The Internet is for porn” – helt säkert att titta på och roligt! Kanske i hörlurar om du sitter i ett kontorslandskap…
• Våra avsnitt som handlar om lagfrågor inom området IT-säkerhet

Felaktigheter

• Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.