Незважаючи на свою величезну цінність і глобальну привабливість, онлайн-шифрування знаходиться під загрозою в усьому світі, причому провідні звинувачення становлять усталені демократії. Але зіткнувшись із сильним тиском громадськості щодо захисту конфіденційності та безпеки користувачів, уряди зрозуміли, що примусовий «чорний» доступ до програм є політично ризикованим.
СТЕНФОРД / ПРАГА. Зусилля уряду отримати доступ до приватних комунікацій не є чимось новим. У минулі десятиліття такі спроби підшукувати часто виправдовувалися міркуваннями національної безпеки. Однак сьогодні політики вказують на безпеку дітей і дезінформацію як на причини для обмеження захисту конфіденційності. Сталі демократії часто ведуть у цьому звинуваченні, ненавмисно прокладаючи шлях для світових автократів.
Але люди в усьому світі не приймають цю політику лежачи. Вони висловлюються, використовуючи такі заходи, як Глобальний день шифрування, щоб підкреслити важливість конфіденційності та безпеки не лише для їх власного життя, але й для їхніх громад і суспільств. І оскільки гучна опозиція продовжує перешкоджати зусиллям уряду розширити повноваження стеження, стало зрозуміло, що громадський тиск працює.
Шифрування, яке кодує цифрові дані таким чином, щоб їх міг прочитати лише той, хто має засоби для їх декодування, стало повсюдним, оскільки воно зберігає конфіденційність і безпеку інформації, одночасно підтверджуючи особу особи, з якою спілкуються. Сьогодні мільярди людей використовують шифрування для надсилання цифрових повідомлень і електронних листів, переказу грошей, завантаження веб-сайтів і захисту своїх даних. Золотим стандартом безпеки є «наскрізне» шифрування (E2EE), оскільки лише учасники мають доступ до даних – навіть постачальник послуг не може їх розшифрувати.
Незважаючи на свою величезну цінність і глобальну привабливість, шифрування знаходиться під загрозою в усьому світі. Його використовують законослухняні громадяни, щоб захистити себе, а також зловмисники, щоб приховати свою зловмисну діяльність. З цієї причини правоохоронні органи виступають проти схем шифрування, особливо E2EE, які перешкоджають їм отримати доступ до даних.
Але навіть після десятиліть досліджень досі не існує відомого способу надати правоохоронним органам доступ без порушення конфіденційності та безпеки шифрування. Тому виробники зашифрованих пристроїв і служб протистояли закликам створити «чорний» державний доступ, що зробило б усіх їхніх користувачів більш уразливими.
Шкідлива онлайн-діяльність, яка стосується поліції, відбувається не лише в зашифрованих просторах. Ворожі висловлювання, дезінформація та інший неприйнятний контент залишаються згубною проблемою на платформах соціальних мереж та інших сайтах, що спонукає до всесвітнього законодавчого поштовху, щоб змусити технологічні компанії покращити свої послуги. Британський парламент, наприклад, нещодавно прийняв законопроект про безпеку в Інтернеті (OSB) після кількох бурхливих років, протягом яких тиск громадянського суспільства значно змінив масштаби . Остаточна версія зосереджена головним чином на видаленні незаконного контенту та зменшенні ризиків для дітей.
Але OSB все ще має серйозні недоліки. Наприклад, парламент не включив шифрування для захисту мови. Крім того, закон надає Ofcom, регулятору комунікацій Сполученого Королівства, повноваження змушувати платформи соціальних мереж і служби обміну повідомленнями масово сканувати файли та повідомлення своїх користувачів на наявність доказів сексуального насильства над дітьми.
Ніхто не заперечує, що боротьба з експлуатацією дітей є надзвичайно важливою. Але повноваження Ofcom охоплюють служби обміну повідомленнями E2EE, до яких, за визначенням, не можуть отримати доступ постачальники послуг. Таким чином, єдиний спосіб, яким ці служби можуть виконати наказ Ofcom, — це внести фундаментальні зміни в дизайн шифрування.
