Полицейский в каждом кармане: клиентская проверка в Великобритании и Европе
![Nym [RU]](https://miro.medium.com/v2/resize:fill:88:88/1*kc0C6E_UMyR5MPOgDugycQ.jpeg){kind=small}
Правительства рекламируют сканирование на стороне клиента как решение проблемы сексуального насилия над детьми, но это решение недальновидно и опасно.
У каждого из нас есть свой ритуал, и мышечная память обычно работает как часы, когда мы выходим из дома утром: похлопать по карманам джинсов, пошарить в куртке и чуть слышно произнести «ключи-телефон-кошелек». Эти обыденные, но необходимые действия вскоре будут сопровождаться явно менее полезным присутствием, безликим и безымянным: ваш собственный карманный полицейский, обладающий правами, которыми легко злоупотреблять.
Это то, что готовит ЕС и британское правительство. И похоже, что и ЕС, и Великобритания будут активно продвигать «сканирование на стороне клиента», ставя под угрозу основное право на частное общение.
Законодательство о взломе шифрования в Великобритании, предложенное в проекте Закона об онлайн-безопасности, противоречит рекомендациям академического сообщества, бизнеса и гражданских общественных организаций. Не существует универсального технического решения для предотвращения причинения вреда детям, но, как оказалось, сканирование на стороне клиента очень подвержено ошибкам и практически бесполезно для предотвращения распространения вредного материала в сети. Что эта технология сделает, так это снизит безопасность на всех устройствах.
В ответ на это Apple, Signal и WhatsApp объявили о возможном прекращении предоставления своих услуг в Великобритании, что напоминает практику репрессивных режимов, где люди вынуждены использовать VPN для доступа к необходимой информации и сервисам в повседневной жизни.
Предложенные законы подчеркивают, как легко неправильно понять вопрос безопасности в области глобальной цифровой инфраструктуры: создание лазейки для правоохранительных органов означает создание лазейки вообще, которой можно и будут злоупотреблять. Напротив, более строгая конфиденциальность обеспечивает более надежную общую безопасность, так как предотвращает профилирование, таргетинг, распространение дезинформации и манипуляцию информацией.
Интернет должен быть общедоступной, безопасной утилитой, где правительство помогает защитить нашу инфраструктуру, а не заставляет ее становиться менее безопасной. К сожалению, Великобритания не одинока в своих действиях — Европейский союз выдвинул аналогичное предложение.
Nym выступает и всегда будет выступать за конфиденциальность по умолчанию.
Читайте далее подробности о сканировании на стороне клиента, предлагаемых законах и о роли Nym.
Законопроект об онлайн-безопасности: что такое сканирование на стороне клиента?
В 2003 году все было проще — тогда аббревиатура CSS означала либо таблицы стилей (Cascading Style Sheets), либо музыкальную группу Cansei de Ser Sexy. Через пару десятилетий мы столкнулись с новой технологией — “сканирование на стороне клиента” (client-side scanning), которая позволяет автоматически проверять сообщения на наличие незаконного контента (эта часть — “сканирование”) на устройстве пользователя (то есть “на стороне клиента”).
Затянувшаяся сага законопроекта об онлайн-безопасности развивалась и разрасталась с годами после опубликования в 2019 году официального документа об онлайн-вреде. Теперь, как часть этого широкого законопроекта, предлагается предоставить новые полномочия британскому регулятору телекоммуникаций Ofcom, что позволит обязать технологические компании устанавливать CSS на ноутбуки, планшеты и смартфоны, фактически создавая лазейку в каждом устройстве, если регулирующий орган использует свои полномочия.
Когда пользователь загружает изображение на свой смартфон, программное обеспечение для сканирования на стороне клиента сравнивает его с базой данных запрещенного контента. Эта база данных на самом деле содержит не изображения, а нечто, называемое нейронными хэшами — что-то похожее на цифровые отпечатки, как объясняет Open Rights Group — и если есть совпадение, система удаляет контент или сообщает о его загрузке властям.
Хотя сама система шифрования не нарушается, Open Rights Group отмечает, что она нарушает принцип шифрования, согласно которому коммуникации должны быть неприкосновенны.
“Масштаб развертывания означает, что это инструмент массового наблюдения”, — заявила Open Rights Group. “Он будет работать круглосуточно на каждом смартфоне в стране, проверяя на совпадения весь наш контент. Это слишком жесткая мера, и учитывая неопределенности по поводу технологии, политики должны подходить к ней осторожно.”
