Η προσπάθεια της ΕΕ να διορθώσει το Διαδίκτυο θα μπορούσε να γίνει εφιάλτης προστασίας της ιδιωτικής ζωής

Η Ευρωπαϊκή Ένωση είναι διαβόητη για τη δέσμευσή της να ρυθμίζει το διαδίκτυο, είτε προς το καλύτερο είτε προς το χειρότερο. Ο GDPR έχει απηχηθεί από τα έθνη σε όλο τον κόσμο ως ο σχέδιο για την προστασία του ψηφιακού απορρήτου των πολιτών. Από τις 25 Αυγούστου, ο νόμος για την ψηφιακή αγορά και ο νόμος για τις ψηφιακές υπηρεσίες εισήγαγαν νέες υποχρεώσεις για τις ψηφιακές υπηρεσίες. Την ίδια στιγμή, η πρόταση Chat Control συγκεντρώνει πολλές επικρίσεις για την επίθεσή της στην κρυπτογράφηση στο όνομα της διαδικτυακής ασφάλειας.

Μεταξύ αυτών των πολυσυζητημένων νομοθεσιών, μια πρόταση μπορεί να έχει πέσει κάτω από το ραντάρ: η αναθεώρηση της νομοθεσίας της ΕΕ για την ψηφιακή ταυτότητα (eIDAS). Μια διαδικασία που ξεκίνησε τον Οκτώβριο του 2020 και επί του παρόντος βρίσκεται υπό τριμερείς διαπραγματεύσεις, καθώς οι νομοθέτες επιδιώκουν να «διορθώσουν» την ασφάλεια του ιστού μεταξύ των μελών των χωρών. Ωστόσο, οι ειδικοί προειδοποιούν για ακούσιες συνέπειες όπως μεγαλύτερη παρακολούθηση, λογοκρισία και ψευδή ασφάλεια.

“Η Ευρωπαϊκή Επιτροπή οδηγεί την τεχνολογία ασφαλείας σε λάθος δρόμο… μια κίνηση που κινδυνεύει να ενσταλάξει ένα ανασφαλές μέλλον για τον Ιστό”, έγραψε ο πάροχος ασφαλών προγραμμάτων περιήγησης Mozilla σε πρόσφατη έκθεση: Ένας νόμος ανεπιθύμητων συνεπειών. Λοιπόν, τι προσπαθεί να αλλάξει η προτεινόμενη αναθεώρηση και τι διακυβεύεται για τους χρήστες στην ΕΕ;

Άρθρο 45.2 και λουκέτα ιστοσελίδων

Πιθανότατα έχετε δει το μικρό λουκέτο να κάθεται στην αριστερή πλευρά μιας διεύθυνσης URL ιστότοπου στη γραμμή αναζήτησης ενός προγράμματος περιήγησης. Αυτό υποδηλώνει ότι η πρόσβαση σε αυτόν τον συγκεκριμένο ιστότοπο είναι ασφαλής με σύνδεση HTTPS, που σημαίνει ότι η σύνδεση μεταξύ του προγράμματος περιήγησης και του διακομιστή που παρέχει την υπηρεσία είναι κρυπτογραφημένη. Σήμερα, το 90% των συνδέσεων είναι HTTPS.

Το λουκέτο ασφαλείας είναι κάτι που εισήχθη μόλις το 2019, ωστόσο. Πριν από αυτό, η γραμμή URL εμφάνιζε αυτό που είναι γνωστό ως πιστοποιητικά εκτεταμένης επικύρωσης (EV). Το πρόβλημα εδώ ήταν ότι de facto, ο καθένας μπορούσε να εκδώσει αυτά τα πιστοποιητικά και να ξεγελάσει τους χρήστες ώστε να πιστεύουν ότι ένας ιστότοπος είναι ασφαλής, ενώ δεν είναι. Ένα πρόβλημα που συνεχίζει να τιμωρεί όσους δεν γνωρίζουν που υποθέτουν ότι το λουκέτο σημαίνει ασφαλής τοποθεσία, αντί για την πραγματικότητα: ένα χρηματοκιβώτιο σύνδεση.

Τα προγράμματα περιήγησης σταμάτησαν να τα εμφανίζουν εντελώς και άρχισαν να εκτελούν προγράμματα root store για να αποφασίσουν μόνοι τους εάν θα χαρακτηρίσουν ή όχι τη σύνδεση ως ασφαλή. Όλοι ήταν ευχαριστημένοι, εκτός από τις αρχές πιστοποιητικών — οι άνθρωποι που συνήθιζαν Πουλώ αυτά τα πιστοποιητικά.

Τώρα, οι νομοθέτες της ΕΕ πιέζουν για αναθεώρηση του άρθρου 45 για την επαναφορά των πιστοποιητικών EV. Στη συνέχεια, ο νέος νόμος θα εισάγει την υποχρέωση εμφάνισης στοιχείων ταυτότητας στο πρόγραμμα περιήγησης, ενώ θα απαιτεί από την ΕΕ να διατηρεί τη δική της λίστα με τις αρχές έκδοσης πιστοποιητικών (εδώ ονομάζεται πάροχος υπηρεσιών εμπιστοσύνης).

Ο Udbhav Tiwari, επικεφαλής της παγκόσμιας πολιτικής προϊόντων της Mozilla, δήλωσε στο TechRadar: «Αυτό που θέλουν να κάνουν είναι ουσιαστικά να δημιουργήσουν μια παράλληλη υποδομή όπου, αντί να αποφασίζουν απλώς τα προγράμματα περιήγησης, οι κυβερνήσεις της ΕΕ αποφασίζουν ποιος μπορεί και ποιος δεν μπορεί να εκδώσει πιστοποιητικά και τι είδους πιστοποιητικά πρέπει να είναι εκτεθειμένος.”

Η κίνηση έρχεται ως μέσο για να γίνει το Διαδίκτυο πιο ασφαλές. Ωστόσο, παγκόσμιες εμπειρογνώμονες και κοινωνίες των πολιτών προειδοποιούν ότι αυτό θα μπορούσε να προκαλέσει ακριβώς το αντίθετο αποτέλεσμα «καθιερώνοντας ένα ανώτατο όριο στα πιστοποιητικά ιστοτόπων αντί για ένα πάτωμα ή θεμέλιο», είπε ο Tiwary, και δίνοντας νέες σαρωτικές εξουσίες στις κυβερνήσεις. «Αυτό είναι το μεγαλύτερο πράγμα στο οποίο αντιστεκόμαστε», πρόσθεσε.

Όπως διευκρίνισε η Mozilla στην έκθεσή της, μια τέτοια διάταξη θα επέτρεπε στις κυβερνήσεις της ΕΕ να διεξάγουν εύκολα εκστρατείες μαζικής παρακολούθησης και λογοκρισίας, μεταξύ άλλων. Θα αποδυνάμωνε επίσης την ασφάλεια ιστού υπονομεύοντας την κρυπτογράφηση και δημιουργώντας μια ψευδή αίσθηση ασφάλειας μεταξύ των χρηστών.

🛡️ Αυτό που συμβαίνει στη Ρωσία με τη Sberbank χρησιμεύει ως προειδοποίηση για τον κανονισμό eIDAS της ΕΕ. Παρακάμπτοντας τους ελέγχους ασφαλείας του προγράμματος περιήγησης, το eIDAS θα μπορούσε να επιτρέψει στις κρατικές ΑΠ να διεξάγουν επιτήρηση. #securityriskahead #eidas28 Απριλίου 2023

Το πιο ανησυχητικό είναι ότι θα δημιουργήσει ένα «επικίνδυνο παγκόσμιο προηγούμενο», δήλωσε στο TechRadar ο Τάσος Σταμπέλος, Επικεφαλής Δημόσιας Πολιτικής της ΕΕ στη Mozilla. Είπε: «Άλλες χώρες θα δουν την Ευρώπη και στη συνέχεια μπορεί να το χρησιμοποιήσουν για να αναπτύξουν κάθε είδους κακόβουλους σκοπούς».

Ούτε το άρθρο 45.2 φαίνεται να λαμβάνει υπόψη τη δυναμική φύση των απειλών για την ασφάλεια. Όπως εξήγησε ο Ανώτερος Αντιπρόεδρος για Ισχυρό Διαδίκτυο στην Κοινωνία του Διαδικτύου Joseph Lorenzo Hall, οι πάροχοι προγραμμάτων περιήγησης ιστού θα «δεθούν χειροπέδες» και θα εμποδίζεται να κάνουν «πράγματα που κανονικά θα κάναμε πολύ γρήγορα για να προστατεύσουμε τους ανθρώπους του Διαδικτύου».

Γι’ αυτό το #SecurityRiskAhead καμπάνια καλεί τους νομοθέτες της ΕΕ να συμφωνήσουν σε μια εξαίρεση από την κυβερνοασφάλεια για τα καταστήματα root των προγραμμάτων περιήγησης ώστε να αφήνουν τους παρόχους την ελευθερία να αντιδρούν σε ζητήματα. «Οι κυβερνοεπιθέσεις συμβαίνουν μέσα σε λίγες ώρες και μπορεί να διαρκέσουν λιγότερο από μία ημέρα», είπε ο Tiwari. «Πρέπει να έχουμε την ικανότητα να ενεργούμε πολύ γρήγορα».

Πορτοφόλι ταυτότητας

Ωστόσο, τα ζητήματα με τις αναθεωρήσεις του eIDAS δεν τελειώνουν εδώ. Ένα άλλο επίμαχο ζήτημα αφορά τους κανονισμούς EU ID Wallet που αναφέρονται στο άρθρο 6. «Δημιουργεί πολλές τριβές μεταξύ των υπευθύνων χάραξης πολιτικής», επιβεβαίωσε ο Stampelos.

Η πρόταση υπόσχεται να δώσει τη δυνατότητα στους ευρωπαίους πολίτες και τις επιχειρήσεις να μοιράζονται δεδομένα ταυτότητας με πιο βολικό και ασφαλή τρόπο. Ωστόσο, αυτό το σχέδιο ανοίγει σε ορισμένες ανησυχίες σχετικά με το απόρρητο.

Μπορεί να είναι πιο βολικό να έχουμε μόνο έναν αριθμό ταυτότητας, αντί για ξεχωριστές αναφορές ταυτοποίησης, αλλά αυτό επίσης “επιτρέπει στις κυβερνήσεις να παρακολουθούν τους πολίτες πιο αποτελεσματικά”, εξήγησε ο Tiwari.

Ανησυχώ εξαιρετικά για την κατεύθυνση των τριμερών διαπραγματεύσεων #eIDAS. Βλέπουμε μια μαζική επίθεση στις βασικές αρχές της ιδιωτικής ζωής στο κείμενο που προτείνει η @EU_Commission και η Προεδρία @eu2023es. Το πορτοφόλι EU ID κινδυνεύει να γίνει ένας εφιάλτης απορρήτου που δεν είναι ασφαλής στη χρήση!!!3 Σεπτεμβρίου 2023

Στη συνέχεια, υπάρχουν τα ζητήματα της συναίνεσης μεταξύ των μελών των χωρών της ΕΕ, καθώς οι προσεγγίσεις των τοπικών αρχών για τους μοναδικούς αριθμούς αναγνώρισης αλλάζουν δραματικά μεταξύ των εθνών.

Για παράδειγμα, στη Γερμανία, είναι επί του παρόντος αντισυνταγματικό να υπάρχει ένας ενιαίος αριθμός που να ταυτοποιεί ένα άτομο σε όλα τα κυβερνητικά όργανα. Ενώ άλλες χώρες που είναι διαβόητες για τον ισχυρότερο έλεγχο του πληθυσμού, όπως η Ουγγαρία, καλωσορίζουν την πρόταση καθώς θα μπορούσε να κάνει την παρακολούθηση των πολιτών ακόμα πιο εύκολη.

Ο Tiwari είπε: «Είναι μια συζήτηση που είναι πολύ συνεχής.

Τι έπεται?

Όπως αναφέρθηκε, οι αναθεωρήσεις του eIDAS βρίσκονται επί του παρόντος υπό τριμερείς διαπραγματεύσεις μεταξύ εκπροσώπων του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου της Ευρωπαϊκής Ένωσης και της Ευρωπαϊκής Επιτροπής. Στόχος αυτής της διαδικασίας είναι η επίτευξη μιας προσωρινής συμφωνίας, κάτι που εν μέρει επιτεύχθηκε στις 29 Ιουνίου, αλλά δεν ανταποκρίνεται πλήρως στις απαιτήσεις των ειδικών ακόμη.

«Μία από τις μεγάλες ανησυχίες είναι ότι οι αρχές που συμφωνήθηκαν τον Ιούνιο δεν αντικατοπτρίζονται απαραίτητα στο τεχνικό κείμενο», μας είπε ο Σταμπέλος. «Πιστεύουμε ότι εάν η διατύπωση δεν είναι σωστή, ό,τι πετύχαμε για την εξαίρεση της κυβερνοασφάλειας ανατρέπεται».

Οι ειδικοί πιέζουν τώρα για ορισμένες μικρές αλλά σημαντικές τροποποιήσεις στο πιο πρόσφατο κείμενο (ιδίως στην αιτιολογική σκέψη 32 και στο άρθρο 45, παράγραφος 2) για να άρουν τυχόν ασάφειες και να διασφαλίσουν ότι τα προγράμματα περιήγησης μπορούν να ασκήσουν πλήρως την εξαίρεση για την ασφάλεια στον κυβερνοχώρο.

Αυτό που είναι βέβαιο αυτή τη στιγμή είναι ότι υπάρχει ισχυρή πολιτική πίεση για να ολοκληρωθεί αυτό, ένα έργο που διαρκεί ήδη τρία χρόνια. Μέχρι στιγμής, η Επιτροπή της ΕΕ φαίνεται να ακούει, εν μέρει τουλάχιστον, τις ανησυχίες των ειδικών. Ωστόσο, ο μυστικός χαρακτήρας των συνεχιζόμενων διαπραγματεύσεων μπορεί να δημιουργήσει έναν επικίνδυνο νόμο.

Σε αυτό το σημείο, ο Σταμπέλος είπε: “Εδώ έχετε και τις δύο πλευρές. Εμείς λέμε “είναι αδύναμο, κάνε το πιο δυνατό για εμάς” και λένε “είναι αδύναμο, κάνε το πιο δυνατό για εμάς”. Κανείς δεν ξέρει ποια πλευρά θα κερδίσει τελικά».

Πηγή: techwar.gr/

Μετάβαση στο περιεχόμενο

Share This

Copy Link to Clipboard

Copy