AB teknoloji şirketleri, Avrupa Birliği (AB) genelindeki bakanlara, uçtan uca şifrelemeye dayanan internet hizmetlerinin güvenliğini zayıflatabilecek, çocukların cinsel istismarına ilişkin önerilen düzenlemeyi desteklememeleri yönünde çağrıda bulundu.
Aralarında şifreli e-posta ve mesajlaşma sağlayıcılarının da bulunduğu yaklaşık 18 şirket, Avrupa Komisyonu’nun (AK) önerilerinin “çocukların mahremiyetini ve güvenliğini olumsuz etkileyeceği” ve siber güvenlik açısından “öngörülemeyen dramatik sonuçlara” yol açabileceği konusunda uyarıyor.
22 Ocak 2024’te yayınlanan açık mektupta, AK’nin şifreli iletişimlerin toplu olarak taranmasını gerektiren düzenleme taslağının, AB hukukunda uygulanması halinde vatandaşları ve işletmeleri daha büyük risk altına sokacak güvenlik açıkları oluşturacağı konusunda uyarıda bulunuluyor.
Mektup, AK’nin şifrelenmiş mesajları toplu olarak tarama önerisinin çocuk güvenliğiyle ilgili endişelere orantılı ve uygulanabilir bir yanıt olup olmadığı konusunda anlaşamayan üye ülkeler, Avrupa Komisyonu ve Avrupa Parlamentosu arasındaki çıkmaza son vermeyi amaçlıyor.
İmzacıları arasında İsviçre şifreli e-posta hizmeti Proton; Almanya’nın Tuta Mail’i; Alman bulut depolama uzmanı NextCloud; ve şifreli işbirliği ve iletişim hizmetleri sağlayan bir İngiliz şirketi olan Element.
Küçük ve orta ölçekli teknoloji şirketlerinden oluşan grup, AB liderlerini Avrupa Parlamentosu tarafından önerilen düzenlemenin daha ölçülü bir versiyonunu desteklemeye çağırdı; “uzmanlar, şifreli e-posta ve mesajlaşma hizmetlerinin toplu olarak taranmasından daha etkili ve daha verimli olacağına inanıyor.”
Proton kamu politikası uzmanı Romain Digneaux, Computer Weekly’ye şunları söyledi: “AB hükümetlerine tartışmanın sadece mahremiyet ve çocuk koruma arasındaki ikilik olmadığını, mahremiyet ve çocuk korumanın el ele yürüdüğünü göstermek istiyoruz.”
Avrupa Komisyonu’nun yönetmelik versiyonu, teknoloji şirketlerinin “arka kapılar” oluşturmasını veya tüm şifreli iletişimlerin içeriğini çocukların cinsel istismarını gösteren metin, fotoğraf ve videolar açısından taramak için “istemci tarafı tarama” olarak bilinen teknolojiyi kullanmasını gerektiriyor.
“Bu mekanizma çevrimiçi suçla mücadele amacıyla oluşturulmuş olsa bile, aynı zamanda suçlular tarafından da hızlı bir şekilde kullanılacak ve tüm kullanımlarda güvenlik açıkları yaratarak vatandaşları ve işletmeleri çevrimiçi ortamda daha fazla risk altına sokacaktır” diye yazdılar.
İstemci tarafı tarama
İstemci tarafı tarama teknolojileri, şifrelenmiş mesajların “karma değerlerini” kullanıcının kendi telefonunda veya bilgisayarında depolanan yasa dışı içeriğin “karma değerleri” veritabanıyla karşılaştırır. Güvenlik uzmanları ve kriptograflar tarafından geniş çapta eleştirildi.
2021’de, aralarında kriptografi öncüleri Ron Rivest ve Whit Diffie’nin de bulunduğu dünyanın en iyi 14 bilgisayar bilimcileri, bilimsel bir makalede istemci tarafı taramanın “ciddi güvenlik ve gizlilik riskleri oluşturduğu” ve düşman ulus devletler ve kötü niyetli aktörler tarafından istismar edilebileceği konusunda uyardı. ve hatta çocuk istismarcılarının başkalarına veya topluma zarar vermesi.
Geçtiğimiz yıl, 30’dan fazla ülkeden bilim insanları ve araştırmacılar, Avrupa Komisyonu tarafından önerilen tarama teknolojisinin “son derece kusurlu” ve saldırılara karşı savunmasız olduğu konusunda uyarmıştı. Teknolojinin “yasa dışı bilgi” sızdıracağını ve yasa dışı içeriği “güvenilir bir şekilde” tespit etmekte zorlanacağını söylediler.
Sızan iç hukuk tavsiyeleri, Avrupa Konseyi’nin kendi avukatlarının planlanan tedbirlerin hukuka uygunluğu konusunda ciddi soruları olduğunu gösteriyor. Aslında “kişilerarası tüm iletişimin sürekli gözetimi”.
Digneaux şunu söylediKitlesel tarama tek bir amaç için başlatıldığında, politika yapıcılar bunun terörizm veya organize suç gibi başka amaçlarla kullanımını genişletme yönünde kaçınılmaz bir baskıyla karşı karşıya kalacaklardır.
Teknoloji, baskıcı rejimler tarafından siyasi muhalefeti izlemek için kullanılabilir. “Rusya veya İran gibi ülkelerde hizmetlerimize güvenen gazeteciler veya yalnızca siyasi görüşlerini ifade eden kişiler gibi çok sayıda kullanıcımız var” dedi.
Siber güvenlik riski
Mektuba göre, AB’nin veri korumaya güçlü odaklanması, Avrupa’da daha büyük Amerikan ve Çinli şirketlerle rekabet edebilen etik, gizlilik odaklı teknoloji şirketlerinin büyümesine yol açtı.
Teknoloji şirketleri, AK’nin önerilerinin, siber güvenlik risklerini yönetmek için uçtan uca şifrelemenin kullanımını teşvik eden Siber Dayanıklılık Yasası (CSA) ve Siber Güvenlik Yasası da dahil olmak üzere diğer AB Düzenlemeleriyle çeliştiğini savunuyor.
CSA düzenlemesi için zıt bir yaklaşımı desteklemek, “AB siber güvenlik çerçevesini zayıflatacak” ve teknoloji şirketlerinin vatandaşları riske atmadan uygulayamayacağı “tutarsız ve verimsiz önlemlere” yol açacaktır.
Avrupa Parlamentosu’nun alternatif önerileri arasında, zorunlu taramanın “daha etkili”, “veri koruma ve güvenliğe öncelik veren” ve “çocukları çevrimiçi ortamda daha iyi koruyacak” alternatifler yer aldığı iddia ediliyor.
Çözümleri tartışmak isteyen teknoloji şirketleri
Digneaux, Computer Weekly’ye teknoloji şirketlerinin çözümleri Avrupa Komisyonu ile tartışmaya istekli olduklarını ve “sadece hayır demediklerini” söyledi.
“’Avrupa Parlamentosu’nun önerilerine mümkün olduğunca yakın bir şey inşa edelim ve bu metni mümkün olduğu kadar çabuk kabul ettirelim ve çocukların korunmasına yönelik uygun bir çerçeve oluşturalım’ diyoruz” dedi.
Proton’un, şüpheli etkileşimleri tespit etmek için insanlar tarafından kontrol edilen ve kullanıcıların raporlarına dayanan otomatik sistemlere sahip olduğunu, ancak Proton’un kullanıcılarının şifrelenmiş e-postalarının içeriğini görmesinin teknik olarak mümkün olmadığını ekledi.
Digneaux, “Amacımız polisle işbirliği yapabilmek ve görüşmelerin içeriğini mutlaka sağlamadan da bunu yapabiliriz” dedi. “Birini mahkum edecek en büyük delili sunmayacağız, bu doğru, ancak polise soruşturmalarında yardımcı olabiliriz.”
Tuta Mail’in kurucusu Matthias Pfau şunları söyledi: “Güvenlik uzmanları, Avrupa Komisyonu’nun her sohbet mesajını ve her e-postayı taramaya yönelik sohbet kontrolü önerisinin, suçlular tarafından kötüye kullanılabilecek ve kötüye kullanılabilecek bir arka kapı oluşturacağı konusunda hemfikir.”
Mevzuatın “ekonomik büyümeyi engelleyeceğini ve işletmelerin verileri konusunda AB merkezli şirketlere güvenmelerini engelleyeceğini” de sözlerine ekledi.