Teknologisk utveckling har förbättrat våra liv på många sätt — men också skapat helt nya möjligheter för brottslingar:
Prior to the internet, someone with sexual interest in children felt isolated, aberrant, alone. Today, he is part of a global community. He interacts online with people of like interests worldwide. They share images, fantasies, techniques, even real children. And they do it all with virtual anonymity.
Veckans tema är ett tungt ämne: barnpornografi och hur EU försöker stoppa det genom en ny lag. Men det är viktigt, både för att problemet är så stort, men också för att den föreslagna lösningen kan påverka vårt samhälle så fundamentalt.
Dagens utskick är del 1 av 2. Idag ska vi titta på omfattningen av problemet och det nya lagförslag som syftar till att bemöta det. Det har kommit att kallas Chat Control. Vi ska också titta på dess direkta implikationer. På onsdag kommer del 2, och då ska vi titta närmare på riskerna med förslaget, samt min egen syn.
(Är du intresserad av ämnet men inte orkar läsa ett långt nyhetsbrev ;) så har Svenska Nyheter gjort en rolig och förvånansvärd pedagogisk genomgång av frågan.)
Hur stort är problemet?
Få saker är så vidriga som sexuella övergrepp på barn, och få saker är lika svåra som förälder att researcha och skriva om.
Men problemet försvinner inte för man inte tänker på det. Det uppskattas av en flicka på fem, och en pojke på tjugo, utsatts eller kommer att utsättas för någon typ av sexuellt övergrepp under sitt liv. Alla övergrepp är inte fysiska, men många är det. Varje år anmäls fyratusen våldtäkter mot barn i Sverige, och det tros finnas ett stort mörkertal. Vi vet också att sexuellt våld mot barn kan förstöra ett barns liv. En studie visar till exempel att självmordstankar är tre gånger vanligare bland ungdomar som utsatts för sexuella övergrepp.
Den vämjeliga följeslagaren till att utföra sexuella övergrepp mot barn är att dokumentera dem: barnpornografi, som på engelska formellt kallas child sexual abuse material (CSAM) eller imagery (CSAI). Vi vet att enorma mängder övergrepp har filmats och sprids på Internet, för att det finns en stor efterfrågan. Bara den svenska internetoperatörer Tele2 loggar — och blockar — en halv miljon sökningar på barnporr varje månad.
Många offer vittnar om att bilderna förföljer dem även som vuxna:
In interviews, victims across the United States described in heart-wrenching detail how their lives had been upended by the abuse. Children, raped by relatives and strangers alike, being told it was normal. Adults, now years removed from their abuse, still living in fear of being recognized from photos and videos on the internet. [...] “I don’t really know how to deal with it,” said one woman who, at age 11, had been filmed being sexually assaulted by her father. “You’re just trying to feel O.K. and not let something like this define your whole life. But the thing with the pictures is — that’s the thing that keeps this alive.”
Det är svårt att bedöma problemets omfattning, men det verkar som tusentals nya offer identifieras varje år. Amerikanska National Center for Missing & Exploited Children (NCMEC), som sköter en global databas över all känd barnporr, har identifierat mer än 25.000 barn som förekommer i barnpornografiskt material under de senaste två årtiondena, och bara förra året identifierades 4464 nya barn. Ca 5% är under två år och ytterligare 35% prepubertala. Drygt två tredjedelar är flickor. Förra året rapporterades över 30 miljoner ärenden till dem om misstänkt material, som tillsammans innehöll 23 miljoner olika filmer och bilder.
Den faktiska mängden nytt material är dock sannolikt mycket lägre. En studie från Meta år 2021 (som ansvarar för 85% av de här rapporterna) pekar på att 90% av materialet de rapporterade var samma eller visuellt liknande material som tidigare rapporterats, och 6 filmer som delats mycket ansvarade för mer än hälften av alla rapporterna. Bara 2 promille av ärendena leder till polisanmälningar (ca 50.000 fall förra året), och statistik från två olika länder pekar på att ca en femtedel av dem uppskattas spegla faktiska övergrepp som går att åtala. Det här är också i linje med en annan Meta-studie som visar att 75% av de misstänkta fallen handlade om opassande skämt eller tonåringar som frivilligt skickar intima bilder. Dock råder det inget tvivel om att tusentals personer drabbas varje år.
