Чому захист конфіденційності сам по собі не допоможе проти незаконного стеження

Субхашіс Банерджі пише: Витончені спроби стеження, такі як Pegasus, які обходять архітектуру захисту даних і регуляторний нагляд, повинні бути зустрінуті з обуренням громадськості, яке може виникнути лише через прихильність до конституційної моралі.

За даними міжнародного медіа-консорціуму, політики, правозахисники та журналісти були серед тих, хто став жертвою шпигунського програмного забезпечення для телефонів, яке продавала різним урядам ізраїльська фірма NSO Group Technologies.

Нещодавні звинувачення та звіти Arsenal Consulting та Amnesty International щодо цільового електронного спостереження за вибраними активістами, політиками, журналістами, бізнесменами і навіть науковцями, щонайменше, бентежать. Витонченість атак не тільки породжує відчуття примиреної безпорадності, але інциденти — якщо вони правдиві — також мають жахливий вплив на особисті та громадянські свободи, які є вирішальними для функціонування демократії. Ще більш занепокоєним є те, що, схоже, існує значна завуальована популярна думка — серед друзів і родин — яка виправдовує такі порушення в ім’я національної безпеки.

Якщо справді звинувачення проти деяких ув’язнених активістів у справі Бхіми Корегаона в першу чергу ґрунтуються на доказах вилучених жорстких дисків, то звіти «Арсеналу» — якщо їх підтвердять — мають значно послабити підстави. За даними «Арсеналу», є чіткі докази того, що інкриміновані файли були закладені на жорсткі диски з віддалених центрів управління невідомими особами ще до того, як диски були вилучені, і що активісти, очевидно, навіть не знали про їх існування. Хоча деякі частини криміналістичного аналізу «Арсеналу» були засновані на запатентованих інструментах, деякі інші аспекти звітів повинні бути перевірені незалежними експертами — і багато хто в Індії повинні мати можливість це зробити — використовуючи загальнодоступні ресурси. Зловмисні файли, очевидно, були введені шляхом встановлення троянської шкідливої ​​програми під назвою NetWire шляхом організації фішингових атак на нічого не підозрюючих активістів. Цей вид атаки є досить стандартним, і наявність NetWire, очевидно, може бути навіть виявлено деякими з загальнодоступних сканерів вірусів і шкідливих програм. З огляду на те, що такі атаки є реальністю сьогодні, уряди та юридичні органи повинні забезпечити, щоб цифрові докази, отримані в результаті такого криміналістичного аналізу, були прийнятними в судах.

Навпаки, атаки Pegasus, описані у звіті Amnesty International, значно складніші, і захиститися від таких атак, навіть обережними та поінформованими жертвами, буде майже неможливо. Це атаки з нульовим кліком, які навіть не вимагають помилки жертви, щоб бути успішною. Вони використовують ретельно проаналізовані вразливості в програмному забезпеченні та додатках або організовують атаки ін’єкції мережі за допомогою розумних перенаправлень за допомогою тактичних пристроїв, зламаних мережевих пристроїв або навіть несанкціонованих веж стільникового зв’язку.




Наприклад, вони, очевидно, скористалися невідомими вразливими місцями в програмах WhatsApp та iMessage для введення шкідливого програмного забезпечення через підроблені відео WhatsApp та повідомлення iPhone. Для пристроїв загального призначення з широким спектром застосувань розробникам апаратного та програмного забезпечення майже завжди буде важко обчислити, щоб гарантувати, що жодного скомпрометованого стану ніколи не буде досягнуто. Отже, вразливості неминучі, і їх, швидше за все, можна буде виявити, якщо велика кількість добре оплачуваних експертів-зловмисників займуться справою. Крім того, враховуючи поточні застарілі протоколи доступу до мережі, досить важко запобігти рішучому та винахідливому зловмиснику успішно здійснити атаки безшумного впровадження мережі на звичайні пристрої користувача.

Крім того, важко виявити такі атаки, як Pegasus, оскільки вони часто змінюють методи та сигнатури. Пегас, очевидно, також був розроблений для самознищення під час спроби виявлення, хоча, згідно зі звітом Amnesty, він не повністю вдався і залишив сліди. Хоча завжди теоретично розуміли можливості, те, що такі інструменти, як Джеймс Бонд, насправді існують і використовуються урядами, безсумнівно, відкриває очі.

Отже, що можна зробити? Чи може закон про захист даних допомогти жертвам отримати компенсацію та притягнути винних до відповідальності, як це пропонує суддя Б. Н. Шрікрішна (IE, 23 липня)? Можливо, малоймовірно, тому що для кожного випадку звіту Amnesty, ймовірно, буде набагато більше невиявлених випадків порушень, подібних до Pegasus. Стелс-атаки не тільки важко виявити, але також важко довести та легко заперечити, тому відшкодування постраждалих завжди буде невизначеним.

Це не означає, що закон про захист даних не потрібен. Така структура є важливою для визначення контурів законного спостереження та обробки даних. Держава може мати деякі законні вимоги щодо спостереження, якщо вона має забезпечити нашу безпеку, але вони не можуть бути поза межами закону. Немає сумніву, що країні терміново потрібні реформи нагляду та стандарти захисту даних. Однак для того, щоб вони були ефективними, окрім аналізу пропорційності вимог щодо спостереження, вони також повинні розглядати оперативні аспекти правових і технічних стандартів, необхідних для ефективної архітектури захисту конфіденційності. Повинні бути чіткі стандарти для визначення ланцюжків авторизації та специфікації мети, а також технічні гарантії обмеження цілі, контролю доступу та запобігання порушенням авторизації. Це, у свою чергу, вимагатиме ведення журналів, захищених від несанкціонованого доступу, регуляторного нагляду та аудиту. Акцент має бути на попередньому запобіганні, а не на виявленні порушень.

Але що, якщо спроба впровадження зловмисного програмного забезпечення та спостереження настільки складна, як Pegasus, повністю обійде архітектуру захисту даних і регуляторний нагляд? Тоді опозиція зсередини організацій, а також сильне обурення та несхвалення громадськості, можливо, можуть бути єдиним ефективним стримуючим фактором для таких нещасних випадків. Без цього ні закон, ні технології не можуть бути корисними. Однак, щоб такий опір знайшов достатній голос, суспільство має заперечити віру в конституційну мораль.

Право на інакомислення є ознакою демократії, і в кінцевому підсумку ми повинні навчитися відрізняти критику та протести від тероризму та інших злочинних дій. На жаль, останнім часом відбулося значне розмивання конституційних цінностей, і в наших школах, мабуть, уже навіть не викладають конституційних принципів. Відданість правам на свободу слова та свободи — як це проголошено в статтях 19 і 21 нашої Конституції — здається, коливається не лише серед державних функціонерів та адміністраторів, а й у громадськості загалом. Таким чином, боротьба з незаконним стеженням за допомогою стелс-атак і захист конфіденційності буде важким завданням.

Ця колонка вперше з’явилася в друкованому виданні 27 липня 2021 року під назвою «Огородження конфіденційності». Письменник працює на факультеті комп’ютерних наук Університету Ашоки, зараз у відпустці з ІІТ Делі