Författare: marcin

Förra veckan satt jag i ett långt möte med företrädare för det krypterade ”darknets” mest välkända aktörer The Tor Project och det anonymiserade operativsystemet Tails. Exakt om vad är i sammanhanget inte helt relevant men jag fick snabbt en flashback tio år tillbaka, då jag i flera tidningar fick förklara vikten av att använda biståndspengar till att finansiera The Tor Projects arbete för ett fritt, öppet och säkert internet. Höjdpunkten kom när jag i TV4 Nyhetsmorgon till programledarnas uppenbara förvirring försökte illustrera hur Tor _egentligen_ fungerar:

Mest tid la jag tyvärr på att förklara ungefär att ”ja, tyvärr använder också knarklangare/lönnmördare/pedofiler Tor men det är TROTS DET en viktig tjänst för att människor som faktiskt behöver anonymitet ska kunna surfa säkert”. Jag sa då – i början av 2010-talet – varianter av det till bland annat SVT, DN och SR. SR-programmet ”I lagens namn” är faktiskt värt att lyssna på än idag, men det här citatet känns väldigt tematiskt illustrativt:

– I miljöer där vi jobbar, där sätter folk sina liv på spel för att kunna prata fritt eller för att kunna organisera sig och då hänger hela deras verksamhet och existens på att de har en säker teknik att använda och då är krypteringsverktyget Tor himla, himla viktigt för dem, säger Marcin de Kaminski på Sida.

Poängen var att hjälpa frihetskämpar i diktaturer gå runt censuren och kommunicera säkert. Men inte bara frihetskämpar använder Tor.

– Jag har alltid haft ett genuint intresse av datorer och på senare år har jag rökt mycket cannabis också, så jag slog bara ihop de två flugor i en smäll, säger Jonas.

Den här mannen var en av Sveriges största langare på den kriminella marknadsplatsen Silk Road. I skydd av Tor.

Man skulle ju kunna vilja tro att samtiden lärde sig något av tidigare diskussioner, men så tycks inte vara fallet. Jag har ju i tidigare nyhetsbrev beskrivit hur polisen gång efter annan baktalar appar som Signal som bygger på en tillförlitlig fullsträckskryptering. Och nu verkar samtalet växla upp.

I DN häromdagen uttalar sig Håkan Wall, enhetschef på Internationella enheten på polisens Nationella operativa avdelning (Noa), om de europeiska polismyndigheternas samlade kampanj för att få tillgång till bakdörrar i krypterad teknik. Där argumentet för tio år sedan var knarkhandel på internet är det nu att det är enda sättet att få stopp på gängkriminaliteten.

– Det som överskuggar allt är att rättsväsendet, inte bara i Europa utan i hela världen, måste få tillgång till krypterad information. Det är extremt viktigt för vi måste få tillgång till gängens kommunikation. Det är en ödesfråga.

Wall menar att det handlar om ett större samarbete där ett ansvar måste läggas på techbolagen bakom applikationerna.

– Det kan inte vara så att de erbjuder lösningar så att rättsväsendet inte kommer åt informationen, och i vissa bolag inte ens de själva.

Det är verkligen superknäppt att vi behöver diskutera det här igen. I en tid när stora delar av tech-kapitalismen helt lever på användardata blir kryptering och dataskydd en viktig sälj-pitch för att kunder ska välja en lösning. Om en säker plattform eller app plötsligt tvingas försämra sin kryptering kommer användare också välja bort den. Att därför som Håkan Wall kräva att bolag ska ge polisen en ”supernyckel” som låser upp all information är så himla naivt. Det är helt enkelt inte möjligt, och inte heller önskvärt.

Min gissning är att polisen först och främst hoppas att stora tech-bolag som Apple och Meta – vars iMessage resp Messenger numera är starkt fullsträckskrypterade – ska krypa till korset, för att sedan mindre aktörer som Signal och andra krypto-appar ska följa efter. Kanske vill man också ge sig på VPN-leverantörer av olika slag. Varför någon överhuvudtaget frivilligt ska försämra sin funktionalitet och försätta sina användare i risk och fara är för mig obegripligt.

