צפה, המתן והתפלל: ההשפעה הפוטנציאלית של עדכונים לחוק סמכויות החקירה

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

14 נובמבר 2023

תוכן עניינים:

1) מה חדש ב-IPA?
2) למה IPA חדש יכול להוביל
3) עד כמה זה סביר?

כשזה מגיע לרגולציה טכנולוגית, נראה שממשלת בריטניה מתרוצצת ממחלוקת אחת לאחרת. טרי מקרב עם Big Tech על הצפנה מקצה לקצה (E2EE) בהצעת חוק הבטיחות המקוונת השנויה במחלוקת, הממשלה מפנה כעת את תשומת לבה לעדכונים המוצעים לחוק סמכויות החקירה (IPA).

אם ייכנסו לתוקף במתכונתן הנוכחית, ההצעות עלולות להפוך את בריטניה למערב פרוע לאיומי סייבר וניצול ועשויות לאלץ אינספור ספקי טכנולוגיה למשוך את השירותים שלהם מהשוק, ולהשאיר משתמשים תקועים עם כלי תקשורת לא בטוחים ולא יעילים.

מה חדש ב-IPA?

ה-IPA היה ידוע כ"אמנת סנופר" מסיבה טובה מאוד. בין ההוראות השנויות ביותר במחלוקת היא לאפשר לממשלה לדרוש מספקי תקשורת טכנולוגיים לשנות את השירותים שלהם כדי לאפשר חטטנות ממשלתית באופן שעלול לערער את הביטחון לכולם. הודעת יכולת טכנית (TCN) היא האמצעי העיקרי לעשות זאת. תיאורטית זה יכול לדרוש "הסרה על ידי מפעיל רלוונטי של הגנה אלקטרונית" כל עוד הממשלה יכולה להוכיח שזה יהיה פרופורציונלי למטרה הסופית שלה. מכיוון שבקשות כאלה הן סודיות, אנו יכולים רק לדמיין שאף אחת מהן לא הצליחה עד כה, מכיוון שסביר להניח שחברות הטכנולוגיה המעורבות היו מגיבות באיום לצאת מהשוק.

ישנם מספר יעדים המפורטים במסגרת עדכוני ה-IPA המוצעים. אבל שניים עשויים להיות בעייתיים במיוחד עבור עסקים בבריטניה:

מטרה 3

מרחיב את הכיסוי החוץ-טריטוריאלי הקיים של ה-IPA, ומאלץ חברות טכנולוגיה גלובליות לדבוק בכללי הממשלה בכל מדינה שבה הן פועלות. הסיבה שניתנה היא לפתור כל "אי ודאות" פוטנציאלית עבור הממשלה בהנפקת TCN לחברות עם "מבנה תאגידי מורכב". המטרה גם מציעה "לחזק את אפשרויות האכיפה הזמינות לאי ציות למשטרי ההודעות" לצד מטרה זו.

מטרה 4

מוסיפה חובה ל"מפעילים" "להודיע לשר החוץ על שינויים רלוונטיים, לרבות שינויים טכניים", ולעשות זאת "זמן סביר לפני יישום שינויים רלוונטיים". שינויים כאלה אינם מצוינים, אך ניתן להתייחס אליהם כמשמעותם של כל תכונת אבטחה חדשה שהוצגה על ידי ספק טכנולוגיה או אפילו עדכוני אבטחה שמתקנים נקודות תורפה. תיאורטית, שר החוץ יכול לחסום שינויים כאלה, שישפיעו על כל משתמשי הקצה של שירותי הודעות ומכשירי תקשורת.

למה IPA חדש יכול להוביל

תומכי הפרטיות והאבטחה מזועזעים באופן מובן מההצעות. ואפל כבר אמר שזה יהיה להסיר שירותים כמו iMessage ו-FaceTime מבריטניה אם הם מיושמים. ישנן מספר סיבות ברורות לכך שלא רק חברות טכנולוגיה אלא גם עסקים וצרכנים יתנגדו ל-IPA חדש:

יעד 3 יהיה:

פוטנציאל לערער את האבטחה של עיתונאים, מתנגדים ואחרים במקומות שונים בעולם המסתמכים על תקשורת מאובטחת כדי להתחמק מתשומת הלב של ממשלות אוטוקרטיות.
שים חברות טכנולוגיה במקום בלתי אפשרי: נאלץ לציית לדרישות חדשות של ממשלת בריטניה, מה שעלול למעשה להפר את חוקי זכויות האדם הבינלאומיים ולסתור את הכללים שנקבעו בחקיקה כמו GDPR, מה שמציב את האבטחה בעיצוב בליבה.

