utredningsbefogenheter agera blogg

Watch, Wait and Pray: The Potential Impact of Updates to the Investigatory Powers Act

När det gäller teknikreglering verkar den brittiska regeringen slingra sig från en kontrovers till en annan. Nyligen efter en strid med Big Tech om end-to-end-kryptering (E2EE) i sin mycket omtvistade onlinesäkerhetsförslag, riktar regeringen nu sin uppmärksamhet mot föreslagna uppdateringar av Investigatory Powers Act (IPA).

Om de sätts i kraft i sin nuvarande form kan förslagen göra Storbritannien till ett vilda västern för cyberhot och exploatering och kan tvinga otaliga teknikleverantörer att dra sina tjänster från marknaden, vilket gör att användarna sitter fast med osäkra och ineffektiva kommunikationsverktyg.

Vad är nytt i IPA?

IPA var allmänt känt som "Snooper's Charter" av en mycket god anledning. Bland dess mest kontroversiella bestämmelser är att tillåta regeringen att kräva att leverantörer av teknisk kommunikation ändrar sina tjänster för att möjliggöra statlig snokning på ett sätt som kan undergräva säkerheten för alla. En Technical Capability Notice (TCN) är det primära sättet att göra det. Det skulle teoretiskt kunna kräva "borttagning av en relevant operatör av elektroniskt skydd" så länge som regeringen kan bevisa att detta skulle stå i proportion till dess slutmål. Eftersom sådana förfrågningar är hemliga kan vi bara föreställa oss att ingen hittills har lyckats, eftersom de inblandade teknikföretagen med största sannolikhet skulle ha reagerat med att hota att lämna marknaden.

Det finns flera mål listade som en del av de föreslagna IPA-uppdateringarna. Men två kan vara särskilt problematiska för brittiska företag:

Mål 3

breddar IPA:s befintliga extraterritoriella täckning, vilket tvingar globala teknikföretag att hålla sig till regeringens regler i varje land de verkar i. Anledningen är att lösa eventuell "osäkerhet" för regeringen när det gäller att utfärda TCN till företag med "komplexa företagsstrukturer". Målet föreslår också att "stärka de tillsynsmöjligheter som finns tillgängliga för bristande efterlevnad av reglerna för meddelanden" vid sidan av detta mål.

Mål 4

lägger till en skyldighet för "operatörer" att "informera statssekreteraren om relevanta ändringar, inklusive tekniska ändringar" och att göra det "en rimlig tid innan relevanta ändringar genomförs". Sådana ändringar är inte specificerade utan kan tolkas som en ny säkerhetsfunktion som introduceras av en teknikleverantör eller till och med säkerhetsuppdateringar som åtgärdar sårbarheter. Teoretiskt sett skulle statssekreteraren kunna blockera sådana förändringar, vilket skulle påverka alla slutanvändare av meddelandetjänster och kommunikationsenheter.

Vad en ny IPA kan leda till

Sekretess- och säkerhetsförespråkare är förståeligt nog chockade över förslagen. Och det har Apple redan sa att det kommer att göra ta bort tjänster som iMessage och FaceTime från Storbritannien om de implementeras. Det finns flera uppenbara skäl till varför inte bara teknikföretag utan även företag och konsumenter skulle motsätta sig en ny IPA:

Mål 3 skulle:

  • Potentiellt undergräva säkerheten för journalister, dissidenter och andra i olika delar av världen som är beroende av säker kommunikation för att undvika autokratiska regeringars uppmärksamhet.
  • Sätt teknikföretag på en omöjlig plats: tvingade att följa nya krav från den brittiska regeringen, vilket faktiskt kan bryta mot internationella lagar om mänskliga rättigheter och motsäga reglerna i lagstiftning som GDPR, vilket sätter säkerhet genom design i centrum.

 

"Den föreslagna skyldigheten att informera HMG innan några tekniska ändringar görs har retat flera av teknikleverantörerna, stora som små. Jag vet verkligen inte varför regeringen föreslår det eftersom de måste veta vilken reaktion det kommer att orsaka,” säger Surrey Universitys professor Alan Woodward till ISMS.online.