Det här är inte första gången polisen går till angrepp mot krypterade lösningar. Som jag nämnde inledningsvis genomled jag den förra offensiven för tio år sedan, men problemet är återkommande sedan ännu längre tid. På engelska används begreppet ”crypto wars” för att beskriva rättsväsendet återkommande krig mot digital kryptering.

Det ursprungliga kryptokriget pågick under större delar av 90-talet, då amerikansk polis envist försökte få till bakdörrar och svagare kryptering för att lättare kunna ta del av vad som skrev på internet. Det som skedde på 10-talet kallades av säkerhetsikonen Bruce Schneier för ”Crypto wars II” och internetideologen Cory Doctorow för ”Crypto wars redux”.

Nu känns det som att kryptokriget åter är tillbaka.

Att ha en duglig VPN är helt avgörande av många olika anledningar. Det är bra att ha om man planerar att ansluta till ett offentligt trådlöst internet (tex på en flygplats), eller om man är orolig för att någon snokar på ens uppkoppling (tex om man vill fildela eller göra något annat spännande). Men det kan också finnas andra användningsområden.

I Kenya pågår nu sedan en veckan tillbaka stora protester mot vad som uppfattas som extrema skattehöjningar som främst slår mot dem som har minst pengar att röra sig med. Regeringen satte in militär mot sin egen befolkning och häromdagen dödades en nittonåring som deltog i protesterna. Som ett led i kraftsamlingen mot protesterna har regeringen via sin kontroll över de statliga telekombolagen över hela landet blockerat användandet av flera populära sociala medier. Tanken har säkerligen varit att göra det svårare för demonstranter att organisera sig.

För att komma runt blockeringen av sociala medier verkar många börjat använda sig av VPN:er. I praktiken innebär det att de från sin mobil eller dator via en krypterad tunnel först surfar till en säker server i ett annat land innan de studsar tillbaka till det kenyanska nätet. På så sätt spelar det ingen roll vilka begränsningar de kenyanska telekombolagen lägger på sina nät, eftersom användarna enkelt kringgår det.

På Open Technology Fund finansierar vi en hel del VPN-utveckling och distribution. Minst 40 miljoner internetanvändare varje månad kopplar upp sig via en VPN som OTF betalar för. Och de flesta säkra VPN-lösningarna som finns baserar sina lösningar på teknik där vi finansierat utvecklingen. En av de VPN-leverantörer vi arbetar med gav mig den här grafiken som visar hur användandet i Kenya skjuter i höjden:

Vi jobbar hårt med ”våra” VPN-leverantörer för att säkerställa att de når fram dit det behövs. Mest fokus har vi på användare i Ryssland, Kina och Iran – men även andra länder täcks via våra pengar.

Vill man ha en bra VPN som normalkonsument kan det vara svårt att välja. Många VPN-leverantörer lovar guld och gröna skogar. Mina huvudtips brukar vara att man ska a) undvika gratis-lösningar och b) lägga lite tid på att välja en riktigt bra leverantör. Mitt stalltips är sedan en tid tillbaka Mullvad – en prisvärd och trygg VPN som verkligen värnar om sina användare.

För sex år sedan gjorde jag en liten rolig video ihop med Teres Raymond från kampanjen Digital Delaktighet (Digidel) och Kjell ”Kjelleman” Eriksson. Jag hade precis varit på Kista bibliotek och pratat om övervakning i Azerbajdzjan när jag blev ombedd att hosta upp tre tips för digital säkerhet som skulle vara lätta att begripa och hyggligt lätta att följa.

Nyligen dök videon upp i något slags minnesfunktion på Facebook. Lite ironiskt, eftersom tips ett är att testa att låta bli Facebook och istället använda Signal för att hålla kontakten med dina vänner.

