Krönika

Amelia Andersdotter: Konsumentverket måste ta fajten

Text: Amelia Andersdotter

För inte så länge sedan fick jag frågan hur cyberkrigföring – som Meltdown och Spectre – bör påverka företags och myndigheters sätt att hantera IT- och informationssäkerhetsfrågor. Frågan är vilseledande men inte oviktig. Och det finns faktiskt ett sätt för Konsumentverket att agera och samtidigt ge svenska och europeiska medborgare ett effektivare konsumentskydd. Även, så att säga, i datorn.

Meltdown och Spectre är säkerhetsproblem i hårdvara som upptäckts av EU-finansierade, civila, akademiska säkerhetsforskare i Österrike. När forskarna hade fått reda på att det fanns allvarliga problem med centrala processorer – hårdvaran i datorn gör allt som ingen annan hårdvara gör – vände de sig till leverantörer med sina upptäckter. Leverantörerna utvecklade sätt att laga säkerhetsproblemen. Det kallas oftast att »patcha sårbarheter«.

För Meltdown och Spectre hade en »patch«, eller lösning, varit att alla som har vissa sorters centrala processorer, särskilt sådana från företaget Intel, köpte nya datorer med nya processorer. Det tar emellertid för lång tid och är dyrt. Så den andra lösningen var att uppdatera operativsystemen på de gamla datorerna. Uppdateringen gjorde att datorerna blev upp till 30 procent långsammare vid vissa typer av användning.

När man kommit på hur sårbarheten skulle patchas gick man till dagspressen. I början av januari 2018 blev det stort ståhej eftersom Intel-processorer är vanliga. Intel, skrevs det, hade under nästan två decennier prioriterat snabbhet och effektivitet före säkerhet.

Konkurrenten AMD fick så småningom medge att även de var drabbade av Spectre-sårbarheten.

Uppmärksamheten gjorde att de flesta användare, förhoppningsvis, förstod att de behövde patcha och det snabbt. Det blev en sorts marknadsföringskampanj för lösningen, alltså. (Begriper du inte vad jag pratar om så bör du nog kolla upp det…)

Som konsumenter, systemunderhållare, medborgare, myndigheter och företag sitter vi nu med kunskap om vad Meltdown och Spectre innebär. Vi kan uppskatta kostnaden för att patcha. Vi vet ungefär vad som orsakade problemet: Intel hade större incitament att utveckla snabba och effektiva processorer, än de hade att utveckla säkra processorer.

Tack vare medierapporteringen vet vi därför också att vi blivit lurade. Många av oss visste inte att Intel höll sig i framkant genom att fuska med säkerheten. Oavsett om vi köpt produkterna för näringsverksamhet, offentlig eller privat verksamhet, trodde vi bara att de var bäst. Och Intel var ju också störst på sin marknad.

Intel har ingen skyldighet att berätta om sina säkerhetsprocesser, och de har än i dag ingen skyldighet att gå ut offentligt när de upptäckt säkerhetsrisker. I USA står Intel inför flertalet gruppstämningar för att de vilselett kring säkerhetsegenskaperna i deras produkter. Men i EU är ansvarsutkrävande gentemot företag, särskilt stora företag, ett ekonomiskt mer riskabelt projekt.

Grupptalan och enskild stämning är otillgängliga rättsmedel, och särskilt i Sverige är skadestånden restriktiva. Eftersom Intel sannolikt inkluderat friskrivningsklausuler i sina avtal med både slutkonsumenter och övriga, och kanske inte ens är mer än underleverantör, kommer det att krävas en del juridiskt finlir för att vinna i domstol. Har Intel skarpare jurister kan den som driver saken vidare säga »Hej, personlig konkurs och livslånga skulder!«.

Riskerna är samma för näringslivsaktörer och konsumenter, men konsumenter är extra utsatta eftersom de ofta har sämre förutsättningar att bekosta juridiskt ombud. Men jag har förhoppningar om att Konsumentverket sätter tänderna i frågan om Intel agerat vilseledande mot svenska konsumenter, och om eventuella friskrivningsklausuler kan förklaras oskäliga.

Genom medierapporteringen och den tekniska forskningen har myndigheten en god grund att stå på i sitt vidare arbete. Det skulle vara ett viktigt steg för att flytta säkerhetsfrågorna dit de hör hemma: till konsumentskyddet, för allas vår trygghet i vardagen.

För EU-medborgare har forskarna från Österrike varit en livlina för kunskap om säkerhetsproblem i verktyg de flesta av oss använder dagligen. I stället för att dra tankarna till den diffusa »cybern«, bör Meltdown och Spectre få oss att fundera över varför europeiska lagar och myndigheter är sämre på att skydda oss, än vad motsvarande lagar och myndigheter är i USA.

Vi bör också fråga oss varför den enda sortens informationsdelning om säkerhet som efterfrågas i Sverige är sådan som går direkt in i Myndigheten för samhällsskydd och beredskaps eller Säkerhetspolisens sekretessklassade arkivskåp. Där hjälper uppgifterna varken upphandlare och småföretag eller konsumenter.

Amelia Andersdotter är ledamot av LD:s redaktion, grundare av dataskydd.net och tidigare ledamot av Europaparlamentet för Piratpartiet.

@teirdes

amelia.andersdotter@liberaldebatt.se

Fler artiklar av Amelia Andersdotter

Prenumerera 6 nummer per år för 200 kr