Οι ρωγμές στους κανονισμούς ασφαλείας στο διαδίκτυο οδηγούν τους χρήστες να ζητούν βελτιώσεις
Γιατί η κρυπτογράφηση end-to-end στις εφαρμογές μηνυμάτων είναι σημαντική και γιατί κάποιες κυβερνήσεις πιέζουν τις εταιρείες να μην την θέτουν ως προεπιλογή.
Της Idit Arad, Γενικής Συμβούλου της Rakuten Viber
Η κρυπτογράφηση end-to-end είναι κάτι περισσότερο από μια φράση της μόδας. Παίζει σημαντικό ρόλο στο απόρρητο των χρηστών σε έναν σύμπαν όπου οι πλατφόρμες ανταλλαγής μηνυμάτων αποτελούν σημαντικό κομμάτι της καθημερινής ζωής. Η κρυπτογράφηση αποτρέπει την παρακολούθηση συνομιλιών από την πλατφόρμα ανταλλαγής μηνυμάτων, την πώληση σε τρίτους για χρηματικό κέρδος ή την έκθεση σε περίπτωση παραβίασης δεδομένων. Αυτά είναι πολύ σημαντικά και απαραίτητα χαρακτηριστικά. Γιατί λοιπόν όταν οι κανονισμοί περί απορρήτου, όπως ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), άρχισαν να εμφανίζονται σε όλο τον κόσμο, οι εφαρμογές ανταλλαγής μηνυμάτων δεν άρχισαν να θέτουν την κρυπτογράφηση end-to-end ως προεπιλογή; Για να καταλάβετε την απάντηση σε αυτό το ερώτημα, πρέπει πρώτα να κατανοήσετε τις ρωγμές στους ισχύοντες κανονισμούς απορρήτου.
Οι κανονισμοί είναι διατυπωμένοι πολύ γενικά, κάτι που επιτρέπει την ερμηνεία τους με διαφορετικούς τρόπους. Στο πλαίσιο του GDPR, το μαγαζάκι της γειτονιάς έχει το ίδιο σύνολο υποχρεώσεων με τη μεγαλύτερη εταιρεία τεχνολογίας εκεί έξω, και αυτό προφανώς οδηγεί σε πολλές διαφορετικές ερμηνείες. Εναπόκειται στις πλευρές που υποχρεούνται να συμμορφωθούν να αποφασίσουν πώς θα το κάνουν. Εάν ο κανονισμός ή ο νόμος εφαρμόζεται σε πολλές χώρες, όπως είναι ο GDPR στην ΕΕ, οι κανονισμοί θα έχουν επίσης διαφορετικούς τρόπους επιβολής. Η Γερμανία, για παράδειγμα, έχει υιοθετήσει πρόσθετους νόμους περί απορρήτου για συμμόρφωση με τον GDPR βάσει του Ομοσπονδιακού Νόμου για την Προστασία Δεδομένων (FDPA). Ως εκ τούτου, οι γερμανικές εταιρείες πρέπει να τηρούν αυστηρότερους κανονισμούς. Με όλους αυτούς τους διαφορετικούς κανονισμούς και ερμηνείες αναγκαστικά η σχετική πληροφορία αυξάνεται. Αυτό έχει ως αποτέλεσμα οι πολιτικές απορρήτου να γίνονται πολύ μεγάλες, κάτι που οδηγεί πολλούς χρήστες απλώς να συμφωνούν με τους όρους χωρίς να τους διαβάσουν.
Αυτό που είναι κοινό σε όλους τους κανονισμούς απορρήτου ανά τον κόσμο είναι ότι κανένας τους δεν υποχρεώνει τις εταιρείες να υιοθετήσουν τη χρήση κρυπτογράφησης end-to-end. Εναπόκειται καθαρά στις πλατφόρμες ανταλλαγής μηνυμάτων εάν επιλέξουν να την εφαρμόσουν. Αν και οι κανονισμοί έχουν βελτιώσει πάρα πολύ την προστασία των δεδομένων των χρηστών, εξακολουθούν να υπάρχουν ρωγμές στους νόμους, ρωγμές που σταδιακά γίνονται όλο και πιο εμφανείς. Γιατί λοιπόν δεν είναι υποχρεωτικό να υπάρχει κρυπτογράφηση end-to-end ως προεπιλεγμένη ρύθμιση σε όλες τις πλατφόρμες ανταλλαγής μηνυμάτων; Αυτό μπορεί να οφείλεται στο ότι εξωτερικές πηγές έχουν μεγαλύτερη επιρροή από ό,τι φαντάζεστε. Μερικοί ηγέτες σε μεγάλες εταιρείες τεχνολογίας είναι πρώην κυβερνητικοί αξιωματούχοι, γεγονός που εξηγεί πολλά.
Στο παρελθόν, εταιρείες από το Ηνωμένο Βασίλειο έχουν κάμψει τις θέσεις τους για την προστασία του ιδιωτικού απορρήτου προκειμένου να συμμορφωθούν με κυβερνητικούς αξιωματούχους. Το 2021, για να κατευνάσει τις κυβερνητικές υπηρεσίες των ΗΠΑ στην επιθυμία τους να εφαρμόσουν μέτρα προστασίας για παιδιά, η Apple συμβιβάστηκε και δεν κρυπτογράφησε πλήρως τα αντίγραφα ασφαλείας της όπως ήταν αρχικά ο σκοπός της.
Ορισμένες κυβερνήσεις αντιτίθενται στην κρυπτογράφηση end-to-end και έχουν ασκήσει πίεση στις πλατφόρμες επικοινωνιών για να την αποφύγουν για λόγους επιτήρησης και ασφάλειας. Οι νόμοι περί απορρήτου πολλών χωρών επιτρέπουν την εξαίρεση των υποχρεώσεων όταν πρόκειται για επεξεργασία από τις κυβερνήσεις και τις αρχές ασφαλείας. Η κυβέρνηση και τα μέσα ενημέρωσης μερικές φορές προωθούν αυτούς τους κανονισμούς με το πρόσχημα της ιδιωτικής ζωής, ενώ στην πραγματικότητα, αυτοί οι κανονισμοί διασφαλίζουν ότι η κυβέρνηση μπορεί να έχει πρόσβαση στα δεδομένα των πολιτών. Οι κανονισμοί απορρήτου της Αυστραλίας, για παράδειγμα, επιτρέπουν την αίτηση δεδομένων που συλλέγονται από εταιρείες, ακόμη και σε κρυπτογραφημένα μηνύματα. Εάν τα μηνύματα μπορούν να αποκρυπτογραφηθούν από τις κυβερνήσεις, τότε αυτό θέτει σε κίνδυνο την κρυπτογράφηση για οποιονδήποτε.
Η πίεση από τις διάφορες κυβερνήσεις προκύπτει από την επιθυμία τους να παρακολουθούν δεδομένα για την προστασία της ασφάλειας των παιδιών στο διαδίκτυο και για την αποτροπή διακίνησης ναρκωτικών. Ωστόσο, εάν μια εφαρμογή επιτρέπει την πρόσβαση σε όλα τα δεδομένα της, αυτό σημαίνει ότι μπορούν να έχουν πρόσβαση και όλοι οι άλλοι. Λιγότερο δημοκρατικές κυβερνήσεις θα μπορούσαν να εκμεταλλευτούν αυτήν την κατάσταση, με αποτέλεσμα να μειωθούν οι ατομικές ελευθερίες. Εάν ένας δυτικός κανονισμός υποχρεώνει τις εταιρείες να μπορούν να σπάσουν την κρυπτογράφηση end-to-end, τότε και οι μη δημοκρατικές χώρες μπορεί να το απαιτήσουν επίσης.
Οι μη κρυπτογραφημένες πλατφόρμες δεν προστατεύουν από το έγκλημα
Οι μη κρυπτογραφημένες πλατφόρμες μπορεί να έχουν την εντύπωση ότι παρέχοντας πρόσβαση σε μια κυβέρνηση στα προσωπικά δεδομένα των χρηστών βοηθούν στην πρόληψη του εγκλήματος. Ωστόσο, ενδεχομένως να δίνουν και στους εγκληματίες πρόσβαση στις ίδιες πληροφορίες. Οι χάκερ βελτιώνουν συνεχώς τις ικανότητές τους να παραβιάζουν προσωπικά δεδομένα και να τα εκμεταλλεύονται είτε πουλώντας τα σε λάθος χέρια είτε χρησιμοποιώντας τα για απάτη και άλλες εγκληματικές δραστηριότητες. Εάν τα δεδομένα δεν είναι καθόλου προσβάσιμα, ο κίνδυνος οποιουδήποτε είδους παραβίασης αφαιρείται εντελώς. Ως εκ τούτου, οι εταιρείες θα πρέπει να συνεχίσουν να επενδύουν στην προστασία των προσωπικών δεδομένων και στην ελαχιστοποίηση του όγκου των προσωπικών δεδομένων που διατηρούν εσωτερικά. Οι νόμοι που παρουσιάζονται σταδιακά συνεχίζουν να κάνουν βήματα προς τη σωστή κατεύθυνση με τον Νόμο για τις Ψηφιακές Υπηρεσίες (DSA), ο οποίος, μεταξύ άλλων υποχρεώσεων, θα εμποδίσει πλατφόρμες, όπως η Google, η Amazon και το Facebook που ανήκει στη Meta, να χρησιμοποιούν ευαίσθητες πληροφορίες για στοχευμένες διαφημίσεις.
Οι εφαρμογές ανταλλαγής μηνυμάτων δεν προορίζονται για την εξυπηρέτηση εγκληματιών, αλλά στον σημερινό κόσμο, οι εγκληματίες έχουν πολλά μέσα επικοινωνίας πέρα από αυτές τις πλατφόρμες. Η επικοινωνία για μια τρομοκρατική επίθεση στο Λονδίνο, για παράδειγμα, έγινε μέσω προσχεδίων μηνυμάτων σε έναν κοινόχρηστο λογαριασμό email. Οι εγκληματικές οργανώσεις μπορούν, χωρίς μεγάλη προσπάθεια, να δημιουργήσουν ακόμη και μια δική τους εφαρμογή ανταλλαγής μηνυμάτων. Η αλήθεια είναι ότι οι εγκληματίες θα βρουν τρόπους να γίνουν εγκληματίες και η μη προστασία του απορρήτου άλλων χρηστών δεν θα το αλλάξει αυτό.
Το έγκλημα μπορεί να αποτραπεί ακόμη και με κρυπτογραφημένα μηνύματα, καθώς το θύμα μπορεί να μοιραστεί συναινετικά την επικοινωνία του απευθείας με τις αρχές. Όταν ο εγκληματίας κρατείται και η συσκευή του κατασχεθεί, οι αρχές θα μπορούσαν να αποκτήσουν πρόσβαση στις κρυπτογραφημένες επικοινωνίες.
Το μέλλον είναι η κρυπτογράφηση
Δυστυχώς, δεν φαίνεται ότι η κρυπτογράφηση end-to-end θα ενσωματωθεί στους παγκόσμιους κανονισμούς απορρήτου σύντομα -για διάφορους λόγους. Πρώτον, οι τρέχοντες κανονισμοί περί απορρήτου δεν εφαρμόζουν ακριβείς μεθόδους για την προστασία των προσωπικών δεδομένων, αλλά απλώς έναν γενικό κανόνα, ο οποίος είναι ανοιχτός σε διάφορες ερμηνείες. Δεύτερον, οι κυβερνητικοί αξιωματούχοι εξακολουθούν να ενδιαφέρονται να έχουν πρόσβαση σε προσωπικά δεδομένα, είτε πρόκειται για λόγους ασφάλειας είτε άμυνα κατά του εγκλήματος.
Προς το παρόν, η ευθύνη της κρυπτογράφησης end-to-end βαρύνει τους παρόχους εφαρμογών ανταλλαγής μηνυμάτων και τους καταναλωτές που επιλέγουν να χρησιμοποιήσουν αυτές τις υπηρεσίες. Καθώς περισσότεροι καταναλωτές πιέζουν τις πλατφόρμες ανταλλαγής μηνυμάτων να το προσφέρουν ως προεπιλογή, αυτό θα μειώσει σημαντικά την πιθανότητα να πέσουν σε λάθος χέρια τα ευαίσθητα προσωπικά δεδομένα και οι καταναλωτές θα περιορίσουν τον κίνδυνο έκθεσης ή εκμετάλλευσης των προσωπικών τους συνομιλιών για κέρδος από τρίτους.
Μέχρι να φτάσουμε σε ένα σημείο όπου η κρυπτογράφηση end-to-end θα ενσωματωθεί στους νόμους μας περί απορρήτου, η εκπαίδευση των καταναλωτών θα παραμένει το κλειδί για την διασφάλιση της προστασίας του απορρήτου. Πολλοί καταναλωτές δεν έχουν τεκμηριωμένη άποψη για το ποια υπηρεσία θα χρησιμοποιήσουν, αλλά ενδιαφέρονται μόνο όταν είναι πολύ αργά και τα δεδομένα τους έχουν παραβιαστεί. Ας ελπίσουμε ότι, με τον καιρό, η κρυπτογράφηση end-to-end θα έρχεται ως προεπιλεγμένη ρύθμιση για όλους.