AB’nin önerdiği Sohbet Kontrolü (CSAM Yönetmeliği), dijital platformların tımar davranışları da dahil olmak üzere yasa dışı içeriği tespit etmesini, raporlamasını ve kaldırmasını zorunlu kılarak çocuklara yönelik cinsel istismar materyalleriyle mücadele etmeyi amaçlamaktadır.
Siber güvenlik uzmanları, bu tür önlemlerin şifrelemeyi zayıflatabileceği, yeni saldırı yüzeyleri yaratabileceği ve kullanıcı gizliliğini aşındırabileceği konusunda uyarıyor.
Bu Help Net Security röportajında Wire CEO’su Benjamin Schilz, Chat Control siber güvenliği ve gizlilik risklerini tartışıyor. Zorunlu tarama mekanizmalarının uçtan uca şifrelemeyle uyumlu olmadığını ve hizmet sağlayıcılar için sorumluluk ve uyumluluk sorunları yaratacağını açıklıyor.
Teklif yasalaşsaydı, zorunlu tarama mekanizmalarının kötüye kullanım potansiyelini gerçekçi bir şekilde hangi teknik önlemler veya mimari kontroller azaltabilirdi?
Ne yazık ki, Sohbet Kontrolü o kadar zarar verici ki, uygulandığında gerçekçi bir hafifletici etkisi olabilecek bir şey değil. Bu, her güvenli sisteme evrensel bir arka kapı yerleştirmek gibidir ve bir kez var olduğunda istismar edilebilir ve istismar edilecektir. Uçtan uca şifreleme, zorunlu taramayla bir arada bulunamaz; ikisi birbirini dışlar. Bir sistemi hem güvenli hem de gözetlenen hale getiremezsiniz.
Zorunlu tarama, yetkililerin gerekli gördüklerinde erişebilmesi için herkesi paspasının altına bir anahtar bırakmaya zorlamak gibidir. Suçlu aktörler her türlü fırsattan yararlanmaya çalışacaktır ve Sohbet Kontrolü vatandaşları korumak üzere çerçevelenmiş olsa da aslında izinsiz girişlere davetiye çıkarır ve sağlamayı amaçladığı güvenliği ihlal eder.
Sohbet Kontrolü, temel gizlilik haklarını tehdit ediyor ve milyonlarca kişi ve hatta işletme tarafından kullanılan şifreleme korumalarını ortadan kaldırıyor; bunların tümü, AB’nin kendi veri koruma kurumlarının ve danışmanlarının zaten işe yaramaz olarak nitelendirdiği bir izleme planının peşinde.
Tarama zorunlu hale gelirse, yanlış pozitiflerin ve yanlış raporlamanın sorumluluğunu kim üstlenir: hizmet sağlayıcı mı, yazılım satıcısı mı, yoksa devlet mi?
Eğer hükümetler taramayı zorunlu kılarsa, bunun neden olduğu öngörülebilir zararların sorumluluğunu da üstlenmeleri gerekir. Yanlış pozitifler anormallik olmayacak; istatistiksel olarak kaçınılmazdırlar. AB ve Alman Federal Meclisi’ndeki uzman kuruluşlar, yeni malzeme ve bakıma yönelik tespit sistemlerinin son derece hatalı olduğu ve kolluk kuvvetlerini sahte raporlarla bunaltacağı konusunda zaten uyarmıştı.
Teknik bilgi ve tecrübeye sahip herkesin başarısız olacağını bildiği bir şeyi uygulamaya zorlanan taraflara sorumluluk yüklemek kabul edilebilir ve haklı görülemez.
Teknoloji şirketlerindeki güvenlik liderleri için Sohbet Kontrolü hangi yeni uyumluluk yüklerini veya tehdit modellerini getirebilir?
Sohbet Kontrolü mevcut veri koruma yükümlülüklerini doğrudan değiştirmez. Bunun yerine uyumluluk yükü, durum erişim taleplerinin, veri saklama politikalarının ve denetim yükümlülüklerinin yönetilmesine düşecektir. Tehdit modelleme açısından bakıldığında, izleme programlarının ulus devlet ve büyük suç örgütleri tarafından öncelikli istismar hedefleri haline gelmesi kaçınılmazdır. Bu, tüketici verilerinin ve küçük işletmelerin daha da fazla açığa çıkacağı, çıkarılacağı ve diğer işletmelere yönelik istismarları planlamak için kullanılacağı ve bu da tehdit düzeyinin daha da kötüleşeceği anlamına geliyor.
Düzenleme aynı zamanda Avrupa’nın dijital egemenlik ortamını da olabilecek en kötü şekilde yeniden şekillendirecek. Büyük ABD platformları uyumluluk maliyetini karşılayabilir; daha küçük Avrupalı ve açık kaynak geliştiriciler bunu yapamaz.
Tarama, insan incelemesi ve yasa uygulama boru hatlarının uygulanması, yalnızca büyük ölçekli şirketlerin sahip olduğu altyapı ve yasal kaynakları gerektirir. Sonuç, AB yenilikçilerini güvenli iletişim pazarından uzaklaştırmak, yabancı bulut sağlayıcılarına bağımlılığı derinleştirmek ve AB’nin belirttiği dijital egemenlik hedefini baltalamak olacaktır. Kısacası, Sohbet kontrolü AB teknolojisini daha az rekabetçi hale getirecek.
Daha küçük geliştiriciler ve açık kaynaklı projeler genellikle büyük platformların kaynaklarından yoksundur. Bu düzenleme, güvenli mesajlaşma konusunda Avrupa’daki yeniliklere girişte etkin bir engel oluşturabilir mi?
Sohbet Kontrolü hedeflenmemiştir. Teknik olarak mümkün olmayan gerekçelerle kitlesel gözetlemedir. Sohbet Kontrolünü tanımlamak için “hedefli” teriminin kullanılması yanlıştır ve konuyu karıştırır. Gerçekten hedefe yönelik tarama, haklı yasal veya cezai şüpheye dayanır ve kapsamı bu şüpheye göre belirlenir.
Hedefli tarama için hem orantılılığı hem de operasyonel uygulanabilirliği karşılayan güvenilir bir yol var mı, yoksa tüm önerme teknik ve etik açıdan savunulamaz mı?
Çocukları çevrimiçi ortamda korumak temel ve ortak bir hedeftir, ancak kitlesel gözetim bunu başarmanın yolu değildir. En etkili önlemler yukarı yönlü ve hedefli, dağıtım ağlarını bozan, uluslararası işbirliğini güçlendiren ve önleme ve eğitime yatırım yapan önlemlerdir.
Avrupa, dijital haklar ve veri koruma alanında dünyaya liderlik ediyor. Eğer şimdi özel mesajların toplu olarak denetlenmesini zorunlu kılarsa, liderliğini tanımlayan güven ve emniyeti zedeleme riskiyle karşı karşıya kalacak.