Około 30 ekspertów ds. bezpieczeństwa cybernetycznego, kryptologów i naukowców napisało do ministra spraw wewnętrznych Jamesa Cleverly’ego, wzywając rząd do ponownego rozważenia poprawek do brytyjskich przepisów dotyczących nadzoru, które, jak ostrzegają, wprowadzą znaczące „biurokratyczne przeszkody” w łataniu luk w zabezpieczeniach systemów komputerowych.
Proponowane zmiany w ustawie o uprawnieniach dochodzeniowych z 2016 r. (IPA), znanej również jako karta szpiegów, zaostrzyłyby „bezprecedensowe i rosnące zagrożenie cyberprzestępczością” dla użytkowników Internetu na całym świecie, a zwłaszcza w Wielkiej Brytanii, grupa stwierdza w swoim raporcie list otwarty.
W piśmie wyrażono również obawy, iż środki zaproponowane w projekcie ustawy o uprawnieniach dochodzeniowych (poprawka), nad którym w tej chwili pracuje Parlament, mogą zostać wykorzystane do blokowania lub opóźniania przez przedsiębiorstwa technologiczne wprowadzenia szyfrowania typu end-to-end w usługach przesyłania wiadomości i poczty elektronicznej.
Sygnatariuszami, działając we własnym imieniu, są m.in Filipa Zimmermannatwórca systemu szyfrującego PGP; Jona Callasa, współzałożyciel PGP i były starszy naukowiec w Apple; I Tarę Wheelerstarszy specjalista ds. globalnej polityki cybernetycznej w Council on Foreign Relations (CFR), zespole doradców z siedzibą w Waszyngtonie.
Inni sygnatariusze to m.in Marwana Fayedaprofesor wizytujący i kierownik badań w firmie technologicznej Cloudfare Research oraz Mallory’ego Knodelagłówny technolog w Centrum Demokracji i Technologii oraz członek Rady ds. Architektury Internetu.
Tryb powiadomień
Przedmiotem dyskusji są dwie proponowane zmiany w ustawie o uprawnieniach dochodzeniowych. Pierwszym z nich jest wprowadzenie „powiadomienia”, które wymagałoby od firm technologicznych informowania rządu przed wprowadzeniem zmian technicznych w swoich usługach, które mogłyby mieć wpływ na istniejące ustalenia dotyczące zapewnienia zgodnego z prawem dostępu do agencji rządowych.
Drugi wymóg uniemożliwi firmom technologicznym wprowadzanie jakichkolwiek zmian w swoich systemach, jeżeli złożą odwołanie od zawiadomienia rządu do czasu zakończenia rozpatrywania odwołania.
„Jeśli te propozycje zostaną uchwalone [to the Investigatory Powers Act] miałoby katastrofalne skutki dla bezpieczeństwa użytkowników usług w Wielkiej Brytanii, wprowadzając przeszkody biurokratyczne, które spowalniają rozwój i wdrażanie aktualizacji zabezpieczeń”
Eksperci ds. bezpieczeństwa argumentują, iż łącznie te środki mogą prowadzić do znacznych opóźnień w aktualizowaniu systemów przez firmy w odpowiedzi na nowe zagrożenia bezpieczeństwa.
„Jeśli propozycje te zostaną wprowadzone w życie, będą miały katastrofalne skutki dla bezpieczeństwa użytkowników usług w Wielkiej Brytanii, wprowadzając przeszkody biurokratyczne, które spowalniają rozwój i wdrażanie aktualizacji zabezpieczeń” – stwierdzono w piśmie.
„Zaaranżowaliby sytuację, w której rząd Wielkiej Brytanii skutecznie kieruje sposobem tworzenia i utrzymywania technologii, co znacznie podważa zaufanie użytkowników do bezpieczeństwa usług i produktów” – dodał.
W liście otwartym wskazano, iż do 2025 r. cyberprzestępczość będzie kosztować konsumentów i przedsiębiorstwa 8,4 biliona funtów rocznie. Przytacza dane Departamentu Nauki, Innowacji i Technologii z kwietnia 2023 r., z których wynika, iż 26% średnich przedsiębiorstw i 37% dużych w ciągu ostatnich 12 miesięcy przedsiębiorstwa padły ofiarą cyberprzestępczości.
„Ingerując w zdolność operatorów do szybkiego wdrażania aktualizacji systemu w celu łatania luk, propozycje te osłabią zabezpieczenia i zaostrzą ryzyko nie tylko dla operatorów w Wielkiej Brytanii, ale dla wszystkich ich użytkowników na całym świecie” – stwierdzono w piśmie.
Ustawa o uprawnieniach dochodzeniowych (nowelizacja) nie wskazuje, ile czasu zajmie rządowi dokonanie przeglądu wszelkich zastrzeżeń ze strony firm technologicznych, które otrzymają zawiadomienie nakazujące im modyfikację swoich systemów.
Zagrożenia dla szyfrowania
Rzecznik rządu powiedział Computer Weekly, iż nie zamierzano wykorzystywać ustawy o uprawnieniach dochodzeniowych do zmuszania firm technologicznych do osłabiania kompleksowych usług szyfrowanych.
Jednak w ostatnich latach rząd wydał również oświadczenia, w których wzywał firmy technologiczne do zapewnienia organom ścigania dostępu do zaszyfrowanej komunikacji – co zdaniem kryptografów „złamałoby szyfrowanie”.
Zgodnie z pismem propozycje „powiadomienia i zamrożenia” zawarte w poprawkach do ustawy o uprawnieniach dochodzeniowych umożliwiłyby rządowi Wielkiej Brytanii zakazanie lub blokowanie aktualizacji produktów, które domyślnie wprowadzałyby szyfrowanie typu end-to-end.
