Még életbe sem lépett a GDPR (General Data Protection Regulation), de egymást érik az újabbnál újabb uniós kibervédelmi tervezetek. Miután alig egy hete elkészült az Európai Bizottság javaslata, amely megkönnyítené a nyomozó hatóságoknak, hogy akár más EU-s tagállamból is hozzájussanak digitális adatokhoz, előkerült egy újabb javaslat, ami viszont épp hogy ezt nehezítené.
Az Engadget fedezte fel azt az Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottsága által jegyzett javaslatot (pdf), amely kötelezővé tenné, hogy végpontok közötti titkosítással kelljen védeni a személyes adatokat. Az pedig kifejezetten megtiltaná, hogy a hatóságok kikényszeríthessék hátsó kapuk építését a titkosítási megoldásokba.
Az államok szeretnek mindent látni
Ha az elmúlt évek történéseit nézzük, nagyon is időszerű lenne EU-s szinten szabályozni a kérdést. Bő egy éve Magyarországon is felröppentek olyan hírek, hogy a Belügyminisztérium olyan terrorellenes javaslatcsomagot dolgozott ki, amely büntető törvénykönyvi tényállássá tenné, ha valaki titkosított kommunikációt biztosító szolgáltatást vesz igénybe.
A britek konkrét lépéseket is tettek – idézi fel az Engadget. Tavaly ősszel fogadták azt a törvényt (Investigatory Powers Act), amelynek értelmében a cégeknek lehetőség szerint el kell távolítani az elektronikus védelmet, ha a hatóságoknak egy nyomozás érdekében hozzá kell férniük titkosított adatokhoz. Az USA-ban tavaly két szenátor nyújtott be egy törvényjavaslat volt, amely kötelezte volna az amerikai cégeket backdoor beépítésére a titkosításokba.
Bár ezek a javaslatok végül elbuktak – a britekét , láthatólag erős igény lenne arra, hogy valamilyen módon a hatóságok teljes hozzáférést kapjanak az állampolgárok elektronikus kommunikációjához.
A mostani EU-s javaslat egyértelművé teszi, hogy a titkosítás jó, mert garantálja az uniós polgárok személyes adataihoz fűződő jogait. A beépített backdoorok pedig egyértelmű biztonsági kockázatot jelentenek.
A backdoor az állam kezében is veszélyes
A biztonsági kockázatot az sem enyhíti, ha a backdoorhoz csak az állami szervek férnek hozzá. Egyrészt transzparencia hiányában nincs garancia arra, hogy ezt az eszközt csak jóra használják, másrészt ha létezik biztonsági rés, azt bármikor megtalálhatják kiberbűnözők is. Jól mutatja ezt a WannaCry esete, amely egy olyan windowsos hibára épült, amit az NSA fedezett fel, és valószínűleg használt is – és bölcsen elfelejtette értesíteni óla a Microsoftot.
Bár hosszú az út, amíg az Európai Parlament javaslatából EU-s szintű szabályozás lesz, és addig még sokat puhulhat a szöveg, a tervezet miatt adatvédelmi téren komoly konfliktusai lehetnek az EU-nak azokkal az országokkal, melyek nagyon mást gondolnak az adatvédelemről. Első helyen mindjárt itt van az Egyesült Államok és az Unióból távozni készülő Nagy-Britannia.
A nemzetközi politikai színtéren is folyó vita ugyanakkor közel sem csak az államok túlhatalmáról szól. Sokkal inkább a magánélet védelme és a biztonság iránti igény közötti, egyre nehezebben megteremthető egyensúlyról. Ez a vita több éve tart, és hol a biztonság, hol a magánélet védelme kerekedik felül. Az USA-ban például egy évvel azután, hogy elbukott a backdoor beépítésére vonatkozó javaslat, a szenátusban engedélyezték a titkosított kommunikációt biztosító nyílt forráskódú Signal alkalmazást az ott dolgozóknak.
A IT-biztonsági szakértők többséges abban egyetért, hogy a titkosítás tiltása nem alkalmas a biztonság növelésére, sőt veszélyes.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak