1 kwietnia na stronach Komisji Europejskiej opublikowano założenia strategii ProtectEU. W imię walki z terroryzmem i przestępczością zaproponowano, by ograny ścigania mogły mieć wgląd do naszej prywatnej korespondnecji.
Niestety publikacja, której fragment powinien budzić szczególny niepokój, nie wygląda na primaaprilisowy żart. W imię zwiększenia zdolności państw członkowskich UE do ochrony społeczeństw i demokracji przed zagrożeniami online zaproponowano, by służby miały dostęp do szyfrowanych danych, czyli na przykład treści rozmów prowadzonych na Signalu, iMessage czy WhatsApp.
Kilka tygodni temu głośnym echem odbiło się w sieci wymuszenie przez brytyjski rząd wyłączenia najwyższego poziomu bezpieczeństwa w usłudze iCloud. W świetle tego, co teraz proponuje KE, blokada zaawansowanej ochrony danych w chmurze Apple dla obywateli UK wydaje się zjawiskiem, które rozpoczęło nowy, niepokojący trend.
Europejskie organy ścigania mają mieć dostęp do zaszyfrowanych danych
Z grubsza trudno mieć zastrzeżenia do ProtectEU, czyli Europejskiej Strategii Bezpieczeństwa Wewnętrznego, w której określono cele i działania mające zapewnić nam wszystkim bezpieczeństwo i stabilność. Chodzi przecież o ochronę demokracji przed zagrożeniami online i offline ze strony terrorystów, przestępców i nieprzyjacielskich aktorów zagranicznych, czyli wywiadów wrogich Zachodowi państw. Komisja chce, by Unia mogła zdecydowanie i skutecznie odpowiadać na działania hybrydowe wzmacniając ochronę infrastruktury krytycznej, zwiększając poziom cyberbezpieczeństwa, zabezpieczając węzły transportowe w portach oraz zwalczać zagrożenia internetowe. Magnus Brunner, komisarz do spraw wewnętrznych i migracji ujmuje to następująco:
W szybko ewoluującym krajobrazie zagrożeń bezpieczeństwo jest zadaniem naszych czasów. Wymaga to zmiany naszego sposobu myślenia. Strategia ProtectEU pomoże wspierać nową kulturę bezpieczeństwa UE i wyposaży nas w lepsze środki przewidywania, zapobiegania i reagowania na zagrożenia dla naszego bezpieczeństwa wewnętrznego.
W niemal 30 stronicowym dokumencie opisującym szczegóły założeń strategii znalazł się rozdział, w którym Komisja powołuje się na raport Grupy Wysokiego Szczebla ds. Dostępu do Danych na potrzeby Skutecznego Ścigania Przestępstw, w którym to zwrócono uwagę, że około 85% śledztw karnych opiera się na możliwości dostępu organów ścigania do informacji cyfrowych oraz że prokuraturom i sądom jest coraz trudniej oskarżać i skazywać przestępców, ponieważ ci korzystają z narzędzi i produktów pochodzących z krajów spoza europejskiej jurysdykcji. Co za tym idzie, służby ze Starego Kontynentu miewają trudności we współpracy z takimi podmiotami oraz w konsekwencji cierpią na brak dostępu do danych. Komisja Europejska, choć podkreśla, że to, co mówią przedstawiciele Grupy nie jest stanowiskiem KE, to jednak postanowiła zastosować się do rekomendacji Grupy Wysokiego Szczebla i zapowiada, że jeszcze w pierwszej połowie tego roku opublikowany zostanie plan działania mający określić środki prawne oraz praktyczne rozwiązania w celu zapewnienia zgodnego z prawem i skutecznego dostępu do danych.
Komisja potraktuje priorytetowo ocenę skutków przepisów dotyczących retencji danych na szczeblu UE oraz przygotowanie technologicznej mapy drogowej dotyczącej szyfrowania, aby zidentyfikować i ocenić rozwiązania technologiczne, które umożliwiłyby organom ścigania dostęp do zaszyfrowanych danych w sposób zgodny z prawem, chroniąc cyberbezpieczeństwo i prawa podstawowe.
W dokumencie kilkukrotnie podkreśla się, że dostęp do szyfrowanej komunikacji mają mieć organy ścigania i wymiar sprawiedliwości, ale tylko w ramach prawnie uregulowanych procedur i z poszanowaniem prawa do prywatności oraz praw podstawowych. Pojawia się jednak pytanie, w jaki sposób można te dwie sprawy ze sobą pogodzić, ponieważ uzyskanie dostępu do chociażby szyfrowanej korespondencji wymienianej na Signalu czy iMessage wymagałoby zainstalowania przez dostawców tych usług specjalnego backdoora dla służb. Drugą opcją musiałaby być próba złamania protokołów szyfrujących ww. aplikacji, co jak dotąd nie powiodło się nikomu na świecie.
Do zapewnień Komisji o poszanowaniu prawa do prywatności przy uzyskiwaniu dostępu do prywatnej korespondencji podchodzę z rezerwą. W marcu tego roku fundacja Panoptykon opublikowała rezultaty swojego dochodzenia, z którego wynika, że służby sięgają po nasze dane telekomunikacyjne prawie 2 000 000 razy rocznie de facto bez żadnej kontroli. Okazuje się, że polskie przepisy, na podstawie których operatorzy przechowują nasze dane łamią unijną dyrektywę e-Privacy, a także są niezgodne z Kartą praw podstawowych UE. Co więcej, zasady te stoją w sprzeczności z Konwencją o ochronie praw człowieka i podstawowych wolności. Mimo tego wciąż obowiązują.
Bezpieczeństwo kosztem inwigilacji?
Wydane właśnie propozycje Komisji Europejskiej przywołują na myśl głośny projekt Chat Control z ubiegłego roku. U jego podstaw także stała potrzeba ochrony przed zagrożeniami cyfrowymi. Wówczas mówiło się otwarcie o prześwietlaniu treści rozmów pod kątem nielegalnych treści, co w oczywisty sposób łamałoby wszelkie prawa do prywatności. W czerwcu 2024 do sprawy odniósł się Signal wydając krótkie, lecz treściwe oświadczenie. Pisano w nim wówczas m.in.:
Od dziesięcioleci eksperci nie mają wątpliwości: nie ma sposobu, aby jednocześnie zachować integralność szyfrowania end-to-end i wystawić zaszyfrowane treści na inwigilację. Jednak propozycje, aby to zrobić, pojawiają się wielokrotnie – stare wino bez końca przepakowywane w nowe butelki, wspomagane przez drogie firmy konsultingowe, które bardziej dbają o marketing niż o bardzo poważną stawkę tych kwestii.
Już w ubiegłym roku Signal zapowiadał, że nie ma zgody na żadnego rodzaju rządowe backdoory. Zapowiadano, że jeśli Unia wprowadzi w życie swoje zapowiedzi, aplikacja będzie musiała wycofać się z Europy. Można się zatem spodziewać, że jeśli Komisja zechce znów zyskać tylną furtkę do szyfrowanej komunikacji, część podmiotów oferująca bezpieczne komunikatory po prostu zniknie ze Starego Kontynentu. Pozostaje mieć nadzieję, że przedstawiona przez KE propozycja będzie przedmiotem wielu dyskusji w Parlamencie i jej ostateczny kształt nie okaże się kolejnym zamachem na naszą prywatność.