Hükümetin Birleşik Krallık’ın gözetim yasalarını güncelleme planları, teknoloji şirketlerini müşterilerinin mahremiyetini ve güvenliğini korumaktan hükümetin gözetim ihtiyaçlarını karşılamaya yönlendirebilir.
Teknoloji şirketlerinden gelen uyarı, hükümetin Birleşik Krallık’ta devlet gözetimini düzenleyen Soruşturma Yetkileri Yasası’nı (IPA) 2016 modernize etme planlarının oluşturduğu riskler hakkında hükümet bakanlarına verilen bir brifingde geldi.
1.000 teknoloji şirketi ve kuruluşunu temsil eden ticaret grubu TechUK, şu anda Parlamento’dan geçmekte olan IPA’da yapılacak değişikliklerin hükümete, geliştirdikleri hizmetlerde değişiklikleri engelleme konusunda fiili yetki vereceğini iddia ediyor.
Grup ayrıca, revize edilen Kanun’un teknoloji şirketlerinin denizaşırı yan kuruluşlarına Birleşik Krallık gözetim yasalarına uyma konusunda yeni yükümlülükler getireceği yönündeki endişelerini de dile getirdi.
TechUK’ın uyarısı, Soruşturma Yetkileri (Değişiklik) Tasarısı’ndaki önlemlerin teknoloji şirketlerinin güvenlik tehditlerine hızlı bir şekilde yanıt vermesini veya kullanıcılarının gizliliğini korumak için şifreleme gibi güvenlik önlemleri almasını zorlaştırabileceği yönündeki endişelerin ortasında geldi.
TechUK’un genel müdürü Julian David, İçişleri Bakanı’na yazdığı açık bir mektupta, getirilen yetkilerin şirketleri Birleşik Krallık’ta yeni teknoloji özelliklerinin başlatılmasını geciktirmeye veya bunları tamamen bırakmaya zorlayabileceği konusunda uyardı.
David, “Kullanıcı mahremiyetini ve güvenliğini artırmaya odaklanmak yerine, bir firmanın dikkatini hükümetin gözetim ihtiyaçlarını karşılamaya yöneltmek gerekir” diye yazdı.
Hükümet yeni yetkilerin etkisini “hafifletmiş”
Bakanlar, tasarının istihbarat ve güvenlik teşkilatlarının teknolojideki gelişmelere ayak uydurmasını sağlayacağını ve mevcut mevzuatta yalnızca “hedefe yönelik ve mütevazı” değişiklikler getireceğini söylüyor.
Ancak TechUK tarafından Aralık 2023’te İçişleri Bakanlığı’na gönderilen yayınlanmamış bir brifing belgesi, hükümetin Soruşturma Yetkileri Yasası’nda önerilen değişikliklerin etkisini “hafiflettiğini” öne sürüyor.
Bakanlar, Soruşturma Yetkisi Yasası’nda yapılan değişikliklerin “yetkilerin genişletilmesiyle değil, bunların sürdürülmesiyle ilgili” olduğunu ileri sürüyor.
Ancak TechUK, Cleverly’ye gönderilen brifing belgesinde buna karşı çıkıyor. “Bu açıklamanın, uygulamaya konulan değişikliklerin gerçek önemini yansıtmadığına inanıyoruz” diyor.
Hükümet, gözetim rejiminde yapılan değişiklikleri “küçük ayarlamalar” olarak sunduğunu iddia ediyor; oysa bu değişiklikler aslında internetin mahremiyetini ve güvenliğini etkileyebilir.
“Yasa, küçük teknik iyileştirmeler sağlamayı amaçladığını belirtse de, bunların gerçek etkisi çok daha büyük olabilir” diyor. “Tasarıdaki bazı değişikliklerin çok geniş kapsamlı olma potansiyeli var.”
Bildirimler
Teknoloji şirketleri, hükümete gözetim yetenekleri sağlayan telekomünikasyon şirketlerinin, sistemlerinde yaptıkları ve hükümetin casusluk yeteneklerini etkileyebilecek değişikliklerden önce kendilerini bilgilendirmesini gerektiren Soruşturma Yetkileri Yasası’nda yapılan değişikliklerle ilgili özellikle endişelerini dile getirdi.
İçişleri Bakanlığı, bu hareketin teknoloji şirketlerinin teknik değişiklikler yapmasını veya yeni hizmetler sunmasını engellemeyeceğini ve şirketlerin güvenlik yamaları yayınlamasını engellemek için Soruşturma Yetkileri Yasası’nı kullanma niyetinin olmadığını savunuyor.
Ancak TechUK brifingine göre, Soruşturma Yetkileri Yasasındaki diğer yetkilerle birleştirildiğinde bu, hükümetin “şirketlerin hizmetlerinde müşterilerinin çıkarına olacak değişiklikler yapmasını engelleme” yönünde fiili bir yetkisi anlamına gelecektir.
Tekliflere göre, planlanan bir değişiklik bildirildiğinde İçişleri Bakanlığı, onaylanması halinde teknoloji şirketinin ürünlerinde değişiklik yapmasını gerektirecek bir icra bildirimi yayınlayabilir.
Şirketlerin, muhtemelen uzun soluklu bir inceleme süreci yoluyla itiraz etme hakkı vardır, ancak inceleme tamamlanana kadar herhangi bir değişiklik yapmaları yasal olarak engellenmektedir.
Hükümet, bir adli komiser ile teknoloji ve endüstri uzmanlarından oluşan bir kurul tarafından değerlendirme yapılmasını gerektiren incelemenin ne kadar süreceği konusunda herhangi bir belirti vermedi.
Brifingde, “Bu durum, hükümetin kullanıcı mahremiyetini ihlal ettiğine dair endişe yaratma riski taşıyor ve bazı şirketlerin, uçtan uca şifreleme gibi teknolojiler yoluyla gizliliği, bütünlüğü ve güvenliği artırmak da dahil olmak üzere, kullanıcılarına yönelik hizmetlerini dünya çapında yenilemeye devam etmelerini zorlaştırıyor” dedi. .
Şifreleme etkilenebilir
Teknoloji uzmanları Computer Weekly’ye, Birleşik Krallık gözetleme rejiminde önerilen değişikliklerin İçişleri Bakanlığı’nın şifreli iletişim hizmetlerinin kullanımını kısıtlamasına olanak tanıyacağı yönünde endişeler bulunduğunu söyledi.
İstihbarat teşkilatları ve İçişleri Bakanlığı, Signal, WhatsApp ve Facebook gibi teknoloji şirketlerini, kolluk kuvvetlerine ve istihbarat teşkilatlarına çocuklara yönelik cinsel istismarı ve terörizmi tespit etmek amacıyla şifreli hizmetlere arka kapı erişimi sağlamaya ikna etmek için uzun süredir kampanya yürütüyor.
Ekim 2023’te kabul edilen Çevrimiçi Güvenlik Yasası, Ofcom’a, teknoloji şirketlerinin şifrelenmiş mesajları yasa dışı içerik açısından taramak için “akredite teknoloji” kurmasını zorunlu kılma yetkisi veriyor; uzmanlar, bu hareketin şirketleri Birleşik Krallık’ta şifreli hizmetler sunmaktan caydıracağını söylüyor.
Soruşturma Yetkileri Yasa Tasarısı’nda yapılan değişikliklerin daha da ileri gittiği görülüyor. Element’in CEO’su ve şifreli mesajlaşma hizmetleri sağlayan Matrix.org’un teknik kurucu ortağı Matthew Hodgson, Computer Weekly’ye hükümetin önerilerinin şifreli hizmetler sunan küçük şirketleri “ezebileceğini” söyledi.
“Birleşik Krallık şirketlerinin güvenlik önlemlerini uygulamak için hükümetten izin alması gerektiği fikri pratik değil ve açıkçası tüyler ürpertici” dedi. “Uçtan uca şifreleme, bir şirketin kullanabilmesi için hükümetin onaylaması gereken bir teknoloji olarak vurgulandı; gerçekte tam tersini yaparken, sanki kullanımı tüketici güvenliğini azaltıyormuş gibi E2EE’nin gelecekteki kullanımına etkili bir şekilde yasak uygulanması. ”
Cambridge Üniversitesi Bilgisayar Laboratuvarı’nda güvenlik mühendisliği profesörü olan Ross Anderson, Computer Weekly’ye, teknoloji şirketlerinin bir ürünü piyasaya sürmeden önce Birleşik Krallık hükümetinden izin istemeleri gerekiyorsa, onu başka bir yerde piyasaya süreceklerini söyledi.
“İngiltere, AB’den çok daha küçük; dünya nüfusunun yalnızca yüzde 1’ini ve dünya GSYİH’sinin yüzde 3’ünü barındırıyor” dedi. “ABD ve diğer yerlerdeki insanların keyif aldığı şeyleri kaçıracağız. Pek çok firma, Pekin’in garantisiz toplu gözetim taleplerine katlanmak yerine Çin’deki ürünlerini geri tuttu.”
ülke dışılık
TechUK ayrıca, Soruşturma Yetkileri (Değişiklik) Yasası’nın, Birleşik Krallık’a telekomünikasyon sağlama konusunda “dahil olmaları” halinde, denizaşırı teknoloji şirketlerini Soruşturma Yetkileri Yasası kapsamına soktuğu yönündeki endişelerini de dile getirdi.
Değişiklikler, Birleşik Krallık dışında yerleşik telekomünikasyon şirketlerinin Birleşik Krallık hükümetine iletişim verilerini sağlamalarını gerektiren Birleşik Krallık yasalarına uymalarını gerektirecek.
Önerilen değişiklikler “diğer ulusların egemenliğini – hukukun üstünlüğünü – ve bu ülkelerdeki kullanıcıların yabancı hükümetler tarafından gözetlenmeme beklentilerini ihlal edebilir” ve potansiyel olarak Birleşik Krallık’ın Birleşik Krallık dışı vatandaşlar hakkında casusluk yapmasına olanak sağlayabilir. TechUK açık mektubunda, “Bu benzeri görülmemiş güç, Birleşik Krallık hükümetinin yabancı şirketlerden kendi ulusal yasalarıyla çelişebilecek eylemlerde bulunmasını talep etmesine izin verebilir” dedi.
Bunun, Birleşik Krallık’ın kanunlarının bölge dışı uygulanmasına yaklaşımında bir sapma anlamına geldiği ve özel şirketleri “hangi ülkenin kanunlarına uyacaklarına karar vermek zorunda kalma gibi savunulamaz bir duruma” sokacağı ifade edildi.
Genel olarak ele alındığında TechUK, Soruşturma Yetkileri (Değişiklik) Tasarısının tüketici mahremiyetini ve güvenliğini iyileştirmeye yönelik teknolojik yenilikleri engelleyebileceğini ve Birleşik Krallık’ı yatırım için daha az çekici bir yer haline getirebileceğini savunuyor.
Açık mektuba göre, “Diğer ülkeler de benzer mevzuat değişikliklerini benimseyecek olsaydı, bu, eşitsiz bir oyun alanı yaratarak ve uluslararası pazarlarda rekabet etme yeteneklerini engelleyerek, Birleşik Krallık ekonomisine potansiyel olarak zarar vererek, yurtdışında yatırım yapan Birleşik Krallık’taki işletmeler için bir tehdit oluşturabilir.” Julian David.
Hükümetin şifrelemeyi kısıtlamaya yönelik yasal girişimlerinin hedefi olarak görülen sosyal medya şirketi Meta, Aralık 2023’te Facebook mesajlaşma hizmetinde ve Instagram’da uçtan uca şifrelemeyi kullanıma sunmayı planladığını duyurdu. Soruşturma Yetkileri Kanunu’nda önerilen değişiklikler.
Hükümet – güvenli iletişim kamu güvenliğini gölgede bırakamaz
Bakanlar, ulusal güvenlikle ilgili kararları “sorumlu olmayan çokuluslu şirketlere” devredemeyeceklerini veya vatandaşların güvenliğini “ticari nedenlerle” tehlikeye atamayacaklarını savunuyorlar.
Bir İçişleri Bakanlığı sözcüsü, hükümetin teknolojik yeniliklerden ve şifreleme dahil güvenli iletişimden yana olduğunu ancak bunun kamu güvenliği pahasına olamayacağını söyledi.
“Teknolojik yenilikleri ve uçtan uca şifreleme de dahil olmak üzere özel ve güvenli iletişim teknolojilerini desteklediğimizi her zaman açıkça belirttik” dediler. Ancak bunun kamu güvenliğine bir maliyeti olamaz ve kararların demokratik hesap verebilirliğe sahip kişiler tarafından alınması kritik önem taşıyor.”