Birleşik Krallık’ın BT profesyonel kurumu, hükümetin Çevrimiçi Güvenlik Yasa Tasarısı’nda teknoloji şirketlerinin şifrelenmiş mesajları taramasını zorunlu kılacak planlarının, Birleşik Krallık’ın veri güvenliği konusundaki itibarına zarar vereceği konusunda uyardı.
70.000 üyesi bulunan Chartered IT Enstitüsü BCS, hükümetin uçtan uca şifrelemeyi tehlikeye atacak yeni yasalardaki önerilerinin, sistemik güvenlik riskleri yaratmadan ve milyonlarca telefon kullanıcısını rahatsız etmeden mümkün olamayacağını söyledi.
BCS Üyeleri Teknik Danışma Grubu tarafından yapılan bir çalışmada yer alan uyarı, çocuk istismarı ve diğer yasa dışı içeriklere yönelik şifreli iletişimin izlenmesine yönelik yeni yetkiler getiren tartışmalı yasa tasarısının Lordlar Kamarası’nda üçüncü kez görüşülmek üzere geri getirilmesiyle birlikte geliyor.
BCS şunu savunuyor: Çevrimiçi Güvenlik Yasası ve çocukların korunmasında teknolojinin rolü21 teknoloji uzmanından oluşan bir panel tarafından hazırlanan raporda, hükümetin yalnızca polisin, sosyal hizmet uzmanlarının ve eğitimcilerin daha geniş müdahaleleriyle çözülebilecek bir soruna teknik bir çözüm dayatmaya çalıştığı belirtiliyor.
BCS üyelerinin yaklaşık %70’i, hem gerçek anlamda güvenli şifrelemeye hem de şifrelenmiş mesajları suç teşkil eden materyal açısından kontrol etme yeteneğine sahip olmanın mümkün olduğundan emin olmadıklarını söylüyor.
BCS Üyeleri Teknik Danışma Grubu başkanı Adam Leon Smith, Computer Weekly’ye yaptığı açıklamada, hükümetin internet kullanıcılarını yasa dışı veya zararlı içerikten korumayı amaçlayan Çevrimiçi Güvenlik Yasası’nın hedeflerini karşılamak için test edilmemiş teknolojiye güvenemeyeceğini söyledi.
“Hükümet teknolojiyi hayata geçirmeye çalışıyor. Eğitim, öğretim, toplumsal bilinçlendirme gibi daha geniş yaklaşımlara bakmak yerine, sorunları çözecek teknolojiyi arıyor” dedi.
Ekonomik etki
Çevrimiçi Güvenlik Yasası (OSB), düzenleyici Ofcom’a, çocuk istismarı veya terörizm içeriği açısından uçtan uca şifrelenmiş hizmetler tarafından gönderilen mesajların içeriklerini incelemek üzere iletişim hizmetlerinden “akredite teknoloji” kurmasını talep etme yetkisi veriyor.
Ofcom, bir mahkemeden veya bağımsız bir adli komiserin iznine gerek duymadan, Birleşik Krallık’ın 2016 Soruşturma Yetkileri Yasası’ndaki gözetimi düzenleyen mevcut güvenlik önlemlerini atlayarak tarama teknolojisi uygulama yetkisine sahip olacak.
Teklifler, tasarının yasalaşması halinde hizmetlerini İngiltere’den geri çekmekle tehdit eden WhatsApp, Signal ve Element gibi şifreli mesajlaşma sağlayıcılarının tepkisine yol açtı.
BCS’nin uzman grubu, önerilen yasanın İngiltere’nin veri güvenliği konusundaki uluslararası itibarına ve etkili bir teknoloji düzenleyicisi olarak itibarına zarar verme ihtimalinin yüksek olduğunu söyledi.
OSB’nin, Birleşik Krallık’ta geliştirilen ürünlere yönelik pazarı baltalamanın yanı sıra, Birleşik Krallık’ı sınır ötesi iletişimde güvensiz bir bağlantı haline getireceği belirtildi.
“Bireyler için korkum, mahremiyetini korumayan ancak koruduğunu iddia eden teknolojileri kullanmaya zorlanmaları. Birleşik Krallık’taki işletmeler için endişem, veri yeterliliği açısından ticari ortaklarına kıyasla ikinci sınıf vatandaş haline gelmeleridir” dedi.
