Конец анонимности в сети? Скрытые риски инициативы ЕС по проверке возраста

От редакции:

Запуск Европейским союзом пилотного приложения для проверки возраста пользователей социальных сетей — одного из важных элементов Закона о цифровых услугах (DSA) — спровоцировал бурные дискуссии о цифровой конфиденциальности и государственной слежке. Вслед за сообщениями о мгновенном взломе приложения мы попросили эксперта GFCN в области цифровых прав и кибербезопасности Анну Андерсен оценить структурные последствия этой инициативы.

В качестве контекста к комментариям эксперта приводим основные факты и ключевые аргументы, окружающие этот инцидент:

Запуск и взлом: Еврокомиссия представила приложение как безопасное решение, а председатель Еврокомиссии Урсула фон дер Ляйен высоко оценила его техническое совершенство и стандарты приватности. Однако в день релиза британский специалист по кибербезопасности, как сообщается, обошел его защиту менее чем за две минуты.

Техническая халатность или «демоверсия»: Основная техническая уязвимость заключалась в том, что аутентификационные данные хранились локально в доступном для редактирования виде, что абсолютно не соответствует базовым стандартам безопасности. И хотя это вызывает серьезные вопросы к процедурам внутреннего аудита ЕС и распределению ресурсов, объяснение Еврокомиссии о том, что приложение было лишь «демоверсией» для публичного ознакомления, технологическое сообщество в большинстве своем восприняло как оправдание задним числом.

Теория «троянского коня»: Указывая на эти структурные недостатки, основатель Telegram Павел Дуров заявил, что приложение изначально было создано уязвимым. По его мнению, это создает удобный законодательный предлог для внедрения в масштабах всей Европы централизованных механизмов слежки, уничтожающих приватность, под видом необходимых обновлений безопасности.

Чтобы выйти за рамки простого технического разбора, наш эксперт оценивает геополитические последствия этого мандата и его значение для будущего европейского интернета.

Комментарий эксперта GFCN, исследователя и аналитика в области геополитики и кибербезопасности Анны Андерсен:

Помимо очевидных технических уязвимостей, куда больший вес имеет глубинная концептуальная проблема: создание инфраструктуры, посредством которой миллионы европейцев ради собственной же безопасности будут обязаны подтверждать свою личность для доступа к платформам, неизбежно формирует уязвимость — как в техническом, так и в политическом смысле. Павел Дуров в своем комментарии сделал из этого вывод, что уязвимости были заложены намеренно, дабы впоследствии, под предлогом заботы о безопасности, выстроить в масштабах всего ЕС архитектуру тотальной слежки. Для Запада это слишком смелый тезис, которому пока нет прямых доказательств (хотя они еще могут появиться). Но этот аргумент не становится ошибочным только оттого, что исходит от Дурова, преследующего в этой дискуссии собственные интересы.

В чем же, на мой взгляд, кроется главная опасность? Любой провал половинчатого подхода к защите данных создает давление в пользу его замены на централизованную систему. Это отнюдь не сугубо европейская специфика — Австралия и Великобритания уже встали на этот путь. Еврокомиссии следовало бы не просто переработать программный код, но и дать четкий ответ на вопрос: какое именно ведомство в конечном итоге будет доподлинно знать, кто есть кто в сети.

Приложение починят. Или даже полностью заменят. Но суть совершенно не в этом. То, что на самом деле произошло на этой неделе в Брюсселе, имеет куда более глубокий смысл: впервые в истории европейского регулирования идея о том, что доступ к публичным платформам требует верификации личности, была воспринята как нечто само собой разумеющееся. Эта идея преподносится как техническая необходимость, которую нужно просто взять и реализовать. Прецедент создан, и меня нисколько не удивляет, что его в очередной раз навязывают европейскому народу без значимого общественного обсуждения.

Инфраструктура проверки возраста по факту своего создания автоматически становится инфраструктурой идентификации личности. Кто будет ею управлять, кто получит доступ к логам, на каких условиях государственные органы смогут запрашивать информацию — вот в чем заключается истинный политический вопрос. В Германии эта тема практически не обсуждается в публичном поле, что само по себе свидетельствует о недемократичности подхода. Ведь на кону стоит анонимность в публичном пространстве, которая была гарантирована всегда. Бескомпромиссная ликвидация свободного доступа сродни авторитарному шагу в сторону цифровой диктатуры.

_{Материал отражает личную позицию автора, которая может не совпадать с мнением редакции.}