Іншими словами, OSB дає Ofcom повноваження змусити постачальників послуг підірвати їхнє шифрування. Apple, Meta та Signal пообіцяли витягнути свої програми E2EE з Великобританії, а не виконувати будь-який урядовий наказ щодо зниження конфіденційності та безпеки своїх користувачів. У відповідь Ofcom публічно пообіцяв не використовувати свої нові повноваження, принаймні поки що.
І з поважною причиною: важливі органи дійшли висновку, що технології сканування є недостатньо точними, обмежуватимуть фундаментальні права та, ймовірно, не пройдуть перевірку на пропорційність – недоліки переважують переваги. Крім того, злочинці можуть легко обійти ці засоби контролю, зашифрувавши вміст за допомогою окремої програми. Ofcom було б мудро діяти обережно, щоб не ризикувати конфіденційністю та безпекою користувачів Інтернету через неперевірені та потенційно неефективні технології.
(Передбачувана) поблажливість Ofcom нагадує поведінку австралійської влади з моменту ухвалення спірного закону 2018 року , який надає уряду нові повноваження змушувати постачальників зв’язку надавати бекдор-доступ до своїх продуктів. Експерти з громадянського суспільства та кібербезпеки висловлювали тривогу щодо небезпеки закону для конфіденційності та безпеки, а самі законодавці визнали, що законопроект є недоліками, але він все одно був прийнятий.
Через п’ять років не було видано жодного обов’язкового повідомлення. Це може свідчити про свідомий вибір: використання такої влади ризикує політичним ударом. Орудуйте мечем надто захоплено, і його можуть відібрати; краще залишити його закритим на користь інших, менш спірних інструментів. Знову ж таки, поблажливість уряду також може свідчити про те, що суперечлива нова влада взагалі була непотрібною.
Громадський контроль за державними повноваженнями тримає їх під контролем. Саме так має працювати демократія. Пообіцявши не використовувати свій новий інструмент, Ofcom, схоже, зрозумів, що на карту поставлено легітимність уряду. Але оскільки законопроект Великобританії надихає подібне законодавство в інших країнах, деякі з яких є менш демократичними та мають досвід використання цифрових технологій як зброю проти своїх громадян, цей нюанс, ймовірно, буде втрачено.
Перше випробування відбудеться в Європейському Союзі, де законодавці сперечаються над проектом постанови про розширення зобов’язань технологічних компаній щодо безпеки дітей. Подібно до законопроекту Великобританії, пропонований Регламент про сексуальне насильство над дітьми (CSAR) уже пройшов численні зміни, оскільки країни-члени сперечаються щодо захисту E2EE.
Проект CSAR, який глузливо називають «контролем чату», широко засуджували за те, що він потенційно змушує європейських постачальників послуг сканувати всі публічні та приватні комунікації, що означало б незаконне загальне зобов’язання моніторингу. Нещодавні звіти посилили ці занепокоєння, виявивши, що Європол, правоохоронний орган ЄС, вимагав необмеженого доступу до отриманих даних і їх використання поза цілями, визначеними в регламенті; воно, здається, не має наміру стримуватися. Потрібен постійний громадський тиск, щоб просувати реформу «найбільш критикованого проекту закону ЄС усіх часів».
Якщо державне стеження викликає занепокоєння в усталеному демократичному утворенні, такому як ЄС, то яка надія є для демократій, що перебувають в обложенні, таких як Туреччина, Індія та Бразилія, а тим більше для автократій? На щастя, громадський рух на підтримку шифрування зростає, а правозахисні групи, такі як Global Encryption Coalition, лідирують у цьому.
Взаємодіючи з громадянським суспільством, технологами та громадськістю, уряди можуть розробити правила, які поважатимуть конфіденційність, безпеку даних і свободу вираження думок, водночас допомагаючи захистити користувачів від шкоди. Це єдиний спосіб переконатися, що Інтернет працює для всіх.
Автори:
Ріана Пфефферкорн є науковим співробітником Стенфордської Інтернет-обсерваторії;
Каллум Воге є директором відділу зв’язків з державними органами та адвокації Internet Society.
Джерело: PS, США