Tipsen jag delar med mig av till något slags Benny Hill-musik är:

1. Använd inte bara stora plattformar för att hålla kontakten med dina vänner. De läcker ofta data som ett såll och det kan därför vara bra att blanda upp det lite med andra med integritetsvurmande appar och plattformar – typ Signal.
2. Om du nu vill använda någon av de stora plattformarna, gör det till en vana att se över dina integritetsinställningar. Nu för tiden har plattformar som Facebook, Google och kanske till och med X hyggligt bra inställningar för att exvis låsa ner sin information eller säkerställa att man vet vem som kan se det man skriver.
3. Tappa inte bort din dator eller mobil – extra viktigt i semestertider. Eftersom vi idag lever med hela våra liv på mobilen i fickan är det oerhört viktigt att hålla koll på sina enheter så de inte hamnar i orätta händer.

Standardtips kanske, men det skadar aldrig med en påminnelse. Och dessutom en rätt lustig video, inte sant?

Ibland måste jag lära mig att hålla koll på trigger-fingret. Jag publicerade förra veckans nyhetsbrev på en torsdag, och skrev då bland annat om filmen ”Hacking Hate” om den grävande journalisten My Vingren som följdes av Simon Klose med team när hon jagade de virala nät-nazisterna och ställde plattformar till svars för profiten de gjorde på högerextremt innehåll. Dagen efter, på fredagen, vann filmen pris i Tribeca för bästa dokumentär. Vilken grej!

Juryns motivering är inte dålig:

“The documentary jury awards a film that bravely and fearlessly investigates the misuse of the internet to encourage hate and bias by allowing media giants to profit and foster the continuation of the outrage. On trial are first amendment freedoms that have been violated for profit.”

Och i sitt tack-tal poängterade även Simon vilka viktiga värden som står på spel:

– I am extremely grateful to receive this award right now, in this critical moment when journalism, freedom of expression and democracy are threatened. I think we need to hold tech platforms accountable for reinforcing and profiting from right-wing extremism and thus helping right-wing populist parties gain ground all over the world.

Det är verkligen jätteroligt. Och inte minst är det väldigt timely. Ungefär samtidigt kom nämligen också det kanske lite oväntade beskedet att USA terrorstämplar Nordiska Motståndsrörelsen, NMR. Att NMR är hårdföra nazister är väl klart för de flesta, men att USA terrorklassat dem – med tre personer dessutom personligt namngivna – höjer verkligen insatserna för alla inblandade. Det amerikanska memot är väldigt tydligt formulerat och CNN har också en förklarande artikel publicerad.

Vad jag förstår var det som till slut på att fick bägaren att rinna över att NMR flyttat sin uthängningshemsida till ett amerikanskt webhotell. Sidan har blivit nedstängd i land efter land eftersom den helt utan grund hänger ut enskilda individer och deras familjer, fabricerar anklagelser mot dem och uppmuntrar till våldsamma handlingar. När sidan till slut landade på amerikansk digital mark slog snaran till. Nu blir det väldigt svårt för de tre namngivna personerna men troligtvis också för andra personer som formellt kopplats till NMR. Mathias Wåg skriver bra om det här i ETC – och ger där också läsaren också en väldigt viktig historielektion för att man ska förstå allvaret i NMR:s verksamhet.

Det är för mig oklart om det är relaterat, men som av en händelse försvann en av de personer som namngivits från X ungefär samtidigt som nyheten kom:

Det fick mig att förstå att det framöver också troligtvis kommer bli svettigt för NMR och deras kumpaner online. Amerikanska nättjänster kommer inte vara tillgängliga för dem att använda och plattformarna kommer inte kunna erbjuda dem konton. Även banker, flygbolag och andra bolag kommer väl antagligen behöva stänga sina dörrar för nazisterna. Eller som Mathias Wåg skriver i artikeln jag länkar ovan:

Terrorklassningen innebär sanktioner för Nordiska motståndsrörelsen och de tre ledarna. De kommer inte kunna göra ekonomiska transaktioner med amerikanska medborgare och företag eller inneha egendom i USA. Den första märkbara effekten kommer bli att flera nätplattformar kommer avsluta alla tjänster NMR använder sig av. En mer långtgående effekt blir att NMR nu kommer att behandlas som internationell hotaktör i underrättelsesammanhang, vilket kommer att skärpa bland annat säkerhetstjänstens behandling av dem även i Sverige.

Att terrorklassningen kom samtidigt som Hacking Hate fick ta emot ett prestigefyllt pris är förstås bara en slump. Men erkänn, en rätt fin slump?

När Elon Musk köpte upp Twitter och oväntat fort stöpte om det till X gjorde jag en rad utspel. De flesta handlade om att ett av Musks första drag var att lägga ner det insynsråd – Trust & Safety Council – som jag som ende svensk var del av. Jag kallade det bland annat en ”allvarlig förtroendeskada” att man inte tog mänskliga rättigheter på allvar:

”Framtiden för Twitter som en trygg och säker plattform för alla är mer osäker än någonsin. Det är uppenbart att Twitter under Musks ledning vill göra sig av med kritiker. Nedläggningen av rådet innebär en allvarlig förtroendeskada för Twitter, i en tid när tilliten för de stora plattformarnas engagemang för yttrandefrihet och mänskliga rättigheter är viktigare än någonsin.”

Jag pratade också om hur de rättighetsbaserade samtalspartner Twitter haft under många år nu blev ghostade, förklarade hur Musks galenskap devalverade värdet för Twitter som produkt och liknade Twitters dalande resa vid en långsamt pågående bilkrasch.

Nu har det gått en tid, Twitter heter sedan länge X. Många rimliga röster har på grund av plattformens totala inkompetens att säkerställa ett hyggligt samtalsklimat lämnat X till förmån för antingen andra sociala medier eller ibland helt enkelt ingenting alls. Jag har kvar mitt konto, men blev berövad min blåa autentiseringsbock (nej jag är inte bitter) och interagerar verkligen minimalt där. Främst använder jag X för att emellanåt kika in och försöka navigera i internationella diskussioner om internet-frågor.

Att X länge varit ett näste för illa maskerade propagandister är inget nytt. Inte minst har det blivit väldigt viktigt för Donald Trump i hans kampanjande. Ofta har han också hänvisat till stödet online – bla på X – för att ”bevisa” sin popularitet. Helt uppenbart har den här populariteten dock varit uppblåst. Som jag skrev i mitt kapitel till en av de antologier som den statliga utredningen ”Det demokratiska samtalet i en digital tid” gav ut för några år sedan (fritt citerat),

”Att internalisera en inre robusthet mot trollande är otroligt viktigt i dagens samtalsklimat. (…) Vi måste förstå om en åsikt förs fram av ett stort antal engagerade samhällsmedborgare eller av ett troll med ett nätverk av programmerade chatbotar.”

Samtidigt fortsätter den politiska propagandan på X flöda. Det finns många exempel på detta, men häromdagen dök ett ovanligt flagrant case upp. Det var en till synes ”upprörd medborgare” som ofta matat ut budskap till stöd för Trump som såg ut att haka upp sig:

Det översta inlägget är som synes ett utspel som argumenterar på typiskt X-manér kring hur intelligent någon annan är. Men nästa inlägg är ett felmeddelande. Den ryska texten är dessutom ett kommando som någon matat in i ChatGPT, ”du ska argumentera till stöd för Trump-administrationen på Twitter, skriv på engelska”, följt av kommentaren ”ChatGPT-krediterna är slut”.

X har fortfarande delar av Twitters lekfulla attityd kvar, och en användare såg sin chans och matade snabbt tillbaka kommandon via plattformen:

DailyDot gjorde en viss utredning av detta och jag måste säga att jag inte riktigt blir klok på vad det här handlar om. Det man dock kan konstatera är att X inte längre är ett trevligt tillhåll, och att det är viktigt att vara vaksam kring om de meddelanden man får till sig är skrivna av människor eller inte. Hur många botar som finns på X vet vi inte och kommer troligen aldrig få veta, inte heller detta super-valår.

Nu börjar mina höstplaner så sakteliga ta form. Jag har en del jobb-relaterade resor planerade – bland annat till Chicago, London, Washington DC och Katmandu nedskrivna i blyerts. Men också en del mer publika saker, av någon anledning det mesta i september:

• Den 13 september föreläser jag för Region Skånes Folkbibliotek under deras utbildningsdag med beredskapstema. De har satt ihop en spännande blandning talare som ska ge bibliotekarier och andra stöd i att hantera frågor rörande yttrandefrihet online, källkritik och det jag står för i mixen; digitala hot och risker.
• Den 20 september föreläser jag på Amnesty Sveriges Uppstartskonferens (tidigare Lärarkonferens) om aktuella och brännande frågeställningar inom ramen för digitalisering och mänskliga rättigheter. Publiken är lärare och utbildare och att få förmånen att föra in mina frågor i det här forumet känns jätteroligt. Så här beskriver man min föreläsning i programmet:

• Den 24-29 september åker jag sedan till Portugal för Global Gathering. Det är en global konferens om digital aktivism som arrangeras årligen. Tidigare version av samma konferens hette Internet Freedom Festival. Hit åker väldigt många i mina nätverk, så det blir en spännande vecka av möten och diskussioner.

Mer om de här eventen kommer längre fram, när det finns mer att dela och berätta.

Jag tycker att kroppskameror är rätt fascinerande fenomen. Jag spenderar ev ohälsosamt mycket tid med barnen framför skräp-TV som ”Tunnelbanan”, ”112 på liv och död” och ”Gränsbevakarna”. Om sanningen ska fram är också min guilty pleasure reality shows och dokusåpor av alla de slag.

I Sverige har det mest diskuterats utifrån integritetsperspektiv när det gäller polisens användande av kroppskameror. Den diskussionen tycker jag är hälsosam och bra. Det är rimligtvis så att effektivt polisarbete är en mestadels bra sak. Kan kroppskameror bidra till transparens kring polisens metoder och en mer trovärdig bevisföring är det också bra. Samtidigt dyker det med jämna mellanrum upp frågor kring integritet och rättssäkerhet som lite för lättvindigt försvinner i debatten.

En sådan fråga hanterades tidigt i kroppskamerans historia av Integritetsskyddsmyndigheten 2018 då man kom fram till att SL:s användning av kroppskameror var oproportionerligt och inte följde grundläggande dataskyddsprinciper. JP Infonet skriver bra om detta ärende, och noterar framförallt att:

• IMY menar att övervakning med kroppskamera måste vara proportionerlig till situationens allvar. Att ha en kroppskamera som alltid är igång ansågs vara integritetskränkande.
• IMY menar att den som registreras av kroppskamera (även om man inte är föremål för ett ev ingripande eller inteaktion) måste informeras väl om att övervakningen sker.
• IMY menar att kombinationen rörlig bild och ljud-upptagning är särskilt känslig och därför ska användas varsamt.

Notera att detta var 2018, och att exvis polisen vid sin breda utrullning av kroppskameror förra året hade vidtagit vissa åtgärder för att tydliggöra just bland annat de här parametrarna.

”Den kroppsburna kameran är försedd med ljud- och ljusindikatorer som upplyser allmänheten om när inspelning sker. Kameran är som huvudregel satt i ett förinspelningsläge vilket innebär att kameran löpande spelar in film utan ljud. Det förinspelade materialet lagras i en minut varefter det automatiskt spelas över om inte polismannen startar en inspelning. När inspelning startar piper kameran tre gånger och ljusindikatorn skiftar färg från grönt till rött. Det är den enskilde polismannen som själv styr när inspelning sker och kameran kan t.ex. användas i samband med ingripanden, förhör eller för annan dokumentation.  Det inspelade materialet kan komma att användas i utredningar om brott.”

Samtidigt pågår en utvidgning av användningsområdet för kroppskameror. Axon, ett stort globalt säkerhetsföretag, lanserade tidigare i år en ny modell kroppskameror som dels fått käcka färger och dels säljs med nya användningsområden. En av deras referenskunder skriver (fritt översatt):

”Efter att ha använt Axons teknologi ett antal år vid våra vårdcentraler ser vi att kroppskameror är ett viktigt verktyg för framgångsrik interaktion mellan vårdpersonal, patienter och besökare.”

