Kontrowersje wokół strategii „ProtectEU”

W dzisiejszym, dynamicznie zmieniającym się cyfrowym świecie, szczególnie tutaj w Europie, kluczowe jest, abyśmy byli na bieżąco. Słyszeliście już o nowej strategii UE o nazwie „ProtectEU”, ogłoszonej przez Komisję Europejską? Robi się o niej głośno i, szczerze mówiąc, na dzień 6 maja 2025 roku, niektóre z jej propozycji budzą nasze, tj. Stowarzyszenia, obawy.

Czym jest ProtectEU? Na pierwszy rzut oka to kompleksowy plan na lata 2024-2029 mający na celu wzmocnienie bezpieczeństwa wewnętrznego UE przed różnego rodzaju zagrożeniami, od przestępczości zorganizowanej po cyberataki. Kluczowym, a zarazem kontrowersyjnym elementem jest plan przygotowania „Technologicznej Mapy Drogowej w zakresie szyfrowania” („a Technology Roadmap on encryption”). Jaki jest deklarowany cel? Identyfikacja i ocena rozwiązań technologicznych, które umożliwiłyby organom ścigania dostęp do zaszyfrowanych end-to-end danych – jak nasze prywatne wiadomości lub bezpiecznie, w naszym mniemaniu, przechowywane plikach – w „zgodny z prawem sposób” przy jednoczesnym „zapewnieniu cyberbezpieczeństwa i podstawowych praw”. Dla tych, którzy są mniej zaznajomieni, „szyfrowanie end-to-end” to technologia, która zapewnia prawdziwą prywatność waszych cyfrowych rozmów, gwarantując, że tylko wy i osoba, z którą się komunikujecie, możecie je przeczytać; nawet dostawca usług nie ma możliwości wglądu. Przynajmniej na razie.

Poważne obawy: Osłabianie szyfrowania

Skąd więc te syreny alarmowe z tak wielu stron? Ta idea „zgodnego z prawem dostępu” często przekłada się na propozycje środków, które mogłyby fundamentalnie osłabić szyfrowanie. Mówimy o takich rzeczach jak backdoory – czyli uogólniając wyłomy, tajne klucze, pozwalające ominąć zabezpieczenia – lub skanowanie po stronie klienta, w ramach którego wasze wiadomości mogłyby być skanowane pod kątem określonej zawartości na waszym urządzeniu zanim zostaną zaszyfrowane i wysłane. Brzmi to trochę inwazyjnie, prawda?

Znaczna liczba organizacji społecznych (CSO), naukowców, technologów i obrońców praw człowieka właśnie tak uważa. Argumentują oni, a my się z nimi zgadzamy, że próba stworzenia „bezpiecznych” backdoorów lub „chroniącego prywatność” skanowania po stronie klienta jest technicznie niewykonalna. Eksperci od dawna ostrzegają, że każdy system zaprojektowany do omijania szyfrowania z natury stwarza luki, które mogą być wykorzystane przez każdego – nie tylko przez tych „z założenia dobrych”, ale także przez cyberprzestępców, a nawet wrogie państwa, stwarzając poważne zagrożenie dla cyfrowego bezpieczeństwa nas wszystkich. Europejski Trybunał Praw Człowieka wyraźnie stwierdził, że wprowadzenie backdoorów w celu osłabienia szyfrowania mogłoby umożliwić powszechną inwigilację i być wykorzystywane przez sieci przestępcze, uznając takie ryzyko za nieproporcjonalne względem ewentualnych korzyści.

Dlaczego ma to znaczenie dla Europy (i dla Ciebie!)

