في أحدث تكرار لحروب العملات المشفرة التي لا تنتهي (ودائمًا ما تخدش الرأس)، دعا غرايم بيغار، المدير العام للوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA)، شركة ميتا المالكة لإنستغرام إلى إعادة التفكير في طرحها المستمر للمعاملات الشاملة. التشفير النهائي (E2EE) – مع إدراج خصوصية وأمان مستخدمي الويب في الإطار مرة أخرى.
تأتي هذه الدعوة في أعقاب إعلان مشترك صادر عن رؤساء الشرطة الأوروبيين، بما في ذلك في المملكة المتحدة، نُشر يوم الأحد – معربًا عن “القلق” بشأن كيفية نشر E2EE بواسطة صناعة التكنولوجيا ويدعو المنصات إلى تصميم أنظمة أمنية بطريقة تجعلها لا تزال قادرة على ذلك تحديد النشاط غير القانوني وإرسال تقارير عن محتوى الرسالة إلى جهات إنفاذ القانون.
في تصريحات لبي بي سي اليوم، اقترح رئيس NCA خطة Meta الحالية لتعزيز الأمن حول الدردشات الخاصة لمستخدمي Instagram من خلال طرح ما يسمى بتشفير “عدم الوصول”، حيث يمكن لمرسل الرسالة والمستلم فقط الوصول إلى المحتوى. تهديد لسلامة الطفل. بدأ عملاق الشبكات الاجتماعية أيضًا طرحًا مخططًا له منذ فترة طويلة لـ E2EE الافتراضي على Facebook Messenger في ديسمبر.
“مرر لنا المعلومات”
وفي حديثه لبرنامج توداي على إذاعة بي بي سي 4 صباح يوم الاثنين، قال بيغار لمحاوره نيك روبنسون: “مسؤوليتنا كمسؤولين عن تطبيق القانون… هي حماية الجمهور من الجريمة المنظمة، ومن الجرائم الخطيرة، ونحن بحاجة إلى معلومات حتى نتمكن من القيام بذلك”.
“ما يحدث هو أن شركات التكنولوجيا تضع الكثير من المعلومات في حالة تشفير شامل. ليست لدينا مشكلة مع التشفير، ولدي مسؤولية محاولة حماية الجمهور من الجرائم الإلكترونية أيضًا – لذا فإن التشفير القوي أمر جيد – ولكن ما نحتاج إليه هو أن تظل الشركات قادرة على تمرير المعلومات التي نرسلها إلينا بحاجة للحفاظ على سلامة الجمهور.”
حاليًا، نتيجة للقدرة على فحص محتوى الرسائل حيث لم يتم طرح E2EE، قال Biggar إن المنصات ترسل عشرات الملايين من التقارير المتعلقة بسلامة الأطفال سنويًا إلى قوات الشرطة في جميع أنحاء العالم – مضيفًا ادعاء آخر بأنه “على وباستخدام هذه المعلومات، نقوم عادةً بحماية 1200 طفل شهريًا واعتقال 800 شخص. المعنى الضمني هو أن هذه التقارير سوف تجف إذا واصلت Meta توسيع استخدامها لـ E2EE إلى Instagram.
مشيرًا إلى أن تطبيق WhatsApp المملوك لشركة Meta يستخدم التشفير القياسي الذهبي باعتباره التشفير الافتراضي لسنوات (تم تنفيذ E2EE بالكامل عبر منصة المراسلة بحلول أبريل 2016)، تساءل روبنسون عما إذا كانت هذه حالة من وكالة الجريمة التي تحاول إغلاق الاستقرار. الباب بعد أن انسحب الحصان؟
وهو ما لم يحصل على إجابة مباشرة عنه، بل مجرد المزيد من المراوغة المثيرة للدهشة.
بيغار: “إنه اتجاه. نحن لا نحاول إيقاف التشفير. كما قلت، نحن ندعم التشفير والخصوصية بشكل كامل، وحتى التشفير الشامل يمكن أن يكون جيدًا تمامًا. ما نريده هو أن تجد الصناعة طرقًا لتزويدنا بالمعلومات التي نحتاجها.
ويأتي تدخله في أعقاب إعلان مشترك لحوالي 30 من قادة الشرطة الأوروبية، نُشر يوم الأحد، حيث حث رؤساء إنفاذ القانون المنصات على اعتماد “حلول تقنية” غير محددة يقترحون أنها يمكن أن تمكنهم من توفير أمان وخصوصية قويين للمستخدمين في نفس الوقت مع الحفاظ على القدرة على اكتشاف النشاط غير القانوني والإبلاغ عن المحتوى الذي تم فك تشفيره إلى قوات الشرطة.
ويشير رؤساء الشرطة إلى أن “الشركات لن تكون قادرة على الاستجابة بشكل فعال للسلطة القانونية”، مما يثير مخاوف من نشر E2EE بطرق تقوض قدرات المنصات على تحديد النشاط غير القانوني بنفسها وكذلك قدرتها على إرسال تقارير المحتوى إلى الشرطة.
“ونتيجة لذلك، لن نتمكن ببساطة من الحفاظ على سلامة الجمهور”، كما يزعمون، مضيفين: “لذلك ندعو صناعة التكنولوجيا إلى بناء الأمن حسب التصميم، لضمان احتفاظهم بالقدرة على تحديد الأنشطة الضارة والإبلاغ عنها”. والأنشطة غير القانونية، مثل الاستغلال الجنسي للأطفال، والتصرف بشكل قانوني واستثنائي بناءً على سلطة قانونية.
تم اعتماد تفويض مماثل “للوصول القانوني” على التشفير من قبل المجلس الأوروبي في قرار صدر في ديسمبر 2020.
المسح من جانب العميل؟
لا يوضح إعلان رؤساء الشرطة الأوروبيين التقنيات التي يريدون أن تنشرها المنصات من أجل تمكين مسح CSAM وتطبيق القانون من إرسال المحتوى المشفر. ولكن على الأرجح، فهو شكل من أشكال تقنية المسح من جانب العميل الذي يضغطون من أجله – مثل النظام الذي كانت شركة Apple على وشك طرحه في عام 2021، لاكتشاف مواد الاعتداء الجنسي على الأطفال (CSAM) على أجهزة المستخدمين الخاصة، قبل ذلك. أجبرها رد الفعل العنيف على الخصوصية على تأجيل الخطة ثم إسقاطها بهدوء فيما بعد. (على الرغم من أن شركة Apple قامت بطرح مسح CSAM لصور iCloud.)
وفي الوقت نفسه، لا يزال لدى المشرعين في الاتحاد الأوروبي خطة تشريعية مثيرة للجدل لفحص رسائل الاعتداء الجنسي على الأطفال، مطروحة على الطاولة. حذر خبراء الخصوصية والقانون – بما في ذلك المشرف على حماية البيانات في الكتلة – من أن مشروع القانون يشكل تهديدًا وجوديًا للحريات الديمقراطية، فضلاً عن إحداث فوضى في الأمن السيبراني. يجادل منتقدو الخطة أيضًا بأنها نهج معيب لحماية الطفل، مما يشير إلى أنه من المحتمل أن يسبب ضررًا أكثر من نفعه من خلال توليد الكثير من النتائج الإيجابية الكاذبة.
وفي أكتوبر/تشرين الأول الماضي، عارض البرلمانيون اقتراح اللجنة، ودعموا نهجاً معدلاً بشكل كبير يهدف إلى الحد من نطاق ما يسمى “أوامر الكشف عن أسلحة الدمار الشامل”. لكن المجلس الأوروبي لم يتفق بعد على موقفه. لذا، يبقى أن نرى إلى أين سينتهي هذا التشريع المثير للجدل. حذرت العشرات من مجموعات المجتمع المدني وخبراء الخصوصية هذا الشهر من أن قانون “المراقبة الجماعية” المقترح لا يزال يمثل تهديدًا لـ E2EE. (في غضون ذلك، وافق المشرعون في الاتحاد الأوروبي على تمديد الاستثناء المؤقت من قواعد الخصوصية الإلكترونية الخاصة بالكتلة، والتي تسمح للمنصات بإجراء فحص طوعي لـ CSAM – ولكن من المفترض أن يحل القانون المخطط محله).
يشير توقيت الإعلان المشترك لرؤساء الشرطة الأوروبية إلى أنه يهدف إلى زيادة الضغط على المشرعين في الاتحاد الأوروبي للالتزام بخطة فحص CSAM على الرغم من المعارضة الشديدة من البرلمان. (ومن هنا يكتبون أيضًا: “إننا ندعو حكوماتنا الديمقراطية إلى وضع أطر توفر لنا المعلومات التي نحتاجها للحفاظ على سلامة شعوبنا”.)
لا يصف اقتراح الاتحاد الأوروبي بشكل خاص التقنيات التي يجب أن تستخدمها المنصات لفحص محتوى الرسائل للكشف عن CSAM أيضًا، لكن النقاد يحذرون من أنه من المحتمل أن يفرض اعتماد المسح من جانب العميل – على الرغم من أن التكنولوجيا الناشئة غير ناضجة وغير مثبتة وببساطة ليست جاهزة للاستخدام السائد. لقد رأوا ذلك، وهذا سبب آخر لدق ناقوس الخطر بصوت عالٍ.
لم يسأل روبنسون Biggar عما إذا كان رؤساء الشرطة يضغطون من أجل المسح من جانب العميل على وجه التحديد، لكنه سأل عما إذا كانوا يريدون تشفير Meta من “الباب الخلفي”. ومرة أخرى، كانت الإجابة غامضة.
“نحن لا يمكن أن نسميه بابًا خلفيًا – والكيفية التي يحدث بها بالضبط هي التي تحددها الصناعة. “إنهم الخبراء في هذا”، اعترض، دون أن يحدد بالضبط ما يريدون، كما لو أن العثور على طريقة للتحايل على التشفير القوي هو حالة بسيطة من التقنيين الذين يحتاجون إلى التعلم بشكل أكبر.
وضغط روبنسون المرتبك على رئيس شرطة المملكة المتحدة للتوضيح، مشيرًا إلى أن المعلومات إما مشفرة بقوة (وخاصة جدًا) أو أنها ليست كذلك. لكن بيجار ابتعدت أكثر عن هذه النقطة، حيث جادلت بأن “كل منصة تقع في نطاق واسع”، أي بين أمن المعلومات ورؤية المعلومات. وأشار إلى أنه “لا يوجد شيء تقريبًا في النهاية الآمنة تمامًا”. “العملاء لا يريدون ذلك لأسباب تتعلق بسهولة الاستخدام [such as] قدرتهم على استعادة بياناتهم إذا فقدوا هاتفًا.
“ما نقوله هو أن كونك مطلقًا على أي من الجانبين لا ينجح. بالطبع لا نريد أن يكون كل شيء مفتوحًا تمامًا. لكننا أيضًا لا نريد أن يكون كل شيء مغلقًا تمامًا. لذلك نريد من الشركة أن تجد طريقة للتأكد من قدرتها على توفير الأمن والتشفير للجمهور مع الاستمرار في تزويدنا بالمعلومات التي نحتاجها لحماية الجمهور.
عدم وجود تكنولوجيا السلامة
في السنوات الأخيرة، كانت وزارة الداخلية في المملكة المتحدة تروج لفكرة ما يسمى بـ “تقنية السلامة” التي من شأنها أن تسمح بمسح محتوى E2EE للكشف عن CSAM دون التأثير على خصوصية المستخدم. ومع ذلك، فقد أدى تحدي “تكنولوجيا السلامة” لعام 2021، في محاولة لتقديم دليل على مفاهيم مثل هذه التكنولوجيا، إلى نتائج سيئة للغاية لدرجة أن أستاذ الأمن السيبراني المعين لتقييم المشاريع بشكل مستقل، حذر عويس رشيد من جامعة بريستول العام الماضي. أن أيًا من التقنيات التي تم تطويرها لمواجهة هذا التحدي ليست مناسبة للغرض، وكتب: “يظهر تقييمنا أن الحلول قيد النظر ستضر بالخصوصية بشكل عام وليس لديها ضمانات مدمجة لوقف إعادة استخدام هذه التقنيات لمراقبة أي اتصالات شخصية.”
إذا كانت التكنولوجيا موجودة للسماح لإنفاذ القانون بالوصول إلى بيانات E2EE بشكل عادي دون الإضرار بخصوصية المستخدمين، كما يبدو أن Biggar يدعي، فإن أحد الأسئلة الأساسية للغاية هو لماذا لا تستطيع قوات الشرطة أن تشرح بالضبط ما تريد أن تنفذه المنصات؟ (تذكير: أشارت تقارير العام الماضي إلى أن وزراء الحكومة أقروا بشكل خاص بعدم وجود تقنية مسح E2EE الآمنة للخصوصية حاليًا.)
اتصلت TechCrunch بـ Meta للرد على تصريحات Biggar والإعلان المشترك الأوسع. في بيان أرسل عبر البريد الإلكتروني كرر المتحدث باسم الشركة دفاعها عن توسيع الوصول إلى E2EE، كتابة: “تعتمد الغالبية العظمى من البريطانيين بالفعل على التطبيقات التي تستخدمها التشفير لحمايتهم من المتسللين والمحتالين والمجرمين. لا نعتقد أن الناس يريدون منا أن نقرأ رسائلهم الخاصة، لذا فقد أمضينا السنوات الخمس الماضية في تطوير إجراءات أمان قوية لمنع إساءة الاستخدام واكتشافها ومكافحتها مع الحفاظ على الأمان عبر الإنترنت.
“لقد نشرنا مؤخرًا تقرير محدث جلسة خارج هذه التدابير، مثل منع الأشخاص الذين تزيد أعمارهم عن 19 عامًا من مراسلة المراهقين الذين لا يتابعونهم واستخدام التكنولوجيا لتحديد السلوك الضار واتخاذ الإجراءات اللازمة ضده. كما نحن لفافة خارج نهاية إلى نهاية تشفير
وقد نجت الشركة من سلسلة من المكالمات المماثلة من سلسلة من وزراء الداخلية في المملكة المتحدة على مدار عقد من الزمن في حكومات المحافظين. في سبتمبر الماضي فقط، حذرت وزيرة الداخلية، سويلا برافرمان، شركة ميتا من أنها يجب أن تنشر “تدابير أمان” غير محددة جنبًا إلى جنب مع E2EE – محذرة من أن الحكومة قد تستخدم الصلاحيات الواردة في مشروع قانون السلامة على الإنترنت (القانون الآن) لمعاقبة الشركة إذا فشلت في لعب الكرة.
عندما سأل روبنسون عما إذا كان بإمكان الحكومة (ويجب عليها) التصرف إذا لم تغير Meta مسارها بشأن E2EE، استشهد Biggar بقانون السلامة عبر الإنترنت وأشار إلى تشريع آخر (أقدم)، وهو قانون صلاحيات التحقيق التي تمكن المراقبة (IPA)، قائلاً: “يمكن للحكومة أن تتصرف، ويجب على الحكومة أن تتصرف، ولديها صلاحيات قوية بموجب قانون صلاحيات التحقيق وأيضًا قانون السلامة عبر الإنترنت للقيام بذلك”.
يمكن أن تكون العقوبات المفروضة على انتهاكات قانون السلامة عبر الإنترنت كبيرة – مع تمكين Ofcom من إصدار غرامات تصل إلى 10% من حجم المبيعات السنوية في جميع أنحاء العالم.
وفي خطوة أخرى تتعلق بأمن وخصوصية الأشخاص، تعمل الحكومة على تعزيز قانون IPA بمزيد من الصلاحيات التي تستهدف منصات المراسلة، بما في ذلك اشتراط قيام خدمات المراسلة بمسح ميزات الأمان مع وزارة الداخلية قبل إطلاقها.
أثارت الخطة المثيرة للجدل لتوسيع نطاق IPA قلقًا عبر صناعة التكنولوجيا في المملكة المتحدة – والتي أشارت إلى أن أمن المواطنين وخصوصيتهم سيتعرضان للخطر بسبب الإجراءات الإضافية. وفي الصيف الماضي، حذرت شركة آبل أيضًا من أنها قد تضطر إلى إغلاق الخدمات الرئيسية مثل iMessage وFaceTime في المملكة المتحدة إذا لم تقم الحكومة بإعادة التفكير في توسيع صلاحيات المراقبة.
هناك بعض المفارقة في حملة الضغط الأخيرة التي يقودها تطبيق القانون والتي تهدف إلى عرقلة مسيرة E2EE عبر الخدمات الرقمية السائدة والتي تعتمد على نداء من رؤساء الشرطة ضد الحجج الثنائية لصالح الخصوصية – نظرًا لأنه من المؤكد تقريبًا أنه لم يكن هناك المزيد من إشارات الاستخبارات المتاحة على الإطلاق لكي تقوم أجهزة إنفاذ القانون والأمن بتغطية تحقيقاتها، حتى مع الأخذ في الاعتبار ظهور E2EE. لذا فإن فكرة أن تحسين أمان الويب سيؤدي فجأة إلى نهاية جهود حماية الأطفال هي في حد ذاتها ادعاء ثنائي واضح.
ومع ذلك، لن يفاجأ أي شخص مطلع على حروب العملات الرقمية التي استمرت لعقود طويلة برؤية مناشدات المعايير المزدوجة يتم نشرها في محاولة لإضعاف الأمن عبر الإنترنت، لأن هذه هي الطريقة التي تُشن بها هذه الحرب الدعائية دائمًا.