Med det snitsiga tillägget:

”Vi välkomnar att Axon utvecklat kroppskameror som både är anpassade för vår verksamhet och som bidrar till våra medarbetares säkerhet”.

Vidare skriver man att man kommer fortsätta att arbeta med att mata ut den här lösningen till andra vårdgivare, butikskedjor, fackliga organisationer vid sidan om sin fortsatta satsning på rättsvårdande myndigheter. Detta helt utan ett ord om integritet, dataskydd eller något slags best practices för hur man använder kroppskameror för faktiskt trygghetsskapande (snarare än regelrätt övervakning).

Plötsligt har ”övervakning” nyspråkats till ”verksamhetsstöd”, inte så fräscht.

För att praktiskt följa upp mina tidigare noteringar om Signal skulle jag vilja dela med mig av mina bästa tips för att hålla Signal-konversationer säkra. Eftersom Signal både är fullsträckskrypterat och användarvänligt så hoppas jag verkligen att fler börjar använda det för vardagskommunikation. Det jag också gillar med Signal är att det är ganska ”rent” i förhållande till de flesta andra messengers – Signal gör mer eller mindre en grej (erbjuder säker kommunikation) men det gör man bra, utan massa specialfunktioner, effekter eller onödiga dataläckor.

Tips 1: Välj smarta användarnamn och gruppnamn. Signal kräver inte att du använder ditt registrerade dop-namn, utan du kan kalla dig något annat som du tycker är rimligt. Jag brukar använda mitt förnamn för att kunna bli identifierad, men har flera vänner och bekanta som använder online-alias av olika slag för att känna sig lite tryggare.

När jag skapar chat-grupper brukar jag försöka välja namn som är tydliga men inte avslöjande. Eftersom jag jobbar mycket med aktivister i lustiga länder brukar jag undvika att kalla grupper för ”Planering av /hemlig sak/ med /hemlig grupp/ i /hemligt land/”. Det vore helt enkelt dåligt om aktivisterna hamnade i trubbel och den typen av chattar blev synliga. Istället brukar jag kalla grupperna för ”Tisdagsgruppen”, något slags nonsens eller olika varianter på deltagarnas initialer – något unikt men inte problematiskt. Samma teknik går förstås att använda om man inte befinner sig i samma utsatta situation som många av de aktivister jag pratar med, typ om man vill ha en privat chat med sin pojkvän eller om man har en stödgrupp med sina närmaste vänner.

Nuförtiden kan man dessutom välja att identifiera sig med användarnamn istället för telefonnummer. Det har varit en feature som efterfrågats i många år, och som äntligen rullats ut nu under våren. Det gör att jag exempelvis heter ”dekaminski.26” (man väljer användarnamn och får två slumpade siffror som påhäng), och då slipper dela ut mitt telefonnummer till höger och vänster. Min jobb-Signal heter ”marcin_otf.26” vilket är smidigt eftersom jag inte använder min jobbtelefon till att ringa och därför inte vill ha samtal till den.

Tips 2: Ställ in försvinnande meddelanden. Både i privata chattar och chattgrupper kan man enkelt ställa in försvinnande meddelanden. Det är ett smart sätt att se till att man inte klampar runt med massa överskottsinformation på fickan. Man kan numera också ställa in det som förval för alla chattar man startar – supersmart.

Det kan förstås finnas många anledningar till att man vill göra detta. För mig handlar det ofta om att jag inte vill att mina motparter ska ha för mycket chatthistorik i telefonen om något skulle gå fel. Men det kan också vara ett enkelt sätt att bättre kontrollera vad man oroar sig för om ens telefon blir stulen eller tappas bort. Fullsträckskrypteringen skyddar nämligen informationen mellan din och din motparts telefon – men kommer någon över din telefon och lyckas ta sig in (om du exvis har en dålig pinkod) så kan man också komma åt historiken i Signal.

Jag är ibland lite kluven till att internet glömmer saker väldigt fort, och har därför varit lite vacklande kring hur mycket jag uppskattar den här funktionen. Samtidigt tror jag det finns fler fördelar än nackdelar, och jag brukar därför gilla att sätta fyra veckor som ett slags hanterbar kompromiss.

Tips 3: Verifiera betrodda kontakter. Eftersom Signal är kryptografiskt verifierbart kan man genom appen bekräfta sina motparters identitet – och därmed bekräfta att man vet vilken enhet man egentligen pratar med.

Man gör detta genom att klicka på en kontakts namn högst upp i chatten, välja ”Visa säkerhetsnummer” och därefter antingen använda den smidiga QR-scannern (om man är på samma plats) eller jämföra den långa sifferkoden (genom exempelvis telefon eller något annat medium) – och om allt stämmer klickar man på ”Markera som verifierad”.

Fördelen med detta är att man i alla aktiva chattar får en liten varningstext när något händer med mottagarens telefon (exvis om personen byter enhet eller installerar om appen) men också om Signal i sig inte kan verifiera trovärdigheten i fullsträckskrypteringen. Det innebär att appen varnar om något lustigt händer. Ofta är det enkelt att förklara – typ att mobilen hängde sig och man var tvungen att fabriksåterställa – men det är en rätt basal funktion för att man ska känna sig lite mer säker.

Notera att det också är bra att ha andra sätt att verifiera vem man egentligen pratar med, det räcker inte alltid att veta att enheten är densamma. Jag brukar exempelvis motbekräfta identiteter via en annan kanal (typ ringa, maila, videochatta eller liknande) men man kan också använda sig av något slags säkerhetsfras. Båda dessa metoderna är också utmärkta för den som plötsligt får lustiga meddelanden av typen ”hej det är ditt barn, min mobil är trasig men jag skulle behöva pengar kan du swisha till min kompis på det här telefonnumret” eller ”jag skulle behöva hjälp att logga in på den här nättjänsten, kan du klicka på den här länken”. Då kan det vara bra att kontrollera vem man egentligen pratar med genom att ställa motfrågor som ”vad åt vi för middag igår”, ”när träffades vi senast” eller något annat som känner mer eller mindre slumpmässigt men unikt.

Bedragarnas metoder är många och det är bra att vara lite på sin vakt.

För några år sedan inledde Simon Klose, även känd för bland annat filmen ”TPB AFK” om gänget bakom The Pirate Bay (jag skymtar förbi någonstans i vimlet om man har bra koll), arbetet med att följa den granskande nät-journalisten My Vingren i jakten på de virala nätnazisterna.

Resultatet blev filmen ”Hacking Hate”, som i helgen hade premiär på prestigefyllda filmfestivalen Tribeca. I filmen visar My – som också kallats ”verklighetens Lisbeth Salander” – både hur effektiva nynazister och högerextrema nätprofiler är i sin digitala indoktrinering, och hur de stora plattformarna defacto tjänar pengar på detta (och implicit; därmed inte har tillräckliga incitament för att ta det nätbaserade hatet på allvar).

Jag har under arbetets gång haft förmånen att få ge inspel och kommentarer från min horisont, och jag och min son Noah fick också ge kritisk feedback på piloten. Det har varit ett spännande arbete att befinna sig i utkanten av och jag rekommenderar verkligen filmen. Den ger en nära på unik inblick i de högerextrema nät-sörjorna, visar på hur nazister aktivt försöker attrahera och rekrytera unga genom ett slags bisarra livsstils-influensers, hur den här myllan relaterar till samhällsomstörtande storpolitik – och dessutom hur de stora plattformarna agerar kring detta (eller inte agerar).

Se gärna filmen när den släpps mer tillgängligt, antingen på en biograf nära dig eller på internet!

Här följer några delar av det kapitel jag skrivit till antologin ”AI & makten över besluten” (red Fjaestad & Vinge). Kapitlet heter ”Digitala hot och risker som formativ ledstjärna” och kretsar kring ett antal exempel där AI, algoritmer och digitala spår smittar över som risker för offentlig verksamhet.

”Större delen av mitt liv har kretsat kring teknikens inverkan på demokrati och mänskliga rättigheter. I perioder har engagemanget varit professionellt, emellanåt snarare som aktivist. Oavsett ”hatt” så har jag ofta mötts av liknande frågor, varav en av de mest centrala varit varför erfarenheter från tekniska sårbarheter i länder långt bort också spelar roll här hemma i Sverige. Gång efter annan har jag tvingats förklara att det är viktigt att förstå hur frågor om privatliv och integritet inte är intressanta enbart om man oroar sig för renhetsgraden i mjölet man har i sin påse.”

”I dagens kommersialiserade digitala verklighet finns också nya sätt att förstå och värdera hotbilder och risker. Säg den verksamhet som idag inte annonserar i sociala medier för att nå ut med marknadsföring eller information. De digitala annonseringsverktygen, eller annonsörernas gränssnitt på socialamedieplattformarna, ger ofta fler ledtrådar än vad man kanske kan tänka sig. Vill man idag annonsera på en plattform som Facebook, X (tidigare Twitter) eller Youtube kan man välja bland en uppsjö av parametrar för att lyckas vara mer träffsäker med sin marknadsföring. Det är inte svårt att rikta en annons mot en målgrupp som exempelvis ”man, 35–45 år, bosatt i villa nära en stor eller mellanstor tätort, förälder till minst två barn och intresserad av samhällsdebatt, bilar och sportskytte”.

Den som en gång sett hur många variabler annonsörer kan välja och vraka mellan blir lätt mer skeptisk till den datadrivna övervakningsekonomin vi allt mindre förmår att undvika.

Det är inte svårt att se hur det här hos läsaren snabbt formuleras frågor om hur ovanstående exempel kan eller ska kopplas till offentlig sektor. Svaret är lika enkelt som självklart: det är mer regel än undantag att privat sektor agerar tjänsteutvecklare åt offentlig sektor. Det är därför av stor vikt att offentlig sektor ser och analyserar de risker det innebär att låta nästan all utveckling av digitala lösningar ske i den privata sektorn.

Den svenska byråkratin har förstås varit intresserad av medborgardata långt innan sociala medieplattformar och digital övervakning blev ett faktum. Många utmaningar vad gäller den statliga centraliseringen av data är också i sig inte primärt resultatet av teknisk innovation.

Som talande exempel tänker jag här på hanteringen av skyddade personuppgifter. Statens ansvar att skydda dess mest utsatta medborgare ställs med viss regelbundenhet på prov när det avslöjas att Skatteverkets egen hantering är en av anledningarna till att känsliga uppgifter röjs. Emellanåt är det rudimentära processproblem som postgången till personer med skyddad identitet som är problemet. Det är svårt att förstå hur man kan säkerställa att det går att skicka fysiska ting såsom brev och paket till personer vars vistelseort och adress ses som kritiskt skyddsvärd. Samtidigt hanteras den känsliga datan i system som tidvis visat sig vara svåra för Skatteverkets egen personal att hantera säkert.

Under en period handledde jag ett antal kvinnojourer i säkerhetsfrågor, och även efter att kvinnojourerna implementerat en lång rad säkerhetsåtgärder för sina skyddade boenden fanns det många oklarheter kring vad man kunde förvänta sig av statens skyddsmekanism. Frågorna kom under samma tidsperiod som Trafikverket outsourcat hanteringen för Polismyndighetens personskydd till Serbien och den leverantör 1177 upphandlat för sina vårdsamtal visade sig ha lagt ut inspelningar publikt åtkomliga på internet.

Att privat sektor och dess datalösningar emellanåt är osäkra är verkligen ett otyg. Men samtidigt kanske man kan förstå, eventuellt även acceptera, att den kommersiella tekniska utvecklingen drivs av vinstmaximering som ledstjärna. Det är ett resonemang som kan, och bör, ifrågasättas – men det är likväl något som genomsyrar stora delar av vårt samhälle även bortom den digitala innovationen. Offentlig sektors drivkraft bör vara en annan, där värdet i verksamheten inte alltid kan vara monetärt. Särskilt bör detta gälla i sammanhang där kapitalet som det offentliga hanterar inte är ett ekonomiskt kapital, utan ett mänskligt sådant.”