Europa-Kommissionens forslag om online CSAM-behandling af seksuelt misbrug af børn på nettet finder ikke de rigtige løsninger til at bekæmpe seksuelt misbrug af børn
(CSAM = child sexual abuse material)
Af EDRi – 11. maj 2022
I dag, den 11. maj, er en foruroligende dag for alle mennesker i EU, der ønsker at sende en privat besked uden at afsløre deres personlige oplysninger, såsom chats og billeder, til private virksomheder og regeringer. Europa-Kommissionen har lagt sin “Forordning om fastsættelse af regler til forebyggelse og bekæmpelse af seksuelt misbrug af børn” online, herunder foranstaltninger, der bringer den vigtige integritet af sikker kommunikation i fare.
Kommissær Ylva Johansson har stået i spidsen for et forslag, som kan tvinge virksomheder til at gøre vores digitale enheder til potentielle spionageprogrammer (spyware), hvilket åbner døren for en lang række autoritære overvågningstaktikker. På trods af flere forsøg på beskyttelsesforanstaltninger er de største risici ved forslaget stadigvæk til stede og bringer journalister, whistleblowere, borgerrettighedsforkæmpere, advokater, læger og andre, der har brug for at bevare fortroligheden af deres kommunikation, i fare.
Tvungen scanningspligt
Lovforslaget indeholder foranstaltninger, der som minimum synes at tillade omfattende scanning af folks private kommunikation (EDRi har advaret om, at det kan udgøre ulovlig generel overvågning) og i nogle tilfælde vil gå videre og tvinge til scanning og fjernelse.
Det vil ikke kun ske for at søge efter bekræftet ulovligt materiale om seksuelt misbrug af børn (CSAM), men også efter nye fotos og videoer samt beviser for tekstbaseret “grooming”, som begge uundgåeligt kræver brug af notorisk upræcise AI-baserede scanningsværktøjer til vores mest intime samtaler.
Desuden vil forslaget modvirke brugen af end-to-end-kryptering og i høj grad tilskynde udbyderne til at træffe de mest indgribende foranstaltninger for at undgå juridiske konsekvenser [at de selv drages til ansvar].
“Ved at true virksomhederne med retslige skridt forsøger Kommissionen sandsynligvis at vaske sine hænder for ansvaret for farlige og privatlivskrænkende foranstaltninger, samtidig med at den de facto tilskynder til disse foranstaltninger med denne lov.” – advarer Ella Jakubowska, politisk rådgiver, EDRi
Forslaget kan overfladisk set synes at indeholde en afbalanceret og hensigtsmæssig tilgang. Navnlig kan udbydere kun tvinges til at scanne deres platform eller tjeneste, hvis en retsmyndighed kræver det, og de er underlagt en række sikkerhedsforanstaltninger. Ifølge Contexte er mange af disse sikkerhedsforanstaltninger først blevet indført i de seneste dage, hvilket viser, at presset fra EDRi-netværket og vores støtter har haft en positiv effekt.
Der er imidlertid flere bestemmelser, der tyder på, at denne beskyttelse hovedsagelig er kosmetisk, og at vi måske faktisk står over for det værst tænkelige scenarie for privat digital kommunikation. F.eks. skal udbydere af tjenester og platforme træffe foranstaltninger for at mindske risikoen for, at deres platform fremmer misbrug. Men de vil stadig kunne få udstedt et påbud om afsløring, der tvinger dem til at indføre yderligere foranstaltninger, medmindre de i deres risikovurdering har påvist, at der ikke længere er nogen risiko for misbrug.
Dette er en umulig standard at opfylde, hvilket betyder, at loven sandsynligvis vil have en tvangsvirkning på udbyderne, så de på eget initiativ indfører så mange “afbødningsforanstaltninger” som muligt. Desuden vil de tekniske metoder, som det nye EU-center vil stille til rådighed for udbydere, der er tvunget til at scanne privat kommunikation, sandsynligvis indebære drastiske sikkerhedsrisici.
Slut med end-to-end-kryptering?
Som EDRi gentagne gange har hævdet, vil sådanne detektionsforanstaltninger uundgåeligt føre til farlige og upålidelige Client-Side Scanning-praksisser, hvilket underminerer essensen af end-to-end-kryptering. Cybersikkerhedseksperter og teknologer over hele verden har advaret om, at man ikke kan omgå kryptering på denne måde på en sikker eller effektiv måde. En sådan indblanding i krypteringsprocessen vil også gøre alles telefoner sårbare over for angreb fra ondsindede aktører. Alternativt kan forslaget blot tilskynde udbyderne til helt at opgive kryptering.