"Sammanfattningen är att om regeringen försöker tvinga fram det, kommer de berörda teknikföretagen att vägra att följa. Och om det kräver att de drar sig ur Storbritannien, kommer de att göra precis det. Det verkar utomordentligt naivt att regeringen skulle tro att våra lagar skulle åsidosätta lagarna i andra jurisdiktioner – särskilt jurisdiktionen där säljaren är baserad.”

Mål 4 kan leda till:

  • Den brittiska regeringen blockerar eller försenar medvetet säkerhetsuppdateringar så att dess spioner kan utnyttja underliggande sårbarheter för övervakningsändamål.
  • Plåster som tar längre tid att släppa eller hålls tillbaka på obestämd tid vilket ger hotaktörer gott om tid att undersöka utnyttjande.
  • Hotaktörer som riktar in sig på statliga system för information om väntande leverantörskorrigeringar

 

"Att försena säkerhetsuppdateringar är alltid dåligt eftersom även om du inte har några bevis för att en sårbarhet utnyttjas, betyder det faktum att leverantören hittade det att någon annan kan ha gjort det. Och varje minut du försenar är extra tid för dem att utnyttja det, fortsätter Woodward.

"Det är svårt att inte dra slutsatsen att regeringen vill veta om sådana förändringar i förväg om det påverkar en sårbarhet som den redan utnyttjar för övervakning."

Hur troligt är det?

Den offentliga samrådsperioden om vad regeringen beskriver som de "reviderade meddelandesystemen" i IPA 2016 har nu avslutats. Därför är inget bestämt ännu, och det finns flera anledningar till att de mest kontroversiella förslagen kanske inte kommer in i de slutliga revideringarna.

As Privacy International hävdar, mål 3 och 4 skulle gemensamt kunna innebära att Storbritannien bryter mot internationell lag om mänskliga rättigheter – särskilt rätten till respekt för privatliv som är inskriven i artikel 8 i den europeiska konventionen om mänskliga rättigheter (ECHR). Det beror på att, genom att förhindra en leverantör av kommunikationstjänster från att tillämpa säkerhetsuppdateringar eller avancerat skydd som E2EE, skulle regeringen förneka den rätten inte bara till Storbritannien utan till globala medborgare. Det är utmanande att tänka på ett fall där att godkänna dessa befogenheter skulle vara "nödvändigt och proportionerligt", som Europakonventionen kräver.

"I det föränderliga landskapet av digitala rättigheter och säkerhet understryker dessa föreslagna ändringar det absolut nödvändiga behovet för regeringar att hitta en lämplig balans mellan nationell säkerhet och individuella rättigheter", hävdar Privacy International. "När det reviderar inhemska övervakningslagar, bör Storbritannien återigen åta sig sina skyldigheter enligt internationell lag för att skydda individuella rättigheter hemma och utomlands."

Den andra anledningen är mer naken kommersiell. Om regeringen fick sin vilja igenom och dessa förslag genomfördes skulle den digitala världen bli betydligt mindre säker. Men tekniska leverantörer låter helt enkelt inte detta hända.

"I slutändan kommer marknadskrafterna att avgöra hur dessa företag reagerar: de kommer inte att göra något för en relativt liten marknad som Storbritannien när det kan driva bort kunder på andra stora marknader", avslutar Woodward.

Ett värsta scenario för brittiska företag är att förslagen på något sätt bara antas i Storbritannien, vilket leder till att teknikföretag drar tillbaka några av sina säkraste tjänster från landet. Det skulle nog vända ett mångårigt regeringslöfte på huvudet och göra Storbritannien till den minst säkra platsen att göra affärer online i världen på.

Författare

Phil Muncaster

Phil Muncaster har varit IT-journalist i 15 år. Han började som reporter på företags-IT-titeln IT Week 2005 och gick vidare till rollen som nyhetsredaktör innan han lämnade för att göra en frilanskarriär. Sedan dess har Phil skrivit för titlar som The Register, där han arbetade som Asienkorrespondent medan han var baserad i Hong Kong i över två år, MIT Technology Review, SC Magazine, Infosecurity Magazine och andra.

Visa alla inlägg av Phil Muncaster

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer