Katso, odota ja rukoile: Tutkintavaltalain päivitysten mahdollinen vaikutus

Mitä tulee teknologian sääntelyyn, Britannian hallitus näyttää vajoavan kiistasta toiseen. Tuoreen taistelun Big Techin kanssa päästä päähän -salauksesta (E2EE) erittäin kiistanalaisessa Online Safety Bill -lakissaan, hallitus kiinnittää nyt huomionsa Investigatory Powers Actin (IPA) ehdotuksiin.

Jos ehdotukset pannaan voimaan nykyisessä muodossaan, ne voivat muuttaa Yhdistyneestä kuningaskunnasta villin lännen kyberuhkien ja -käytön kannalta ja saattaa pakottaa lukemattomat teknologian tarjoajat vetämään palvelunsa pois markkinoilta, jolloin käyttäjät jäävät kiinni turvattomien ja tehottomien viestintävälineiden kanssa.

Mitä uutta IPA:ssa?

IPA tunnettiin laajalti "Snooperin peruskirjana" erittäin hyvästä syystä. Yksi sen kiistanalaisimmista säännöksistä on antaa hallitukselle mahdollisuus vaatia teknisen viestinnän palveluntarjoajia muuttamaan palveluitaan mahdollistaakseen hallituksen nuuskimisen tavalla, joka saattaa heikentää kaikkien turvallisuutta. Teknisten valmiuksien ilmoitus (TCN) on ensisijainen tapa tehdä niin. Se voisi teoriassa edellyttää "elektronisen suojauksen asianomaisen operaattorin poistamista", kunhan hallitus pystyy osoittamaan, että tämä on oikeassa suhteessa sen lopulliseen tavoitteeseen. Koska tällaiset pyynnöt ovat salaisia, voimme vain kuvitella, että mikään ei ole tähän mennessä onnistunut, sillä mukana olleet teknologiayritykset olisivat todennäköisesti reagoineet uhkaamalla poistua markkinoilta.

Osana on lueteltu useita tavoitteita ehdotetut IPA-päivitykset. Mutta kaksi voi olla erityisen ongelmallista Yhdistyneen kuningaskunnan yrityksille:

Tavoite 3

laajentaa IPA:n olemassa olevaa ekstraterritoriaalista kattavuutta pakottamalla maailmanlaajuiset teknologiayritykset noudattamaan hallituksen sääntöjä kaikissa toimintamaissaan. Syynä on ratkaista kaikki mahdolliset "epävarmuudet" hallitukselle myönnettäessä kolmansien maiden kansalaisia ​​yrityksille, joilla on "monimutkaiset yritysrakenteet". Tavoitteessa ehdotetaan myös, että "vahvistetaan ilmoitusmenettelyjen laiminlyöntien täytäntöönpanomahdollisuuksia" tämän tavoitteen ohella.

Tavoite 4

lisää "operaattoreiden" velvoitteen "ilmoittaa valtiosihteerille merkityksellisistä muutoksista, mukaan lukien tekniset muutokset" ja tehdä se "kohtuullisen ajan kuluessa ennen asiaankuuluvien muutosten toteuttamista". Tällaisia ​​muutoksia ei ole määritelty, mutta niiden voidaan katsoa tarkoittavan mitä tahansa teknologian tarjoajan käyttöön ottamia uusia suojausominaisuuksia tai jopa tietoturvapäivityksiä, jotka korjaavat haavoittuvuuksia. Teoriassa valtiosihteeri voisi estää sellaiset muutokset, jotka vaikuttaisivat kaikkiin viestipalvelujen ja viestintälaitteiden loppukäyttäjiin.

Mihin uusi IPA voisi johtaa

Yksityisyyden ja turvallisuuden puolestapuhujat ovat ymmärrettävästi järkyttyneitä ehdotuksista. Ja Apple on jo tehnyt sanoi poista palvelut, kuten iMessage ja FaceTime, Isosta-Britanniasta, jos ne on otettu käyttöön. On useita ilmeisiä syitä, miksi teknologiayritykset eivät vain vastustaisi uutta IPA:ta, vaan myös yritykset ja kuluttajat:

Tavoite 3:

• Mahdollisesti heikentää toimittajien, toisinajattelijoiden ja muiden turvallisuutta eri puolilla maailmaa, jotka ovat riippuvaisia ​​suojatusta viestinnästä välttääkseen itsevaltaisten hallitusten huomion.
• Aseta teknologiayritykset mahdottomaan paikkaan: pakotetaan noudattamaan Yhdistyneen kuningaskunnan hallituksen uusia vaatimuksia, jotka voivat itse asiassa rikkoa kansainvälisiä ihmisoikeuslakeja ja olla ristiriidassa lain, kuten GDPR, joka asettaa turvallisuuden ytimeen.

"Ehdotettu velvollisuus ilmoittaa HMG:lle ennen teknisten muutosten tekemistä on raivostuttanut useita suuria ja pieniä teknologiatoimittajia. En todellakaan tiedä, miksi hallitus ehdottaa sitä, koska heidän on tiedettävä reaktio, jonka se aikoi aiheuttaa”, Surreyn yliopiston professori Alan Woodward kertoo ISMS.onlinelle.

"Toiminta on, että jos hallitus yrittää pakottaa sen, teknologiayritykset, joita asia koskee, kieltäytyvät noudattamasta määräyksiä. Ja jos se vaatii vetäytymistä Yhdistyneestä kuningaskunnasta, he tekevät juuri sen. Vaikuttaa poikkeuksellisen naivilta, että hallitus kuvittelee lakimme ohittavan muiden lainkäyttöalueiden lait – erityisesti sen lainkäyttöalueen, jossa myyjä sijaitsee.”

Tavoite 4 voi johtaa:

• Ison-Britannian hallitus estää tai viivyttää tietoturvapäivityksiä tietoisesti, jotta sen vakoojat voivat hyödyntää taustalla olevia haavoittuvuuksia valvontatarkoituksiin.
• Korjaustiedostojen julkaisu kestää kauemmin tai niitä lykätään loputtomiin, mikä antaa uhkatoimijoille runsaasti aikaa tutkia hyväksikäyttöjä.
• Uhkatoimijat, jotka kohdistavat viranomaisten järjestelmiin tietoa odottavista toimittajakorjauksista

"Tietoturvapäivitysten viivästyminen on aina huono asia, koska vaikka sinulla ei olisi todisteita haavoittuvuuden hyödyntämisestä, se, että toimittaja löysi sen, tarkoittaa, että joku muu on voinut tehdä niin. Ja jokainen minuutti, jonka viivytät, on heille lisäaikaa hyödyntää sitä”, Woodward jatkaa.

"On vaikea olla päättelemättä, että hallitus haluaa tietää tällaisista muutoksista etukäteen, jos se vaikuttaa haavoittuvuuteen, jota se jo hyödyntää valvontaan."

Kuinka todennäköistä se on?

Hallituksen IPA 2016:n "tarkistetuiksi ilmoitusjärjestelmiksi" kutsumien julkisten kuulemisten jakso on nyt päättynyt. Mitään ei siis ole vielä päätetty, ja on useita syitä, miksi kiistanalaisimmat ehdotukset eivät välttämättä pääse lopullisiin tarkistuksiin.

As Privacy International väittää, tavoitteet 3 ja 4 voisivat yhdessä nähdä Yhdistyneen kuningaskunnan rikkovan kansainvälistä ihmisoikeuslakia – erityisesti Euroopan ihmisoikeussopimuksen 8 artiklassa vahvistettua oikeutta yksityiselämän kunnioittamiseen. Tämä johtuu siitä, että estämällä viestintäpalveluntarjoajaa käyttämästä tietoturvapäivityksiä tai edistynyttä suojausta, kuten E2EE:tä, hallitus eväisi tämän oikeuden paitsi Yhdistyneeltä kuningaskunnalta myös maailman kansalaisilta. On haastavaa ajatella tapausta, jossa näiden valtuuksien myöntäminen olisi "tarpeellista ja oikeasuhteista", kuten Euroopan ihmisoikeussopimus edellyttää.

"Digitaalisten oikeuksien ja turvallisuuden kehittyvässä ympäristössä nämä ehdotetut muutokset korostavat hallitusten välttämätöntä tarvetta löytää sopiva tasapaino kansallisen turvallisuuden ja yksilön oikeuksien välillä", Privacy International väittää. "Kun Yhdistyneen kuningaskunnan kotimaan valvontalakeja tarkistetaan, sen pitäisi sitoutua uudelleen kansainvälisen oikeuden mukaisiin velvoitteisiinsa turvata yksilön oikeudet kotona ja ulkomailla."

Toinen syy on paljaammin kaupallinen. Jos hallitus saisi tahtonsa ja nämä ehdotukset toteutettaisiin, digitaalinen maailma heikkenisi merkittävästi. Mutta teknologian tarjoajat eivät yksinkertaisesti anna tämän tapahtua.

"Loppujen lopuksi markkinavoimat määräävät, miten nämä yritykset reagoivat: ne eivät tee mitään suhteellisen pienille markkinoille, kuten Iso-Britannia, vaikka se saattaisi karkottaa asiakkaita muilta suurilta markkinoilta", Woodward päättää.

Ison-Britannian yrityksille pahin mahdollinen skenaario on, että ehdotukset pannaan jollain tavalla täytäntöön vain Isossa-Britanniassa, jolloin teknologiayritykset vetävät osan turvallisimmista palveluistaan ​​pois maasta. Se todennäköisesti kääntyisi hallituksen pitkäaikainen lupaus ja tehdä Britanniasta maailman vähiten turvallisen paikan tehdä liiketoimintaa verkossa.