Waak, wag en bid: die potensiële impak van opdaterings van die Wet op Ondersoekbevoegdhede
Wanneer dit by tegnologieregulering kom, lyk dit of die Britse regering van een kontroversie na 'n ander beweeg. Nuut van 'n stryd met Big Tech oor end-tot-end-enkripsie (E2EE) in sy hoogs omstrede aanlynveiligheidswetsontwerp, vestig die regering nou sy aandag op voorgestelde opdaterings van die Wet op Ondersoekbevoegdhede (IPA).
As dit in hul huidige vorm in werking gestel word, kan die voorstelle die VK in 'n Wilde Weste verander vir kuberbedreigings en -uitbuiting en kan ontelbare tegnologieverskaffers dwing om hul dienste van die mark af te trek, wat gebruikers met onveilige en ondoeltreffende kommunikasie-instrumente laat sit.
Wat is nuut in die IPA?
Die IPA was alom bekend as die "Snooper's Charter" vir 'n baie goeie rede. Een van die mees omstrede bepalings daarvan is om die regering toe te laat om te eis dat tegnologie-kommunikasieverskaffers hul dienste verander om die regering moontlik te maak om te snuffel op 'n manier wat sekuriteit vir almal kan ondermyn. 'n Kennisgewing oor tegniese vermoë (TCN) is die primêre manier om dit te doen. Dit kan teoreties "verwydering deur 'n relevante operateur van elektroniese beskerming" vereis solank die regering kan bewys dat dit in verhouding tot sy einddoel sal wees. Aangesien sulke versoeke geheim is, kan ons ons net voorstel dat niemand tot dusver geslaag het nie, aangesien die betrokke tegnologiemaatskappye heel waarskynlik gereageer het deur te dreig om die mark te verlaat.
Daar is verskeie doelwitte gelys as deel van die voorgestelde IPA-opdaterings. Maar twee kan veral problematies wees vir Britse besigheid:
Doelstelling 3
verbreed die IPA se bestaande ekstraterritoriale dekking, wat globale tegnologiemaatskappye dwing om by die regering se reëls te hou in elke land waarin hulle bedrywig is. Die rede wat gegee word, is om enige potensiële "onsekerheid" vir die regering op te los in die uitreiking van TCN's aan firmas met "komplekse korporatiewe strukture". Die doelwit stel ook voor om "die afdwingingsopsies beskikbaar vir nie-nakoming van die kennisgewingsregimes te versterk" langs hierdie doelwit.
Doelstelling 4
voeg 'n verpligting by vir "operateurs" om "die Staatsekretaris van relevante veranderinge in te lig, insluitend tegniese veranderinge," en om dit te doen "'n redelike tyd voordat relevante veranderinge geïmplementeer word". Sulke veranderinge word nie gespesifiseer nie, maar kan beskou word as enige nuwe sekuriteitskenmerk wat deur 'n tegnologieverskaffer ingestel is of selfs sekuriteitsopdaterings wat kwesbaarhede regstel. Teoreties kan die Minister van Buitelandse Sake sulke veranderinge blokkeer, wat alle eindgebruikers van boodskapdienste en kommunikasietoestelle sal beïnvloed.
Waartoe 'n nuwe IPA kan lei
Voorstanders van privaatheid en sekuriteit is verstaanbaar geskok deur die voorstelle. En Apple het reeds gesê dit sal verwyder dienste soos iMessage en FaceTime uit die Verenigde Koninkryk as hulle geïmplementeer word. Daar is verskeie ooglopende redes waarom nie net tegnologiefirmas nie, maar ook besighede en verbruikers 'n nuwe IPA sou teenstaan:
Doelwit 3 sou:
- Ondermyn moontlik sekuriteit vir joernaliste, andersdenkendes en ander in verskeie dele van die wêreld wat op veilige kommunikasie staatmaak om die aandag van outokratiese regerings te ontduik.
- Plaas tegnologiefirmas op 'n onmoontlike plek: gedwing om te voldoen aan nuwe vereistes van die Britse regering, wat in werklikheid internasionale menseregtewette kan oortree en die reëls wat in wetgewing soos die BBP, wat sekuriteit deur ontwerp op sy hart plaas.
“Die voorgestelde verpligting om HMG in te lig voordat enige tegniese veranderinge aangebring word, het verskeie van die tegnologieverkopers, groot en klein, ontstoke. Ek weet regtig nie hoekom die regering dit voorstel nie, want hulle moet weet watter reaksie dit gaan veroorsaak,” vertel Surrey Universiteit se professor Alan Woodward aan ISMS.online.
“Die kern van die saak is dat as die regering dit probeer afdwing, die tegnologiemaatskappye wat geraak word, sal weier om daaraan te voldoen. En as dit vereis om uit die Verenigde Koninkryk te trek, sal hulle presies dit doen. Dit lyk buitengewoon naïef dat die regering sou dink dat ons wette die wette van ander jurisdiksies sou ignoreer – veral die jurisdiksie waar die verkoper gevestig is.”
Doelwit 4 kan lei tot:
- Die Britse regering blokkeer of vertraag doelbewus sekuriteitsopdaterings sodat sy spioene onderliggende kwesbaarhede vir toesigdoeleindes kan uitbuit.
- Pleister wat langer neem om vry te stel of word onbepaald teruggehou, wat bedreigingsakteurs genoeg tyd gee om uitbuitings na te vors.
- Bedreigingsakteurs wat regeringstelsels teiken vir inligting oor hangende verskafferspleisters
“Om sekuriteitsopdaterings uit te stel is altyd sleg, want selfs al het jy geen bewyse dat 'n kwesbaarheid uitgebuit word nie, beteken die feit dat die verkoper dit gevind het dat iemand anders dit dalk gedoen het. En elke minuut wat jy uitstel, is ekstra tyd vir hulle om dit uit te buit,” gaan Woodward voort.
“Dit is moeilik om nie tot die gevolgtrekking te kom dat die regering vooraf van sulke veranderinge wil weet ingeval dit ’n kwesbaarheid raak wat hy reeds vir toesig ontgin nie.”
Hoe waarskynlik is dit?
Die openbare konsultasietydperk oor wat die regering as die "hersiene kennisgewingsregimes" in die IPA 2016 beskryf, is nou gesluit. Daarom is daar nog niks besluit nie, en daar is verskeie redes waarom die mees omstrede voorstelle dalk nie in die finale hersienings deurdring nie.
As Privacy International argumenteer, kan doelstellings 3 en 4 gesamentlik sien dat die VK internasionale menseregtewetgewing oortree - veral die reg op respek vir privaatlewe verskans in Artikel 8 van die Europese Konvensie oor Menseregte (EVRM). Dit is omdat, deur te verhoed dat 'n kommunikasiediensverskaffer sekuriteitsopdaterings of gevorderde beskerming soos E2EE toepas, sal die regering daardie reg nie net aan die Verenigde Koninkryk nie, maar aan wêreldburgers ontken. Dit is uitdagend om aan 'n saak te dink wanneer die magtiging van hierdie magte “nodig en proporsioneel” sou wees, soos die EHRM vereis.
"In die ontwikkelende landskap van digitale regte en sekuriteit, beklemtoon hierdie voorgestelde veranderinge die noodsaaklike behoefte vir regerings om 'n gepaste balans tussen nasionale veiligheid en individuele regte te vind," voer Privacy International aan. “Terwyl dit binnelandse toesigwette hersien, moet die Verenigde Koninkryk hom weer verbind tot sy verpligtinge kragtens internasionale reg om individuele regte tuis en in die buiteland te beskerm.”
Die tweede rede is meer naakt kommersieel. As die regering sy sin gekry het en hierdie voorstelle deurgevoer word, sou die digitale wêreld aansienlik minder veilig word. Maar tegnologieverskaffers sal eenvoudig nie toelaat dat dit gebeur nie.
"Uiteindelik sal markkragte bepaal hoe hierdie maatskappye reageer: hulle sal nie iets doen vir 'n relatief klein mark soos die VK wanneer dit kliënte in ander groot markte kan verdryf nie," sluit Woodward af.
'n Ergste scenario vir Britse firmas is dat die voorstelle op een of ander manier slegs in die Verenigde Koninkryk in werking gestel word, wat daartoe lei dat tegnologiefirmas sommige van hul veiligste dienste aan die land onttrek. Dit sal waarskynlik draai 'n jarelange regeringsbelofte op sy kop en maak Brittanje die minste veilige plek om aanlyn sake te doen ter wêreld.