С постоянно растущей изощренностью киберпреступных групп, многие из которых имеют свои отделы кадров и сложные технологические структуры, преступники, которых закон предполагает нейтрализовать, продолжат существовать и станут все более искусными в своих способах уклонения от преследования, но права обычных людей будут серьезно подорваны.
Помимо игнорирования прав граждан существуют операционные трудности при внедрении технологии. Совершенно очевидной проблемой является создание технологии для точного сопоставления хэшей и различения нелегального контента и повседневного общения.
Фактически, исследователи уже продемонстрировали слабые места в технологии сканирования Apple NeuralHash, которая проверяет хэши изображений на наличие материала сексуального насилия над детьми. С помощью алгоритмов машинного обучения, добавляющих «шум» к изображению, распределение хэшей этого изображения можно значительно изменить, но изображение при этом будет выглядеть так же. Или, используя «коллизию хэшей» (hash collision), можно создавать совершенно новые изображения с таким «шумом», которые будут иметь те же хэши, что и исходное изображение, обманывая технологию сканирования.
Проект закона об онлайн-безопасности и нарушение шифрования: можно ли его остановить?
В верхних палатах парламента члены Палаты лордов не смогли принять никаких поправок, которые защитили бы основы шифрования. Тем временем поправка, которая заставила бы Ofcom консультироваться с Управлением комиссара по информации, прежде чем использовать свои полномочия, была отклонена. Это был последний этап, на котором законопроект о безопасности в Интернете мог столкнуться с серьезными проблемами или препятствиями со стороны правительства.
Лорд Паркинсон внес поправку, но это было предложение правительства. Эта поправка, которую можно описать выражением “цыплята безопасны в сарае, говорит лиса”, предполагает, что Ofcom должен будет проконсультироваться с внешним “квалифицированным лицом”, чтобы получить мандат. Однако детали не сообщаются и это не решает основную проблему безопасности, связанную с установленными по умолчанию лазейками в устройствах граждан.
Законопроект об онлайн-безопасности находится на финишной прямой к своему официальному принятию. В сентябре он пройдет “третье чтение” в Палате лордов, после чего следует предпоследний этап в Палате общин, перед тем как быть подписанным новым королем Великобритании, после чего станет законом (получит “Королевское согласие”).
Ofcom заявляет, что будет выдавать полномочия только в крайних случаях, но история использования чрезвычайных полномочий показывает, что их применением часто злоупотребляют.
Гражданские общественные организации будут продолжать активную борьбу против этого законопроекта, однако маловероятно, что они смогут победить правительство, решившее нарушить шифрование, и убедить оппозицию, которая кажется мало заинтересованной в противодействии этому. Вполне разумно ожидать судебных исков со стороны гражданских общественных организаций, если Ofcom попытается использовать свои новые полномочия.
И если всего этого было недостаточно, Великобритания предложила новые изменения в Закон об оперативно-разыскной деятельности (известном в народе как “Snoopers’ Charter”), которые позволят правительству тайно требовать отключения любых функций безопасности приложений для обмена сообщениями без ведома пользователей.
WhatsApp, Apple и Signal угрожают прекратить свою деятельность в Великобритании, если разделы закона об онлайн-безопасности, нарушающие шифрование, будут приняты. Это может серьезно подорвать социальную и экономическую структуру Великобритании и усложнить свободный обмен данными и деловое общение.
Для страны, которая часто хвастается своей приверженностью ценностям свободы слова и демократии, ирония состоит в том, что обычным пользователям WhatsApp в Великобритании может потребоваться использовать VPN для доступа к основным сервисам обмена сообщениями, так же, как это делают в странах с авторитарными режимами, осуждаемыми британским правительством.
Если вы находитесь в Великобритании и хотите использовать основные сервисы, такие как WhatsApp, Signal и портфель продуктов Apple, вам может помочь безопасный децентрализованный NymVPN с нулевым разглашением, при этом не придется прибегать к услугам платных VPN-компаний для защиты от утечек данных или пользоваться бесплатными VPN, продающими ваши данные.
ЕС не будет одинок
К сожалению, Великобритания не является государством-изгоем, выполняющим свою миссию по борьбе с конфиденциальностью в одиночку.
Сотни экспертов, ученых и исследователей, в том числе главный научный сотрудник Nym Клаудия Диас, криптограф из KU Leuven и советники Nym Барт Пренил из KU Leuven и Кармела Тронкосо из EPFL, а также директор по стратегии Nym Джая Брекке, предупреждают о планах Европейского Союза вслед за Великобританией ввести сканирование на стороне клиента.
