حذر المئات من خبراء الأمن والخصوصية في رسالة مفتوحة يوم الخميس من أن الدفع المثير للجدل من قبل مشرعي الاتحاد الأوروبي لمطالبة منصات المراسلة قانونًا بفحص الاتصالات الخاصة للمواطنين بحثًا عن مواد الاعتداء الجنسي على الأطفال (CSAM) قد يؤدي إلى ملايين النتائج الإيجابية الكاذبة يوميًا.
تزايد القلق بشأن اقتراح الاتحاد الأوروبي منذ أن اقترحت المفوضية خطة مسح CSAM قبل عامين – مع وجود خبراء مستقلين ومشرعين في جميع أنحاء البرلمان الأوروبي وحتى مشرف حماية البيانات في الكتلة من بين أولئك الذين أطلقوا ناقوس الخطر.
لن يتطلب اقتراح الاتحاد الأوروبي فقط من منصات المراسلة التي تتلقى أمر اكتشاف CSAM للبحث عنها معروف CSAM؛ سيتعين عليهم أيضًا استخدام تقنيات مسح الكشف غير المحددة لمحاولة التقاط CSAM غير المعروف وتحديد نشاط الاستمالة أثناء حدوثه – مما يؤدي إلى اتهامات للمشرعين بالانغماس في مستويات التفكير السحري للحلول التقنية.
ويقول النقاد إن الاقتراح يطلب المستحيل من الناحية التكنولوجية ولن يحقق الهدف المعلن المتمثل في حماية الأطفال من سوء المعاملة. وبدلاً من ذلك، يقولون، إنها ستحدث فوضى في أمن الإنترنت وخصوصية مستخدمي الويب من خلال إجبار المنصات على نشر مراقبة شاملة لجميع مستخدميها في نشر تقنيات محفوفة بالمخاطر وغير مثبتة، مثل المسح من جانب العميل.
ويقول الخبراء إنه لا توجد تكنولوجيا قادرة على تحقيق ما يطلبه القانون دون التسبب في ضرر أكبر بكثير من نفعه. ومع ذلك فإن الاتحاد الأوروبي يواصل العمل بغض النظر عن ذلك.
تتناول الرسالة المفتوحة الأخيرة التعديلات على مسودة لائحة فحص CSAM التي اقترحها المجلس الأوروبي مؤخرًا والتي يقول الموقعون إنها فشلت في معالجة العيوب الأساسية في الخطة.
من بين الموقعين على الرسالة – الذين بلغ عددهم 270 وقت كتابة هذا التقرير – مئات الأكاديميين، بما في ذلك خبراء أمنيون معروفون مثل البروفيسور بروس شناير من كلية هارفارد كينيدي والدكتور ماثيو د. جرين من جامعة جونز هوبكنز، إلى جانب حفنة من الأشخاص. الباحثون العاملون في شركات التكنولوجيا مثل IBM وIntel وMicrosoft.
وحذرت رسالة مفتوحة سابقة (في يوليو/تموز الماضي)، وقعها 465 أكاديميا، من أن تقنيات الكشف التي يعتمد اقتراح التشريع على إجبار المنصات على اعتمادها “معيبة للغاية وعرضة للهجمات”، وستؤدي إلى إضعاف كبير لوسائل الحماية الحيوية التي يوفرها اتصالات مشفرة من طرف إلى طرف (E2EE).
القليل من الجر للمقترحات المضادة
في الخريف الماضي، اتحد أعضاء البرلمان الأوروبي في البرلمان الأوروبي للرد من خلال نهج منقح بشكل كبير – والذي من شأنه أن يقصر المسح على الأفراد والجماعات المشتبه بهم بالفعل في الاعتداء الجنسي على الأطفال؛ وقصره على CSAM المعروفة وغير المعروفة، وإزالة متطلبات المسح من أجل الاستمالة؛ وإزالة أي مخاطر على E2EE عن طريق قصرها على الأنظمة الأساسية غير المشفرة من طرف إلى طرف. لكن المجلس الأوروبي، الهيئة التشريعية الأخرى المشاركة في وضع قوانين الاتحاد الأوروبي، لم يتخذ بعد موقفا بشأن هذه المسألة، وسيؤثر مكان وصوله على الشكل النهائي للقانون.
وقد طرحت رئاسة المجلس البلجيكي التعديل الأخير على الطاولة في شهر مارس/آذار، والذي يقود المناقشات نيابة عن ممثلي حكومات الدول الأعضاء في الاتحاد الأوروبي. لكن في الرسالة المفتوحة، حذر الخبراء من أن هذا الاقتراح لا يزال يفشل في معالجة العيوب الأساسية الكامنة في نهج المفوضية، قائلين إن المراجعات لا تزال قائمة. يخلق “قدرات غير مسبوقة للمراقبة والسيطرة على مستخدمي الإنترنت” ومن شأنها أن “تقوض… أ مستقبل رقمي آمن لمجتمعنا ويمكن أن يكون له عواقب وخيمة على العمليات الديمقراطية في أوروبا وخارجها.
تتضمن التعديلات المطروحة للمناقشة في اقتراح المجلس المعدل اقتراحًا بأن أوامر الكشف يمكن أن تكون أكثر استهدافًا من خلال تطبيق تصنيف المخاطر وتدابير تخفيف المخاطر؛ ويمكن حماية الأمن السيبراني والتشفير من خلال ضمان عدم إلزام المنصات بتوفير الوصول إلى البيانات التي تم فك تشفيرها ومن خلال فحص تقنيات الكشف. لكن الخبراء الـ 270 يشيرون إلى أن هذا يرقى إلى مستوى العبث على حافة كارثة الأمن والخصوصية.
ويحذرون من أنه “من الناحية الفنية، لكي يكون هذا الاقتراح الجديد فعالا، فإنه سيقوض تماما أمن الاتصالات والأنظمة”. في حين أن الاعتماد على “تكنولوجيا الكشف المعيبة” لتحديد الحالات ذات الاهتمام من أجل إرسال المزيد من أوامر الكشف المستهدفة لن يقلل من خطر القانون الذي يبشر بعصر بائس من “المراقبة واسعة النطاق” لرسائل مستخدمي الويب، في حياتهم. تحليل.
تتناول الرسالة أيضًا اقتراحًا مقدمًا من المجلس للحد من مخاطر الإيجابيات الكاذبة من خلال تعريف “الشخص محل الاهتمام” على أنه المستخدم الذي شارك بالفعل مواد الاعتداء الجنسي على الأطفال أو حاول تهيئة طفل – وهو ما من المتوقع أن يتم من خلال تقييم آلي؛ مثل انتظار نتيجة واحدة لـ CSAM معروفة أو 2 لـ CSAM/استمالة غير معروفة قبل أن يتم اكتشاف المستخدم رسميًا كمشتبه به وإبلاغه إلى مركز الاتحاد الأوروبي، الذي سيتعامل مع تقارير CSAM.
مليارات المستخدمين وملايين النتائج الإيجابية الكاذبة
ويحذر الخبراء من أن هذا النهج لا يزال من المرجح أن يؤدي إلى أعداد كبيرة من الإنذارات الكاذبة.
“من غير المرجح أن يتم تقليل عدد النتائج الإيجابية الكاذبة بسبب أخطاء الكشف بشكل كبير ما لم يكن عدد التكرارات كبيرًا جدًا بحيث يتوقف الكشف عن فعاليته. ونظرًا للكمية الكبيرة من الرسائل المرسلة في هذه المنصات (في حدود المليارات)، يمكن للمرء أن يتوقع قدرًا كبيرًا جدًا من الإنذارات الكاذبة (في حدود الملايين)”، مشيرين إلى أنه من المحتمل أن ينتهي الأمر بالمنصات إلى الصفع مع أمر الكشف يمكن أن يكون لديه الملايين أو حتى المليارات من المستخدمين، مثل WhatsApp المملوك لشركة Meta.
“نظرًا لعدم وجود أي معلومات عامة حول أداء أجهزة الكشف التي يمكن استخدامها عمليًا، فلنتخيل أنه سيكون لدينا كاشف لـ CSAM والاستمالة، كما هو مذكور في الاقتراح، بمعدل إيجابي كاذب بنسبة 0.1% فقط (أي مرة واحدة في الألف، يتم تصنيف غير CSAM بشكل غير صحيح على أنه CSAM)، وهو أقل بكثير من أي كاشف معروف حاليًا.
“بالنظر إلى أن مستخدمي WhatsApp يرسلون 140 مليار رسالة يوميًا، حتى لو كانت رسالة واحدة فقط من كل مائة رسالة تم اختبارها بواسطة أجهزة الكشف هذه، فسيكون هناك 1.4 مليون رسالة إيجابية كاذبة كل يوم. للوصول إلى الإيجابيات الكاذبة إلى المئات، يجب على المرء إحصائيًا تحديد 5 تكرارات على الأقل باستخدام صور أو أجهزة كشف مختلفة ومستقلة إحصائيًا. وهذا ينطبق فقط على WhatsApp، إذا أخذنا في الاعتبار منصات المراسلة الأخرى، بما في ذلك البريد الإلكتروني، فإن عدد التكرارات اللازمة سينمو بشكل كبير إلى درجة عدم تقليل قدرات مشاركة CSAM بشكل فعال.
اقتراح آخر للمجلس بقصر أوامر الكشف على تطبيقات المراسلة التي تعتبر “عالية الخطورة” هو مراجعة عديمة الفائدة، من وجهة نظر الموقعين، حيث يجادلون بأنه من المحتمل أن يظل “يؤثر بشكل عشوائي على عدد كبير من الأشخاص”. يشيرون هنا إلى أن الميزات القياسية فقط، مثل مشاركة الصور والدردشة النصية، هي المطلوبة لتبادل CSAM – وهي ميزات مدعومة على نطاق واسع من قبل العديد من مقدمي الخدمات، مما يعني أن التصنيف عالي المخاطر “سيؤثر بلا شك على العديد من الخدمات”.
ويشيرون أيضًا إلى أن اعتماد E2EE آخذ في الازدياد، وهو ما يقترحون أنه سيزيد من احتمالية تصنيف الخدمات التي يتم طرحها على أنها عالية المخاطر. “قد يزداد هذا الرقم بشكل أكبر مع متطلبات التشغيل البيني التي قدمها قانون الأسواق الرقمية والتي ستؤدي إلى تدفق الرسائل بين الخدمات منخفضة المخاطر وعالية المخاطر. ونتيجة لذلك، يمكن تصنيف جميع الخدمات تقريبًا على أنها عالية المخاطر. (ملحوظة: تعد إمكانية التشغيل البيني للرسائل من الركائز الأساسية لـ DMA في الاتحاد الأوروبي.)
باب خلفي للباب الخلفي
أما بالنسبة لحماية التشفير، فإن الرسالة تكرر الرسالة التي مفادها أن خبراء الأمن والخصوصية ظلوا يصرخون بشكل متكرر في وجه المشرعين لسنوات حتى الآن: “إن الكشف في الخدمات المشفرة الشاملة بحكم تعريفه يقوض حماية التشفير”.
“أحد أهداف الاقتراح الجديد هو “حماية الأمن السيبراني والبيانات المشفرة، مع الحفاظ على الخدمات التي تستخدم التشفير الشامل ضمن نطاق أوامر الكشف”. وكما أوضحنا من قبل، فإن هذا تناقض لفظي. “إن الحماية التي يوفرها التشفير من طرف إلى طرف تعني أنه لا ينبغي لأي شخص آخر غير المتلقي المقصود للاتصال أن يكون قادرًا على معرفة أي معلومات حول محتوى هذا الاتصال. تمكين إمكانيات الكشف سواء للبيانات المشفرة أو للبيانات قبل تشفيرها. ينتهك تعريف السرية الذي يوفره التشفير الشامل“.
في الأسابيع الأخيرة، صاغ رؤساء الشرطة في جميع أنحاء أوروبا بيانهم المشترك – مما أثار مخاوف بشأن توسع E2EE ودعوا المنصات لتصميم أنظمتها الأمنية بطريقة تمكنها من تحديد الأنشطة غير القانونية وإرسال تقارير حول محتوى الرسائل إلى سلطات إنفاذ القانون. .
يُنظر إلى التدخل على نطاق واسع على أنه محاولة للضغط على المشرعين لتمرير قوانين مثل لائحة فحص CSAM.
ينفي رؤساء الشرطة أنهم يدعون إلى فتح باب خلفي للتشفير، لكنهم لم يوضحوا بالضبط ما هي الحلول التقنية التي يريدون أن تعتمدها المنصات لتمكين “الوصول القانوني” المطلوب. إن تربيع تلك الدائرة يعيد الكرة ذات الشكل المتزعزع إلى ملعب المشرعين.
إذا استمر الاتحاد الأوروبي على الطريق الحالي – على افتراض فشل المجلس في تغيير مساره، كما حثه أعضاء البرلمان الأوروبي – فإن العواقب ستكون “كارثية”، كما حذر الموقعون على الرسالة. “إنه يشكل سابقة لتصفية الإنترنت، ويمنع الأشخاص من استخدام بعض الأدوات القليلة المتاحة لحماية حقهم في الحياة الخاصة في الفضاء الرقمي؛ وسيكون له تأثير مخيف، وخاصة على المراهقين الذين يعتمدون بشكل كبير على الخدمات عبر الإنترنت في تفاعلاتهم. وسوف يغير كيفية استخدام الخدمات الرقمية في جميع أنحاء العالم، ومن المرجح أن يؤثر سلبًا على الديمقراطيات في جميع أنحاء العالم.
لم يتمكن مصدر من الاتحاد الأوروبي مقرب من المجلس من تقديم نظرة ثاقبة حول المناقشات الحالية بين الدول الأعضاء، لكنه أشار إلى وجود اجتماع لفريق العمل في 8 مايو حيث أكدوا أنه سيتم مناقشة الاقتراح الخاص بلائحة مكافحة الاعتداء الجنسي على الأطفال.
