Google Drive ve Facebook Messenger gibi platformlar, Avustralya e-Güvenlik Komiseri tarafından önerilen uygulanabilir standartlar kapsamında yasa dışı materyal açısından taranacak.
Çocukların cinsel istismarını ve terör yanlısı içeriği tespit etmeye, bozmaya ve kaldırmaya yönelik gereksinimler; mesajlaşma, dosya depolama ve açık kaynaklı yapay zeka oluşturma hizmetleri de dahil olmak üzere çoğu web sitesi ve uygulamayı kapsamaktadır.
Paydaşların çevrimiçi güvenlik standartlarıyla ilgili maliyetleri, pratikliği, gizlilik risklerini veya diğer endişelerini özetleyen yanıtlarını 21 Aralık’a kadar sunmaları gerekiyor.
e-Güvenlik Komiseri Julie Inman Grant, yaptığı açıklamada, yasa dışı materyalin tespit edilmesinin hizmet sağlayıcıların “özel e-postaların, anlık mesajların, SMS’lerin, MMS’lerin, çevrimiçi sohbetlerin ve diğer özel iletişimlerin içeriğini izlemesini” gerektirmediğini söyledi.
Komiser’e göre, Microsoft’un karma eşleştirme aracı PhotoDNA gibi otomatik tespit teknolojileri, hükümet gözetimi anlamına gelmiyor.
“PhotoDNA, 50 milyarda 1 yanlış pozitiflik oranıyla yalnızca son derece doğru olmakla kalmıyor, aynı zamanda yalnızca bilinen çocuk cinsel istismarı görüntüleriyle eşleşip işaretlediği için gizliliği de koruyor” dedi.
Meta gibi bazı platformlar, doğrulanmış içerik konusunda eğitilmiş sınıflandırıcıları kullanarak yasa dışı içeriği de tespit eder.
Grant ayrıca, şüpheli meta veriler veya kullanıcı profilleri gibi şifrelenmemiş yüzeylere gönderilen materyaller içeren hesapların engellenmesiyle yasadışı içeriğin dağıtımının kesintiye uğrayabileceğini söyledi.
“Meta’nın uçtan uca şifrelenmiş WhatsApp mesajlaşma hizmeti, profil ve grup sohbet adları ve hesapların çocuklara yönelik cinsel istismar materyali sağladığını veya paylaştığını gösterebilecek resimler de dahil olmak üzere hizmetinin şifrelenmemiş kısımlarını zaten tarıyor.”
Standartlar hala E2EE’nin taranmasını gerektiriyor
eSafety’nin Şubat ayında reddedilen endüstri tarafından yazılan iki kodun aksine, standartlar uçtan uca şifrelenmiş (E2EE) hizmetler için ayrı bir kategori oluşturmayı amaçlamıyor.
“Uçtan uca şifrelenmiş bir hizmetin işletilmesi, şirketlerin sorumluluğunu ortadan kaldırmaz ve suç teşkil eden eylemlere karşı hiçbir şey yapmamak için serbest geçiş işlevi görmez. [performed over these services]” dedi Grant.
Grant, standardın “şirketlerin uçtan uca şifrelenmiş hizmetlerinde sistematik güvenlik açıkları veya zayıflıklar tasarlamasını” gerektirmediğini söyledi.
Ancak eSafety, E2EE ve otomatik algılama teknolojilerinin doğası gereği uyumsuz olduğunu reddediyor.
Komiser, standartlara uyum konusunda yayınlanan materyallere göre, muafiyet tanınması için hizmet sağlayıcılardan tespitin “bu koşullar altında teknik olarak mümkün olmadığını” “göstermelerini” talep edecek. [pdf].
“Teknik fizibilite”, “son kullanıcıların çevrimiçi güvenliğine yönelik risk düzeyi dikkate alınarak, hizmet sağlayıcıların harekete geçme maliyetlerine katlanmasının makul olup olmadığına” bağlıdır.