Предстоящий законодательный акт Европейского союза, регулирующий борьбу с сексуальным насилием над детьми, направлен на прекращение распространения материалов сексуального насилия над детьми и защиту детей от злоупотреблений в интернете. Достойная цель, но средства для ее достижения ошибочны: провайдерам приложений или онлайн-сервисов будет предоставлена возможность сканировать сообщения, изображения, электронные письма, голосовые сообщения и любые другие пользовательские активности, а также вводить сканирование на стороне клиента для обхода шифрования на устройствах пользователей.
Эксперты отмечают, что существующие технологии сканирования, а также те, которые появятся на горизонте, имеют серьезные недостатки. Сканирование на стороне клиента будет не только неэффективным, но и очень опасным, если рассматривать его в глобальном контексте, и может повлечь за собой ряд побочных эффектов, которые нанесут еще больший вред пользователям интернета и сделают его менее безопасным.
«Невозможно и нецелесообразно требовать от частных компаний использовать технологии, безопасность которых мы не можем обеспечить», — говорится в письме. «Учитывая ужасающий характер сексуального насилия над детьми, понятно и даже заманчиво надеяться, что существует технологическое вмешательство, которое может его искоренить. Тем не менее, рассматривая проблему целостно, мы не можем избежать вывода, что нынешнее предложение не является таким вмешательством».
В ответ на это международная группа защиты прав EDRi опубликовала набор принципов, которые помогут защитить детей в цифровую эпоху, не нарушая права граждан Европейского союза.
В своем текущем состоянии регулирование по борьбе с сексуальным насилием над детьми поддержит Великобританию в ее начинании, устанавливая глобальный прецедент для фильтрации интернета и контроля доступа к нему, а также устраняя те немногие инструменты, которые доступны людям для защиты их права на частную жизнь в цифровом пространстве, что в конечном счете окажет сдерживающее воздействие на общество.
Как ранее отметил Барт Пренил, у ЕС «два лица» — одно поддерживает конфиденциальность с помощью таких правил как GDPR, а другое работает на подрыв приватности с помощью сбора данных и слежки в интересах правоохранительных или разведывательных органов. ООН признала, что доступ к интернету является неотъемлемым для свободы выражения мнений, а Декларация прав человека ООН утверждает, что люди имеют право на конфиденциальность переписки. Такие предложения как законопроект об онлайн-безопасности и регулировании борьбы с сексуальным насилием над детьми, представляют угрозу обоим аспектам.
Ад антиприватности и как с ним бороться
Правительства исторически основывали свою политику на незнании и страхе потребителей, и в мире, все более пропитанным наблюдением после событий 11 сентября, часто повторялся лозунг, что если вам ничего скрывать, то вам нечего бояться.
До недавнего времени интернет рассматривался как отдельная сфера нашего повседневного существования. Но сегодня это изменилось. Точно так же, как мы не допустим, чтобы правительственные агенты выпрыгивали из кустов, чтобы спустить с нас штаны для проверки безопасности на месте, мы не хотим, чтобы они читали все наши личные сообщения или прочесывали наши смартфоны из-за какой-то абстрактной и недоказуемой гарантии безопасности.
Nym не может решить проблему сканирования на стороне клиента, так как сеть Nym защищает ваш трафик при его отправке, а не на самом устройстве. Но то, что Nym может предложить для возможного будущего с клиентским сканированием, это мощный NymVPN, чтобы обеспечить дальнейший открытый доступ к сервисам и информации.
Конфиденциальность и открытость идут рука об руку. Как только вы жертвуете конфиденциальностью, вы начинаете спускаться по скользкой дорожке подавления и контроля. Сделайте так, чтобы ваш голос был услышан, и участвуйте в кампаниях по оказанию давления на политиков с целью защиты таких демократических прав, как неприкосновенность частной жизни.
Поддержите друзей Nym, которые объединяются для защиты всеобщей конфиденциальности и безопасности:
Приватность любит компанию
Discord // Telegram // Element // Twitter
Русский Telegram
Nym глобален, подобно интернету: присоединяйтесь к сообществу Nym, где бы вы ни находились, и помогайте создавать приватный интернет уже сегодня.
English // 中文 // Русский // Türkçe // Tiếng Việt // 日本 // Française // Español // Português // 한국인
Оригинал статьи на английском: English
![Nym [RU]](https://miro.medium.com/v2/resize:fill:144:144/1*kc0C6E_UMyR5MPOgDugycQ.jpeg)