Открытое письмо, подписанное 270 учеными и исследователями из 33 стран, вызвало серьезные технические опасения по поводу предлагаемого регулирования ЕС, обязывающего сканировать приложения для обмена сообщениями на предмет материалов о сексуальном насилии над детьми (CSAM). Подписанты утверждают, что эти методы в корне ошибочны и «полностью подорвут безопасность коммуникаций и систем».
«С технической точки зрения, чтобы быть эффективным, это новое предложение также полностью подорвет безопасность коммуникаций и систем», — говорится в письме. «Примечательно, что это предложение до сих пор не учитывает десятилетия усилий исследователей, промышленности и политиков по защите коммуникаций».
Согласно проекту постановления, поставщики услуг будут обязаны проверять известные CSAM, новые CSAM и поведение по уходу. Хотя в марте были внесены изменения, призванные сделать заказы более адресными и защитить зашифрованные данные, эксперты говорят, что это не решает их основные проблемы, связанные с методами сканирования и влиянием на сквозное шифрование (E2EE).
Ключевой поднятой проблемой является высокий уровень ошибок в автоматизированных системах обнаружения, которые, по словам экспертов, «легко обойти теми, кто хочет обойти обнаружение, и они склонны к ошибкам в классификации».
«Учитывая, что пользователи WhatsApp отправляют 140 миллиардов сообщений в день, даже если только одно из ста будет проверено такими детекторами, каждый день будет происходить 1,4 миллиона ложных срабатываний», — поясняется в письме, даже если предположить весьма оптимистичные 0,1%. уровень ложноположительных результатов.
Попытка уменьшить количество этих ошибок за счет необходимости многократного обнаружения может сделать систему неэффективной при обнаружении CSAM, предупреждают эксперты: «Количество ложных срабатываний из-за ошибок обнаружения вряд ли значительно уменьшится, если только количество повторений не будет настолько большим, что обнаружение перестает быть эффективным».
В письме говорится, что сканирование на стороне клиента, необходимое для целевых заказов, несовместимо с E2EE, который предназначен для обеспечения доступа к контенту только взаимодействующим сторонам.
«Защита, обеспечиваемая сквозным шифрованием, подразумевает, что никто, кроме предполагаемого получателя сообщения, не сможет узнать какую-либо информацию о содержании такого сообщения. Включение возможностей обнаружения, будь то зашифрованные данные или данные до того, как они будут зашифрованы, нарушает само определение конфиденциальности, обеспечиваемое сквозным шифрованием».
Эксперты призывают приостановить регулирование до тех пор, пока не будут проведены надлежащие технические консультации о том, что осуществимо при сохранении защищенной связи.
«Мы настоятельно рекомендуем не только не продвигать это предложение, но и, прежде чем такое предложение будет представлено в будущем, инициаторам провести серьезные разговоры о том, что можно и что нельзя сделать в контексте обеспечения безопасных коммуникаций для общества».
«Мы рекомендуем существенно увеличить инвестиции и усилия для поддержки существующих проверенных подходов к искоренению злоупотреблений, а вместе с ними и оскорбительных материалов. Такие подходы контрастируют с нынешним предложением техно-решителей, которое сосредоточено на удалении оскорбительных материалов из Интернета за счет безопасности связи».
В июле 2023 года в предыдущем открытом письме, подписанном 465 учеными, предупреждалось, что технологии обнаружения, которые предлагаемый закон предписывает платформам внедрять, фундаментально ошибочны и их можно обойти. В письме предупреждалось, что требование этих технологий серьезно подорвет важнейшие гарантии безопасности, обеспечиваемые услугами связи со сквозным шифрованием (E2EE).
Смотрите также: ЕС классифицирует iPadOS как «привратника», подчиняющегося правилам DMA
Хотите обновить свою стратегию цифровой трансформации? Узнайте больше о Неделе цифровой трансформации, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие проводится совместно с выставками AI & Big Data Expo, Cyber Security & Cloud Expo и другими ведущими мероприятиями.
Узнайте о других предстоящих мероприятиях и вебинарах в области корпоративных технологий, проводимых TechForge, здесь.
Специальная подборка для Вас