Żyjemy w czasach bezprecedensowej erozji prywatności. Sami się do tego doprowadziliśmy. Nosimy smartfony, które mogą w czasie rzeczywistym informować o tym, gdzie jesteśmy i co robimy, wypełniamy nasze domy aparatami i mikrofonami, które technologicznie przewyższają sprzęty niedawno jeszcze służące do szpiegowania.

Zmieniają się również kulturowe podejście do własnej prywatności. W pogoni za podpompowaniem własnej wartości coraz więcej osób bezrefleksyjnie udostępnia o sobie wrażliwe informacje (bo w końcu co to za wakacje, o których nie wie cały Świat).

Zostawiamy po sobie cyfrowe ślady, jak rolnik ślady gumowca w świeżo zaoranej bruździe kompostu. Właściwie nie wiadomo, dlaczego rolnik orał kompost, ale to właśnie jego sprawa i wypytywanie o to musimy potraktować jako naruszenie jego niezbywalnego prawa do orania czegokolwiek.

Ale nie o tym, nie o tym, jak mawiał klasyk. Celem tego artykułu jest zastanowienie się nad dyskusją w podejściu rządów (bez wskazywania jakich) do szyfrowania komunikacji. Być może ostatniego bastionu prywatności na jaki pozwalają nam media społecznościowe.


Szyfrowanie komunikacji. Czy służby będą czytać nasze wiadomości?

Portal ZDnet.com w poście z dnia 18.08 br. cytuje nową brytyjską minister Priti Patel, która niedawno skrytykowała stosowanie kompleksowego szyfrowania przez serwisy komunikacyjne, takie jak Messanger na Facebooku:
„Tam, gdzie systemy są celowo projektowane przy użyciu kompleksowego szyfrowania, uniemożliwiającego dostęp do treści w dowolnej formie, bez względu na możliwe przestępstwa, musimy działać” – powiedziała.
„To nie jest abstrakcyjna debata: niedawno ogłoszony plan Facebooka, aby stosować kompleksowe szyfrowanie na swoich platformach komunikacyjnych, stanowi poważne wyzwanie, nad którym musimy wspólnie pracować, aby je rozwiązać”, dodała Patel.
Patel nie wskazała, jak postąpi rząd, poza tym, że poprosiła Facebooka i inne firmy technologiczne, by „pilnie z nami współpracowały przy szczegółowych dyskusjach”.

Na odpowiedź członkini gabinetu cieni z Partii Pracy Diane Abbott, nie trzeba było długo czekać: „Nowa minister powtarza błędy niektórych swoich poprzedników. Wydaje się, że nie rozumie, że ogólny dostęp do szyfrowanej komunikacji przez policję i służby bezpieczeństwa, skutecznie skończyłby tę komunikację, ponieważ nie można im zaufać.”(…)
„Wiemy, że rządowi nie podobają się dowody, ale naprawdę muszą zrozumieć, że tylko ukierunkowany, zatwierdzony przez sąd dostęp organów ścigania i innych agencji będzie działał. Jeśli zostanie utrzymana linia minister, przestępcy i terroryści mogą po prostu zejść pod ziemię, a cała reszta z nas straci prawo do prywatności”.

Te dwa stanowiska nie są niczym odmiennym w debatach w innych krajach. Strona rządowa nalega na obniżanie progu prywatności opozycja się temu sprzeciwia. Inaczej podchodzą do tego firmy technologiczne. Obniżanie poziomu tajności jest dla nich tożsame z zamknięciem usługi. Niewiele osób chce korzystać z usługi kryptograficznej opisanej jako „usługa szyfrowania wiadomości, które mogą czytać policjanci”.
Poza tym jest kwestia techniczna, polegająca na tym, że te firmy zaprojektowały swoje systemy z myślą o kompleksowym szyfrowaniu. Złamanie tego modelu na żądanie jednego lub dwóch krajów byłoby niezwykle kosztowne i osłabiłoby bezpieczeństwo wszystkich użytkowników na całym Świecie.
Dodatkowo zaprzestanie korzystania z zaszyfrowanych wiadomości typu end-to-end wymagałoby surowych przepisów przede wszystkim w Stanach Zjednoczonych (które mają mikroskopijny entuzjazm dla takiego posunięcia) oraz w Europie. A dopiero potem w Polsce.

Jednocześnie tendencja w publikowanych aktach prawnych wskazuje kryptografie jako środek zabezpieczający w prowadzonej działalności. Np. w Ustawie o ochronie informacji niejawnych wskazuje się zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej. Jeśli nasz biznes związany jest z przetwarzaniem tego rodzaju informacji, do ich ochrony musimy stosować metody kryptograficzne w zależności od klauzuli przesyłanych/przechowywanych informacji (zastrzeżone, poufne, tajne, ściśle tajne – tzw. informacje klasyfikowane). Moc kryptograficzna przy przesyłaniu danych niejawnych powinna być tym większa, im wyższe są klauzule tajności danych przesyłanych przez sieć systemu teleinformatycznego. Dla dokumentów „tajnych” i „ściśle tajnych” należy stosować rozwiązania sprzętowe, gwarantujące ochronę algorytmów i kluczy kryptograficznych.

Art. 32 Rozporządzenia o ochronie danych osobowych (tzw. RODO) stwierdza, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.


Z kolei art. 34 RODO zawiera zalecenia dot. zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych:
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Jednakże dalej w tym samym artykule dowiadujemy się, że: Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;


Stąd reasumując, jeżeli do tej pory służby nie czytają naszych wiadomości to czytać raczej nie będą. Jednocześnie rola kryptografii i szyfrowania w komunikacji biznesowej będzie rosła. A Państwo, mimo że będzie miało zakusy na czytanie naszych rozmów raczej skazane będzie na wzmacnianie roli komunikacji szyfrowanej poprzez przepisy w aktach prawnych.

Podziel się z innymi tym artykułem!