“Europa-Kommissionen åbner døren for en lang række autoritære overvågningstaktikker. I dag vil virksomheder scanne vores private beskeder for CSAM-indhold. Men når disse metoder først er i brug rundt om, hvad forhindrer så regeringer i at tvinge virksomheder til at scanne efter beviser på systemkritik eller politisk opposition i morgen?” – Ella Jakubowska, politisk rådgiver, EDRi
Begrænsningerne ved en teknologisk tilgang
Dette forslag har ikke overholdt EDRi’s ti principper, som rådgiver politikerne om, hvordan de kan forsvare børns rettigheder i den digitale tidsalder på en målrettet og afbalanceret måde. Forslaget forsøger i stedet at finde en hurtig teknologisk løsning på komplekse systemiske og samfundsmæssige problemer.
Som Europa-Parlamentet rapporterer, har landene længe undladt at gennemføre eksisterende foranstaltninger til at håndtere problemet med seksuelt misbrug og seksuel udnyttelse af børn. Så det er en alvorlig risiko ved forslaget at forhaste sig og potentielt tvinge brugen af usikre teknologier til at tackle systematiske skader på måder, der kan bryde det vigtigste fundament i vores samfund – privatlivets fred og kommunikationssikkerhed – og det er en alvorlig risiko ved forslaget. I betragtning af at kommissær Johansson løbende har nægtet at mødes med digitale rettighedsgrupper, er vi skuffede, men ikke overraskede over, at lovgivningen mangler bevidsthed om teknologiens iboende begrænsninger og de alvorlige konsekvenser for samfundet som helhed.
“Forslaget indeholder et krav om, at internetudbydere skal blokere adgangen til bestemte dele af indholdet på websteder efter ordre fra de nationale myndigheder. Denne form for blokering vil imidlertid være teknisk umulig med HTTPS, som nu anvendes på næsten alle websteder.” – Jesper Lund, formand for EDRi-medlem IT-Pol Danmark
Vi vil kraftigt opfordre Europa-Parlamentet til at gribe ind og udtrykkeligt afvise generaliseret scanning, og specifikt beskytte krypterede tjenester fuldt ud og fjerne alle forpligtelser til at søge efter andet end kendte billeder eller fotos, når uafhængige retslige myndigheder anmoder herom. EDRi opfordrer til en lovgivning, der sikrer vores kommunikation – og det er ikke tilfældet med dette forslag.
Læs EDRi’s efterfølgende første analyse af forslaget.
Ifølge Jesper Lund, formand for IT-Politisk Forening, så gemmer der sig nogle temmelig grimme tiltag i de mange sider i forslaget, og her er hans foreløbige analyse:
Forslaget er blevet udskudt flere gange, men i dag kom det så. Det officielle navn er en forordning med regler om at forebygge og bekæmpe seksuelt misbrug af børn. Forordningsforslaget er på 135 sider, og i forhold til de kritiske spørgsmål om kryptering skal man også læse små 400 sider i den tilhørende konsekvensanalyse for at forstå Kommissionens planer. Det tager lidt tid, så nedenstående er en foreløbig analyse.
Udbydere af sociale medier (hostingtjenester mere generelt) og interpersonelle kommunikationstjenester (chat, email, m.v.) skal fremover lave risikovurderinger af, om deres tjeneste kan blive brugt til online seksuelt misbrug af børn, enten distribution af materiale med seksuelt misbrug af børn (CSAM) eller online grooming. Derudover skal tjenesterne lave en plan for, hvordan den identificerede risiko kan imødegås, og de skal have planen godkendt af myndighederne, som kan forlange flere tiltag, hvis de ikke er tilfredse. Ultimativt kan tjenesterne blive pålagt at scanne alt indhold for “indikatorer” (fx hashværdier) for kendt CSAM, ukendt CSAM (med brug AI) eller sågar online grooming (ligeledes med AI). Inden det kommer dertil, vil de have alle mulige incitamenter til at gøre det frivilligt. Pisk eller gulerod, samme resultat.
Der er simpelthen i artikel 10, stk. 1 en lovhjemmel til at forlange overvågning (spyware) installeret i private virksomheders kommunikationstjenester, inklusive bagdøre i kryptering (se nedenfor).
Providers of hosting services and providers of interpersonal communication services that have received a detection order shall execute it by installing and operating technologies to detect the dissemination of known or new child sexual abuse material or the solicitation of children, as applicable, using the corresponding indicators provided by the EU Centre in accordance with Article 46.
(Udbydere af hostingtjenester og udbydere af interpersonelle kommunikationstjenester, der har modtaget et påbud om afsløring, skal udføre det ved at installere og anvende teknologier til at afsløre spredning af kendt eller nyt materiale om seksuelt misbrug af børn eller hvervning af børn, alt efter hvad der er relevant, ved hjælp af de tilsvarende indikatorer, som EU-centret har givet i overensstemmelse med Artikel 46.)
Og hvad så med end-to-end krypterede tjenester, hvor dette er teknisk umuligt? Det er et spørgsmål som har været diskuteret i 30 år, siden Key Escrow og Clipper Chip i 1990’erne, men nu har Kommissionen fundet en “genial” løsning. Lovgivningen skal blot specificere det ønskede resultat, så må tjenesteudbyderne selv finde ud af den tekniske implementering. Hvorfor har ingen fået den idé noget før i 30 år med kryptokrige? Fra den tilhørende Q&A til forslaget:
Thirdly, once an order is issued, the legislation sets an obligation of results, not of means: companies must comply with the detection obligations but are free to choose the technology for the online exchanges that best fits its services.
(For det tredje fastsætter lovgivningen, når først der er udstedt en ordre, en forpligtelse til resultatet og ikke en forpligtelse til midlerne: virksomhederne skal overholde forpligtelserne til at registrere oplysninger, men kan frit vælge den teknologi til onlineudveksling, der passer bedst til deres tjenester.)
Ganske som jeg havde forudset i dette tweet fra september 2020 bliver det begrundet med at lovgivningen skal være teknologisk neutral. Jeg hader at få ret på denne måde… For end-to-end krypterede kommunikationstjenester vil det i praksis betyde Client-Side Scanning, se “Bugs in Our Pockets” artiklen, hvor der installeres spyware på brugerens device. Der er ikke rigtigt andre metoder til masseovervågning.
EDRi har forberedt sig på dette forslag siden sommeren 2020, hvor det blev præsenteret første gang i en meddelelse fra Kommissionen. Men det har været nærmest umuligt at få Kommissionen i tale under udarbejdelsen af forslaget. Ved dagens pressemøde nægtede den svenske kommissær Ylva Johansson bare at anerkende, at der kunne komme protester fra organisationer som EDRi. Kun private virksomheder, som sætter profit over børns interesser, kunne finde på at protestere, mente hun.
Et forslag fra Kommissionen er selvfølgelig ikke det samme som at det er vedtaget. Der vil helt sikkert komme en massiv modstand fra mange sider.
Indtil videre kan I læse denne pressemeddelelse (se ovenfor) fra EDRi og et EDRi blogindlæg, og så må vi se hvordan det går i de næste par år, mens forslaget behandles i Europaparlamentet og Rådet. Det er på mange måder det mest vidtgående og totalitære forslag, som er kommet fra EU-Kommissionen, dog i hård konkurrence med logningsdirektivet.
Som en forholdsvis ubetydelig detalje i det store billede, men som viser Kommissionens niveau af teknisk forståelse, giver artikel 16 mulighed for at pålægge internetudbydere at blokere specifikt indhold på hjemmesider på URL-niveau (i stedet for at blokere hele domæner). Det er givetvis inspireret af Cleanfeed, en frivillig ordning med Deep Packet Inspection (DPI) i UK, som også er forsøgt solgt til danske internetudbydere for ca. 10 år siden (Netclean Whitebox). Der er bare det lille “problem”, at i dag er stort set alle hjemmesider gået over til HTTPS, og så kan en internetudbyder ikke lave blokering på URL-niveau med DPI, fordi URL’en fremgår af den krypterede payload for et HTTP request. Medmindre Kommissionen forestiller sig, at der skal laves systematiske MiTM angreb mod TLS med falske SSL-certifikater (fra en EU CA, måske?), som visse autoritære regimer har gjort forsøg med.
Kilder:
https://ec.europa.eu/home-affairs/news/eu-proposes-new-rules-fight-child-sexual-abuse-2022-05-11_en
Oversat og redigeret af May Day maj 2022
Skriv et svar