I debatten runt CSAM och den scanning som Apple kommer att börja med senare i höst, i USA, så har ett bland många argument varit att Apple ljuger för oss. Apple ljuger när de säger och skriver att CSAM inte kommer att få eller kunna utnyttjas för andra ändamål än att leta efter digitala fingeravtryck på bilder där övergrepp mot barn begås. Det finn en viktig att komma ihåg i sammanhanget – Apple ljuger aldrig.
Apple säger inte alltid allt, väljer att vinkla saker, att framhålla andra saker än det som är kontroversiellt men Apple ljuger inte. Huruvida det skiljer Apple från andra företag ska jag låta vara osagt men det är inte oviktigt i sammanhanget därför att om Apple säger att CSAM inte kommer att få användas för andra ändamål än för att leta efter bilder på övergrepp mot barn så kommer Apple att se till att det blir så och inte ens med en domstolsorder i handen så kommer Apple att ge vika. Då kommer Apple att överklaga och strida för sin rätt att hantera CSAM så som Apple har skrivit. FBI försökte tvinga Apple att utveckla en backdörr i iOS, en specialversion av iOS som skulle kunna navändas för att låsa upp en låst enhet. Apple vägrade, kallade in sina advokater och slogs i rätten till FBI insåg att den juridiska vägen inte var framkomlig. FBI backade, drog tillbaka sin stämning och där stannade saken.
Lita på Apple
På den punkten lär vi kunna lita på Apple. De kommer att med till buds stående medel se till att behålla kontrollen över CSAM – vilket inte är detsamma som ett scanningen är vare sig okontroversiell, okej eller att vi blint ska lita på Apple. Det Apple inte säger eller skriver är hur kommande, framtida krypteringar av iCloud kommer att se ut. Min gissning är att som ett steg två i detta kommer kraftfullare kryptering för allt som lagras i iCloud. Därmed plockar Apple ut sig själv ur ekvationen och även med en domstolsorder i handen så kommer Apple inte att kunna lämna ut någon information. Det är inte heller detsamma som att CSAM är okej, att det inte är att betrakta som en bakdörr. Det är alltså ingen ursäkt för att införa CSAM.
Huvudfrågan är snarare hur vi kan stoppa rovdjuren, pedofilerna det på nätet och samtidigt upprätthålla en hög integritet, ett bra skydd för vår privata information?
Till att börja med så bör vi nog plocka bort extern lagring på någon annans hårddiskar ur den ekvationen. Strikt säkerhetsmässigt så kan du aldrig lita på någon annan om du lämnat ifrån dig informationen. Speciellt inte,. som i det här fallet, skyddet och krypteringen är sämre externt än om du har kvar informationen i din enhet. Skickar du information till någon annan för att lagras så exponeras du inte bara för helt andra hot – du kan också vara föremål för helt annan lagstiftning.I det här fallet så finns ett amerikanskt lagkrav att kontrollera att olagligt material inte lagras. Facebook gör det, Google, Microsoft, Twitter med flera gör det men här finns en viktig skillnad – kontrollen görs efter det att något laddats upp. Apples lösning med CSAM innebär att kontrollen görs för bilder som ligger i kö för att laddas upp till iCloud, lokalt. Det görs av säkerhetsskäl för att information i och runt CSAM inte ska lagras hos Apple.
Apple har också meddelat att befintliga bilder som redan finns i iCloud också kommer att scannas med samma metod.
Lagrar du information hos någon annan, i ett annat land, så kan din information lämnas ut – om exempelvis myndigheterna med ett domstolsbeslut i handen kräver att få ut informationen. Så är det idag och så är det även efter det att CSAM införs i Apples enheter. Google, Facebook, Apple, Microsoft med flera lämnar också idag, regelmässigt, ut information till polis och andra myndigheter.
Nu finns det lagar och regler som rör utländska medborgare, EU-direkt och en rad andra juridiska inslag i detta men låt oss inte fastna i juridikens snårskog. Ämnet är nog komplext som det är.
Bakdörr
Är Apples lösning för CSAM då en bakdörr?
Vrid och vänd på tekniska specifikationer och termer men en lösning som tar sig runt och förbi kryptering och andra skydd, som redan finns, är nog att betrakta som en bakdörr. Regeln här är enkel – bygg inte in bakdörrar. Utifrån detta resonemang så är Apples införande av CSAM både övervakning och en bakdörr. Två fel om du så vill.
Då har vi den andra sidan av saken – hur stoppar vi pedofiler?
Det finns som sagt redan lagkrav som kräver att lagrad information ska kontrolleras och i Sverige är det olagligt att inneha barnporr så den juridiska sidan av saken är hyggligt klar. Bilder som kan matchas mot CSAM är brottsliga att inneha, inte bara i USA. Är det då enskilda, privata företags uppgift att jaga brottslingar?
De kraven ställs redan idag för en rad olika saker och enkelt uttryckt så finns det en rapport och anmälningsskyldighet för en rad brott, inte bara barnporr. Hanterar du andras information så är du skyldig att anmäla om du ser något som du tror kan vara brottsligt. Det är inte detsamma som att det ställs krav på att ett företag mera aktivt ska leta efter misstänkta brott som är fallet här men det finns ett lagkrav i USA som säger att företag som lagrar data aktivt ska se till att bland annat barnporr inte lagras hos företagen.Det är därför Apple rullar ut CSAM först i hemlandet. Sen kommer tekniken att rullas i land efter land – vilket inte är detsamma som att CSAM kommer att införas överallt. Min gissning ing är att CSAM kommer i de länder där Apple bedömer att lagstiftningen kräver det.
Så tillbaka till den andra delen av huvudfrågan – hur jagar vi pedofiler och hur får vi bort bilder som är dokumenterade övergrepp mot barn?
Efter att ha vridit och vänt på frågan åtskilliga varv, och med utgångspunkten att CSAM inte borde införas, inte borde byggas in, att det är en bakdörr och ett intrång i den enskildes integritet, det är övervakning, så landar jag i att detta är något jag får leva med. Jag kan slå av iCloud, det är mitt val. I nuläget gäller det inte mig utan användare i USA.
Gissningar
Det finns några inslag och saker i det Apple säger och skriver som gör mig alltmer övertygad om att detta är Apples sätt att kunna skydda informationen i iCloud med små kraftfull kryptering att Apple inte längre kommer att kunna lämna ut någon information i framtiden, Det sätt på vilket CSAM används, lokal scanning innan en bild laddas upp innebär att det bara är då en bild kan kontrolleras,. När den väl lagrats så kommer inte ens Apple själva åt informationen (efter det att kraftfullare kryptering införs för iCloud). Det här fortfarande övervakning, fortfarande en bakdörr men Apple kan slå ifrån sig med att ”vi hjälper er att jaga och få bort vidriga bilder på övergrepp på barn men resten av det våra användare anförtror oss kommer ni inte åt”.
I det läget så skulle Apple kunna stärka krypteringen även lokalt, vilket skulle kunna slå ut hela lösningen med CSAM men då förstår jag inte varför CSAM implementeras nu överhuvudtaget. Som, ni märker så blir det här en massa cirkelresonemang, teknik, juridik, moral och etik och frågan är snårig och komplex. Jag önskar att jag hade kunnat säga, tvärsäkert – det är en bakdörr och sina skapar du inte – och sedan lämna resten av problemet, distribution av bilder som dokumenterar övergrepp mot barn. Det är där jag trillar dit och det är en fråga som jag inte kan släppa. Dessutom så kan alltså lagstiftare tvinga oss dit, vare sig vi vill eller inte och då fungerar det inte längre att slå ifrån sig med ”Vi ska inte ha övervakning, vi ska inte ha några bakdörrar. Problemet med pedofiler får någon annan lösa på något annat sätt.”
När nu Apple säger och skriver att CSAM aldrig kommer att få användas för något annat än söka efter digitala fingeravtryck för bilder så kan vi lita på att det är Apples tämligen stenhårda uppfattning. Sen är det en annan fråga om lagstiftare, politiker och andra kommer med andra krav och huruvida Apple kan försvara sin kontroll över CSAM.