W obecnych czasach znacznej niepewności geopolitycznej, w tym zmieniającej się sytuacji politycznej w USA i trwającej globalnej konkurencji gospodarczej, wzmocnienie cyfrowej suwerenności Europy jest ważniejsze niż kiedykolwiek. Potrzebujemy solidnej, bezpiecznej infrastruktury cyfrowej, zbudowanej i promowanej najlepiej przez europejskich innowatorów. Inicjatywy, które proponują osłabienie szyfrowania, mogą przynieść skutek odwrotny do zamierzonego. Ryzykują one nie tylko naruszeniem prywatności jednostki, ale także uczynieniem całego naszego cyfrowego ekosystemu bardziej podatnym na zagrożenia, podważając zaufanie do europejskiej technologii w czasie, gdy musimy je wzmacniać. Jak możemy dążyć do prawdziwego cyfrowego przywództwa, jeśli same narzędzia, które zapewniają nasze bezpieczeństwo online i prywatność danych, miałyby je naruszać?

Otwarty list przeciwko planom szyfrowania ProtectEU

Nie jesteśmy w naszych obawach odosobnieni. Tuta, europejski dostawca bezpiecznej poczty elektronicznej, niedawno opublikował na swoim blogu otwarty list skierowany do Henny Virkkunen, Wiceprzewodniczącej Wykonawczej UE ds. Suwerenności Technologicznej, Bezpieczeństwa i Demokracji. List ten jest podpisany przez imponującą koalicję organizacji społecznych, naukowców, badaczy i innych ekspertów specjalizujących się w prawach człowieka i technologii.

Kluczowe punkty listu:

• Zagrożenie dla podstawowych praw i bezpieczeństwa: Plan stworzenia Mapy Drogowej w zakresie szyfrowania w celu umożliwienia organom ścigania dostępu do zaszyfrowanych danych jest postrzegany jako znaczące ryzyko.
• Technicznie niemożliwe do bezpiecznego wykonania: Istnieje powszechny konsensus naukowy, że zapewnienie „okazjonalnego dostępu” bez tworzenia luk możliwych do wykorzystania przez złośliwe podmioty i reżimy autorytarne nie jest możliwe.
• Wadliwe rozwiązania: Propozycje takie jak skanowanie po stronie klienta nie chronią prawdziwie prywatności; mogą umożliwić masową inwigilację i zwiększyć ryzyko naruszeń bezpieczeństwa.
• Szyfrowanie musi być silne: W liście podkreśla się, że silne szyfrowanie end-to-end ma kluczowe znaczenie dla ochrony praw człowieka i zapewnienia bezpiecznej infrastruktury cyfrowej w całej Europie.

Sygnatariusze pragną również znaczącego udziału w opracowywaniu tej Mapy Drogowej, wnioskując o miejsca przy stole dla niezależnych ekspertów, aby zapewnić, że rozwiązania są oparte na dowodach i szanują prawa obywateli.

Nasze stanowisko i wezwanie do działania

W Stowarzyszeniu zdecydowanie popieramy tych krytyków. Wierzymy, że silne szyfrowanie jest kamieniem węgielnym bezpiecznej, wolnej i innowacyjnej Europy cyfrowej. Wysiłki mające na celu jego podważenie, nawet przy deklarowanym celu zgodnego z prawem dostępu, są technicznie ryzykowne i mogą mieć daleko idące negatywne konsekwencje dla infrastruktury bezpieczeństwa cyfrowego naszego kontynentu. W erze, w której zagrożenia cyfrowe eskalują, a cyfrowa autonomia Europy jest najważniejsza, realizowanie polityki, która osłabia naszą obronę, wydaje się sprzeczne z ogólnym interesem.

Pełny tekst otwartego listu i wnikliwą analizę Tuta można znaleźć na ich blogu. Gorąco zachęcamy do zapoznania się z nim oraz zgłębienia tematu i związanych z nim implikacji.

Jakie są wasze przemyślenia odnośnie do tej delikatnej równowagi między bezpieczeństwem a prywatnością? Jak Europa powinna radzić sobie z tymi wyzwaniami, aby chronić zarówno swoich obywateli, jak i swoją cyfrową przyszłość? Chętnie poznamy wasze opinie w komentarzach.