Kriminalkommissarie Björn Sellström förklarar att barnporr idag i stort sett alltid spelas in i barnets eget hem, antingen av en vuxen förövare i barnets närhet eller barnet självt.
It is important to understand that the overwhelming majority of child sexual abuse material that we see in the investigations is home recorded, and not commercial. [...] When I started working on child sexual abuse investigations, there was quite a lot of commercial material from Eastern Europe, and those images and videos are still in circulation. However, the new child sexual material that we see is primarily privately recorded.
Historiskt sett har barnpornografi skildrat fysiska övergrepp, och förövare har då oftast varit en person i barnets omedelbara närhet. I de fallen där det finns statistik var förövaren pappan, styvpappan, bonuspappan eller morbror/farbror i drygt hälften av fallen. I bara 0,5% av fallen var förövaren en främling och 1% av fallen var barnet offer för trafficking. De mest engagerade medlemmarna i slutna pedofilnätverk är ofta själva föräldrar: man klättrar i hierarkin genom att själv bidra med något. Polisutredningar visar på hur tiotusentals pedofiler utbytt barnporr över Internet i slutna forum, med ca 100 medlemmar som spelat in och distribuerat övergrepp.
In this case, the Ohio man, who helped run a website on the dark web known as the Love Zone, had over 3 million photos and videos on his computers. The site, now shuttered, had nearly 30,000 members and required them to share images of abuse to maintain good standing, according to the court documents. A private section of the forum was available only to members who shared imagery of children they abused themselves. They were known as “producers.”
Senaste åren har egenproducerat material exploderat, det vill säga att framförallt unga tjejer spelat in eget material och delar, i många fall säkert utan att förstå att det kommer att spridas över Internet. En australiensisk polisman beskriver hur det kan gå till:
Significantly, we are seeing that children are now self-producing more material than ever before. There are, for example, online challenges among kids where they are daring each other to touch different parts of their bodies or to carry out other acts that are then shared online. Another example is a recent investigation we conducted where a man convinced over 150 children globally that he was Justin Bieber and instructed them to do horrendous acts on camera for him in the belief they would get concert tickets or VIP passes.
Ca 90% av barnen verkar vara från Europa eller USA, enligt en INTERPOL-databas. Brittiska Internet Watch Foundation, som har en liknande roll som NCMEC, scannar själva igenom Internet efter barnporr. 94% av de länkar de identifierar bedöms föreställa 7-13 åringar, och 96% är flickor. För flickorna är bilderna i tre fjärdedelar av fallen självgenererade, det vill säga att den vuxne är inte närvarande i rummet. (I de få fallen med pojkar är den vuxne oftast närvarande.)
57% av poliser i en undersökning säger att självgenererade materialet oftast är "frivilligt" självgenererat, medan 22% beskriver det som att det oftast är ett resultat av grooming, att en vuxen sökt upp dem och manipulerat dem till sexuella handlingar. Ofta låtsas förövaren vara en jämnårig. Förrförra året anmäldes 2000 fall av “utnyttjande av barn för sexuell posering” i Sverige. Ibland delar barnen bilder och filmer, ibland livestreamar de material som de tror inte sparas på t ex Skype eller Snapchat, men ofta fångas skärmdumpar eller inspelningar. (Utöver privata inspelningar finns också en industri med kommersiella webcam-shower, där de flesta av offren verkar komma från Sydostasien och specifikt Filippinerna.)
Senaste tiden verkar förövare prioritera volym framför djup i kontakter och rikta in sig på ett hitta de mest utsatta, självskadande eller bekräftelsesökande barnen. En polis säger:
With kids being stuck at home [during covid], I think that predators feel that they have a large victim pool. In the chat evidence that I have reviewed they seem to jump from victim to victim faster than before and put less effort into grooming and more effort into finding a susceptible victim.
Även om bilderna initialt delas frivilligt så riskerar de snabbt att spridas vidare: det pågår en omfattande relativt öppen handel med barnporr på bland annat Instagram och Twitter. Och när barnet inte vill dela fler bilder händer det att de utpressas till att fortsätta skicka bilder, så kallad “sextortion”, för att förövaren inte ska sprida tidigare bilderna vidare.
Vad kan man göra åt problemet?
I och med att problemet är så stort och så välkänt, finns det redan mycket arbete för att komma tillrätta med problemet. Innehav av barnpornografi är förstås olagligt, och i USA är teknikbolagen skyldiga att rapportera misstänkt barnporr om de hittar något — men de är inte skyldiga att aktivt leta efter det.
Det finns i grunden två sätt att automatiskt försöka identifiera barnpornografi (och andra oönskad bilder och filmer, som t.ex. våldsporr eller terroristattacker):
Det är tekniskt sett relativt enkelt att leta efter kända bilder på övergrepp. För varje bild man vill undersöka räknar man ut ett slags digitalt fingeravtryck (“hash”), och jämför det med en lista på fingeravtryck för bilder som utgör känd barnpornografi. Man behöver inte jämföra specifika bilder, eller ens ha tillgång till alla olagliga bilder (det är bara NCMEC som har) utan det räcker med listan på alla fingeravtryck. Metoden är inte perfekt och går att lura, men generellt har den ganska god träffsäkerhet för kända bilder. Det finns också varianter av metoden där man också kan fånga in mindre förändringar i bilderna, och också metod för att detektera videos med god precision. Databasen på fingeravtryck innehåller idag över sex miljoner bilder och filmer.
För att automatiskt bedöma om okända bilder utgör barnporr kan man inte jämför fingeravtryck, för det finns ju inget att jämföra med, utan en AI-algoritm måste då göra en bedömning av bilden. Sådana AI-modeller tränas på stora mängder bilder och får under träningen lära sig för varje bild om den föreställer det man vill hitta, eller inte. Att klassificera bilder är bread and butter på Internet idag, och används i ett stort antal vardagliga tillämpningar, t.ex. när kameraappen i din telefon markerar när den hittar ett ansikte. Dagens bästa AI-modeller lyckas korrekt klassificera en bild i mellan 90 och 99% av alla fall. De används dock inte idag i någon skala för att bedöma om bilder är barnporr eller inte, kanske för att finns en stor gråzon med bilder som inte kommer att kunna klassificeras korrekt. Hur kan en algoritm (eller en mänsklig granskare) avgöra om en person på en bild är 17 eller 18 år, eller om en bild på ett kroppsorgan är tagen i medicinsk syfte eller inte?
Så sent som år 2020 diskuteras det i Europa om bolag skulle ha rätt att frivilligt söka igenom sina användares bilder efter barnporr. År 2021 kom den tillfälliga CSAM-förordningen som på samma sätt som i USA ger en rättighet, men inte en skyldighet, för tjänsteleverantörer att utföra spårning. Många stora bolag, som Meta och Dropbox, har implementerat metoden med att titta på fingeravtryck för känd barnporr. De scannar därför alla bilder de har åtkomst till och rapporterar varje år in miljontals ärenden.
Sista åren har Ylva Johansson, som är EU-kommissionär med ansvar för inrikes frågor, jobbat med olika barnrättsorganisationer för att utveckla en permanent CSAM-förordning. Av kritikerna kallas den Chat Control (eller ibland Chat Control 2.0). Det är en mycket mer omfattande lagstiftning som syftar på att allvar komma till rätta med problemet. Den permanent förordningen täcker all digital kommunikation, inklusive t.ex. molntjänster. Alla leverantörer blir skyldiga att bedöma om deras tjänst kan användas för att hantera barnporr och isåfall vidta åtgärder.
Men den största förändring gäller omfattningen: en myndighet kan ålägga en leverantör att spåra inte bara kända filmer och bilder (som har ett digitalt fingeravtryck), utan även okänt material: det vill säga bilder måste kunna analyseras för att bedöma om de kan utgöra barnporr. Utöver bilder och filmer ska även textkommunikation mellan användare kunna sökas igenom i jakt på groomingförsök, något som är tekniskt sett helt oprövat. Misstänkta bilder och meddelande ska lämnas över till ett nytt EU-centrum, som samlokaliseras med Europol, och som lämnar rapporterna vidare till dem och nationell polis efter en första manuell screening.
För att skydda barn ska ingen under 17 få använda kommunikationstjänster som WhatsApp, Snapchat, Facebook eller FaceTime eller spel där man kan chatta (som Minecraft, Roblox eller FIFA), om det kan förekomma grooming.
Vad blir de direkta implikationerna?
Innan vi går in i debatten, låt oss titta på de direkta implikationerna av förslaget, så som det formulerats av kommissionen.
En första konsekvens gäller åtkomst till tjänster. Eftersom grooming rimligtvis kan förekomma på alla sådana tjänster måste de implementera ålderskontroll (eller för spel: ta bort kommunikationsmöjligheterna). Ålderskontrollen måste ju baseras på en faktiskt identitet, så inga vuxna kommer att kunna kommunicera anonymt på Internet längre.
Ett annat område där förslaget — inte explicit, men i praktiken — kommer att innebära en stor skärpning är synen på kryptering, en serie matematiska metod för hålla information privat på Internet. Krypteringen i det här fallet kallas “end-to-end”, eller bara “e2e” (den svenska termen “totalsträckskryptering” är så okänd och förvirrande att jag inte förmår mig själv att använda det). Det är alltså en slags postsekretess som inte bara bygger på juridiska intentioner utan också att det är tekniskt omöjligt för någon som inte är avsändare eller mottagare att tjuvläsa meddelanden. Så här förklarar WhatsApp det:
Security is essential to the service WhatsApp provides. We've seen multiple examples where criminal hackers illegally obtained vast sums of private data and abused technology to hurt people with their stolen information. Since completing the implementation of end-to-end encryption in 2016, digital security has become even more important. WhatsApp has no ability to see the content of messages or listen to calls that are end-to-end encrypted. That’s because the encryption and decryption of messages sent and received on WhatsApp occurs entirely on your device. Before a message ever leaves your device, it's secured with a cryptographic lock, and only the recipient has the keys. In addition, the keys change with every single message that's sent.
Att förövare använder kryptering beskrivs av poliser i en undersökning som en av deras största utmaningar de möter i utredningar, så det är ju förståeligt att frågan kommer upp. Men kryptering fyller en väldigt viktig funktion för många laglydiga människor. Det är själva kitet som håller ihop ens personliga integritet i en modern, digital värld:
Encryption matters because it is the single best tool we have for securing private data. [...] Literally every other approach we’ve ever used to protect valuable data has been compromised, and often quite badly.
FN:s människorättskommissionär har påpekat att krypterad kommunikation krävs för att folk ska våga dela information om sin hälsa, finansiella situation, sexuella preferenser, och andra områden där rätten till ett privatliv är självklart nödvändigt. En annan genomlysning av alla rättigheter i FN:s deklaration om de mänskliga rättigheterna menar att kryptering stärker flertalet rättigheter, från yttrandefrihet till fysisk säkerhet och religionsfrihet. Marginaliserade grupper har ännu mer att vinna på att utnyttja sina rätter utan övervakning.
Den tillfälliga CSAM-förordningen anger explicit att e2e-kryptering inte ska förbjudas eller försvagas. Men i det nya, permanenta förslaget (Chat Control) finns det inget sådant skydd, av den enkla anledningen att den totala kontroll man vill ha inte går det ihop med e2e-kryptering! Så här beskriver 68 brittiska forskare i IT-säkerhet utmaningen man står inför i ett öppet brev:
What we can confirm with authority is: Firstly, such monitoring is categorically incompatible with maintaining today’s (and internationally adopted) online communication protocols that offer privacy guarantees similar to face-to-face conversations. Secondly, attempts to sidestep this contradiction are doomed to fail on the technological and likely societal level. Technology is not a magic wand.
Om staten ska kunna läsa alla dina meddelanden är ju ett alternativ att helt enkelt förbjuda e2e-kryptering, och istället tvinga fram annan slags kryptering där mellanhänder (som t ex serverägaren, och därmed polisen) kan läsa meddelanden (en så kallad “nobody but us”-bakdörr). Ett läckt dokument med åsikter från olika EU-länders polismyndigheter visar också tydligt att de är skeptiska mot e2e-kryptering, och vissa vill förbjuda det rakt av. Andra debattörer säger inte uttryckligen att de vill förbjuda e2e-kryptering, men det blir i praktiken konsekvensen.
Alternativt får man behålla krypteringen mellan enheter, men bygga in en bakdörr så att telefonen själv scannar bilder och meddelanden som lagras på den innan de skickar dem, eller när de mottagit dem (“client-side scanning”). Så här beskriver de brittiska forskarna det:
A popular deus ex machina is the idea to scan content on everybody’s devices before it is encrypted in transit. This would amount to placing a mandatory, always-on automatic wiretap in every device to scan for prohibited content. This idea of a “police officer in your pocket” has the immediate technological problem that it must both be able to accurately detect and reveal the targeted content and not detect and reveal content that is not targeted, even assuming a precise agreement on what ought to be targeted.
Vad säger kritikerna?
Det låter väl jättebra om man kan spåra upp både känd och okänd barnporr, och också stoppa all grooming?
Det kan man tycka, men förslaget har rört upp en kritikstorm på ett sätt som få EU-förslag gör. Så vad säger kritikerna? Till skillnad från vad Ylva Johanssons kollegor insinuerat är det inte primärt "branschen" som vill undvika förändring, utan kritikerna är såväl letande säkerhetsexperter som aktivister som värnar om privatliv och barns rättigheter.
Hundratals forskare varnar i ett öppet brev för att implementera förslaget. En annan forskare skriver:
I am a professor of computer science and a researcher in the field of applied cryptography. [...] I have read the Impact Assessment authored by the Commission, and I hope I am not being rude to this audience when I say that I found it deeply naive and alarming. My impression is that the authors do not understand, at a purely technical level, that they are asking technology providers to deploy systems that none of them know how to build safely.
Han skrev också tidigare på X:
This document is the most terrifying thing I’ve ever seen. It is proposing a new mass surveillance system that will read private text messages, not to detect CSAM, but to detect “grooming”. [The proposal] describes the most sophisticated mass surveillance machinery ever deployed outside of China and the USSR. Not an exaggeration. [...] Maybe in the year 2200 we’ll be able to outsource crime prevention to a benevolent AI: today it is science fiction.
En annan känd cybersäkerhetsexpert skriver:
The EU proposal would undo 20 years of progress in securing communications, while employing a set of technologies unlikely to achieve its stated goals. Even worse, the solutions it proposes for handling CSAM would create national security risks by weakening the best tool available for securing communications, end-to-end encryption, and defining a mission without the technology to accomplish it [...]
Positing that a technical solution will follow the creation of the European center makes little sense. It is roughly akin to sending a mission to colonize Jupiter and send back precious minerals without the ability to survive on the planet or for a spacecraft to escape Jupiter’s gravity. “We’ll figure it out while the spaceship is in flight to Jupiter” is not a solution. [...]
CSAM and its closely related issue, child sexual abuse, are appalling problems very much in need of solutions. But the EU proposal is not the answer. “Do something” works only if there is value in the “something” and not unreasonably high costs in the “doing.” The EU proposal fails on both counts. It should be abandoned.
Den svenske professorn Stefan Axelsson säger att det inte finns någon återvändo när man väl förhindrat möjligheten till krypterad kommunikation:
Inte ens Östtysklands säkerhetspolis Stasi hade övervakning på den här nivån [...] Varje form av krypterad kommunikation kommer omöjliggöras med det här. I och med att den här informationen inte är skyddad, eller kan skyddas, eller får skyddas, då är det en hundraprocentig säkerhet att världens underrättelsetjänster kommer få tag på den.
Frågan delar de olika EU-organen. Europaparlamentets utredningstjänst landar i att kommissionens förslag kommer att “nå begränsade resultat” och EU:s huvuddataskyddsombud har själv jämfört förslaget med sin barndom i kommunismens Polen. Till och med kommissionens egen rättstjänst (!) tycker att förslaget går emot EU-stadgan om de grundläggande rättigheterna:
... the regime of the detection order, as currently provided for by the proposed Regulation with regard to interpersonal communications, constitutes a particularly serious limitation to the rights to privacy and personal data protection enshrined in Article 7 and 8 of the Charter.
Det här var allt för idag. I nästa utskick, som kommer redan på onsdag, ska vi titta närmare på kritikernas argument, och då ska jag också sammanfatta vad jag tycker och vad det finns för andra alternativ.
Om du har vänner som du tror skulle gilla nyhetsbrevet, vidarebefordra det till dem eller tipsa dem om att prenumerera för att få framtida utskick (det är helt gratis!).
—Jacob
Intressant absolut och väldigt viktigt !
Men det hjälper inte oss som drabbats och drabbas av övergrepp som inte filmats eller fotograferats, tyvärr. Jag blev utsatt under hela uppväxten och lider av svår PTSD. Har gått i EMDR terapi och det har hjälpt mycket.