W połączeniu z innymi środkami, takimi jak ustawa o bezpieczeństwie w Internecie, która przyznaje organowi regulacyjnemu Ofcom uprawnienia do wymagania od firm technologicznych skanowania zaszyfrowanych wiadomości pod kątem treści przedstawiających wykorzystywanie dzieci, eksperci ds. bezpieczeństwa twierdzą, iż nowe uprawnienia można wykorzystać do blokowania lub osłabiania kompleksowego szyfrowania .
Sekcja 253na przykład część 5 lit. c) ustawy o uprawnieniach dochodzeniowych przyznaje rządowi uprawnienia do wydawania powiadomień o możliwościach technicznych w celu usunięcia lub modyfikacji „ochrony elektronicznej” stosowanej przez firmy technologiczne do danych komunikacyjnych.
„Kryptografowie oraz eksperci ds. bezpieczeństwa i prywatności od dawna obawiają się, iż organy powiadamiające w IPA mogą zostać wykorzystane do zmuszenia operatorów do tworzenia tylnych drzwi lub uniemożliwienia im domyślnego stosowania deszyfrowania w swoich usługach” – czytamy w piśmie.
Sygnatariusze wyrażają „głębokie zaniepokojenie” faktem, iż propozycje te są „przekleństwem przeciwko najlepszym interesom obywateli Wielkiej Brytanii, przedsiębiorstw i użytkowników Internetu na całym świecie”.
Celem mogą być plany metaszyfrowania
Mallory’ego Knodelagłówny technolog w Centrum Demokracji i Technologii oraz jeden z sygnatariuszy pisma, wyraziła obawy, iż jeżeli zmiany w ustawie o uprawnieniach dochodzeniowych staną się prawem, ministrowie wykorzystają je do zamrożenia lub opóźnienia planów firm technologicznych dotyczących wdrożyć kompleksowe szyfrowanie.
Decyzja Meta była wielokrotnie krytykowana przez rządy, w tym Wielką Brytanię, w związku z jej decyzją wdrożyć kompleksowe szyfrowanie w serwisach Facebook, Messenger i Instagram.
W kwietniu 2023 r Wirtualna globalna grupa zadaniowasojusz 15 organów ścigania, w tym FBI i brytyjskiej Narodowej Agencji ds. Przestępczości, krytykowany Meta planuje wdrożyć szyfrowanie jako „celowy wybór projektu”, który osłabiłby zdolność zapewnienia dzieciom bezpieczeństwa.
W Wrzesień 2023następnie minister spraw wewnętrznych Suella Braverman wypowiedziała się, rzucając wyzwanie firmie Meta, aby albo wprowadziła technologię chroniącą bezpieczeństwo dzieci w Internecie, albo całkowicie porzuciła plany dotyczące kompleksowego szyfrowania.
Knodel powiedział Computer Weekly: „Nie wydaje się tak mocnego oświadczenia, a potem nic nie robi się, mimo iż prawo przewiduje, iż można coś z tym zrobić”.
Przyjmuje się, iż inne firmy technologiczne czekają, jaka będzie reakcja Wielkiej Brytanii na platformę Meta, zanim publicznie opowiedzą o swoich planach dotyczących szyfrowania.
Należą do nich takie firmy, jak X, Discord i Slack, które znajdują się pod presją grup społeczeństwa obywatelskiego, aby zabezpieczały swoje usługi dzięki kompleksowego szyfrowania.
„Naprawdę namawiamy firmy, aby raczej wcześniej niż później przyjęły kompleksowe szyfrowanie, tak aby reżimy, demokratyczne lub inne, wykorzystując kształtowanie polityki do próby osłabienia tej technologii, miały naprawdę strome podejście do wspinaczki” – powiedział Knodel .
De facto uprawnienia
List otwarty jest następstwem interwencji technologicznej grupy handlowej TechUK, która reprezentuje 1000 firm technologicznych. Ostrzegł, iż 30 stycznia 2023 r zmiany w IPA mogłaby przyznać rządowi Wielkiej Brytanii de facto uprawnienia do zawetowania przedsiębiorstw w zakresie wprowadzania zmian w ich produktach i usługach w Wielkiej Brytanii i innych krajach.
„Zamiast skupiać się na poprawie prywatności i bezpieczeństwa użytkowników, uwaga firm musiałaby zostać skierowana na spełnianie potrzeb rządu w zakresie nadzoru. Jest to szczególnie niepokojące w świecie, w którym zagrożenia dla bezpieczeństwa danych użytkowników stale rosną” – stwierdził TechUK w swoim artykule oświadczenie.
Home Office – nie ma planów ograniczania poprawek bezpieczeństwa
Ministerstwo Spraw Wewnętrznych utrzymuje, iż nie ma zamiaru obejmować łat bezpieczeństwa wymogiem powiadamiania określonym w ustawie o uprawnieniach dochodzeniowych i iż nigdy nie zatrzymałoby to łatki bezpieczeństwa w systemie.
Rzecznik rządu powiedział: „Pierwszym zadaniem rządu jest zapewnienie bezpieczeństwa kraju. Uprawnienia dochodzeniowe stanowią podstawowe narzędzie ochrony naszych obywateli i istnieją od lat 80. XX wieku.
„Zawsze podkreślaliśmy, iż wspieramy innowacje technologiczne oraz technologie prywatnej i bezpiecznej komunikacji, w tym kompleksowe szyfrowanie. Nie może to jednak odbywać się kosztem bezpieczeństwa publicznego i niezwykle ważne jest, aby decyzje podejmowały osoby ponoszące demokratyczną odpowiedzialność”.
Ustawa o uprawnieniach dochodzeniowych (nowelizacja) oczekuje na drugie czytanie w Izbie Gmin.
