Руки прочь от математики. Факты VS. мифы о государственном регулировании шифрования

14 июля, 2024

Попытки пробраться к нашим персональным данным «во имя безопасности» — это история не только российских реалий, но общемировая практика. Ускоряющееся развитие технологий ускоряет наш след в интернете и приумножает наше присутствие в нём, а значит, особенно важно относиться ответственно к своим данным в интернете, заботиться о них и понимать, кто и как может на них позариться. Представляем вам наш перевод статьи команды Access Now, занимающейся защитой данных в интернете. В этой статье разобраны 10 мифов про безопасность данных, которые мы бы хотели донести до каждого.

Обложка доклада Access Now «10 фактов против мифов о шифровании»

Во всем мире кибератаки угрожают национальной безопасности и демократии. поэтому шифрование имеет большое значение: оно является основой доверия в интернете и одним из лучших инструментов для обеспечения безопасности наших частных коммуникаций и цифровой инфраструктуры. Несмотря на участившиеся случаи хакерских атак – такие, как, например, атаки, раскрытые проектом Pegasus, – государственные органы продолжают настаивать на пользе разработки бэкдоров. которые дестабилизируют интернет и делают его менее безопасным.

Отчёт Access Now «10 фактов против мифов о шифровании» от 2021 года (обновлен в 2023) — это опровержение наиболее распространенных аргументов в пользу ослабления или обхода шифрования, которые мы видим в последние годы. Он объясняет, почему шифрование важно не только для защиты приватности, свободы самовыражения и других прав человека, но и для укрепления экономики, сохранения демократии и обеспечения безопасности на национальных уровнях Мы развенчиваем самые опасные мифы о шифровании — те, которые лежат в основе глубоко ошибочных законов и политик (policies). Мы не должны страдать от еще большего количества кибератак, утечек данных или политических скандалов, ожидая, пока принимающие решения увидят почему шифрование важно и должно защищаться, а не быть подорвано (действиями государственных органов – SN) Пришло время перестать притворяться, что политики «безопасности», которые подрывают шифрование, не опасны сами по себе.

Миф: «Бэкдоры» для целевого или исключительного доступа правоохранительных органов не повредят безопасности интернета

Факт № 1: Надежное шифрование необходимо для обеспечения безопасности интернета

Шифрование — это математический процесс, который не может применяться выборочно. Любое требование создать черный ход («бэкдор»), который будет работать только для правительства, по сути, противоречит математике. «Бэкдор» к зашифрованному контенту — это дефект безопасности, который делает уязвимой всю систему и базовые данные. Даже если он создан только для правительственного доступа, им неизбежно воспользуется множество других злоумышленников.

«Бэкдор», или «backdoor» (от англ. back door, черный ход) — программа или набор программ, которые устанавливает взломщик на взломанном устройстве после получения первоначального доступа с целью повторного получения доступа к системе. Бывает, что ради установки таких черных ходов хакеры устраиваются на работу в компанию-разработчика программ под прикрытием.

Миф: Бэкдоры для правоохранительных органов не повлияют на наши права и на демократию

Факт № 2: Предоставление правоохранительным органам исключительного доступа угрожает правам человека и демократии

Шифрование критически важно для демократического управления, для защиты прав на неприкосновенность частной жизни (приватность), и для права на свободу самовыражения в цифровой век. Ослабление шифрования через механизм исключительного доступа ставит под угрозу эти базовые права человека и демократию в целом.

Целостность шифрования особенно важна для некоторых людей групп, включая журналистов, юристов, врачей, и уязвимые сообщества, чьи работа и даже жизнь зависят от доступности каналов коммуникации, свободных от потенциальной слежки.

Миф : Чтобы добиться безопасности, мы должны пожертвовать конфиденциальностью

Факт № 3: Надежное шифрование укрепляет конфиденциальность /и безопасность/

Такие рамки дискуссии о политике шифрования, как «приватность VS безопасность», неточны и основаны на ложном противопоставлении. Приватность и безопасность взаимно дополняют друг друга.

Более подходящей формулировкой было бы «безопасность VS безопасность», поскольку шифрование не только защищает частную жизнь, но и обеспечивает безопасность. Такая формулировка помогла бы убедиться, что политика «безопасности» не превратится в политику «небезопасности», создавая еще больше опасности, чем стремится предотвратить.

Миф: Правоохранительные органы сталкиваются с проблемой «погружения в темноту», что делает необходимым взлом шифрования

Факт №4: Правоохранительные органы вступили в «золотой век слежки» — даже без взлома шифрования

Метафора «погружения в темноту» неточна. Она подразумевает, что технологические изменения уменьшили возможности слежки, в то время как на самом деле они значительно расширились. Шифрование не является, и вряд ли станет настолько повсеместным, как предполагают правительства. Более точная метафора для нынешних времен — «золотой век слежки», поскольку сегодня доступно гораздо больше данных о человеке, чем когда-либо раньше. Многие детали о человеке, которые раньше не записывались нигде, такие, как местоположение и данные для связи, могут быть сегодня собраны для создания «цифровых досье», которые рисуют интимный портрет нашей повседневной жизни.

«Going dark» — в переводе «погружение в темноту» — это формулировка, обозначающая резкий обрыв связи. Этот термин используется, когда нужно обозначить, что связь (коммуникация, например, переписка) выглядит резко оборванной хотя в реальности она перешла из пространства публичной коммуникации, где может подвернуться слежке, в приватный канал коммуникации, не позволяющий прослушку или расшифровку сообщений. Этот термин сегодня используют правоохранительные органы (речь об англоязычных странах), когда описывают цифровую коммуникацию, которая не подвержена мониторингу из-за крепкого шифрования.

Миф: Ослабление шифрования – это эффективная мера в борьбе с терроризмом и преступлениями

Факт № 5: «Черные ходы» в зашифрованные системы не останавливают преступников и террористов от использования сильного шифрования

Результатом ограничения шифрования становится то, что широкая общественность лишается платформ, где базовые права и их данные основные права защищены. Преступники просто перейдут на зашифрованные платформы, доступные в иностранных юрисдикциях и на черном рынке, или даже могут создать свои собственные. Расширение возможностей слежки часто приводит к инвазивному надзору без достаточных доказательств его эффективности. Исследование, проведенное в США, показывает, что связь между расширением возможностей наблюдения и предотвращением терроризма очень слабая. Независимо от эффективности борьбы с терроризмом, не нужно и не стоит ставить под угрозу конфиденциальность и безопасность всех пользователей платформы в надежде выявить ту их часть, которая занимается преступной деятельностью

Миф: Шифрование делает Интернет небезопасным для детей

Факт № 6: Надежное шифрование способствует безопасности детей в Интернете

Как и другие преступники, люди, совершающие преступления против детей, будут обращаться к альтернативным зашифрованным платформам из иностранных юрисдикций, или создавать свои собственные платформы, чтобы скрыть свою деятельность. Это значит, что преступления будут происходить — просто они переместятся вне поля зрения правоохранительных органов, сделав невозможным законный доступ даже к метаданным, которые могли бы помочь в расследовании.

Детям нужны зашифрованные платформы, где личность людей, с которыми они взаимодействуют, может быть установлена, и где их личная информация не рискует оказаться доступной третьим лицам. В связи с пандемией COVID-19 в интернете стало больше детей, и поэтому правительства и компании должны поощрять использование надежного шифрования для безопасности детей, а не вносить уязвимости намеренно в используемые ими технологии.

Миф: Для предотвращения распространения дезинформации должна быть внедрена «отслеживаемость» (traceability)

Факт № 7: Требование «отслеживаемости» поставит под угрозу неприкосновенность частной жизни и ограничит свободу слова

Требование полностью отслеживать путь сообщения до отправителя и устанавливать личность пользователя ставит под угрозу анонимность и право на неприкосновенность частной жизни, плохо влияет на свободу слова. Такие требования несовместимы ни с правами человека, ни с демократией.

«Traceability» — «отслеживаемость» — это процесс, при котором путь информации подвергается просмотру и анализу со стороны третьих лиц (чаще всего со стороны государства). Речь идет здесь о ряде стран, где обсуждались законопроекты о требовании предоставить личные данные для регистрации в фейсбуке, whatsapp или твиттере (X): такие данные, как: полное имя, адрес и действительный удостоверяющий документ (описываемый законопроект обсуждался в Бразилии).

На практике отслеживаемость пути сообщения имеет ограниченное применение на практике, и не является эффективным инструментом борьбы с дезинформацией.

Миф: Исключительный доступ к зашифрованному контенту необходим для защиты национальной безопасности

Факт № 8: Надежное шифрование критично для кибербезопасности, оно защищает национальную безопасность

Надежное шифрование жизненно необходимо для создания устойчивой инфраструктуры кибербезопасности, которая кобеспечивает защиту национальной безопасности. Подрыв шифрования ставит под угрозу национальную безопасность.

«Exceptional access», в переводе «исключительный доступ», это возможность государства получать по запросу, в частном порядке, у компаний доступ к частной информации пользователей, которые компании хранят в безопасности и обязаны защищать.

Рост числа инцидентов и направленных атак в сфере кибербезопасности — это аргумент в пользу, а не против, сильного шифрования. Без него мы увидим куда больше несанкционированного доступа и раскрытия секретной информации, что станет благом для киберпреступников или акторов, спонсируемых государствами.

Мы также увидим больше успешных атак на важные объекты инфраструктуры, такие, как системы здравоохранения, выборы или общественный транспорт, поскольку зашифрованные системы помогают обеспечить безопасность их работы.

Миф: Подрыв принципов шифрования не окажет влияния на экономику

Факт № 9: Сильное шифрование поддерживает доверие к цифровой экосистеме и способствует экономическому росту

Шифрование – это краеугольный камень современной цифровой экономики, обеспечивающий конфиденциальность данных клиентов и подлинность финансовых операций. Доверие к зашифрованным системам стимулирует инвестиции, инновации и экономический рост.

Шифрование может предотвратить или смягчить последствия инцидентов в сфере кибербезопасности, которые в противном случае нанесли бы больший ущерб, и обошлись бы дороже. Оно и снижает риск утечки данных, и контролирует расходы, связанные с такой утечкой, способствуя коммерческим интересам и поддерживая экономику в целом.

Миф: У властей нет другого выбора, кроме как взламывать шифрование

Факт № 10: Правоохранительным органам и спецслужбам не нужно взламывать шифрование, чтобы расследовать преступления

Спецслужбы и правоохранительные органы уже получают выгоду от огромного количества данных о людях, доступных в цифровую эпоху. Нет никаких доказательств того, что взламывание шифрования является необходимым, соразмерным или эффективным средством достижения целей правительств в современных демократических странах, уважающих права человека.

В большинстве случаев, власти по-прежнему полагаются в основном на традиционные доказательства: свидетелей, информаторов, вещественные доказательства, финансовые документы и биллинги сотовых компаний. Подрыв принципов шифрования и ослабление безопасности для всех, в попытке получить все возможные доказательства в конкретных случаях, не соответствует правам и свободам человека и на практике никогда не заменит хорошую следственную следствия.

Авторы оригинального текста AccessNow:

Namrata Maheshwari, Senior Policy Counsel and Encryption Policy Lead

Raman Jit Singh Chima, Asia Pacific Policy Director, Senior International Counsel / @tame_wildcat

Подписаться на рассылку

Эрик Зарипов

Штурман-проводник сверхновой. Всю жизнь создавал или развивал разные медиа, чтобы в один момент судьба прибила его к берегам чего-то сверхбольшого