Avustralya’da, İnternet Topluluğu tarafından 2021 yılında yapılan bir araştırma, Avustralya Telekomünikasyon ve Diğer Mevzuatta Değişiklik (Yardım ve Erişim) Yasası 2018’in, Daha çok TOLA olarak bilinen ve devlete iletişim şirketlerinin şifrelenmiş verilere erişim sağlanmasına yardımcı olmasını talep etme yetkisi veren bu sistemin, Avustralya ekonomisine milyarlarca dolara mal olma ve dijital hizmetlere ve internete olan güveni baltalama potansiyeli vardı.
İstemci tarafı tarama
Ofcom’un, güvenli mesajlaşma servisleri ve cep telefonları tarafından gönderilen iletişimlerin içeriklerini şifrelenmeden önce incelemek için istemci tarafı tarama olarak bilinen teknolojiyi zorunlu kılması bekleniyor.
Bu, iletişim hizmeti sağlayıcılarının mesajları analiz edebilen ve raporları bir devlet kurumuna veya bir teknoloji sağlayıcısına geri gönderebilen yazılımlar kurmasını gerektirecektir.
BCS, müşteri tarafı taramanın, suçlular veya düşman ulus devletler tarafından istismar edilebilecek ve kolluk kuvvetlerine sağlayacağı herhangi bir faydadan daha ağır basabilecek sistemik bir güvenlik açığı oluşturacağını savunuyor.
Değerlendirilen bir diğer tarama teknolojisi olan ve şifrelenmiş verilerin içeriğini belirlemek için hesaplamalar yapmayı mümkün kılan homomorfik şifreleme de şifrelemeyi zayıflatacaktır.
Smith, BCS uzmanlarının, homomorfik şifrelemenin kullanışlı bir versiyonunu geliştirmenin ne kadar süreceği konusunda bölünmüş durumda olduğunu ve tahminlerin birkaç yıldan 20 yıla kadar değiştiğini söyledi.
“Fakat bu uçtan uca şifreleme olmaz. Bu onun zayıflatılmış bir versiyonu olurdu” diye ekledi.
Gizlilik değiş tokuşu orantılı olmalı
BCS raporuna göre, Çocuklar da dahil olmak üzere tüm vatandaşların mahremiyetini zayıflatacak olan Çevrimiçi Güvenlik Yasa Tasarısı’nın önerdiği tavizin kanıta dayalı ve sorunla orantılı olması gerekiyor.
Uçtan uca şifreleme 2015’ten bu yana önemli ölçüde artmasına rağmen, Birleşik Krallık’ta istismar görüntülerine yönelik soruşturmalarda bir azalmaya yol açmadı.
Almanya’da Max Planck Enstitüsü tarafından yapılan bir araştırma, dijital gözetimin artmasının ceza mahkumiyetlerinde bir artışa yol açmadığını gösterdi.
Aynı zamanda polis, EncroChat ve Sky ECC telefon ağlarından ve diğer şifreli hizmetlerden gelen mesajları toplamak için bir dizi sınır ötesi operasyonun ardından tamamen şifrelenmiş iletişim sistemlerine nüfuz edebildiğini gösterdi.
İstemci tarafı taramanın riskleri iyi anlaşılmadı
Imperial College London tarafından mayıs ayında yayınlanan araştırma, istemci tarafı tarama kullanmanın risklerinin henüz yüz milyonlarca cihaza dağıtımını haklı çıkaracak kadar iyi anlaşılmadığını ortaya çıkardı.
Üniversite araştırmacıları, istihbarat ve kolluk kuvvetleri de dahil olmak üzere devlet kurumlarının, yüz tanıma veya diğer gözetim yetenekleri gibi gizli özellikleri istemci tarafı tarama teknolojisine yerleştirebileceği konusunda uyardı.
Birleşik Krallık’ın Çevrimiçi Gizlilik, Zarar Azaltma ve Olumsuz Etki Ulusal Araştırma Merkezi (REPHRAIN), politikacıları tasarıyı oylamadan önce tarama teknolojisinin bağımsız bir bilimsel değerlendirmesini düşünmeye çağırdı.
