В прошлом месяце правительство Великобритании потребовало от Apple ослабить защиту iCloud для пользователей по всему миру. В пятницу Apple предприняла шаги, чтобы обеспечить соблюдение требований пользователей в Соединенном Королевстве. Но британское законодательство составлено таким образом, что требует от Apple предоставлять доступ к своему правительству любому лицу в любой точке мира. Если правительство потребует от Apple ослабить систему безопасности во всем мире, это увеличит киберриски для всех в и без того опасном мире.
Если вы являетесь пользователем iCloud, у вас есть возможность включить функцию, называемую “расширенная защита данных”, или ADP. В этом режиме большая часть ваших данных шифруется сквозным способом. Это означает, что никто, даже сотрудники Apple, не смогут прочитать эти данные. Это ограничение обусловлено математикой — криптографией, а не политикой. Даже если кто-то успешно взломает iCloud, он не сможет прочитать данные, защищенные ADP.
Используя противоречивое положение Закона о расследовательских полномочиях от 2016 года, правительство Великобритании хочет, чтобы Apple реорганизовала iCloud, чтобы добавить “backdoor” в ADP. Это сделано для того, чтобы, если когда-нибудь в будущем полиция Великобритании захочет, чтобы Apple подслушивала пользователей, она могла это сделать. Вместо того, чтобы добавлять такой бэкдор, Apple отключила ADP на британском рынке.
Если правительство Великобритании будет настаивать на своих требованиях, последствия будут серьезными по двум причинам.
- Во-первых, Apple не может ограничить эту возможность правительством Великобритании или даже только теми правительствами, с политикой которых она согласна. Если Apple сможет предоставить данные пользователей по требованию правительства, все остальные страны будут ожидать такого же соблюдения. Китай, например, скорее всего, потребует от Apple выдать диссидентов. Apple, которая уже зависит от Китая как в продажах, так и в производстве, не сможет отказать.
- Второе: как только бэкдор появится, другие попытаются тайно его использовать. Технические средства доступа не могут быть доступны только людям, имеющим соответствующие юридические полномочия. Само его существование побуждает других попробовать. В 2004 году хакеры — мы не знаем, кто именно — взломали бэкдор в крупной греческой сети сотовой связи, чтобы шпионить за пользователями, включая премьер-министра Греции и других избранных должностных лиц. Только в прошлом году Китай взломал американские телекоммуникационные компании и получили доступ к их системам, обеспечивающим прослушивание разговоров пользователей мобильных телефонов, возможно, включая президентские кампании Дональда Трампа и Камалы Харрис. В результате этой операции ФБР и Агентство по кибербезопасности и защите инфраструктуры рекомендовали всем использовать сквозные зашифрованные сообщения для обеспечения собственной безопасности.
Apple - не единственная компания, предлагающая сквозное шифрование. Google также предлагает эту функцию. WhatsApp, iMessage, Signal и Facebook Messenger предлагают такой же уровень безопасности. Существуют и другие поставщики облачных хранилищ с сквозным шифрованием. Аналогичные уровни защиты доступны для телефонов и ноутбуков. Как только Великобритания вынудит Apple взломать систему безопасности, за этим обязательно последуют действия против других систем.
Кажется маловероятным, что Великобритания не координирует свои действия с другими странами “Пяти глаз” - Соединенными Штатами, Канадой, Австралией и Новой Зеландией: богатым англоязычным шпионским клубом. Австралия приняла аналогичный закон в 2018 году, наделив ит-отдел полномочиями требовать от компаний ослабления их функций безопасности. Насколько нам известно, этот закон никогда не использовался для принуждения компаний к реорганизации своей системы безопасности, но, поскольку закон допускает запрет доступа, мы, возможно, никогда об этом не узнаем. В законодательстве Великобритании также есть запрет на использование кляпа; мы знаем об иске Apple только потому, что осведомитель опубликовал информацию в Washington Post. Насколько нам известно, они, возможно, требовали этого и от других компаний. В Соединенных Штатах ФБР уже давно выступает за предоставление таких же полномочий. Возможно, то, что Великобритания выдвинет это требование сейчас, когда мир отвлечен внешнеполитическими неурядицами администрации Трампа, и есть то, чего она так долго ждала.
Компании должны сопротивляться, и, что более важно, мы должны требовать от них этого. Правительство Великобритании, как и австралийцы и ФБР в прошлые годы, утверждает, что такой доступ необходим для правоохранительных органов, что он “становится темным” и что Интернет — это место беззакония. Мы слышим подобные разговоры с 1990-х годов, но их скудные свидетельства не выдерживают критики. Десятилетия судебных разбирательств с использованием электронных доказательств снова и снова показывают, что полиция собирает доказательства различными способами, большинство из которых — например, анализ трафика или информаторы — не имеют ничего общего с зашифрованными данными. Полицейским департаментам нужны более совершенные компьютерные возможности для проведения расследований и судебной экспертизы, а не бэкдоры.
Мы все можем помочь. Если вы являетесь пользователем iCloud, подумайте о том, чтобы включить эту функцию. Чем больше людей ею пользуются, тем сложнее Apple отключить ее, чтобы те, кому она нужна, не попали в тюрьму. Это также вынуждает другие компании предлагать аналогичные меры безопасности. И это помогает выжить тем, кто в этом нуждается, поскольку включение этой функции не может быть использовано как фактическое признание вины. (Это преимущество использования WhatsApp вместо Signal. Поскольку так много людей в мире пользуются WhatsApp, наличие его на вашем телефоне само по себе не вызывает подозрений.)
Что касается политики, у нас есть два варианта. Мы не можем создавать системы безопасности, которые работают для одних людей и не работают для других. Мы можем либо сделать наши коммуникации и устройства максимально защищенными от всех, кто захочет получить к ним доступ, включая иностранные спецслужбы и наши собственные правоохранительные органы, которые защищают всех, включая (к сожалению) преступников. Либо мы можем ослабить безопасность — как преступников, так и всех остальных.
Это вопрос безопасности. Да, мы все в большей безопасности, если полиция в состоянии расследовать и раскрывать преступления. Но мы также в большей безопасности, если наши данные и коммуникации защищены от прослушивания. Лазейка в системе безопасности Apple опасна не только для личности, но и для национальной безопасности. Мы живем в мире, где все общаются электронным способом и хранят свои важные данные на компьютере. Эти компьютеры и телефоны используются каждым национальным лидером, членом законодательного органа, полицейским, судьей, генеральным директором, журналистом, диссидентом, политическим деятелем и гражданином. Они должны быть максимально защищены: от перехвата учетных записей, от программ-вымогателей, от иностранного шпионажа и манипуляций. Помните, что всего несколько месяцев назад ФБР рекомендовало всем нам использовать сквозное шифрование сообщений без бэкдоров.
Обеспечить безопасность цифровых систем непросто. Защитники должны отражать все атаки, в то время как для перехвата информации нужна одна эффективная атака. Учитывая, насколько важны эти устройства, нам необходимо принять стратегию, основанную на защите. Если мы будем делать что-то еще, мы все будем в меньшей безопасности.