Поліцейський у кожній кишені: сканування на стороні клієнта у Великобританії та Європі

Уряди рекламують сканування на стороні клієнта як рішення проблеми матеріалів, що містять сцени насильства над дітьми, але ці рішення є недалекоглядними і активно...

31 липня 2023 р.1 хв читання

Поділіться

Уряди рекламують сканування на стороні клієнта як рішення проблеми матеріалів, що містять насильство над дітьми, але ці рішення є недалекоглядними та небезпечними.

У кожного з нас є своя рутина, але, як за годинником, м'язова пам'ять зазвичай спрацьовує, коли ми виходимо з дому на цілий день. Постукування по джинсах або пошуки в кишені куртки і ледь чутні видихи: «ключі-телефон-гаманець». Але до цих банальних, але необхідних предметів незабаром додасться значно менш корисний супутник, який буде жити, безликий і безіменний, на вашій особі: ваш власний кишеньковий поліцейський з повноваженнями, якими легко зловживати.

Переклади: Français // Русский // 日本 // Türkçe

Ось що готують ЄС і британський уряд. І схоже, що як ЄС, так і Велика Британія продовжать впроваджувати «сканування на стороні клієнта», ставлячи під загрозу основне право на приватність комунікацій.

Законодавство щодо розшифрування даних у британському Законопроекті про безпеку в Інтернеті просувається всупереч рекомендаціям наукових кіл, [бізнесу](https://www.bbc.co.uk/news/technology -66028773) та громадських організацій. Не існує універсального технічного рішення, яке б запобігало шкоді дітям, але, як виявляється, сканування на стороні клієнта є дуже схильним до помилок і мало сприяє припиненню поширення шкідливих матеріалів в Інтернеті. Ця технологія призведе до зниження рівня безпеки на всіх пристроях.

У відповідь Apple, Signal і WhatsApp погрожували припинити надання послуг у Великій Британії, що нагадує репресивні режими, де люди змушені користуватися VPN, щоб отримати доступ до інформації та послуг, необхідних у повсякденному житті.

Запропоновані закони підкреслюють, наскільки легко можна неправильно зрозуміти питання безпеки в сфері глобальних цифрових інфраструктур: відкрити «задні двері» для органів влади означає відкрити «задні двері» і крапка, які можуть бути і будуть зловжиті. Навпаки, більш суворі заходи щодо захисту приватного життя забезпечують загальну безпеку, оскільки запобігають профілюванню, таргетуванню, поширенню неправдивої інформації та дезінформації.

Інтернет повинен бути публічним, безпечним засобом, де уряд допомагає захищати нашу інфраструктуру, а не змушує її ставати менш безпечною. На жаль, Великобританія не єдина, і ЄС висунув подібну пропозицію.

Nym відстоює конфіденційність за замовчуванням і завжди буде це робити.

Прочитайте далі, щоб дізнатися більше про сканування на стороні клієнта, пропоновані закони та місце Nym у цьому процесі:

Закон про безпеку в Інтернеті: що таке сканування на стороні клієнта?

У 2003 році все було простіше, коли CSS означало або [Cascading Style Sheets] (https://en.wikipedia.org/wiki/CSS), або [Cansei de Ser Sexy] (https://en.wikipedia.org/wiki/CSS_%28band%29). Через кілька десятиліть ми маємо справу з «скануванням на стороні клієнта» — технологією, яка автоматично виявляє незаконний вміст у повідомленнях (сканування) на пристрої користувача (на стороні клієнта).

Довга історія законопроекту про безпеку в Інтернеті розвивалася і набувала обертів протягом багатьох років, починаючи з білої книги про шкоду в Інтернеті, опублікованої в 2019 році. Частина широкомасштабного законопроекту зараз пропонує надати нові повноваження британському регулятору телекомунікацій Ofcom, що дозволить цьому органу зобов'язати технологічні компанії встановлювати CSS на ноутбуки, планшети та смартфони, фактично створюючи «задні двері» в кожному пристрої, якщо регулятор вирішить скористатися своїми повноваженнями.

Коли користувач завантажує зображення на свій смартфон, програмне забезпечення для сканування на стороні клієнта порівнює його з базою даних забороненого контенту. Ця база даних насправді не містить зображень, а щось, що називається нейронними хешами — це щось на зразок цифрових відбитків пальців, як пояснює Open Rights Group — і якщо знайдено збіг, система видаляє або повідомляє про завантаження до відповідних органів.

Хоча сама система шифрування не піддається втручанню, Open Rights Group зазначає, що це порушує принцип шифрування, згідно з яким комунікації не повинні піддаватися втручанню.

«Масштаби впровадження свідчать про те, що це інструмент масового спостереження», — заявила організація Open Rights Group. «Вона буде встановлена на кожному смартфоні в країні, працюватиме цілодобово, перевіряючи всі наші матеріали на наявність збігів. Це надзвичайно непропорційний захід, і з огляду на невизначеність щодо цієї технології, політичні діячі повинні підходити до нього з обережністю».

Зі зростанням рівня складності кіберзлочинних угруповань, багато з яких мають [власні відділи кадрів та складні технологічні стеки](https://www.cnbc.com/2022/04/14/ conti-ransomware-leak-shows-group-operates-like-normal-tech-company.html) , злочинці, на яких, за твердженням законопроекту, спрямовані його положення, будуть продовжувати існувати і ставати все більш досвідченими в ухиленні від відповідальності, але права звичайних людей будуть серйозно порушені.

Окрім нехтування правами громадян, існують також операційні труднощі з впровадженням цієї технології. Досить очевидною проблемою є створення технології, яка б дозволяла точно зіставляти хеші та розрізняти незаконний контент і повсякденні комунікації.

Насправді, дослідники вже продемонстрували слабкі місця в технології сканування NeuralHash від Apple, яка перевіряє хеші на відповідність тим, що містяться у відомих матеріалах про сексуальне насильство над дітьми. Використовуючи алгоритми машинного навчання для додавання «суперечливого шуму» до зображення, розподіл хеш-кодів цього зображення можна кардинально змінити, але воно буде виглядати практично так само. Або, використовуючи «колізію хеш-функцій», можна створити абсолютно нові зображення з цим «шумом», які реєструють ті самі хеш-функції, що й оригінальне зображення, обманюючи технологію сканування.

Закон про безпеку в Інтернеті, що порушує шифрування: чи можна це зупинити?

У верхній палаті парламенту члени Палати лордів не прийняли жодної поправки, яка б захищала принцип шифрування, а також не була прийнята поправка, яка б зобов'язувала Ofcom консультуватися з Управлінням комісара з питань інформації перед використанням своїх повноважень. Це був останній етап, на якому законопроект про безпеку в Інтернеті міг зіткнутися із серйозними проблемами або перешкодами в уряді.

Лорд Паркінсон вніс поправку, але це була пропозиція уряду. Ця поправка, яка «забезпечує безпеку курей у курнику, як каже лисиця», передбачає, що Ofcom повинен буде проконсультуватися із зовнішнім «кваліфікованим фахівцем» перед видачею мандата, але деталі є нечіткими і не вирішують фундаментальну проблему безпеки, пов'язану з вторгненням у пристрої громадян.

Законопроект про безпеку в Інтернеті незабаром буде прийнятий. У вересні він буде винесений на «третє читання» в Палаті лордів, після чого пройде передостанній етап у Палаті громад, перш ніж нарешті потрапити до нового короля Великої Британії, чий підпис перетворить його на закон («королівська згода»).

Ofcom заявив, що видаватиме мандат лише в екстремальних обставинах, але історія надзвичайних повноважень свідчить про те, що найчастіше їх використання досить швидко стає нормою.

Громадські організації продовжуватимуть агітувати проти законопроекту, але навряд чи їм пощастить протистояти уряду, який рішуче налаштований зламати шифрування, та опозиції, яка, здається, не дуже зацікавлена в цьому. Якщо Ofcom спробує скористатися своїми новими повноваженнями, можна очікувати судових позовів з боку громадських організацій.

І якби цього було недостатньо, Великобританія запропонувала нові зміни до Закону про слідчі повноваження (відомого під назвою «Хартія шпигунів»), які дозволять уряду таємно вимагати відключення будь-яких функцій безпеки месенджерів без відома користувачів.

WhatsApp, Apple і Signal погрожують припинити свою діяльність у Великій Британії, якщо положення Закону про безпеку в Інтернеті, що порушують шифрування, будуть внесені до законодавства. Це загрожувало б миттєвим руйнуванням соціальної та економічної структури Великобританії, а також ускладнило б вільний обмін даними та діловим спілкуванням.

Для країни, яка часто хвалиться своєю відданістю цінностям свободи слова та демократії, є певною іронією те, що звичайні користувачі WhatsApp у Великій Британії можуть потребувати підключення до VPN, щоб отримати доступ до базових послуг обміну повідомленнями, так само як це відбувається в авторитарних режимах, які засуджує британський уряд.

Якщо ви перебуваєте у Великій Британії і хочете отримати доступ до основних сервісів, таких як WhatsApp, Signal та портфоліо Apple, децентралізована мережа NymVPN буде доступна для безпечного використання з нульовим рівнем знань, без необхідності довіряти платні VPN-компанії для захисту від витоку даних і не терпіти безкоштовні VPN, які продають ваші дані.

ЄС ніколи не буде самотній

На жаль, Великобританія не є єдиною країною, яка самостійно веде боротьбу проти конфіденційності.

Сотні експертів, науковців та дослідників, серед яких головний науковий співробітник Nym Клаудія Діаз, криптограф з KU Leuven та радники Nym Барт Пренеел з KU Leuven і Кармела Тронкосо з EPFL, а також головний стратег Nym Джая Брекке [попередили про плани Європейського Союзу щодо впровадження CSS](https://edri.org/ our-work/protecting-digital-rights-and-freedoms-in-the-legislation-to-effectively-tackle-child-abuse/).

Майбутнє законодавство Європейського Союзу, Регламент про сексуальне насильство над дітьми, має на меті зупинити поширення матеріалів про сексуальне насильство над дітьми та вербування дітей в Інтернеті. Ціль гідна, але засоби її досягнення є хибними: постачальники додатків або онлайн-послуг отримають право сканувати повідомлення, зображення, електронні листи, голосові повідомлення та будь-які інші дії користувачів, а також запровадити сканування на стороні клієнта, щоб обійти шифрування на пристроях користувачів.

Експерти зазначають, що існуючі технології сканування, а також ті, що з'являться в майбутньому, мають серйозні недоліки. Сканування на стороні клієнта буде не тільки неефективним, але й активно небезпечним у глобальному контексті, створюючи ризик поширення ефекту доміно, що завдасть більшої шкоди людям в Інтернеті та зробить Інтернет більш небезпечним, а не безпечнішим.

«Неможливо і недоцільно вимагати від приватних компаній використовувати технології, які, як ми вже знаємо, не можуть бути безпечними або взагалі не можуть бути використані», — йдеться в листі. «З огляду на жахливий характер сексуального насильства над дітьми, цілком зрозуміло і навіть спокусливо сподіватися, що існує технологічне рішення, яке може його викорінити. Однак, розглядаючи це питання в цілому, ми не можемо уникнути висновку, що поточна пропозиція не є таким втручанням».

У відповідь на це міжнародна правозахисна група EDRi опублікувала низку принципів, які допоможуть захистити дітей у цифрову епоху без порушення прав громадян ЄС.

У своєму нинішньому вигляді [Регламент про сексуальне насильство над дітьми стане, поряд з Великобританією, глобальним прецедентом для фільтрування інтернету та контролю доступу до нього](https://edri.org/ our-work/european-commissions-online-csam-proposal-fails-to-find-right-solutions-to-tackle-child-sexual-abuse/), а також позбавити людей тих небагатьох інструментів, які вони мають для захисту свого права на приватне життя в цифровому просторі, що в кінцевому підсумку матиме негативний вплив на суспільство.

Як раніше зазначав Барт Пренеел, ЄС має «два обличчя»: одне — прозахисне, з такими нормативно-правовими актами, як GDPR, а інше — таке, що підриває конфіденційність, з надмірним зберіганням даних та правоохоронною діяльністю або стеженням з боку спецслужб. ООН визнала, що доступ до Інтернету є необхідною умовою свободи вираження поглядів, а [Декларація прав людини ООН стверджує, що люди мають право на конфіденційність листування](https://www.un.org/en/ about-us/universal-declaration-of-human-rights). Такі пропозиції, як законопроект про безпеку в Інтернеті та регулювання сексуального насильства над дітьми, становлять загрозу для обох.

Пекло антиприватності та як з ним боротися

Уряди історично спекулювали на необізнаності та страху споживачів, а в світі, де після 11 вересня 2001 року все більше поширюється практика стеження, широко повторювалося гасло, що якщо люди не мають чого приховувати, то їм нічого боятися.

До недавнього часу Інтернет розглядався як окрема сфера, відокремлена від нашого повсякденного життя. Але сьогодні це не так. Так само, як ми не дозволили б урядовим агентам вискакувати з кущів, щоб стягувати з нас штани для проведення миттєвих перевірок безпеки, ми не хочемо, щоб вони читали всі наші приватні повідомлення або переглядали наші смартфони заради якоїсь абстрактної, недоведеної гарантії безпеки.

Nym не може вирішити проблему сканування на стороні клієнта, оскільки мережа Nym захищає ваш трафік під час передачі, а не на самому пристрої. Що Nym може запропонувати для можливого майбутнього з CSS, так це потужний NymVPN, який забезпечить постійний відкритий доступ до послуг та інформації.

Приватність і відкритість йдуть рука об руку. Як тільки ви порушуєте конфіденційність, ви починаєте спускатися по слизькому схилу репресій і контролю. Висловіть свою думку та долучіться до кампаній, спрямованих на тиск на політиків з метою захисту демократичних прав, таких як право на приватність (https://edri.org/take-action/our-campaigns/keep-it-secure/).

Підтримайте друзів Nym, які організовують захист приватного життя, безпеки та цілісності кожного: