«Грандиозные новые полномочия могут позволить Великобритании блокировать крупные технологические платформы»
Новые влиятельные права помогут Великобритании заблокировать мощные технологические платформы
Регулятор коммуникаций Великобритании, Офком, говорит, что он готов “нарушить” технологические платформы, которые не соблюдают контроверзиальный новый Закон о безопасности онлайна страны, включая отключение им платежных систем или даже блокировку их в Великобритании.
Закон – огромный документ, охватывающий широкий спектр вопросов, от того, как технологические платформы должны защищать детей от злоупотреблений до мошенничества и террористического контента, – стал законом в октябре. Сегодня регулятор опубликовал свой первый пакет предложений о том, как будет осуществляться Закон и что технологическим компаниям нужно будет сделать для соблюдения его положений.
Предложенные правила обязали бы крупные технологические компании разобраться с возможными путями приобщения детей к злоупотреблениям на их платформах и иметь “достаточный” штат по безопасности для ограничения распространения вредоносного контента. Компании также должны назначить лицо в Великобритании, которое может нести персональную ответственность за нарушения.
“Сегодня начинается наша деятельность по надзору”, – говорит Гилл Уайтхед, бывший сотрудник Google, который сейчас руководит Группой по онлайн-безопасности Офкома. “Сегодня мы будем осуществлять надзор над крупнейшими компаниями и компаниями, которые, по нашему мнению, имеют наибольший риск определенных типов незаконного вреда… Технологическим фирмам нужно поднять свою планку и действовать”.
Предложения Офкома уточняют, что технологическим компаниям нужно сделать, чтобы избежать наказания за нарушение Закона, включая штрафы до 10 процентов от их глобального дохода и уголовные обвинения для руководителей. Однако предложения, скорее всего, не успокоят платформы обмена сообщениями и защитников онлайн-конфиденциальности, которые говорят, что Закон будет заставлять платформы подорвать конечно-конечное шифрование и создать заднюю дверь в свои сервисы, подвергая себя нарушениям конфиденциальности и рискам безопасности.
- «Google стремится упростить праздничные покупки с помощью Chrome»
- Хулу и Дисней+ объединяются в одно приложение.
- Дисней+ и Хулу объединяются в одно приложение, бета-версия будет вы...
Защищая Закон о безопасности онлайна, правительство и его сторонники описывают его как необходимый для защиты детей в сети. Первые предложения Офкома, которым будут последовать еще консультации, продолжающиеся до 2024 года, сосредоточены на ограничении доступа несовершеннолетних к потрясающему или опасному контенту и предотвращении их использования педофилами.
Офком говорит, что исследования показывают, что три из пяти детей в Великобритании в возрасте от 11 до 18 лет получали нежелательные приближения, которые вызывали у них дискомфорт, и что одному из шести присылали или предлагали поделиться обнаженными или полуобнаженными изображениями. “Бурными” запросами дружбы пользуются взрослые, пытающиеся подвергнуть детей злоупотреблениям, – говорит Уайтхед. Согласно предложениям Офкома, компании должны предпринять шаги для предотвращения обращения к детям лиц, находящихся вне их непосредственных сетей, включая создание невозможности для аккаунтов, не связанных с ними, отправлять им личные сообщения. Их списки друзей будут скрыты от других пользователей, и они не будут появляться в списках своих контактов.
Для соблюдения этого вероятно потребуется, чтобы платформы и веб-сайты улучшили свою способность проверять возраст пользователей, что означает сбор более подробных данных о людях, получающих доступ к их услугам. Wikipedia заявила, что возможно ей придется заблокировать доступ для пользователей из Великобритании, потому что соответствие такому требованию “нарушило бы наше обязательство собирать минимально возможные данные о читателях и авторах”. Компании в Великобритании уже подчинены некоторым правилам, требующим, например, предотвращения несовершеннолетних от просмотра рекламы, которая предназначена для ограниченного возраста, но ранее им было трудно реализовать так называемые услуги по контролю возраста, удовлетворяющие нормам и законам и были приняты и регуляторами, и клиентами, – сказал Герейнт Ллойд-Тейлор, партнер юридической фирмы Льюис Силкин. “Нам нужно обращать внимание на решения, а не только на выявление проблем”. – говорит Ллойд-Тейлор.
Уайтхед говорит, что Офком в следующем месяце будет предоставлять более подробную информацию о конкретных подходах к проверке возраста.
Один из самых контроверзиальных пунктов Закона о безопасности онлайна гласит, что компании, предоставляющие пиринговые коммуникации, такие как мессенджеры вроде WhatsApp, должны предпринять шаги для предотвращения использования их сервисов для передачи материала с сексуальным насилием над детьми (МСНД). Это означает, что компании должны найти способ сканировать или искать содержимое сообщений пользователей, что, по словам экспертов по безопасности и технологических руководителей, невозможно без нарушения конечно-конечного шифрования, используемого для обеспечения приватности платформ.
При конечно-конечном шифровании содержимое сообщения может просматривать только отправитель и получатель – даже оператор платформы не может расшифровать его. Для выполнения требований Закона платформы должны иметь возможность просмотреть сообщения пользователей, скорее всего, используя так называемое сканирование на стороне клиента, в основном просматривая сообщение на уровне устройства – что активисты по защите конфиденциальности сравнивают с установкой шпионского программного обеспечения на телефон пользователя. Это, по их мнению, создает заднюю дверь, которую могут использовать спецслужбы или киберпреступники.
“Давайте предположим, что правительство Великобритании полностью добросовестно. И предположим, что они будут использовать эту технологию только для ее предназначенного использования. Не имеет значения, потому что … вы не можете остановить других акторов от ее использования, если они взломают вас”, – говорит Гарри Хэлпин, генеральный директор и основатель компании по защите конфиденциальности NYM. “Это означает, что помимо правительства Великобритании вашими сообщениями будут читать и иметь доступ к вашему устройству также и иностранные правительства и киберпреступники”.
Служба обмена сообщениями WhatsApp компании Meta, а также зашифрованная платформа Signal, угрожали покинуть Великобританию из-за предложенных мер.
Предлагаемые правила Ofcom гласят, что открытые платформы – те, которые нешифрованные – должны использовать “сравнение хешей” для обнаружения материалов сексуального характера, связанных с детьми. Эта технология, которая уже используется Google и другими компаниями, сравнивает изображения с предварительно созданной базой данных незаконных изображений, используя криптографические хеши – в основном, зашифрованные коды идентичности. Защитники этой технологии, включая организации по защите детей, утверждают, что это обеспечивает конфиденциальность пользователей, поскольку не предполагает активного просмотра их изображений, а лишь сравнение хешей. Критики говорят, что это не всегда эффективно, так как систему можно относительно легко обмануть. “Менять нужно только один пиксель, и хеш меняется полностью”, – сказал профессор кибербезопасности Университета Сарри Алан Вудвард в интервью ENBLE в сентябре, до принятия данного закона.
Вряд ли такая же технология могла бы быть использована в частных зашифрованных коммуникациях без подрыва этих мер защиты.
В 2021 году Apple заявила, что создает инструмент обнаружения материалов сексуального характера, связанных с детьми, для iCloud, основанный на сравнении хешей. В декабре прошлого года компания отказалась от этой инициативы, затем заявив, что сканирование частной информации пользователей iCloud создаст угрозу безопасности и “потенциально повлечет за собой сползание к непредвиденным последствиям. Сканирование одного типа контента, например, открывает двери массовой слежки и может вызвать желание просматривать другие зашифрованные системы обмена сообщениями по всем типам контента”.
Анди Ен, основатель и генеральный директор Proton, предоставляющей безопасную электронную почту, просмотр веб-сайтов и другие услуги, говорит, что обсуждения использования сравнения хешей – это положительный шаг по сравнению с исходными положениями Закона об онлайн-безопасности.
“Хотя нам все же необходимы ясные требования о том, где потребуется использование сравнения хешей, это победа для конфиденциальности”, – говорит Ен. Однако, он добавляет, что сравнение хешей – это не серебряная пуля для защиты конфиденциальности, как могут заявлять некоторые, и мы обеспокоены потенциальными последствиями для обмена и хранения файлов… Сравнение хешей может стать прохладительным средством со своими другими рисками”.
Правило о сравнении хешей будет применяться только к открытым платформам, а не к частным мессенджерам, согласно Вайтхед. Но “для этих [зашифрованных] сервисов, мы говорим: ‘Ваши обязанности по безопасности все равно существуют'”, – говорит она. Эти платформы должны развернуть или разработать “аккредитованную” технологию для ограничения распространения материалов сексуального характера, связанных с детьми, и дальнейшие консультации по этому вопросу проводиться в следующем году.
“У зашифрованных сервисов высокий риск распространения материалов сексуального характера, связанных с детьми, на их платформах, и для сервисов, которые выбирают зашифрованное выполнение своих сообщений и услуг по обмену файлами, они всё еще должны соблюдать обязанности по безопасности”, – сказала она, делая упор на слово “выбирают”.
Согласно сегодняшним предложенным правилам, платформы технологических компаний должны предусмотреть ясные способы для пользователей сообщать о вредоносном контенте или блокировать и сообщать о проблемных учетных записях. Компании, использующие алгоритмы для рекомендации контента пользователям, должны проводить испытания на безопасность. И у них должны быть “хорошо оснащенные и обученные” команды контента и модерации поиска для управления тем, что происходит на их платформах.
Закон распространяется на любую компанию, у которой есть пользователи в Великобритании, даже если у нее нет штаб-квартиры в этой стране. Вайтхед говорит, что она считает, что размер британского рынка заставит компании стремиться к соблюдению требований. Те, кто этого не сделает, может столкнуться с серьезными последствиями.
“У нас есть сильные полномочия в таких ситуациях. У нас есть право наштрафовать до 10 процентов от глобального оборота, у нас есть право возбудить уголовное дело против старших менеджеров и у нас есть право прервать услуги”, – говорит Вайтхед. Блокировка платформ – не первый шаг, добавляет она – предпочтительнее “связаться с сервисами и работать с ними по достижению соблюдения требований”, но возможны и другие варианты действий. “У нас есть такие полномочия”, – говорит она.