E2EE ve içerik taramayı birlikte çalışabilir hale getirme
Ekim ayında, e-Güvenlik Ofisi’nin ‘Güncellenmiş Durum Beyanı’ [pdf] E2EE’de, bir bulut depolama veya mesajlaşma platformuna aktarılan materyalin, E2EE’nin şifreleme aşamasından önce yasa dışı içerik açısından nasıl taranabileceğine dair örnekler özetlendi.
eSafety’nin önerilerinden biri şuydu: “E2EE iletişiminin bir kullanıcının cihazından gönderilmesi ve ardından iletişimin alıcıya gönderilmeden önce özel bir sunucu tarafından kontrol edilmesi.”
“Böyle bir sistemin yalnızca tek bir işlevi yerine getirdiğinden ve hizmet sağlayıcıya veya diğer üçüncü taraflara erişim sağlanmadığından emin olmak için denetlenebilir.”
eSafety ayrıca Apple’ın iki örneğine de değindi: iMessage için bir çocuk güvenliği özelliği ve içeriği iCloud’a yüklenirken tarayan, üretimi durdurulan bir araç.
iCloud çözümü, kullanıcıların aygıtlarındaki içeriği, yedeklemelerine yüklenmeden önce tarardı; Yasadışı malzeme tespit edildiğinde polis uyarılırdı.
Her ne kadar dijital hak grupları bu fikre karşı çıksa da çözüm [pdf] Apple’ın geçen yıl Aralık ayında terk ettiği gizlilik göz önünde bulundurularak tasarlandı.
“Sistem, buluttaki görüntüleri taramak yerine, bilinen görüntü karmalarından oluşan bir veritabanını kullanarak cihaz üzerinde eşleştirme gerçekleştiriyor.
“Apple ayrıca bu veritabanını, kullanıcıların cihazlarında güvenli bir şekilde depolanan, okunamayan bir karma kümesine dönüştürüyor.”
Apple’ın kullanıcı gizliliği ve çocuk güvenliği direktörü Erik Neuenschwander bir e-postada şunları söyledi: [pdf] W tarafından elde edildikızgın Projenin, “veri hırsızlarının bulup kullanabileceği yeni tehdit vektörleri” yaratabileceği ve işlev kayması yoluyla otoriter gözetime yol açabileceği endişeleri nedeniyle terk edildiği belirtildi.
“Kullanıcılar, bir tür gözetim aracının, siyasi faaliyet veya dini zulüm gibi diğer içerikleri gözetlemek üzere yeniden yapılandırılmadığından nasıl emin olabilir?” Ağustos ayında Apple’ın çözümü yeniden benimsemesini destekleyen bir çocuk hakları grubuna gönderilen e-postada şunlar yazıyordu.
eSafety’nin cihaz tarafı taramanın diğer örneği – Apple’ın çocukların aldığı veya göndermek üzere olduğu iMessage’lardaki çıplaklığı tespit eden ebeveyn kontrolü özelliği – çalışır durumda kalıyor.
Müstehcen görseller tespit edildiğinde, çocuk kullanıcılara katılmaları ve diğer güvenlik kaynaklarını almaları gerekmediği hatırlatılır.
Şirket, “Fotoğraflar ve videolar çocuğunuzun cihazında analiz edildiğinden, Apple çıplaklığın tespit edildiğine dair bir belirti almıyor ve sonuç olarak fotoğraflara veya videolara erişemiyor” dedi.
eSafety’nin durum beyanında, özelliğin yeterince ileri gitmediği, çünkü “yasadışı malzeme veya faaliyetin paylaşılmasını engelleyemeyeceği veya hesapların yasaklanmasını sağlayamayacağı” belirtildi.
Ancak yine de “şifrelemeyi zayıflatmadan ve gizliliği korurken, cihaz tarafı araçlarının E2EE ile birlikte kullanılabileceğini geniş ölçekte gösteriyor.”