I veckan som var reste jag till Berlin för konferensen SplinterCon. Det är en väldigt tekniskt fokuserad konferens som samlar det som brukar kallas ”researchers” – men där egentligen rätt få är akademiskt affilierade (även om även de finns, bland annat nederländska Critical Infrastructure Lab) utan man snarare ”researchar” tekniska system, plockar isär dem när de behövs och bygger nya när man stöter på problem. Det man egentligen gör är alltså att man hackar saker, i SplinterCons fall med fokus på censur och blockeringar av internet.
Några höjdpunkter tyckte jag själv var att höra mer om hur påtvingad SIM-kortsregistrering påverkar användare i mer repressiva miljöer. Registrering av SIM-kort är något som införts även i Sverige de senaste åren, då med argument kring (inte helt oväntat) vikten av att identifiera kontantkortsanvändare för att stävja den organiserade brottsligheten. Visst kan det vara ett tänkbart argument, men i andra länder används för att stävja nästan allt det vi tror att vi försvarar här i Sverige.
I forskning som vi på OTF finansierat kan vi dock läsa hur det påverkar användare i Kina. Där innebär den påtvingade registreringen med sina riktiga namn (dvs sitt elektroniska ID) att användare spåras vad de än gör på internet. Om man använder sig av appar som regeringen betraktar som tveksamma (exvis VPN-tjänster eller annat som kan erbjuda tillgång till ett fritt internet) så blir man utan pardon avstängd. Gör man något som verkar lite suspekt (exvis beställer taxi lite för ofta till samma adress eller kommunicerar orimligt mycket med någon som blivit flaggad i systemet) så får antingen man själv eller ens familj hembesök av säkerhetstjänsten som vill ”kolla läget”. Svenska politiker som föreslår att man ska behöva logga in till sociala medier med Bank-ID verkar helt missat vilken pandoras ask de gläntar på och den här helt absurda insändaren från ”bekymrad medborgare” orkar jag inte ens kommentera.
Men för att återknyta till SplinterCon så var just ovanstående grunden i ett så fint moment under konferensen. Jag hade ynnesten att lyssna in till ett samtal där experter som jobbar för att ta sig runt de här registreringskraven utbytte erfarenheter, tips och tricks.
Vi vet nämligen att diktatorer lär väldigt snabbt av varandra. Ett sådant exempel är när aktivister i Burma strax efter militärkuppen 2021 rapporterade att man noterat inkommande flyg direkt från städer i Kina där man vet att säkerhetstjänsten har sina högteknologiska verksamheter. Att rapporter därefter funnit att den burmesiska militärjuntan använder sig av kinesisk metod och infrastruktur för övervakning av sina egna medborgare är väl ingen direkt överraskning. Det är därför så oerhört viktigt att även hackers och välvilliga techies får möjlighet att lära av varandra – det är där många lösningar finns.
Att då som svensk få sitta med och höra erfarenheter från varför registrering av SIM-kort är dåligt och hur folk förlorar sina jobb för att deras helt normala internetanvändning kopplats till deras verkliga person kändes för mig oväntat stort.
Jag tyckte det var korkat när moralist-lobbyn lyckats få politiker att kräva Bank-ID för porr-siter. Mest kanske för att det känns helt orimligt att tvinga porrsugna användare att lämna ifrån sig in surfhistorik till ett privat företag (som Bank-ID alltså är), men också för att jag inte ens i min vildaste fantasi förstår hur det ska fungera. Den som någonsin sökt efter porr på internet vet hur många porr-siter det finns.
På samma sätt är det urbota korkat när man nu diskuterar en åldergräns på sociala medier. Vill vi verkligen åsiktsregistrera en hel befolkning och låta ett privat företag (som Bank-ID alltså är) att ha koll på vilka sidor vi väljer att besöka?
Jag började fnittra häromveckan när jag dessutom läste att en politiker, oklart vilken men det spelar ingen roll, på fullt allvar menade att ålderskontrollen inte skulle gälla vuxna – bara barn under femton år. Det krävs ju inte särskilt mycket eftertanke för att begripa att en sådan ålderskontroll skulle behöva ungefär som passfriheten i Schengen-området, där man ju visserligen som medborgare i ett medlemsland ska kunna resa utan pass men där man också med hjälp av ett pass måste kunna bevisa att man faktiskt hör hemma i Schengen.
I min värld finns det alldeles för många goda exempel på att användaridentifiering och -registrering är en typiskt dålig grej. Veckan i Berlin stärkte verkligen den positionen.