Ve Temmuz ayında yaklaşık 70 Birleşik Krallık bilgi güvenliği ve kriptografi araştırmacısı, açık bir mektupta, OSB’deki şifreli mesajlaşma hizmetlerini izlemek için teknolojiyi zorunlu kılma önerilerinin, sunulması halinde düşman hükümetler veya bilgisayar korsanları tarafından kötü amaçlarla istismar edilebileceği konusunda uyardı.
Onların Açık Mektup Çevrimiçi Güvenlik Yasası ile ilgili olarak Güvenlik ve Gizlilik Araştırmacıları, ayrıca çocuklara yönelik cinsel istismar görüntülerini tespit etmeye yönelik güvenilir çözümlerin henüz mevcut olmadığını ve yanlış pozitif sonuçlar doğurma riskiyle karşı karşıya olduğunu savundu.
Mektupta, bunun özel, mahrem veya hassas mesajların teknoloji şirketlerindeki veya kolluk kuvvetlerindeki incelemecilere yanlışlıkla iletilmesine yol açabileceği belirtildi.
Ayrıca polisi ve istihbarat servislerini yanlış pozitifler de dahil olmak üzere işlenmesi zor olan büyük miktarda veriyle doldurabilir.
Lordlar Kamarası değişiklikleri reddetti
Lordlar Kamarası, Temmuz ayında Çevrimiçi Güvenlik Tasarısı’nda, düzenleyicinin, teknoloji şirketlerine şifreli mesajları taramak için teknoloji yüklemelerini zorunlu kılan teknik bildirimler vermeden önce “yetenekli bir kişi” tarafından rapor hazırlamasını gerektiren bir değişiklik yaptı.
Kişinin hangi niteliklere ihtiyaç duyacağı veya taramaya izin verilmeden önce hangi değerlendirmenin gerekli olacağı açık değildir.
Ancak politikacılar, Çevrimiçi Güvenlik Yasa Tasarısı’nın çocuk istismarı ve terörizmle mücadeleye yönelik bir yasa tasarısı olarak sunulması nedeniyle mahremiyete zarar verecek hükümlerini eleştirmekten çekiniyor ve bu yasaya karşı çıkmayı zorlaştırıyor.
Smith, “Politikacıların bu konu hakkında açıkça konuşması inanılmaz derecede zor olabilir ve bu tasarıyı engellemeye yönelik siyasi bir iştahın olmaması talihsiz bir durum” dedi.
İşçi Partisi, bağımsız bir adli komiserin, tedbirlerin orantılı olup olmadığını ve ifade özgürlüğü ile mahremiyet haklarına gereken önemin verilip verilmediğini incelemesini gerektiren değişiklik teklifini geri çekti.
Lordlar ayrıca, muhafazakar meslektaşı Lord Moylan’ın, Ofcom’un teknoloji şirketlerine uçtan uca şifrelemeyi zayıflatacak veya kaldıracak herhangi bir gereklilik dayatmasını yasaklayacak olan değişiklik teklifini de geri çekti.
BCS raporu hakkında yorum yapan Internet Society’nin internet güveni direktörü Robin Wilton, hükümetin kamuoyunu bilinçlendirme kampanyaları, mesleki eğitim ve geleneksel polis çalışmaları da dahil olmak üzere daha az tehlikeli sonuçları olan politikalara desteğini artırması gerektiğini söyledi.
“Hükümetin toplumsal sorunları çözmek için gelişen teknolojilere duyduğu güven kanıtlanmadı. Atlatma veya arka kapı erişimi yoluyla şifrelemeyi tehlikeye atan teknolojiler, Birleşik Krallık sakinlerini şantaj ve dolandırıcılık da dahil olmak üzere bir dizi yeni çevrimiçi zarara maruz bırakacaktır.
BCS CEO’su Rashik Parmar, Çevrimiçi Güvenlik Yasası’nın zorunlu kıldığı teknolojiyi yaratmaktan sorumlu olanların, bu teknolojinin en yüksek yeterlilik, kapsayıcılık, etik ve hesap verebilirlik standartlarını karşıladığından emin olmaları gerektiğini söyledi.