Интересът към една много чувствителна дигитална тема набира скорост в последните седмици – т.нар. „чат контрол“ – проект на регламент на ЕС, с който всяко съобщение, което изпращаме, дори с криптирани приложения, ще бъде сканирано за материали, съдържащи сексуална експлоатация на деца (т.нар. CSAM).
Ще направя дълга ретроспекция и обяснение на техническите проблеми, но преди това трябва да заявя, че позицията и на позицията и на Да, България, и на колегите в коалиция е, че не трябва да бъдат реализирани инвазивни мерки спрямо личната кореспондеция, които създават предпоставки за масовото ѝ следене, и съответно предложението и в оригиналния му вид, и във вида, в който датското председателство го вижда, е неприемливо.
Дори без текстовете за криптираните приложение, регламентът прави сериозни крачки към повишаване на ефективността на борбата с разпространението на CSAM, така че в предстоящо заседание на Съвета на ЕС през есента, горещият въпрос ще бъде именно криптираните приложения – по останалото по-скоро има консенсус, защото е безспорно, че трябва по-сериозно и ефективно противодействие на такива престъпления. Затова останалите текстове в регламента трябва да бъдат подкрепени.
Първоначално това предложение включваше възможност за изпращане на снимките централно към европейско звено за тяхното сканиране. Това беше посрещнато с бурно неодобрение, тъй като на практика елиминира криптирането от край до край – ако всяко съобщение, съдържащо снимка или линк бъде изпращано някъде, това на практика елиминира криптирането.
Затова при предходно председателство на Съвета на ЕС имаше работно предложение за ограничаване на тази мярка само до вече известно съдържание (CSAM) и сканирането на да се извършва само на устройството, преди криптиране, без да се изпраща никъде. Това на пръв поглед звучеше по-разумно, защото отдалечаваше предложението от масовото следене. Дори, на пръв поглед, изглеждаше, че може да се приложи и изкуствен интелект на самото устройство. Тогава направих такова допускане, с уговорката за внимателен анализ.
Само че, когато човек направи такъв внимателен анализ, става ясно, че и това е едновременно и опасно, и не особено полезно за постигане на целта. Ще изредя няколко детайла:
1. Организираните престъпни групи, които се занимават с разпространение на CSAM, просто ще започнат да използват свои приложения, които, благодарение на друг регламент на ЕС (DMA) ще могат да заредят в телефоните си, без те да отговарят на новите изисквания. Т.е. защитата на личната кореспонденция на обикновените хора ще бъде отслабена и ще бъдат създадени рискове за масово наблюдение и злоупотреби, а престъпните групи ще го заобикалят.
2. В момента няма технология, с която по работещ начин да се реализира желанието на датското председателство и на ЕК – алгоритмните за т.нар. perceptual hashing не са правени с цел защита от злонамерени модификации, т.е. с малко визуални ефекти и трансформации на снимките, те ще останат неразпознати. Също така, както тези алгоритми, така и моделите за изкуствен интелект, които биха работили на крайните устройства, дават фалшиво-позитивни резултати, което рискува наводняване на правоохранителните органи с напълно законни снимки. За да може да бъде въведена регулаторно такава технология, тя трябва да отговаря на всички тези (и други) предизвикателства – нямаме право затворени, експериментални технологии да бъдат част от нормативната уредба, още повече, когато се засягат основни конституционни права.
3. Технологията (ако евентуално някой ден бъде създадена достатъчно добра такава) трябва да е с отворен код, а ако ползва AI – да е с отворен модел и много ясен и прозрачен процес за одит на данните за трениране. Също така, централната база данни трябва да е обект на много строги процедури за подаване и проверка на съдържание, защото в противен случай държава членка с ниско ниво на върховенство на правото може да подава и друго съдържание, вкл. политическо такова, което иска да следи и цензурира. Примерът от миналото лято със свалянето на сатиричния сайт на „Ново начало“ е само индикация за това как може да се злоупотребява. Припомням, че тогава сайтът се появи в списъци на компании за киберсигурност като „съдържание за възрастни“ и беше блокирано в мрежи, където софтуер на тези компании беше инсталиран – тогава това вероятно беше направено от частни подизпълнители на Пеевски, но разлика в подхода няма.
Това са само част от аргументите защо предложението е недообмислено. Нужен е много по-дълъг дебат по темата и много повече научни статии, изследващи и развиващи технологичната готовност за такива подходи. Добрата новина е, че много държави все още се колебаят, а сред тях е Германия, и съответно няма мнозинство в Съвета, а мандатът на Европейския парламент е срещу такъв тип инвазивни промени.
Когато има легитимна критика към ЕС, тя е, че такъв тип регулации са възможни. Но отговорът на тази критика е, че явно държавите-членки държат на гаранциите за лична свобода и че в сериозен дебат в рамките на целия Европейски съюз могат да бъдат спирани оруеловските мерки и да бъдат намирани работещи решения вместо добре звучащи, но неработещи технологични регулации.
Един цитат от Wikipedia, статията „The road to hell is paved with good intentions“: „In the Discworld novel Eric by Terry Pratchett, as the wizard Rincewind and teenaged demonologist Eric Thursley escape Pandemonium, they notice that the individual cobbles on the Road to Hell have good intentions written on them. These included „for the good of the kids“, „I meant it for the best“ and „we are equal opportunities employers“.“
В последните години ставаме свидетели на нарастваща тенденция международни организирани престъпни групи (ОПГ) целенасочено да използват криптирани приложения за комуникация, които им осигуряват пълна анонимност и недостъпност от страна на разследващите органи. Такива платформи не се използват от обикновените граждани, а служат почти изцяло за координация на престъпна дейност – трафик на наркотици, търговия с оръжие, пране на пари и други тежки престъпления.
Ясен пример за това са криптираните платформи EncroChat и Sky ECC, които бяха разкрити и неутрализирани от европейските правоохранителни органи през последните години. EncroChat беше използвана почти изключително от престъпни среди – над 100 000 потребители, повечето от които свързани с тежка организирана престъпност. След нейното разбиване през 2020 г., бяха предотвратени десетки престъпления, включително отвличания и убийства, а разследванията, започнали на база получената информация, доведоха до стотици арести и конфискации на наркотици, оръжие и пари в брой.
По сходен начин, Sky ECC – друга криптирана комуникационна платформа, рекламирана като напълно „непроницаема“ за властите – също беше използвана почти изцяло за престъпни цели. Разследване през 2021 г., ръководено от европейски служби, показа, че 90% от потребителите на приложението са свързани с международни ОПГ. След успешното ѝ компрометиране, властите придобиха достъп до милиони съобщения, разкриващи мащабна престъпна дейност, включително трафик на наркотици, пране на пари и насилие.
Тези примери ясно показват, че определени криптирани приложения не се използват от гражданите за защита на личната си кореспонденция, а представляват инструменти, съзнателно разработени и разпространявани за нуждите на престъпността.
Невъзможността на правоохранителните органи да имат достъп до такава криптирана кореспонденция сериозно ограничава техния капацитет да разследват, предотвратяват и неутрализират заплахи от международни ОПГ. Когато разследващите нямат техническа възможност да влязат в комуникационните канали на престъпниците, те на практика са с вързани ръце.
Разбира се, подобен контрол върху криптираните приложения трябва да бъде строго регламентиран и ограничен единствено до случаи, изрично предвидени в закона – като разследване на тероризъм, организирана престъпност или други тежки престъпления. Същевременно трябва да се изградят ефективни механизми за гарантиране на личната неприкосновеност и защита на обикновените граждани от незаконен достъп до комуникацията им.
Не разбрах само кое от изброените от Анонимен касаеше декларираните намерения за промените, които се опитват да наложат данайците, пардон, датчаните.
Господин Божанов, налазиха Ви Анонимни ботове, май. Това предполага ресурси от стройна организация.
Г-н Христов,
Предложенията на датчаните в сферата на борбата с детската сексуална експлоатация на деца, опосредена от приложенията за криптирана комуникация, е част от много по-голяма тема – част от нея засегнат по-горе. Държа да отбележа, че не съм част от никаква организация, а изразявам лично мнение в качеството на индивид, добре запознат с процеси, които не са толкова видни за широката общественост.
Бъдете здрав.
Здравейте, Анонимен,
Благодаря за пожеланието!
Да разбирам ли, че смятате, че правата Ви на гражданин са по-застрашени от организираната престъпност, отколкото от злоупотребата на държавата с власт? За себе си не мога да отговоря еднозначно. Защото смятам, че обременяването ми с данъци и вкарването на държавата във все по-големи дългове е до голяма степен от полза на злоупотребяващите с власт и това ни вкарва в ситуация, в която те ще се налага все повече да се възползват от инструменти за следене и контрол, включително автоматизирани инструменти. Илюстрация е злоупотребата с данни от подслушани телефонни разговори.
Самият факт, че говорите с лекота вместо по същестовото на разговора, а именно сексуалната еклсплоатация, за елиминиране на всякакви криптирани приложения, е една озадачаваща илюстрация за нобходимостта не само правозащитни организации и журналисти, а и компании, и обикновените граждани, да не се доверяват 100% на защитата, която им се осигурява от правоохранителните органи.
И пак да се върна на тезата си в началото. Не смятам, че данъците, които плащам не са достатъчни, за да не се мобилизират ресурси в правоохранителните органи, че да не се справят, с каквото разполагат.
И, последно, но не по значение. В случая Вие се възполозвате от анонимност, а не аз или Божанов. Аз и да Ви познавам, нямам намерение да Ви издиря и да използвам юмруци. За Божанов се съмнявам, че би го направил.
И Вие бъдете здрав!
Здравейте г-н Христов,
Аргументът Ви, че увеличаването на данъчните задължения и задлъжняването на държавата, е от полза на „злоупотребяващите“, за да ни вкарат в ситуация, която изисква повече мерки за следене и контрол, е меко казано несъстоятелна. Задлъжняването е процес, който се влияе не само от вътрешнополитически, но и от външнополитически и външноикономически фактори, като в определени случаи последните имат много повече тежест над първите. Но не това е същината на разговора.
Както отбелязах, платформите за криптирана комуникация са средство, от което се възползват не само сексуални експлоататори на деца, но наркотрафиканти, терористи и други активни елементи от тежката и организирана престъпност, които вредят на живота, здравето, подкопават обществото и засягат нормалното функциониране на процесите в една страна. Така че темата е доста по-широка от сексуалната експлоатация на деца, макар че тази престъпна сфера е чувствителна и емблематична.
Второ, осигуряването на технически възможности за контрол върху такива приложения е важно, за да се постигне баланс с достиженията на съвременните технически способи за комуникация. Баланс, който да осигури сигурност. Прочетете ЗСРС. Иначе очаквайте от службите за сигурност да излязат въоръжени с прашки при престрелка с тези, на които се очаква да противодействат. Естествено, такъв контрол над приложенията следва да става при стриктно спазване на строги правила и изисквания, които да осигуряват ненакърняване на правата и свободите на обикновените гражданите, както и на политическата опозиция. А това може да се случи само при работещ съд, който по закон е оправомощен да се произнася по подобни интрузивни мерки от страна на правоохранителните органи.
Не на последно място, бих искал да Ви обърна внимание, че разсъжденията със знания са полезни, а разсъжденията без знания – веднага проличават.
Бъдете здрав, г-н Христов!