Via Bruce Schneiers blogg hittar jag en artikel från BBC som på ett bra sätt illustrerar ett fenomen som jag bloggade om för ca ett år sedan i inläggen ”Underrättelser och FRA-lagen” samt ”Statistik och varför FRA-lagen är en dålig idé”. Fenomentet kallas ”false positive paradox” eller ”base rate fallacy” och är ett resultat av att inga test är 100% säkra vilket får katastrofala konsekvenser när man letar efter ett litet antal ”positiva” utslag i en stor population, t ex terroristers meddelanden i våra internet-fiberkablar. det mesta som fastnar i nätet är falska positiva indikeringar. Jag beskrev problemet såhär i ett tidigare blogginlägg:
Antag att FRA:s sökbegrepp har en träffsäkerhet på 99%, vilket är högt med tanke på hur diffusa saker det är tänkt att FRA ska spana efter. Antag också att det skickas en miljon meddelande per dag genom Sverige vilket måste vara extremt lågt räknat men det är en bra illustration. Antag också att 100 av dessa meddelande är av intresse för FRA vilket måste vara en ohygglig överdrift men återigen en bra illustration.
Där har vi förutsättningarna. Då räknar vi lite… FRA kommer att fånga 99 av de 100 intressanta meddelanden. BRA tänker du. FRA:s filter missar bara ett enda intressant meddelande! Toppen! Man kan ju nästan tycka att FRA-lagen kanske inte är så dum i alla fall. MEN, och här kommer de tråkiga nyheterna för FRA. Av de 999 900 meddelandena som inte var av intresse för FRA kommer filtret vaska fram 9 999 meddelanden som är helt irrelevanta för FRA. Detta vet dock inte FRA förrän man manuellt har kollat dessa. Det innebär att för varje intressant meddelande måste man i mitt exempel läsa 101 ointressanta meddelanden. Detta är dessutom extremt överdrivet. Vem tror att 1 meddelande på 10 000 är intressant för FRA?
Bruce Schneier beskrev det såhär i sitt nyhetsbrev ”Cryptogram” strax efter 11e september attackerna 2001:
Demands for even more surveillance miss the point. The problem is not obtaining data, it’s deciding which data is worth analyzing and then interpreting it. Everyone already leaves a wide audit trail as we go through life, and law enforcement can already access those records with search warrants. The FBI quickly pieced together the terrorists’ identities and the last few months of their lives, once they knew where to look. If they had thrown up their hands and said that they couldn’t figure out who did it or how, they might have a case for needing more surveillance data. But they didn’t, and they don’t.
More data can even be counterproductive. The NSA and the CIA have been criticized for relying too much on signals intelligence, and not enough on human intelligence. The East German police collected data on four million East Germans, roughly a quarter of their population. Yet they did not foresee the peaceful overthrow of the Communist government because they invested heavily in data collection instead of data interpretation. We need more intelligence agents squatting on the ground in the Middle East arguing the Koran, not sitting in Washington arguing about wiretapping laws.
Vi kan belysa problemet grafiskt också. Antag en population på 300 miljoner människor (ungefär USA) och en metod som med 90% sannolikhet kan peka ut en terrorist. antag också att det finns 300 terrorister i befolkningen. Då blir det på följande sätt:
Tänk vilka resurser som krävs för att avfärda alla ”misstänkta terrorister”!!!! Blir vi säkrare av det? Jag vill passa på att återigen citera ett tidigare inlägg:
FRA:s sökbegrepp har tidigare varit mycket tillförlitliga eftersom andelen för FRA intressant trafik har varit hög i förhållande till den för FRA ointressanta trafiken. På militära frekvenser så pratar i stort sett bara militärer. När man nu har fått tillstånd att spana i kabeltrafik så kommer FRA att få plöja genom en störtflod av civil och ointressant trafik. Med andra ord så kommer det inte spela någon roll om FRA:s sökbegrepp har en felprocent på 1%, 0.1% eller 0.01% eftersom om man försöker hitta en liten andel intressant information i en stor mängd ointressant information så kommer man alltid att till största delen hitta icke-relevant information oavsett felprocenten på filtret. FRA kommer att bränna hela sin kapacitet på att följa upp ointressanta meddelande och därmed ökar risken för att man faktiskt missar intressanta meddelanden. De ointressanta meddelandena som felaktigt fastnar i FRA:s filter utgör dessutom din och min kommunikation som vi inte tycker någon annan har med att göra. Ändå kommer FRA att läsa och, nästan oundvikligen, missbruka denna information trots alla fina ord om att den ska förstöras. Därför är FRA-lagen en extremt dålig idé.
Stoppa vansinnet och protestera mot FRA-lagen. Gå med i Piratpartiet!
Andra bloggar om: FRA, avlyssning, integritet, Piratpartiet, false positive paradox, base rate fallacy
Hehe, det är träffande matematiska illustrationer som ni har, men det är lätt att glömma att om någon verkligen vill utföra ett terrordåd är det extremt enkelt att se till att hamna i gruppen ”icke-misstänkta”. Det är där vi hittar de verkligt farliga. Bara för att ta ett exempel så såg de som sprängde bomber i Madrid och London noga till att ha äkta ID-handlingar på sig, eftersom polisen i Spanien och Storbritannien i princip bara misstänkliggör de som inte går med på att visa upp ID handling då de tillfrågas.
[…] juli, 2009 av fritank Mark Klamberg bemöter mitt inlägg från går om varför FRA-lagen är en dålig idé. Som exempel använder han Anders Erikssons utredning för […]
[…] juli, 2009 av fritank Mark Klamberg och jag har haft en diskussion angående mitt inlägg om FRAs spaning och falska träffar. Bakgrunden är det som kallas “false positive paradox” eller “base rate […]
[…] en diskussion mellan mig och Mark Klamberg om datautvinning så beskrev jag i mitt förra inlägg mer i detalj varför FRAs […]
[…] Fritänk: “Varför FRA-lagen är en dålig idé III“ […]
[…] förmodas höjas med mer övervakning. Men mer övervakning medför också ett större antal felaktiga utpekanden. Dessa felaktiga utpekanden kan t.ex. medföra ett misstänkliggörande från folk i omgivningen […]