Polisen vill plantera trojaner i misstänktas datorer i syfte att stävja brott. Jag kan mycket väl tänka mig att de har den önskan. Men har de tänkt igenom hela vidden av ett sådant arbetssätt? Att få denna möjlighet skulle kanske kunna lösa en del brott, men det finns så många baksidor på detta mynt.
Den tyska polisen har haft den möjligheten en längre tid. Där heter trojanen ”Bundes trojaner eller stats trojaner”. Den tyska hackergruppen Chaos computer club. CCC, upptäckte trojanen i oktober 2011. Enligt CCC fanns stora säkerhetsbrister i trojanen. Bland annat saknade den autentisering, vilket gjorde att datorer som hade trojanen installerad blev mycket sårbara på internet. Trojanens kommunikation var inte krypterad vilket gjorde att informationen som skickades över internet kunde lätt avlyssnas.
Man kan väl tycka att det inte gör något om ”buset” har brister i sina datorer, men det finns flera mycket stora baksidor av detta för polis och åklagare. Hur ska bevis värderas i efterföljande brottsutredningar och domstolsförhandlingar, om det visar sig att polisen har öppnat upp en misstänkts dator på internet, möjlig för vem som helst att använda utifrån sina syften?
Då kan också vem som helst ”plantera” information i de datorer som har polistrojanen installerad. Användandet av trojaner för polisen skulle troligen göra det betydligt svårare för polis och åklagare att lösa brott på ett rättssäkert sätt, som förväntas av en rättsstat.
Statistiken för uppklarade brott skulle sannolikt bli sämre. Vilken advokat skulle missa möjligheten att ifrågasätta bevisen som läggs fram i dessa rättegångar?
Andra utmaningar är:
Alla de som visade sig vara oskyldiga och genom den av polisen installerade trojanen fått dataintrång med informationsförluster, missade affärer eller konkurs som resultat. Hur ska de skyddas?
Vad händer med de installerade trojanerna som inte leder till utredning och rättegång? Ska de avinstalleras dolt? Vad händer om avinstallationen misslyckas, ska den då vara kvar eller ska polisen göra hembesök, för att kunna avinstallera sin trojan lokalt hos den tidigare misstänkta brottslingen?
Anhöriga till misstänkta eller brottslingar kan råka illa ut eller kränkas i många situationer.
Den av polis inhämtade informationen måste också inhämtas, lagras och hanteras på ett säkert sätt under hela utredningsprocessen. När en stor och mycket viktig del av den processen sker från datorer som är anslutna till internet så kan denna process inte heller garanteras att den är säker.
Hur ska statsmakterna värna dessa människors integritet eller ersätta de enskilda människor eller företag som råkar illa ut? Ingen trojan eller annan programvara kan göras garanterat säker över tiden.
Denna typ av metoder passar bättre i diktaturer än i västerländska demokratier. Förutom de rent juridiska, tekniska och utredningstekniska aspekterna, så riskeras förtroendet för de rättsvårdande myndigheterna och hela statsmakten i förlängningen. Ett förtroende som behöver stärkas, inte försämras.
Om polis och åklagare skulle få rätt att använda denna metod så riskerar de rättssäkerheten för alla i samhället. Det är knappast något någon vill.
Tomas Djurling är expert på Djurling säkerhetsinformation AB.