Yaklaşık 30 siber güvenlik uzmanı, kriptograf ve akademisyen, İçişleri Bakanı James Cleverly’ye yazarak, hükümeti Birleşik Krallık’ın gözetleme yasalarında yapılacak değişiklikleri yeniden gözden geçirmeye çağırarak, bunların bilgisayar sistemlerindeki güvenlik açıklarının kapatılmasına önemli “bürokratik engeller” getireceği uyarısında bulundu.
Grup, bir bildirisinde, 2016 Soruşturma Yetkileri Kanunu’nda (IPA) yapılması önerilen ve aynı zamanda gözetmenler sözleşmesi olarak da bilinen değişikliklerin, başta Birleşik Krallık olmak üzere dünya genelindeki internet kullanıcıları için “benzeri görülmemiş ve büyüyen siber suç tehdidini” daha da artıracağını söylüyor. açık mektup.
Mektup ayrıca, şu anda Parlamento’dan geçmekte olan Soruşturma Yetkileri (Değişiklik) Yasa Tasarısı’nda önerilen önlemlerin, teknoloji şirketlerinin mesajlaşma ve e-posta hizmetlerine uçtan uca şifreleme getirmesini engellemek veya geciktirmek için kullanılabileceği yönündeki endişeleri de gündeme getiriyor.
Kişisel sıfatla hareket eden imzacılar arasında PGP şifreleme yazılımı geliştiricisi Philip Zimmermann; PGP’nin kurucu ortağı ve Apple’ın eski kıdemli bilim insanı Jon Callas; ve Washington merkezli bir düşünce kuruluşu olan Dış İlişkiler Konseyi’nin (CFR) küresel siber politikadan sorumlu kıdemli üyesi Tarah Wheeler.
Diğer imzacılar arasında, teknoloji şirketi Cloudfare Research’te misafir profesör ve araştırma lideri olan Marwan Fayed ve Demokrasi ve Teknoloji Merkezi’nin baş teknoloji uzmanı ve İnternet Mimarisi Kurulu üyesi Mallory Knodel yer alıyor.
Bildirim rejimi
Söz konusu olan, Soruşturma Yetkileri Kanunu’nda önerilen iki değişikliktir. Bunlardan ilki, teknoloji şirketlerinin hizmetlerinde, devlet kurumlarına yasal erişim sağlamaya yönelik mevcut düzenlemeleri etkileyebilecek teknik değişiklikler yapmadan önce hükümeti bilgilendirmesini gerektirecek bir “bildirim bildiriminin” uygulamaya konulmasıdır.
İkinci bir gereklilik ise, itiraz incelemesi tamamlanana kadar bir hükümet bildirimine itiraz etmeleri durumunda teknoloji şirketlerinin sistemlerinde herhangi bir değişiklik yapmasını engelleyecek.
“Bu teklifler yasalaşırsa [to the Investigatory Powers Act] Güvenlik güncellemelerinin geliştirilmesini ve dağıtılmasını yavaşlatan bürokratik engeller getirerek Birleşik Krallık’taki hizmet kullanıcılarının güvenliği açısından feci sonuçlara yol açabilir”
Siber güvenlik uzmanları, kriptograflar ve akademisyenlerden açık mektup
Güvenlik uzmanları, önlemlerin birlikte ele alınmasının, şirketlerin yeni güvenlik tehditlerine yanıt olarak sistemlerini güncellemelerinde önemli gecikmelere yol açabileceğini savunuyor.
Mektupta, “Eğer yasalaşırsa, bu teklifler, güvenlik güncellemelerinin geliştirilmesini ve dağıtılmasını yavaşlatan bürokratik engeller getirerek Birleşik Krallık’taki hizmet kullanıcılarının güvenliği açısından feci sonuçlar doğuracaktır” denildi.
“Birleşik Krallık hükümetinin teknolojinin nasıl inşa edildiğini ve sürdürüldüğünü etkili bir şekilde yönlendirdiği bir durumu düzenleyecekler, bu da kullanıcıların hizmet ve ürünlerin emniyeti ve güvenliğine olan güvenini önemli ölçüde zayıflatacaktır” diye ekledi.
Açık mektup, siber suçun tüketicilere ve işletmelere 2025 yılına kadar yıllık 8,4 trilyon £’a mal olacağına işaret ediyor. Bilim, Yenilik ve Teknoloji Bakanlığı’nın Nisan 2023 rakamlarına göre orta ölçekli işletmelerin %26’sı ve büyük ölçekli işletmelerin %37’si işletmeler son 12 ayda siber suçların kurbanı olmuştu.
Mektupta, “Operatörlerin güvenlik açıklarını düzeltmek için yazılım güncellemelerini hızlı bir şekilde dağıtma becerisine müdahale ederek, bu teklifler yalnızca Birleşik Krallık’taki operatörler için değil, dünya çapındaki tüm kullanıcılar için güvenlik korumalarını zayıflatacak ve bu riskleri artıracaktır” dedi.
Soruşturma Yetkileri (Değişiklik) Tasarısı, hükümetin, sistemlerini değiştirmelerini gerektiren bir bildirim alan teknoloji şirketlerinden gelen itirazları incelemeyi tamamlamasının ne kadar süreceği konusunda hiçbir gösterge vermiyor.
Şifrelemeye yönelik tehditler
Bir hükümet sözcüsü Computer Weekly’ye, Soruşturma Yetkileri Yasasını teknoloji şirketlerini uçtan uca şifrelenmiş hizmetleri zayıflatmaya zorlamak için kullanma niyetinin olmadığını söyledi.
Bununla birlikte hükümet son yıllarda teknoloji şirketlerinin kanun uygulayıcılara şifreli iletişime erişim sağlamaları yönünde çağrıda bulunan açıklamalarda da bulundu; kriptograflar bunun “şifrelemeyi kıracağını” iddia ediyor.
Mektuba göre, Soruşturma Yetkileri Yasası’nda yapılan değişikliklerdeki “bildirme ve dondurma” önerileri, Birleşik Krallık hükümetine varsayılan olarak uçtan uca şifreleme getirecek ürün güncellemelerini yasaklama veya engelleme olanağı verecek.
Güvenlik uzmanları, Ofcom düzenleyicisine teknoloji şirketlerinin çocuk istismarı içeriği için şifrelenmiş mesajları taramasını zorunlu kılma yetkisi veren Çevrimiçi Güvenlik Yasası gibi diğer önlemlerle birleştirildiğinde, yeni yetkilerin uçtan uca şifrelemeyi engellemek veya zayıflatmak için kullanılabileceğini söyledi. .
Örneğin, Soruşturma Yetkileri Yasası’nın 253. Maddesi, 5(c) kısmı, hükümete, teknoloji şirketlerinin iletişim verilerine uyguladığı “elektronik korumayı” kaldırmak veya değiştirmek için Teknik Yeterlilik Bildirimleri yayınlama yetkisi veriyor.
Mektupta, “Kriptograflar ile güvenlik ve gizlilik uzmanları, IPA’daki bildirim yetkililerinin, operatörleri arka kapılar oluşturmaya zorlamak veya hizmetlerinde varsayılan olarak şifre çözmeyi kullanmalarını engellemek için kullanılabileceğinden uzun süredir endişe duyuyorlar” ifadesine yer verildi.
İmzacılar, tekliflerin “Birleşik Krallık vatandaşlarının, dünyanın her yerindeki iş dünyasının ve internet kullanıcılarının çıkarlarına aykırı” olmasından “derin endişe duyduklarını” söylüyor.
Meta şifreleme planları hedeflenmiş olabilir
Mektubu imzalayanlardan biri olan Demokrasi ve Teknoloji Merkezi’nin baş teknoloji uzmanı Mallory Knodel, Soruşturma Yetkileri Yasası’nda yapılan değişikliklerin yasalaşması durumunda bakanların bunları teknoloji tarafından yapılan planları dondurmak veya geciktirmek için kullanacağına dair endişeler olduğunu söyledi. Şirketler uçtan uca şifrelemeyi kullanıma sunacak.
Meta, Facebook, Messenger ve Instagram hizmetlerinde uçtan uca şifrelemeyi uygulamaya koyma kararı nedeniyle İngiltere de dahil olmak üzere hükümetler tarafından defalarca eleştirildi.
Nisan 2023’te, aralarında FBI ve Birleşik Krallık Ulusal Suç Teşkilatı’nın da bulunduğu 15 emniyet teşkilatından oluşan Sanal Küresel Görev Gücü, Meta’nın şifrelemeyi çocukları güvende tutma yeteneğini zayıflatacak “amaçlı bir tasarım seçeneği” olarak kullanma planlarını eleştirdi.
Eylül 2023’te, dönemin içişleri bakanı Suella Braverman, Meta’ya ya çocukların çevrimiçi güvenliğini koruyacak teknolojiyi tanıtması ya da uçtan uca şifreleme planlarından tamamen vazgeçmesi konusunda meydan okumaya ağırlık verdi.
Knodel, Computer Weekly’ye şunları söyledi: “Böyle güçlü bir açıklama yapıp, yasalar bu konuda bir şeyler yapmanızı öngördüğü halde hiçbir şey yapmazsınız.”
Diğer teknoloji şirketlerinin kendi şifreleme planları hakkında kamuoyuna konuşmadan önce İngiltere’nin Meta’ya tepkisinin ne olacağını görmeyi bekledikleri anlaşılıyor.
Bunlar arasında, hizmetlerinin uçtan uca şifrelemeyle güvence altına alınması konusunda sivil toplum gruplarının baskısıyla karşı karşıya olan X, Discord ve Slack gibi şirketler de yer alıyor.
Knodel, “Şirketleri uçtan uca şifrelemeyi bir an önce benimsemeye zorluyoruz, böylece demokratik olsun ya da olmasın rejimler politika oluşturmayı bu teknolojiyi zayıflatmak için kullandıklarında, tırmanmaları gereken çok dik bir tepe var” dedi. .
Fiili yetkiler
Açık mektup, 1000 teknoloji şirketini temsil eden teknoloji ticaret grubu TechUK’un müdahalesinin ardından geldi. 30 Ocak 2023’te, IPA’da yapılacak değişikliklerin Birleşik Krallık hükümetine, şirketlerin Birleşik Krallık ve diğer ülkelerdeki ürün ve hizmetlerinde değişiklik yapmalarını veto etme konusunda fiili bir yetki verebileceği konusunda uyardı.
“Kullanıcıların mahremiyetini ve güvenliğini iyileştirmeye odaklanmak yerine, firmaların dikkatinin hükümetin gözetim ihtiyaçlarını karşılamaya yönlendirilmesi gerekecek. TechUK yaptığı açıklamada, bu durumun, kullanıcıların veri güvenliğine yönelik tehditlerin artmaya devam ettiği dünyada özellikle endişe verici olduğunu belirtti.
Home Office – güvenlik yamalarını kısıtlama planı yok
İçişleri Bakanlığı, güvenlik yamalarının Soruşturma Yetkileri Yasası’ndaki bildirim gerekliliği kapsamına girme niyetinde olmadığını ve bir sisteme güvenlik yamasını asla durdurmayacağını savunuyor.
Bir hükümet sözcüsü şunları söyledi: “Hükümetin ilk işi ülkeyi güvende tutmaktır. Soruşturma yetkileri vatandaşlarımızı korumanın vazgeçilmez bir aracıdır ve 1980’lerden bu yana varlığını sürdürmektedir.
“Teknolojik yenilikleri ve uçtan uca şifreleme de dahil olmak üzere özel ve güvenli iletişim teknolojilerini desteklediğimizi her zaman açıkça ifade ettik. Ancak bunun kamu güvenliğine bir maliyeti olamaz ve kararların demokratik hesap verebilirliğe sahip kişiler tarafından alınması kritik önem taşıyor.”
Soruşturma Yetkileri (Değişiklik) Tasarısı Avam Kamarası’nda ikinci kez okunmayı bekliyor.