etterforskningsmyndigheter handle blogg

Se, vent og be: Den potensielle effekten av oppdateringer av loven om etterforskningsmyndigheter

Når det gjelder teknologiregulering, ser det ut til at den britiske regjeringen slingrer seg fra en kontrovers til en annen. Fersk fra en kamp med Big Tech om ende-til-ende-kryptering (E2EE) i sin svært omstridte nettsikkerhetslov, retter regjeringen nå oppmerksomheten mot foreslåtte oppdateringer av Investigatory Powers Act (IPA).

Hvis de settes i kraft i sin nåværende form, kan forslagene gjøre Storbritannia til et vill vesten for cybertrusler og utnyttelse og kan tvinge utallige teknologileverandører til å trekke tjenestene sine fra markedet, slik at brukerne blir sittende fast med usikre og ineffektive kommunikasjonsverktøy.

Hva er nytt i IPA?

IPA var viden kjent som "Snooper's Charter" av en veldig god grunn. Blant de mest kontroversielle bestemmelsene er å la myndighetene kreve at leverandørene av teknologikommunikasjon endrer tjenestene sine for å muliggjøre myndighetenes snoking på en måte som kan undergrave sikkerheten for alle. En Technical Capability Notice (TCN) er den primære måten å gjøre dette på. Det kan teoretisk kreve "fjerning av en relevant operatør av elektronisk beskyttelse" så lenge myndighetene kan bevise at dette vil være proporsjonalt med sluttmålet. Siden slike forespørsler er hemmelige, kan vi bare forestille oss at ingen har lykkes så langt, ettersom de involverte teknologiselskapene mest sannsynlig ville ha reagert med å true med å forlate markedet.

Det er flere mål oppført som en del av de foreslåtte IPA-oppdateringene. Men to kan være spesielt problematiske for britisk virksomhet:

Mål 3

utvider IPAs eksisterende ekstraterritoriale dekning, og tvinger globale teknologiselskaper til å holde seg til myndighetenes regler i hvert land de opererer i. Begrunnelsen som er gitt er å løse enhver potensiell "usikkerhet" for regjeringen ved utstedelse av TCN-er til firmaer med "komplekse bedriftsstrukturer". Målet foreslår også å "styrke håndhevingsalternativene som er tilgjengelige for manglende overholdelse av varslingsregimene" ved siden av dette målet.

Mål 4

legger til en forpliktelse for "operatører" til å "informere statssekretæren om relevante endringer, inkludert tekniske endringer," og å gjøre det "en rimelig tid før relevante endringer implementeres". Slike endringer er ikke spesifisert, men kan forstås som enhver ny sikkerhetsfunksjon introdusert av en teknologileverandør eller til og med sikkerhetsoppdateringer som fikser sårbarheter. Teoretisk sett kan statssekretæren blokkere slike endringer, noe som vil påvirke alle sluttbrukere av meldingstjenester og kommunikasjonsenheter.

Hva en ny IPA kan føre til

Personvern- og sikkerhetsforkjempere er forståelig nok sjokkert over forslagene. Og det har Apple allerede sa at det vil fjerne tjenester som iMessage og FaceTime fra Storbritannia hvis de er implementert. Det er flere åpenbare grunner til at ikke bare teknologifirmaer, men også bedrifter og forbrukere vil motsette seg en ny IPA:

Mål 3 vil:

  • Potensielt undergrave sikkerheten for journalister, dissidenter og andre i ulike deler av verden som er avhengige av sikker kommunikasjon for å unngå oppmerksomheten til autokratiske regjeringer.
  • Sett teknologifirmaer på et umulig sted: tvunget til å overholde nye krav fra den britiske regjeringen, som faktisk kan bryte internasjonale menneskerettighetslover og motsi reglene fastsatt i lovgivning som GDPR, som setter sikkerhet ved design i sentrum.

 

«Den foreslåtte forpliktelsen til å informere HMG før noen tekniske endringer gjøres, har opprørt flere av teknologileverandørene, store og små. Jeg vet virkelig ikke hvorfor regjeringen foreslår det, da de må vite hvilken reaksjon det kom til å forårsake, sier professor Alan Woodward ved Surrey University til ISMS.online.

"Konklusjonen er at hvis regjeringen prøver å tvinge det, vil de berørte teknologiselskapene nekte å etterkomme det. Og hvis det krever å trekke seg ut av Storbritannia, vil de gjøre akkurat det. Det virker usedvanlig naivt at regjeringen ville tro at våre lover ville overstyre lovene i andre jurisdiksjoner – spesielt jurisdiksjonen der leverandøren er basert.»

Mål 4 kan føre til:

  • Den britiske regjeringen blokkerer bevisst eller forsinker sikkerhetsoppdateringer slik at spionene kan utnytte underliggende sårbarheter for overvåkingsformål.
  • Patcher som tar lengre tid å frigjøre eller holdes tilbake på ubestemt tid, noe som gir trusselaktører god tid til å forske på utnyttelser.
  • Trusselaktører som retter seg mot offentlige systemer for informasjon om ventende leverandøroppdateringer

 

«Å utsette sikkerhetsoppdateringer er alltid dårlig, for selv om du ikke har bevis for at en sårbarhet blir utnyttet, betyr det faktum at leverandøren fant det at noen andre kan ha gjort det. Og hvert minutt du utsetter er ekstra tid for dem å utnytte det, fortsetter Woodward.

"Det er vanskelig å ikke konkludere med at regjeringen ønsker å vite om slike endringer på forhånd i tilfelle det påvirker en sårbarhet den allerede utnytter for overvåking."

Hvor sannsynlig er det?

Den offentlige høringsperioden for det regjeringen beskriver som «reviderte varslingsregimer» i IPA 2016 er nå avsluttet. Derfor er ingenting avgjort ennå, og det er flere grunner til at de mest kontroversielle forslagene kanskje ikke kommer inn i de endelige revisjonene.

As Privacy International hevder, kan mål 3 og 4 i fellesskap se at Storbritannia bryter internasjonal menneskerettighetslov – spesielt retten til respekt for privatliv nedfelt i artikkel 8 i den europeiske menneskerettighetskonvensjonen (EMK). Det er fordi, ved å hindre en kommunikasjonstjenesteleverandør fra å bruke sikkerhetsoppdateringer eller avansert beskyttelse som E2EE, vil myndighetene nekte denne retten ikke bare til Storbritannia, men til globale borgere. Det er utfordrende å tenke på en sak der godkjenning av disse fullmaktene ville være «nødvendig og forholdsmessig», slik EMK krever.

"I det utviklende landskapet av digitale rettigheter og sikkerhet, understreker disse foreslåtte endringene det tvingende behovet for regjeringer å finne en passende balanse mellom nasjonal sikkerhet og individuelle rettigheter," hevder Privacy International. "Når det reviderer nasjonale overvåkingslover, bør Storbritannia på nytt forplikte seg til sine forpliktelser i henhold til internasjonal lov for å ivareta individuelle rettigheter hjemme og i utlandet."

Den andre grunnen er mer naken kommersiell. Hvis regjeringen fikk viljen sin og disse forslagene ble vedtatt, ville den digitale verden blitt betydelig mindre sikker. Men teknologileverandører vil rett og slett ikke la dette skje.

"Til syvende og sist vil markedskreftene bestemme hvordan disse selskapene reagerer: de vil ikke gjøre noe for et relativt lite marked som Storbritannia når det kan drive bort kunder i andre store markeder," konkluderer Woodward.

Et verste scenario for britiske firmaer er at forslagene på en eller annen måte bare vedtas i Storbritannia, noe som fører til at teknologifirmaer trekker noen av sine sikreste tjenester fra landet. Det ville nok snu et langvarig regjeringsløfte på hodet og gjøre Storbritannia til det minst trygge stedet å gjøre forretninger på nett i verden.

Forfatter

Phil Muncaster

Phil Muncaster har vært IT-journalist i 15 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle innlegg av Phil Muncaster

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer