UE chce mieć wgląd w nasze rozmowy. Zbliża się koniec prywatności komunikatorów?

Wydana przez Radę Unii Europejskiej rezolucja 13084/1/20 REV 1 wskazuje na konieczność zachowania wysokich standardów bezpieczeństwa, transparentności oraz ochrony danych osobowych, jednocześnie wzywając do rozszerzenia przepisów na rzecz walki z przestępstwami seksualnymi, terroryzmem czy przestępczością zorganizowaną.  Co to oznacza?

Wspomniana rezolucja wzywa firmy technologiczne do podjęcia rozmów mających na celu opracowanie sposobów "obejścia szyfrowania". W dokumencie podkreślono znaczenie poszanowania dla praw podstawowych oraz praworządności, jednak według wytycznych UE może wykorzystać swoje uprawnienia regulacyjne, aby zapewnić dostęp do ukrytych danych sądom czy organom ścigania. Według specjalistów bezpieczeństwa cybernetycznego treść listopadowej rezolucji wydaje się być sprzeczna i nie do zaakceptowania.

- Słowo "backdoor" nie pada jednoznacznie w rezolucji. Nie zmienia to jednak faktu, że eksperci nie godzą się z nowym pomysłem urzędników, wskazując na możliwe nadużycia - tłumaczy Adrian Ścibor z Fundacji AVLab dla Cyberbezpieczeństwa.

O podobnych planach kontrolowania szyfrowanych komunikatorów mówili niemieccy europosłowie, którzy zaproponowali wymuszenie na producentach tzw. tylnych furtek pozwalających na dostęp do danych odpowiednim służbom. Adrian Ścibor z Fundacji AVLab dla Cyberbepieczeństwa zwraca również uwagę, że od 2019 roku podobne prawo działa w Australii. "Assistance and Access Bill" nakazuje firmom, a także dostawcom świadczącym usługi na terenie Australii, "obchodzenia" szyfrowania i przekazywania dostępu do danych odpowiednim organom. Podobne regulacje chce wprowadzić sojusz wywiadów państw Pięciorga Oczu (USA, UK, Kanada, Australia i Nowa Zelandia).

Choć jak na razie większość mediów milczy w temacie nowych rekomendacji, to swój głos sprzeciwu wyrazili twórcy oprogramowania do szyfrowania i bezpiecznej komunikacji: ProtonMail, Threema, Tresorit i Tuanota. - Szyfrowanie end-to-end jest absolutne. 
Dane są zaszyfrowane albo nie. Użytkownicy mają prywatność lub nie. Chęć udostępnienia organom ścigania większej liczby narzędzi do walki z przestępczością jest zrozumiała. Jednak przedstawione propozycje są cyfrowym odpowiednikiem przekazania organom ścigania klucza do domu każdego obywatela i mogą dążyć w kierunku większych naruszeń prywatności - twierdzą dostawcy rozwiązań szyfrujących w liście skierowanym do Rady UE.
Ekspert Fundacji AVLab dla Cyberbezpieczeństwa uważa, że pomysł Unii Europejskiej spowoduje w ostatecznym rozrachunku nakaz umieszczania backdoorów w oprogramowaniu komunikatorów. Oznacza to, że będziemy musieli zapomnieć o bezpieczeństwie i anonimowości jakie obecnie znamy, ewentualnie zmuszeni będziemy do korzystania z usług bardziej niszowych i mniej wygodnych.

Zdaniem ekspertów, backdoory są zazwyczaj projektowane do wykonywania poleceń cyberprzestępców na zainfekowanej maszynie, w celu uzyskania zdalnego dostępu do prywatnych informacji użytkownika.

Backdoor zbiera następujące dane o zainfekowanym komputerze: jego nazwę, wersję systemu operacyjnego i informacje o procesorze, pamięci RAM i napędach. Te informacje są następnie przesyłane na odpowiedni serwer.

Technologia może przynieść ogromne korzyści różnym sektorom gospodarki, przedsiębiorstwom i społecznościom. Jej potencjał jest praktycznie nieograniczony. Dezinformacja utrudnia jednak jego wykorzystanie.  We współczesnej, zglobalizowanej rzeczywistości prawie w każdej rozmowie poruszany jest temat tzw. fake newsów, które mogą skierować na fałszywe tory dyskurs publiczny dotyczący np. wyborów politycznych czy aktualnych wydarzeń na świecie.  Równocześnie w erze "nadzorowanego kapitalizmu" ciągle zmienia się definicja prywatności. W rezultacie można bez większej przesady powiedzieć, że jeśli chodzi o ochronę naszych danych, stąpamy po polu minowym.
W takich warunkach coraz większego znaczenia nabiera ochrona danych oraz technologie zabezpieczeń cybernetycznych, które chronią przysługujące nam prawa człowieka w warunkach wojny cybernetyczno-informacyjnej. Ponadto przedsiębiorstwa muszą zapewnić, że będą wykorzystywać dane w sposób etyczny, bezpieczny i zgodny z przepisami prawa.
Ostatni Dzień Ochrony Danych był okazją do zaprezentowania technologii wyznaczających nowe kierunki w walce z dezinformacją cybernetyczną oraz metod, za pomocą których firmy mogą chronić nasze prawa jako pracowników, konsumentów i obywateli.

Być może nie wszyscy wiedzą, że ochrona danych jest jednym z praw człowieka. W Europie właśnie z tego powodu obchodzimy Dzień Ochrony Danych. W tym roku zbiega się on z 40 rocznicą podpisania Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Konwencja ta, zwana w skrócie Konwencją 108, to traktat, na podstawie którego opracowano pierwsze przepisy o ochronie danych obowiązujące w całej Unii Europejskiej, znane dziś jako Ogólne rozporządzenie o ochronie danych (RODO).  Ogromne straty finansowe i szkody na reputacji ponoszone przez firmy, które nie zapewniły swoim danym odpowiedniej ochrony, są powszechnie znane. Mimo to media wciąż donoszą o kolejnych takich przypadkach. Na szczęście nowe metody ochrony danych i technologie cyberbezpieczeństwa zmieniają ten stan rzeczy.

Wiele powiedziano już i napisano o roli technologii w rozprzestrzenianiu dezinformacji i zaostrzaniu wojny cybernetyczno-informacyjnej. Z drugiej jednak strony technologia jest naszą najważniejszą bronią w walce z cyberprzestępczością.
W szczególności zapewnia ona ochronę przed groźnymi działaniami cyberprzestępców. Przykładem jest ransomware - szkodliwe oprogramowanie szyfrujące pliki i pamięć masową. To często spotykane zagrożenie należy do najtrudniejszych przeciwników. Atakuje przedsiębiorstwa we wszystkich branżach i regionach geograficznych.
Hakerzy najczęściej używają oprogramowania ransomware, aby wyłudzić pieniądze. W wielu przypadkach jednak ich celem jest przejęcie dokumentów oraz plików z systemów produkcyjnych i zapasowych. Jeśli one też zostaną zaszyfrowane, zaatakowana firma nie będzie mieć wyboru i musi spełnić żądania cyberprzestępców.

Jak wynika z badań przeprowadzonych przez firmę Veeam na temat ataków ransomware w 2019 roku, do końca roku 2021 globalny koszt szkód wyrządzonych przez takie ataki wyniesie 20 mld USD. Jeszcze większe straty są jednak powodowane przez liczne przypadki naruszenia praw człowieka związane z tym, że sprawcy ataków ransomware coraz częściej grożą wyciekiem skradzionych informacji.

Aby stawić czoła takim atakom i nowym zagrożeniom tworzonym przez zorganizowane grupy przestępcze, producenci technologii powinni organizować własne "armie" i "przymierza". Przykładem jest porozumienie w sprawie ochrony przed oprogramowaniem ransomware, które firma Veeam utworzyła wspólnie z kilkoma partnerami, takimi jak  Cisco, AWS, Lenovo, HP i Cloudian.
Cyberprzestępcy oczywiście ciągle szukają nowych sposobów kradzieży danych. Gdy po wybuchu pandemii COVID-19 przedsiębiorstwa przyspieszyły cyfrową transformację, bardzo nasiliły się ataki na systemy chmurowe. W 2020 roku ich liczba wzrosła o 250% w porównaniu z rokiem 2019.  W walce z takimi zagrożeniami szczególnie ważna jest współpraca z partnerami w technologicznymi, którzy nie tylko kładą duży nacisk na odpowiednie zarządzanie danymi za pomocą dostępnych obecnie środków, lecz szukają nowych rozwiązań zabezpieczających, również chmurowych, tak aby zawsze wyprzedzać cyberprzestępców o krok.

Dziś, w erze cyfrowej, na przedsiębiorstwach spoczywa szczególnie duża odpowiedzialność za wykorzystywanie danych w sposób etyczny, bezpieczny i zgodny z prawem. Kwestia ta nie może być już traktowana jako opcjonalny dodatek lub punkt niepotrzebnie obciążający program działania. Ochrona danych to prawo człowieka!

Mimo to wciąż zbyt wiele firm poprzez swoje niefrasobliwe podejście nieumyślnie pomaga cyberprzestępcom. Wystarczy rzucić okiem na długą listę kar nakładanych przez krajowych regulatorów, aby stwierdzić, że przedsiębiorstwa nie podejmują wystarczających działań w celu ochrony obywateli.  Kary i szkody na reputacji oczywiście odstraszają, wciąż jednak ma miejsce zbyt wiele przypadków naruszenia ochrony danych. Przedsiębiorstwa muszą włożyć większy wysiłek w ograniczenie ich liczby. Również w tej sytuacji kluczowe znaczenie ma technologia.
Każda firma, niezależnie od wielkości, powinna znaleźć rozwiązanie zapewniające bezpieczeństwo danych oraz zgodność z przepisami i wymaganiami dotyczącymi ochrony danych i prywatności. Nie należy wierzyć dostawcom na słowo, że ich rozwiązania są bezpieczne. Warto poczytać o doświadczeniach klientów, samodzielnie poszukać informacji i zapoznać się z ocenami renomowanych firm analitycznych.

mzb