تقنية

خبراء أمنيون: خطط صلاحيات التحقيق ستؤخر التحديثات الأمنية


كتب حوالي 30 خبيرًا في مجال الأمن السيبراني ومتخصصي التشفير والأكاديميين إلى وزير الداخلية، جيمس كليفرلي، يحثون فيه الحكومة على إعادة النظر في التعديلات على قوانين المراقبة في المملكة المتحدة، والتي حذروا من أنها ستقدم “عقبات بيروقراطية” كبيرة لتصحيح نقاط الضعف الأمنية في أنظمة الكمبيوتر.

وتقول المجموعة في بيان لها إن التغييرات المقترحة على قانون صلاحيات التحقيق لعام 2016 (IPA)، المعروف أيضًا باسم ميثاق المتلصصين، من شأنها أن تؤدي إلى تفاقم “التهديد غير المسبوق والمتزايد للجرائم الإلكترونية” لمستخدمي الإنترنت في جميع أنحاء العالم، وخاصة المملكة المتحدة. رسالة مفتوحة.

تثير الرسالة أيضًا مخاوف من إمكانية استخدام التدابير المقترحة في مشروع قانون صلاحيات التحقيق (المعدل)، الذي يمر حاليًا عبر البرلمان، لمنع أو تأخير شركات التكنولوجيا من تقديم التشفير الشامل على خدمات المراسلة والبريد الإلكتروني.

ومن بين الموقعين، الذين يعملون بصفتهم الشخصية، كل من: فيليب زيمرمان، مطور برنامج تشفير PGP؛ جون كالاس، المؤسس المشارك لشركة PGP والعالم الكبير السابق في شركة Apple؛ و تارا ويلرزميل أول للسياسة السيبرانية العالمية في مجلس العلاقات الخارجية (CFR)، وهو مركز أبحاث مقره واشنطن.

ومن بين الموقعين الآخرين مروان فايد، أستاذ زائر ورئيس الأبحاث في شركة التكنولوجيا Cloudfare Research، و مالوري كنودل، كبير خبراء التكنولوجيا في مركز الديمقراطية والتكنولوجيا وعضو في مجلس هندسة الإنترنت.

نظام الإخطارات

هناك تغييران مقترحان على قانون سلطات التحقيق. الأول هو تقديم “إشعار الإخطار” الذي يتطلب من شركات التكنولوجيا إبلاغ الحكومة قبل إجراء تغييرات فنية على خدماتها والتي يمكن أن تؤثر على الترتيبات الحالية لتوفير الوصول القانوني إلى الوكالات الحكومية.

الشرط الثاني هو منع شركات التكنولوجيا من إجراء أي تغييرات على أنظمتها إذا استأنفت ضد إشعار حكومي حتى تكتمل مراجعة الاستئناف.

“إذا تم سن هذه المقترحات [to the Investigatory Powers Act] سيكون له عواقب وخيمة على أمن مستخدمي الخدمات في المملكة المتحدة، من خلال إدخال عقبات بيروقراطية تؤدي إلى إبطاء تطوير ونشر التحديثات الأمنية.

رسالة مفتوحة من خبراء الأمن السيبراني ومتخصصي التشفير والأكاديميين

ويقول خبراء الأمن إن هذه الإجراءات مجتمعة يمكن أن تؤدي إلى تأخيرات كبيرة في قيام الشركات بتحديث أنظمتها استجابة للتهديدات الأمنية الجديدة.

وجاء في الرسالة: “إذا تم سن هذه المقترحات، فسيكون لها عواقب وخيمة على أمن مستخدمي الخدمات في المملكة المتحدة، من خلال إدخال عقبات بيروقراطية تؤدي إلى إبطاء تطوير ونشر التحديثات الأمنية”.

وأضافت: “سينسقون موقفًا تقوم فيه حكومة المملكة المتحدة بتوجيه كيفية بناء التكنولوجيا وصيانتها بشكل فعال، مما يقوض بشكل كبير ثقة المستخدم في سلامة وأمن الخدمات والمنتجات”.

تشير الرسالة المفتوحة إلى أن الجرائم الإلكترونية ستكلف المستهلكين والشركات 8.4 تريليون جنيه إسترليني سنويًا بحلول عام 2025. وتقتبس الرسالة أرقامًا من وزارة العلوم والابتكار والتكنولوجيا اعتبارًا من أبريل 2023، أن 26% من الشركات المتوسطة الحجم و37% من الشركات الكبيرة وقعت الشركات ضحية للجرائم السيبرانية خلال الأشهر الـ 12 الماضية.

وجاء في الرسالة: “من خلال التدخل في قدرة المشغلين على نشر تحديثات البرامج بسرعة لتصحيح نقاط الضعف، فإن هذه المقترحات من شأنها أن تضعف الحماية الأمنية وتفاقم هذه المخاطر، ليس فقط بالنسبة للمشغلين في المملكة المتحدة، ولكن لجميع مستخدميهم في جميع أنحاء العالم”.

لا يعطي مشروع قانون صلاحيات التحقيق (المعدل) أي إشارة إلى المدة التي ستستغرقها الحكومة لإكمال مراجعة أي اعتراضات من شركات التكنولوجيا التي تتلقى إشعارًا يطلب منها تعديل أنظمتها.

تهديدات للتشفير

صرح متحدث باسم الحكومة لموقع Computer Weekly أنه لا توجد نية لاستخدام قانون صلاحيات التحقيق لإجبار شركات التكنولوجيا على إضعاف الخدمات المشفرة الشاملة.

ومع ذلك، أصدرت الحكومة أيضًا تصريحات في السنوات الأخيرة تدعو فيها شركات التكنولوجيا إلى تزويد جهات إنفاذ القانون بإمكانية الوصول إلى الاتصالات المشفرة – وهي خطوة يقول خبراء التشفير إنها “من شأنها كسر التشفير”.

وفقًا للرسالة، فإن مقترحات “الإخطار والتجميد” في تعديلات قانون صلاحيات التحقيق من شأنها أن تمنح حكومة المملكة المتحدة القدرة على حظر أو منع تحديثات المنتج التي من شأنها تقديم التشفير الشامل بشكل افتراضي.

عند دمجها مع تدابير أخرى، مثل قانون السلامة عبر الإنترنت، الذي يمنح الهيئة التنظيمية Ofcom صلاحيات لمطالبة شركات التكنولوجيا بفحص الرسائل المشفرة بحثًا عن محتوى إساءة معاملة الأطفال، قال خبراء الأمن إن الصلاحيات الجديدة يمكن استخدامها لمنع أو إضعاف التشفير الشامل. .

المادة 253على سبيل المثال، يمنح الجزء 5 (ج) من قانون صلاحيات التحقيق الحكومة صلاحيات لإصدار إشعارات القدرة الفنية لإزالة أو تعديل “الحماية الإلكترونية” التي تطبقها شركات التكنولوجيا على بيانات الاتصالات.

جاء في الرسالة: “لطالما كان خبراء التشفير وخبراء الأمن والخصوصية يشعرون بالقلق من إمكانية استخدام سلطات الإشعارات في IPA لإجبار المشغلين على إنشاء أبواب خلفية، أو منعهم من استخدام فك التشفير افتراضيًا في خدماتهم”.

يقول الموقعون إنهم “يشعرون بقلق عميق” من أن المقترحات “تمثل لعنة للمصالح الفضلى لمواطني المملكة المتحدة ومستخدمي الأعمال والإنترنت في كل مكان”.

قد تكون خطط التشفير التعريفي مستهدفة

مالوري كنودلوقال كبير خبراء التكنولوجيا في مركز الديمقراطية والتكنولوجيا، وأحد الموقعين على الرسالة، إن هناك مخاوف من أنه إذا أصبحت التعديلات على قانون صلاحيات التحقيق قانونًا، فإن الوزراء سيستخدمونها لتجميد أو تأخير خطط شركات التكنولوجيا لـ طرح التشفير الشامل.

تعرضت ميتا لانتقادات متكررة من قبل الحكومات، بما في ذلك المملكة المتحدة، بسبب قرارها بذلك طرح التشفير الشامل على خدمات فيسبوك وماسنجر وإنستغرام.

في أبريل 2023، فرقة العمل العالمية الافتراضيةوهو تحالف يضم 15 وكالة لإنفاذ القانون، بما في ذلك مكتب التحقيقات الفيدرالي والوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة. انتقد وتخطط شركة ميتا لنشر التشفير باعتباره “اختيار تصميم هادف” من شأنه أن يضعف القدرة على الحفاظ على سلامة الأطفال.

في سبتمبر 2023، قامت وزيرة الداخلية آنذاك سويلا برافرمان بتحدي شركة Meta إما لإدخال تقنية لحماية سلامة الأطفال عبر الإنترنت أو للتخلي عن خططها للتشفير الشامل تمامًا.

قال كنودل لـ Computer Weekly: “لا يمكنك أن تخرج ببيان قوي مثل هذا ثم لا تفعل أي شيء على الرغم من أن القانون ينص عليك أن تفعل شيئًا حيال ذلك”.

ومن المفهوم أن شركات التكنولوجيا الأخرى تنتظر لترى ماذا ستكون ردود أفعال المملكة المتحدة تجاه Meta قبل التحدث علنًا عن خططها الخاصة للتشفير.

وتشمل هذه الشركات شركات مثل X وDiscord وSlack، التي تواجه ضغوطًا من مجموعات المجتمع المدني لتأمين خدماتها من خلال التشفير الشامل.

وقال كنودل: “إننا ندفع الشركات بالفعل إلى تبني التشفير الشامل عاجلاً وليس آجلاً، بحيث عندما تستخدم الأنظمة، سواء كانت ديمقراطية أو غيرها، عملية صنع السياسات لمحاولة إضعاف تلك التكنولوجيا، يكون أمامها تلة شديدة الانحدار يتعين عليها تسلقها”. .

صلاحيات الأمر الواقع

وتأتي الرسالة المفتوحة في أعقاب مداخلة من مجموعة تجارة التكنولوجيا TechUK، التي تمثل 1000 شركة تكنولوجيا. وحذرت في 30 يناير 2023 من ذلك تعديلات على IPA يمكن أن يمنح حكومة المملكة المتحدة سلطة فعلية للاعتراض على الشركات من إجراء تغييرات على منتجاتها وخدماتها في المملكة المتحدة وبلدان أخرى.

“بدلاً من التركيز على تحسين خصوصية المستخدمين وأمنهم، يجب تحويل انتباه الشركات نحو تلبية احتياجات المراقبة الحكومية. وهذا أمر مثير للقلق بشكل خاص في العالم حيث تستمر التهديدات لأمن بيانات المستخدمين في النمو إفادة.

وزارة الداخلية – لا توجد خطط لتقييد التصحيحات الأمنية

تؤكد وزارة الداخلية أنه لا توجد نية لتغطية التصحيحات الأمنية من خلال متطلبات الإخطار في قانون صلاحيات التحقيق وأنها لن توقف أبدًا التصحيح الأمني ​​للنظام.

وقال متحدث باسم الحكومة: “الوظيفة الأولى للحكومة هي الحفاظ على سلامة البلاد. إن صلاحيات التحقيق هي أداة أساسية لحماية مواطنينا، وهي موجودة منذ الثمانينات.

لقد كنا واضحين دائمًا أننا ندعم الابتكار التكنولوجي وتقنيات الاتصالات الخاصة والآمنة، بما في ذلك التشفير الشامل. ولكن هذا لا يمكن أن يأتي على حساب السلامة العامة، ومن الأهمية بمكان أن يتم اتخاذ القرارات من قبل أولئك الذين يتمتعون بالمساءلة الديمقراطية.

وينتظر مشروع قانون سلطات التحقيق (المعدل) قراءته الثانية في مجلس العموم.



Source link

زر الذهاب إلى الأعلى