"החובה המוצעת ליידע את HMG לפני ביצוע שינויים טכניים העלתה את זעמם של כמה מספקי הטכנולוגיה, גדולים כקטנים. אני באמת לא יודע למה הממשלה מציעה את זה מכיוון שהם חייבים לדעת את התגובה שזה הולך לגרום", אומר פרופסור אלן וודוורד מאוניברסיטת סארי ל-ISMS.online.

"השורה התחתונה היא שאם הממשלה תנסה לכפות זאת, חברות הטכנולוגיה המושפעות יסרבו להיענות. ואם זה מחייב יציאה מבריטניה, הם יעשו בדיוק את זה. זה נראה תמים בצורה יוצאת דופן שהממשלה תאר לעצמה שהחוקים שלנו יעקפו את החוקים של תחומי שיפוט אחרים - במיוחד תחום השיפוט שבו נמצא הספק".

יעד 4 עשוי להוביל ל:

ממשלת בריטניה חוסמת או מעכבת בכוונה עדכוני אבטחה כדי שהמרגלים שלה יוכלו לנצל את הפגיעויות הבסיסיות למטרות מעקב.
תיקון שלוקח זמן רב יותר לשחרור או מעכבים ללא הגבלת זמן ומאפשרים לשחקני איום מספיק זמן לחקור מעללים.
איום על שחקנים המכוונים למערכות ממשלתיות כדי לקבל מידע על תיקוני ספקים ממתינים

"דחיית עדכוני אבטחה היא תמיד גרועה, כי גם אם אין לך הוכחות לכך שפגיעות מנוצלת, העובדה שהספק מצא אותה אומרת שמישהו אחר אולי עשה זאת. וכל דקה שאתה מתעכב זה זמן נוסף עבורם לנצל את זה", ממשיך וודוורד.

"קשה שלא להסיק שהממשלה רוצה לדעת על שינויים כאלה מראש למקרה שזה ישפיע על פגיעות שהיא כבר מנצלת לצורך מעקב".

עד כמה זה סביר?

תקופת ההתייעצות הציבורית על מה שהממשלה מתארת כ"משטרי ההודעות המתוקנים" ב-IPA 2016 נסגרה כעת. לכן, שום דבר עדיין לא הוחלט, ויש כמה סיבות לכך שההצעות השנויות ביותר במחלוקת לא ייכנסו לתיקונים הסופיים.

As Privacy International טוען, יעדים 3 ו-4 יכולים לראות במשותף את בריטניה מפרה את חוק זכויות האדם הבינלאומי - במיוחד הזכות לכבוד לחיים הפרטיים המעוגנת בסעיף 8 של האמנה האירופית לזכויות אדם (ECHR). הסיבה לכך היא שבכך שמונעת מספק שירותי תקשורת להחיל עדכוני אבטחה או הגנה מתקדמת כמו E2EE, הממשלה תשלול זכות זו לא רק מבריטניה אלא מאזרחי העולם. זה מאתגר לחשוב על מקרה שבו אישור סמכויות אלו יהיה "הכרחי ומידתי", כפי שדורש ECHR.

"בנוף המתפתח של זכויות וביטחון דיגיטליים, השינויים המוצעים הללו מדגישים את הצורך ההכרחי של ממשלות למצוא איזון הולם בין ביטחון לאומי וזכויות הפרט", טוענת Privacy International. "בזמן שהיא משנה את חוקי המעקב המקומיים, על בריטניה להתחייב מחדש למחויבויותיה על פי החוק הבינלאומי לשמור על זכויות הפרט בבית ומחוצה לה".

הסיבה השנייה היא יותר מסחרית במערומיה. אם לממשלה הייתה דרכה וההצעות הללו יתקבלו, העולם הדיגיטלי היה הופך פחות מאובטח משמעותית. אבל ספקי טכנולוגיה פשוט לא יתנו לזה לקרות.

"בסופו של דבר, כוחות השוק יקבעו כיצד החברות הללו יגיבו: הן לא יעשו משהו עבור שוק קטן יחסית כמו בריטניה כאשר זה עלול להרחיק לקוחות בשווקים גדולים אחרים", מסכם וודוורד.

התרחיש הגרוע ביותר עבור חברות בבריטניה הוא שההצעות מתקבלות בדרך כלשהי רק בבריטניה, מה שמוביל חברות טכנולוגיה למשוך כמה מהשירותים המאובטחים ביותר שלהן מהמדינה. זה כנראה יהפוך התחייבות ממשלתית ארוכת שנים על הראש ולהפוך את בריטניה למקום הכי פחות בטוח לעשות בו עסקים מקוונים בעולם.

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 15 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר