Наскоро Европейската комисия публикува своя план за осигуряване на по-ефективен достъп на правоприлагащите органи до данните ни, който беше цитиран от повечето големи световни медии. Официално беше публикувана т. нар. "пътна карта", която е ключова част от стратегията за вътрешна сигурност на Комисията. Тя беше обявена през април, и е продължение на препоръките от ноември 2024 г. на Групата на високо ниво за достъп до данни за ефективно правоприлагане.

От най-непосредствено значение за доставчиците на електронни комуникационни услуги ("ECS") е, че ЕК възнамерява да предложи нови изисквания за запазване на данни, обмисля промени за по-добро осигуряване на трансгранично прихващане на комуникации в реално време и ще подкрепи разработването на инструменти, позволяващи на правоприлагащите органи ("LEA") да имат достъп до криптирани данни. 

Снимка 618451

Източник: БГНЕС

Защо това може и да не е особено добра идея?

Малко след обявяването на новия план на Брюксел, редица компании и експерти по киберсигурност, включително членове на Глобалната коалиция за криптиране, спешно споделиха своите опасения относно аспекти на наскоро обявената Европейска стратегия за вътрешна сигурност, поради потенциалното ѝ въздействие върху криптирането от край до край, пише Statewatch.

Сърбия е напът да приеме нов Закон за киберсигурност, макар да е лидер в защитите. Къде е България?

Сърбия е напът да приеме нов Закон за киберсигурност, макар да е лидер в защитите. Къде е България?

Страната е сред най-успешните страни в контекста на глобалния индекс за информационна сигурност

Макар че признават важността на засилването на усилията за сигурност в моменти на повишена геополитическа нестабилност, експертите са обезпокоени от формулирането на технологичната пътна карта. Правителствените агенции на повечето места по света по света активно насърчават по-голямо, а не по-малко използване на криптиране от край до край, за да защитят целостта на киберпространството срещу засилени заплахи за сигурността.

Снимка 541475

Източник: iStock

Силното криптиране, включително криптирането от край до край, е ключов инструмент за киберсигурност, който защитава Европейския съюз от кибератаки, хибридни заплахи, шпионаж и атаки срещу критична инфраструктура.

Самата Европейска комисия призна за необходимостта от увеличаване на усилията и инвестициите за защита на целостта на киберпространството, както е отразено в Ревизираната директива за сигурност на мрежите и информацията. Ревизираната директива въвежда задължения за платформите и доставчиците на услуги да прилагат подходящи и пропорционални мерки за управление на риска в киберсигурността, включително криптиране, за да защитят поверителността, целостта и наличността на своите системи и услуги. 

И все пак, на този фон, изглежда дълбоко обезпокоителен продължаващия фокус на Европейската комисия върху идентифицирането на начини за отслабване или заобикаляне на криптирането. Това подкопава собствените ѝ цели за сигурност съгласно стратегията ProtectEU, която подчертава значението на устойчивостта и готовността за справяне с по-сложни киберзаплахи.

"Подкопаването на криптирането отслабва самата основа на сигурните комуникации и системи, оставяйки физически лица, предприятия и публични институции по-уязвими за атаки", подчертават експерти по киберсигурност.

Преди усилията в Европейския съюз за предоставяне на достъп на правоприлагащите органи до криптирани данни са били фокусирани предимно върху сканиране от страна на клиента - технология, която заобикаля криптирането чрез сканиране на потребителски устройства, преди механизмът за криптиране да започне.

Сканирането не само нарушава обещанията за криптиране от край до край, но и създава уязвимости, които биха могли да бъдат използвани от престъпници и враждебни държавни субекти. Съществува широко разпространен консенсус сред техническите експерти, че инструментите за заобикаляне на криптирането създават нови рискове, които застрашават националната сигурност. Това са опасения, изразени наскоро от властите на Швеция и Нидерландия.

Европейският съд по правата на човека и Агенцията на Европейския съюз за основните права подчертават, че законовите изисквания, които "отслабват механизма за криптиране за всички потребители", биха били непропорционални съгласно Хартата на основните права на ЕС. И все пак, добрите намерения не винаги водят до добра развръзка.

Призивът на експертите по киберсигурност към ЕК:

Призоваваме Европейската комисия:

  1. Да признае, че силното криптиране не е пречка за сигурността на ЕС, а предпоставка за нея, позиционирайки широкото използване на криптиране от край до край като инструмент за подобряване на киберсигурността и устойчивостта на ЕС в настоящия геополитически контекст.
  2. Да преосмисли Технологичната пътна карта за криптиране, като подчертае ползите от криптирането и идентифицира области за по-голямо използване за укрепване на киберзащитата в съответствие със съществуващите стратегии за сигурност на Европейския съюз.
  3. Да разработи Технологичната пътна карта, като се възползва от широк спектър от гледни точки, не само на правоприлагащите органи, но и на експерти по киберсигурност, гражданското общество, защитници на цифровите права и частни компании. Всяка бъдеща пътна карта, която се стреми да бъде надеждна и балансирана, трябва да вземе предвид осъществимостта на всички потенциални технологични възможности и тяхното обществено, техническо и правно въздействие.

В обобщение можем да кажем, че ако европейските власти започнат да действат незабавно с получаването на достъп до информация само при подозрения за престъпление, то тогава те на практика могат да помогнат на друг да има времето да се измъкне. Ако пък чакат, те могат да съберат още обвинения, но съзнателно няма да успеят да предотвратят дадено престъпно деяние. Всичко това е една доста главозамайваща морална загадка.

ЕК отпуска над €1 милиард за изкуствен интелект и не само

ЕК отпуска над €1 милиард за изкуствен интелект и не само

В новото финансиране от Брюксел влизат и "фабриките за AI", каквато ще има и в България