حدود 30 کارشناس امنیت سایبری، رمزنگاران و دانشگاهیان به جیمز کلورلی، وزیر کشور، نامه نوشته اند و از دولت خواسته اند تغییراتی را در قوانین نظارتی بریتانیا بررسی کند، زیرا آنها هشدار می دهند که “موانع بوروکراتیک” قابل توجهی برای رفع آسیب پذیری های امنیتی سیستم های رایانه ای ایجاد می کند.
این گروه گفت: تغییرات پیشنهادی در قانون اختیارات تحقیقاتی 2016 (IPA)، همچنین به عنوان منشور جاسوسی شناخته می شود، “تهدید بی سابقه و فزاینده جرایم سایبری” را برای کاربران اینترنت در سراسر جهان و به ویژه در بریتانیا تشدید می کند. نامه ی سرگشاده.
این نامه همچنین نگرانی هایی را ایجاد کرد که اقدامات پیشنهادی در لایحه اختیارات تحقیق (اصلاح) که در حال حاضر در پارلمان ارائه شده است، می تواند برای مسدود کردن یا به تاخیر انداختن شرکت های فناوری از ارائه رمزگذاری سرتاسر به سرویس های پیام رسانی و ایمیل استفاده شود.
امضاء کنندگان در مقام شخصی خود عبارتند از فیلیپ زیمرمنتوسعه دهنده نرم افزار رمزگذاری PGP; جان کالاسیکی از بنیانگذاران PGP و دانشمند ارشد سابق اپل. و تارا ویلرعضو ارشد سیاست سایبری جهانی در شورای روابط خارجی (CFR)، یک اندیشکده مستقر در واشنگتن.
سایر امضاکنندگان عبارتند از مروان فایداستاد مدعو و محقق در شرکت فناوری Cloudfare Research و مالوری نادلفنشناس ارشد مرکز دموکراسی و فناوری و عضو هیئت معماری اینترنت.
حالت اطلاع رسانی
این دو تغییر پیشنهادی در قانون اختیارات تحقیق است. اولین مورد، معرفی «اعلامیه ای» است که شرکت های فناوری را ملزم می کند قبل از ایجاد تغییرات فنی در خدمات خود که می تواند ترتیبات موجود برای دسترسی قانونی به سازمان های دولتی را تحت تأثیر قرار دهد، دولت را مطلع کنند.
شرط دوم، شرکتهای فناوری را از ایجاد هرگونه تغییر در سیستمهای خود در صورت درخواست تجدیدنظر نسبت به اخطار دولتی تا زمانی که بررسی درخواست تجدیدنظر کامل شود، باز میدارد.
در صورت پذیرش، این پیشنهادات [to the Investigatory Powers Act] با معرفی موانع بوروکراتیک که توسعه و استقرار بهروزرسانیهای امنیتی را به تأخیر میاندازد، پیامدهای فاجعهباری برای امنیت کاربران خدمات بریتانیا خواهد داشت.
نامه ای سرگشاده از کارشناسان امنیت سایبری، رمزنگاران و دانشگاهیان
کارشناسان امنیتی می گویند که در کنار هم، این اقدامات می تواند منجر به تاخیر قابل توجهی در به روز رسانی سیستم های شرکت ها در پاسخ به تهدیدات امنیتی جدید شود.
در این نامه آمده است: «در صورت تصویب، این پیشنهادات پیامدهای فاجعهباری برای امنیت کاربران خدمات بریتانیا به همراه خواهد داشت، زیرا تشریفات اداری که توسعه و استقرار بهروزرسانیهای امنیتی را به تأخیر میاندازد، خواهد داشت».
او می افزاید: «آنها شرایطی را تنظیم می کنند که در آن دولت بریتانیا به طور مؤثر روش ساخت و نگهداری فناوری را هدایت می کند و به طور قابل توجهی اعتماد مصرف کننده به ایمنی و امنیت خدمات و محصولات را تضعیف می کند.
در این نامه سرگشاده آمده است که جرایم سایبری تا سال 2025 سالانه 8.4 تریلیون پوند برای مصرف کنندگان و کسب و کارها هزینه خواهد داشت. به ارقام وزارت علوم، نوآوری و فناوری از آوریل 2023 اشاره می کند که نشان می دهد 26 درصد از مشاغل متوسط و 37 درصد از مشاغل بزرگ سقوط کرده اند. قربانی جرایم سایبری در 12 ماه گذشته
در این نامه آمده است: «این پیشنهادات با تداخل در توانایی اپراتورها برای استقرار سریع بهروزرسانیهای نرمافزاری برای رفع آسیبپذیریها، حفاظتهای امنیتی را تضعیف کرده و این خطرات را نه تنها برای اپراتورهای بریتانیا، بلکه برای همه کاربران آنها در سراسر جهان تشدید میکند».
لایحه اختیارات تحقیق (اصلاح) هیچ نشانی از مدت زمان طول می کشد تا دولت بررسی تمام اعتراضات شرکت های فناوری را که اخطاریه ای مبنی بر اینکه آنها را ملزم به اصلاح سیستم های خود دریافت می کنند، تکمیل کند.
تهدید برای رمزگذاری
یک سخنگوی دولت به Computer Weekly گفت که هیچ قصدی برای استفاده از قانون اختیارات تحقیقاتی برای وادار کردن شرکتهای فناوری به تضعیف سرویسهای رمزگذاری شده سرتاسر وجود ندارد.
با این حال، دولت در سالهای اخیر بیانیههایی صادر کرده و از شرکتهای فناوری خواسته است تا به مجریان قانون دسترسی به ارتباطات رمزگذاریشده را فراهم کنند، اقدامی که رمزنگاران میگویند که «رمزگذاری را از بین میبرد».
بر اساس این نامه، پیشنهادات «اعلام و توقف» در اصلاحیههای قانون اختیارات تحقیق به دولت بریتانیا این امکان را میدهد که بهروزرسانیهای محصولاتی را که بهطور پیشفرض رمزگذاری سرتاسر را معرفی میکنند، ممنوع یا مسدود کند.
هنگامی که با اقدامات دیگری مانند قانون ایمنی آنلاین ترکیب می شود، که به تنظیم کننده آفکام این اختیار را می دهد تا شرکت های فناوری را ملزم به اسکن پیام های رمزگذاری شده برای محتوای سوء استفاده از کودکان کند، کارشناسان امنیتی گفتند که این قدرت های جدید می تواند برای مسدود کردن یا تضعیف رمزگذاری انتها به انتها مورد استفاده قرار گیرد.
ماده 253به عنوان مثال، بخش 5 (ج) قانون اختیارات تحقیق، به دولت این اختیار را میدهد که اعلامیههای قابلیتهای فنی را برای حذف یا اصلاح «حفاظتهای الکترونیکی» اعمال شده توسط شرکتهای فناوری برای دادههای ارتباطی صادر کند.
در این نامه آمده است: «رمز نگاران و کارشناسان امنیت و حریم خصوصی مدتهاست که نگران این بودهاند که مقامات اطلاعرسانی در IPA میتوانند برای وادار کردن اپراتورها به ساخت دربهای پشتی یا ممانعت از استفاده از رمزگشایی پیشفرض در خدمات خود استفاده شوند.
امضاکنندگان میگویند که «عمیقاً نگران» هستند که این پیشنهادها «نقض بهترین منافع شهروندان بریتانیا، مشاغل و کاربران اینترنت در همه جا» است.
برنامه های رمزگذاری متا را می توان هدف قرار داد
مالوری نادلفنشناس ارشد فناوری مرکز دموکراسی و فناوری و یکی از امضاکنندگان نامه، گفت که نگران است اگر تغییرات در قانون اختیارات تحقیق به قانون تبدیل شود، وزرا از آنها برای مسدود کردن یا به تاخیر انداختن برنامههای شرکتهای فناوری برای استقرار رمزگذاری از پایان استفاده کنند. به پایان برسد.
متا بارها از سوی دولتها، از جمله بریتانیا، به دلیل تصمیمش مورد انتقاد قرار گرفته است اجرای رمزگذاری سرتاسر در سرویس های فیس بوک، مسنجر و اینستاگرام خود.
در آوریل 2023، گروه ویژه جهانی مجازیائتلافی متشکل از 15 سازمان مجری قانون، از جمله FBI و آژانس ملی جنایت بریتانیا، انتقاد کرد متا قصد دارد رمزگذاری را به عنوان یک “انتخاب طراحی هدفمند” اجرا کند که توانایی محافظت از کودکان را تضعیف می کند.
که در سپتامبر 2023سپس وزیر کشور سوئلا براورمن تصمیم گرفت متا را به چالش بکشد تا یا فناوری را برای محافظت از ایمنی کودکان آنلاین معرفی کند یا برنامه های خود را برای رمزگذاری انتها به انتها به کلی کنار بگذارد.
Knodel به Computer Weekly گفت: “شما با چنین بیانیه محکمی بیرون نمی آیید و بعد هیچ کاری انجام نمی دهید، حتی اگر قانون می گوید باید در مورد آن کاری انجام دهید.”
گمان میرود که سایر شرکتهای فناوری منتظر باشند تا ببینند واکنش بریتانیا به متا قبل از صحبت عمومی در مورد برنامههای رمزگذاری خودشان چه خواهد بود.
این شرکتها شامل شرکتهایی مانند X، Discord و Slack میشوند که با فشار از سوی گروههای جامعه مدنی برای ایمن کردن خدمات خود با رمزگذاری سرتاسر مواجه شدهاند.
“ما واقعاً بر شرکتها فشار میآوریم که زودتر از دیرتر رمزگذاری انتها به انتها را اتخاذ کنند، بنابراین وقتی رژیمهای دموکراتیک یا غیردولتی، از سیاستگذاری برای تضعیف این فناوری استفاده میکنند، تپهای واقعاً شیب دار برای صعود دارند.” نادل گفت.
قدرت های دفاکتو
این نامه سرگشاده به دنبال مداخله گروه تجاری فناوری TechUK است که نماینده آن است 1000 شرکت فناوری. او در 30 ژانویه 2023 هشدار داد که اصلاحات در ZNI می تواند به دولت بریتانیا قدرت عملی بدهد تا شرکت هایی را که تغییراتی در محصولات و خدمات خود در بریتانیا و سایر کشورها ایجاد می کنند، وتو کند.
به جای تمرکز بر بهبود حریم خصوصی و امنیت کاربران، توجه شرکت ها باید به سمت برآوردن نیازهای نظارتی دولت معطوف شود. این موضوع در دنیایی که تهدیدات علیه امنیت دادههای کاربر همچنان در حال افزایش است، نگرانی خاصی دارد. بیانیه.
دفتر خانه – هیچ برنامه ای برای محدود کردن وصله های امنیتی وجود ندارد
وزارت کشور استدلال کرده است که قصد ندارد وصله های امنیتی تحت پوشش الزامات اطلاع رسانی در قانون اختیارات تحقیقاتی قرار گیرند و هرگز یک وصله امنیتی در یک سیستم را متوقف نخواهد کرد.
سخنگوی دولت گفت: «اولین کار دولت حفظ امنیت کشور است. قدرت تحقیق ابزاری ضروری برای محافظت از شهروندان ما است و از دهه 1980 وجود داشته است.
ما همیشه روشن بودهایم که از نوآوریهای تکنولوژیکی و فنآوریهای ارتباطی خصوصی و امن، از جمله رمزگذاری انتها به انتها حمایت میکنیم. اما این نمی تواند به قیمت امنیت عمومی تمام شود، و بسیار مهم است که تصمیمات توسط افراد دموکراتیک پاسخگو گرفته شود.
لایحه اختیارات تحقیق (اصلاح) در انتظار قرائت دوم در مجلس عوام است.
