Правительство Великобритании, подобно многим органам власти штатов США и национальным правительствам по всему миру, начало злоупотреблять властью в вопросах цифровой безопасности. Главным шагом на данный момент стало введение Закона о безопасности в интернете (Online Safety Act), который требует от пользователей подтверждать свой возраст для доступа к сайтам для взрослых (хотя он включает в себя и многое другое).
Теперь премьер-министр Великобритании Кир Стармер призывает Apple и Google, а предположительно и других разработчиков мобильных ОС, сканировать телефоны на предмет откровенных изображений для защиты детей. Такое потенциально обязательное сканирование на устройстве с помощью программного обеспечения, контролируемого вендором, создаст неприемлемый ущерб для личных свобод и прозрачности, а также повлечет за собой огромные риски слежки.
В заявлении от 8 июня премьер-министр сообщил, что крупные технологические компании, такие как Apple и Google, должны добавить в свои платформы, такие как iOS и Android, функции, которые будут обнаруживать и блокировать откровенно *** или *** изображения, касающиеся лиц младше 18 лет, на телефонах или планшетах. Взрослые, желающие сделать или отправить откровенные снимки, должны будут предоставить какую-либо форму удостоверения личности, чтобы их телефон не блокировал эти изображения, что создает ненужные риски для конфиденциальности.
По данным правительства, эти меры должны быть реализованы в течение трех месяцев; в противном случае правительство введет законодательство, которое обяжет компании внедрить такие технологии. Законодательство будет предусматривать штрафы для компаний и, возможно, даже уголовную ответственность для руководителей технологических компаний, не соблюдающих эти меры.
В своем объявлении правительство заявило, что технически осуществимо запретить пользователям делать, отправлять или получать откровенные снимки без подтверждения возраста, и указало на британскую фирму SafeToNet, которая разработала проприетарное, закрытое и необустанавливаемое программное обеспечение под названием HarmBlock, активно продает устройство с ним и сотрудничает с другими OEM-производителями.
Тот факт, что это программное обеспечение с закрытым исходным кодом, является огромной проблемой, поскольку это «черный ящик»; вы не знаете, что оно делает на вашем устройстве. Тот факт, что его нельзя удалить, также является проблемой, поскольку вы теряете контроль над телефоном, которым владеете. Смешно, но правительство, прежде чем упомянуть SafeToNet, заявляет, что компании должны внедрять такие меры «без угрозы для конфиденциальности или сбора каких-либо данных». Затем оно добавляет, что лица старше 18 лет по-прежнему смогут просматривать контент для взрослых, предоставляя подтверждение возраста… Что, по моему мнению, равносильно сбору данных.
Приведенный правительством пример ПО, HarmBlock, является крайне тревожным выбором для пропаганды достоинств такого рода программ. SafeToNet утверждает, что HarmBlock «этически разработан», но это прямо противоположно истине. Это ПО с закрытым кодом надевает на вас цифровые наручники, если оно установлено на вашем устройстве, отнимая свободу контролировать, какое ПО работает на вашем устройстве, поскольку его нельзя удалить. Оно даже не является свободным ПО, поэтому мы не можем проверить исходный код, чтобы увидеть, что оно делает. Мы не знаем, не действует ли оно злонамеренно. Хотя это маловероятно, мы не можем проверить, что это не так.
Когда Apple и Google неизбежно интегрируют эти функции на устройствах в Великобритании, они, скорее всего, будут представлять собой бинарные файлы с закрытым исходным кодом, которые также не подлежат аудиту. В них также будут встроены службы идентификации, требующие как минимум временного сбора конфиденциальных документов для подтверждения возраста.
Одним спасением для пользователей Android является то, что этот блокировщик непристойностей, скорее всего, будет реализован в рамках инфраструктуры Google Play, глубоко связанной с коммерческими устройствами Android. Однако любой, у кого хватит решимости избавиться от приложений Google на своем телефоне, перепрошив пользовательскую ROM, сможет вернуть себе контроль над телефоном без этих цифровых наручников. Очевидно, это лишь мое предположение о том, как Google реализует эту функцию; если она будет встроена в открытый исходный код Android, это будет плохой новостью для тех, кто захочет ее обойти.
Помимо лишения пользователей мобильных телефонов свободы и суверенитета над своими устройствами, эти проприетарные решения для машинного обучения или сопоставления хешей на устройстве не могут быть независимо проверены. Это означает, что хакеры потенциально могут использовать их в своих целях, поскольку исследователи безопасности не могут изучить код, и они могут выйти за рамки предполагаемого сценария использования и собирать еще больше пользовательских данных без ведома кого-либо. Мы также не будем знать, подвержен ли код ложным срабатываниям или предвзятой классификации, поскольку мы не можем видеть код.
В объявлении правительства комментарии от Internet Watch Foundation постоянно говорят о «защитах на устройстве», как будто пользователям не нужно беспокоиться о серверной обработке; однако это вводит в заблуждение, поскольку данные могут передаваться с устройств для целей обновлений, удаленного изменения моделей, телеметрии или серверного сопоставления.
Мы также видели на примере Закона о безопасности в интернете, что правительство никогда не удовлетворено принятыми законами; оно всегда хочет расширить контроль. Если эта функция сканирования появится на устройствах, она может изначально блокировать только ***, но в будущем правительства могут оказывать давление на поставщиков с целью расширения доступа или использовать обязательные функции для других целей слежки. Внедрение сканеров на устройстве открывает дверь для огромных рисков в будущем.
Как только блокировка *** станет нормальной, регуляторы вроде Ofcom или сами политики могут потребовать большего контроля над устройствами людей. Весьма вероятными кандидатами для блокировки являются язык вражды, дезинформация или нежелательный политический контент.
Кроме того, существует вероятность, что как только Apple и Google разработают это программное обеспечение, они могут попытаться повторно использовать инфраструктуру для коммерческих или иностранных запросов, подвергая клиентов большей опасности. Одно только требование Великобритании создает прецедент. Что, если диктатура решит шпионить за активистами, потребовав от Google или Apple внедрить аналогичные меры контроля?
Еще одна проблема с этим сканированием заключается в том, что оно увеличивает затраты на соблюдение требований для компаний, стремящихся выйти на рынок мобильных операционных систем. Хотя Google и Apple доминируют на рынке в настоящее время, существует множество небольших компаний, создающих мобильные операционные системы, включая общественные проекты с очень скромными финансовыми возможностями. Как эти мелкие конкуренты должны внедрять сложные детекторы непристойностей? Проще говоря, никак. Затем правительство набрасывается на них, вынуждает их закрыться, а у Google и Apple становится меньше конкурентов.
Для нас, пользователей, которые ценят суверенитет над своими технологиями, это развитие событий вынудит нас искать альтернативы, уважающие свободу. Самый простой путь вперед, вероятно, будет заключаться в установке пользовательской ROM на устройство Android; однако избавление телефона от Google с ее «черным ящиком» блокировщика непристойностей может также затруднить доступ к таким приложениям, как банковские приложения, которые обычно требуют прохождения проверок целостности Google. К счастью, приложения Google Play Store по-прежнему можно получить через сторонние магазины, такие как Aurora Store, но это просто добавляет трения.
Отдавая должное тем, кто продвигает эту меру по защите детей, я думаю, что она будет достаточно эффективной, но люди все равно будут пытаться найти способы ее обойти, как они это делали с возрастными воротами на сайтах для взрослых, введенными в соответствии с Законом о безопасности в интернете. В попытке найти методы обхода это может привести пользователей на более рискованные платформы, которые создают новые опасности.
Эти усилия также отвлекают ресурсы от проверенных вмешательств, таких как сотрудничество с правоохранительными органами, целевые расследования, образование и службы поддержки, в пользу широких технических мер контроля, эффективность которых неопределенна (из-за их новизны).
Если правительство намерено внедрять такие инструменты, должны быть предусмотрены меры защиты. Любой обязательный код должен быть выпущен как свободное программное обеспечение, чтобы его можно было проверить, а бинарные файлы должны быть воспроизводимыми сборками, чтобы общественность знала, что в код, используемый для создания поставляемых бинарных файлов, ничего не было подделано.
В идеале, эти инструменты также должны быть добровольными, с возможностью выбора и даже управляемыми сообществом. Это также позволило бы людям полностью контролировать свое оборудование, одновременно позволяя родителям включить эти защиты для детей, зная, что запускаемый код делает именно то, что заявлено, а не что-то зловредное, как это может делать решение типа «черного ящика».
Правительство также должно установить узкую правовую сферу, чтобы эта технология ограничивалась блокировкой *** и не распространялась на блокировку политических мнений, языка вражды и так далее. В идеале, любая реализация должна избегать верификации возраста, связанной с идентификацией, для обеспечения безопасности пользовательских данных, а сопоставление должно производиться локально без серверной телеметрии, чтобы гарантировать, что это действительно происходит на устройстве.
Хотя я понимаю, что заинтересованные стороны, такие как родители, хотят обеспечить безопасность детей, потенциал злоупотребления таким программным обеспечением огромен. Это закрепит слежку через «черный ящик» и отнимет у нас свободу использовать наши устройства так, как мы хотим. Существует также острая опасность того, что правительство потребует расширения этой слежки для блокировки других видов деятельности, что может быть особенно опасно.
Если вы находитесь в Великобритании и не хотите, чтобы эти меры были реализованы, вы все еще можете написать своему члену парламента, что может привести к введению некоторых лучших мер защиты до того, как станет слишком поздно.
Как только мы получим больше технической информации о том, как это будет реализовано, мы сможем увидеть, позволит ли удаление сервисов Google с устройств Android обойти эту меру. Для владельцев iPhone нет ни единого шанса избавиться от этих наручников, поскольку Apple не позволяет вмешиваться в программное обеспечение.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Hill
