Visiškas Europos Sąjungos fiasko: nauja programėlė turi rimtų saugumo spragų

Europos Sąjungai pristačius mobiliąją programėlę, skirtą internete patikrinti vartotojų amžių, iniciatyvą netrukus aptemdė kibernetinio saugumo specialistų įžvalgos: viešai paskelbtame kode jie aptiko reikšmingų privatumo ir saugumo problemų.

Europos Komisijos pirmininkė Ursula von der Leyen trečiadienį Briuselyje pristatė amžiaus patvirtinimo įrankį ir teigė, kad jis yra „techniškai parengtas“ bei netrukus taps prieinamas, valstybėms griežtinant taisykles dėl nepilnamečių naudojimosi socialiniais tinklais.

„Tai visiškai atvirojo kodo sprendimas. Kiekvienas gali patikrinti kodą“, – sakė U. von der Leyen.

Vis dėlto kibernetinio saugumo ir privatumo ekspertai netrukus ėmė analizuoti kodą ir pranešė apie kelias esmines programėlės dizaino bei apsaugos spragas.

Ši istorija pamažu virsta komunikacine krize Briuseliui, o kartu atskleidžia ir gilesnius nesutarimus tarp privatumo gynėjų, vaikų teisių organizacijų, technologijų įmonių ir politikų dėl to, kaip realiai apsaugoti nepilnamečius internete. Valstybių lyderiai žada riboti vaikų prieigą prie socialinių tinklų ir pornografinio turinio, tačiau vieningo sprendimo vis dar nėra.

Saugumo konsultantas Paulas Moore’as netrukus po programėlės paskelbimo pareiškė, kad ji naudotojo telefone gali saugoti jautrius duomenis nepakankamai apsaugotai. Jo teigimu, programėlę pavyko „nulaužti“ greičiau nei per 2 minutes.

Žinomas Prancūzijos „white hat“ įsilaužėlis Baptiste’as Robertas patvirtino dalį įvardytų problemų ir nurodė, kad esą įmanoma apeiti biometrinės autentifikacijos funkcijas. Tai reikštų, jog kai kuriais atvejais būtų galima išvengti PIN kodo įvedimo ar „Touch ID“ patvirtinimo norint pasiekti programėlę.

Kriptografijos tyrėjas Olivier Blazy, priklausantis Prancūzijos skaitmeninės tapatybės darbo grupei, pateikė paprastą scenarijų: „Tarkime, atsisiunčiau programėlę, įrodžiau, kad man daugiau nei 18 metų, o tada sūnėnas gali paimti mano telefoną, atrakinti programėlę ir ja pasinaudoti įrodydamas, kad jam daugiau nei 18 metų.“

Penktadienį Europos Komisija laikėsi pozicijos, kad programėlė yra techniškai parengta. Vyriausioji Komisijos atstovė spaudai Paula Pinho žurnalistams teigė: „Taip, ji parengta. Galime tik pridurti, kad ją visada galima tobulinti.“

Tuo metu skaitmeninės politikos atstovas spaudai Thomasas Regnier aiškino, kad nors apie sprendimą kalbama kaip apie „galutinę versiją“, realybėje tai vis dar demonstracinis variantas. Pasak jo, galutinis produktas dar nėra prieinamas piliečiams, o kodas bus nuolat atnaujinamas ir gerinamas.

Europos Komisija ketvirtadienį nurodė, kad ekspertai esą analizavo ankstesnę „demo“ versiją, paskelbtą testavimo ir kūrimo tikslais, o aptikta pažeidžiamumo vieta, anot Komisijos, buvo ištaisyta. Tačiau tiek P. Moore’as, tiek O. Blazy tvirtino bandymus atlikę su naujausia internete paskelbta kodo versija.

„Gerai, kad programėlė yra atvirojo kodo – ekspertai gali ją bandyti ir tikrinti. Problema ta, kad paskelbtas kodas neatitinka kibernetinio saugumo standartų, kurių tikėtumėmės iš tokio svarbaus sprendimo“, – sakė O. Blazy.

Jo teigimu, skubotas paleidimas gali pakenkti pasitikėjimui būsimomis skaitmeninės tapatybės piniginėmis: „Baiminomės, kad Komisija programėlę paleis skubėdama, nepaisydama saugumo problemų, o dabar matome norą pristatyti tai, kas techniškai nėra parengta.“

Belgų etinis įsilaužėlis Inti De Ceukelaire pažymėjo, kad atvirojo kodo projektams būtų naudinga prieš paleidimą paviešinti ir saugumo vertinimus, jog visuomenė galėtų objektyviau įvertinti naudą ir rizikas.

Diskusijos dėl programėlės dar kartą išryškino aštrų nesutarimą Europoje, kaip reguliuoti prieigą prie įvairaus interneto turinio – nuo pornografijos svetainių iki socialinių platformų. ES ir daugelis valstybių narių jau įgyvendina amžiaus tikrinimo mechanizmus, kuriuos skatina politinis siekis geriau apsaugoti vaikus internete.

Ketvirtadienio vakarą Prancūzijos prezidentas Emmanuelis Macronas šiuo klausimu sukvietė Europos lyderius į vaizdo konferenciją, kurioje dalyvavo ir U. von der Leyen, Italijos premjerė Giorgia Meloni, Ispanijos ministras pirmininkas Pedro Sánchezas, Vokietijos kancleris Friedrichas Merzas bei kiti vadovai.

Australija praėjusių metų gruodį tapo pirmąja šalimi pasaulyje, įvedusia apribojimus vaikų naudojimuisi socialiniais tinklais – iš esmės uždrausdama jaunesniems nei 16 metų asmenims naudotis tokiomis platformomis kaip „TikTok“ ir „YouTube“.

Europos Komisija 2024 metais paskelbė 4 mln. eurų vertės konkursą amžiaus patvirtinimo programėlei sukurti. Jį laimėjo Švedijos skaitmeninės tapatybės bendrovė „Scytáles“ ir „Deutsche Telekom“.

Numatyta, kad programėlė leistų patvirtinti amžių naudojant pasą, nacionalinę asmens tapatybės kortelę arba patikimus tiekėjus, pavyzdžiui, banką. Technologijų platformos galėtų programėlės paklausti, ar asmuo yra vyresnis nei nustatyta riba, tačiau neturėtų gauti papildomų asmens duomenų. Tam numatomas vadinamasis „zero-knowledge proof“ metodas, skirtas geriau apsaugoti privatumą.

Taip pat numatyta, kad nacionalinės vyriausybės galėtų kurti ir savo sprendimus, o skirtingos programėlės turėtų veikti tarpusavyje, kad amžiaus patikra visoje ES vyktų sklandžiai.

Vis dėlto kritikai teigia, kad patikimos amžiaus patikros technologijos, užtikrinančios reikiamą privatumą ir duomenų apsaugą, dar nėra pakankamai subrendusios. Be to, net ir veikiančius apribojimus vartotojai galėtų apeiti pasitelkdami, pavyzdžiui, VPN, kurie maskuoja buvimo vietą.

O. Blazy priklausė daugiau nei 400 privatumo ir saugumo ekspertų grupei, kuri kovą kreipėsi į Europos Komisiją atviru laišku, ragindama įvesti moratoriumą diegimo planams, kol bus pasiektas mokslinis sutarimas dėl tokių technologijų naudos, žalos ir realaus techninio įgyvendinamumo.

Europos Parlamento narė Markéta Gregorová iš Čekijos Piratų partijos, taip pat vadovaujanti darbui dėl naujo kibernetinio saugumo įstatymo, sakė, kad procesas skubinamas dėl politinio spaudimo. Jos teigimu, programėlę reikėtų gerokai išsamiau įvertinti, ar tikrai buvo pritaikytos visos būtinos kibernetinio saugumo ir privatumo priemonės.

Vokietijos centro kairės politikė Birgit Sippel programėlę pavadino ne iki galo išbaigtu sprendimu, neatitinkančiu pačios ES standartų.

Lenkijos įstatymų leidėjas Piotras Mülleris iš Europos konservatorių ir reformistų frakcijos tvirtino, kad Briuselis esą vėl siekia centralizuoto, visos ES masto technologinio įrankio, o skubiai paskelbta amžiaus patikros programėlė kelia didelę grėsmę piliečių privatumui.