Τον Μάιο του 2022, η Ευρωπαϊκή Επιτροπή (European Commission) κατέθεσε τις προτάσεις της για την πρόληψη και την καταπολέμηση του διαδικτυακού περιεχομένου που αφορά την σεξουαλική κακοποίηση παιδιών (Child Sexual Abuse Material/CSAM). Οι νέοι κανόνες της ΕΕ θεσπίζουν τη δημιουργία ενός νέου και ανεξάρτητου Κέντρου για την παιδική κακοποίηση, με σαφείς υποχρεώσεις προς τους παρόχους τηλεπικοινωνίων και στις πλατφόρμες ανταλλαγής μηνυμάτων των Big Tech εταιρειών. Μέσα από αυτή την ενέργεια, η ΕΕ, στοχεύει στην ανίχνευση, την αναφορά, την αφαίρεση και τον αποκλεισμό τέτοιου διαδικτυακού περιεχομένου, ενώ, ταυτόχρονα, δίνει στις κρατικές αρχές των μελών της την δυνατότητα πρόληψης για φαινόμενα CSAM και δίωξη των θητών μέσα από αυτή την διαδικασία.
Αν η νέα ευρωπαϊκή νομοθεσία εγκριθεί, η ΕΕ θα απαιτήσει από τις τεχνολογικές εταιρείες να πραγματοποιούν «αξιολογήσεις κινδύνου» στις υπηρεσίες τους, προκειμένου να είναι σε θέση να αξιολογούν τα επίπεδα του CSAM στις πλατφόρμες τους και να λαμβάνουν αντίστοιχα μέτρα πρόληψης. Επιπλέον, οι αρμόδιες αστυνομικές και δικαστικές αρχές των κρατών, θα μπορούν να εκδίδουν «διαταγές ανίχνευσης» προς τις εταιρείες, οι οποίες θα είναι υποχρεωμένες να ακολουθήσουν τις διαταγές και να ενεργοποιήσουν/εγκαταστήσουν λειτουργίες στα συστήματά τους που θα ανιχνεύσουν το διαδικτυακό περιεχόμενο παιδικής σεξουαλικής κακοποίησης.
Σύμφωνα με τα πλάνα της Ευρωπαϊκής Επιτροπής, οι τεχνολογικές εταιρείες, από web hosting [σ.σ. υπηρεσίες φιλοξενίας ιστοσελίδων] έως πλατφόρμες ανταλλαγής μηνυμάτων όπως το WhatsApp, θα μπορούν να κληθούν να εντοπίσουν τόσο νέο όσο και παλαιότερο υλικό CSAM, καθώς και πιθανές περιπτώσεις «προσέγγισης» (grooming). Αυτή η ανίχνευση θα μπορεί να πραγματοποιείται σε μηνύματα συνομιλίας (chat), αρχεία που ανεβαίνουν σε cloud υπηρεσίες και σε ιστοσελίδες που φιλοξενούν κακοποιητικό περιεχόμενο.
Κάτι ανάλογο είχε κάνει η Apple, το 2021, όταν «σκάναρε» τις φωτογραφίες των iPhone και των iPad προτού αυτές ανέβουν στο iCloud της. Ωστόσο, η κίνηση αυτή προκάλεσε έντονες αντιδράσεις και η εταιρεία δεν επανέλαβε ξανά αυτή την ενέργεια. «Βασιζόμενοι στα σχόλια πελατών μας, οργανώσεων υπεράσπισης των ανθρωπίνων δικαιωμάτων και ερευνητών, αποφασίσαμε να αφιερώσουμε περισσότερο χρόνο για την συλλογή απόψεων και την πραγματοποίηση βελτιώσεων πριν κυκλοφορήσουμε αυτές τις ζωτικής σημασίας λειτουργίες για την ασφάλεια των παιδιών», είχε δηλώσει τότε η Apple.
Τώρα, όμως, αναμένονται νέες ανάλογες αντιδράσεις, με στόχαστρο την Ευρωπαϊκή Επιτροπή και τα μέτρα που προτείνει για την πρόληψη και καταπολέμηση του CSAΜ.
Εχθές το Wired δημοσίευσε μια έρευνα του Ευρωπαϊκού Συμβουλίου που διέρρευσε καταλήγοντας στα γραφεία του. Στο έγγραφο εμφανίζονται οι απόψεις των αξιωματούχων από τα κράτη μέλη της ΕΕ σχετικά με την απαραίτητη νομοθετική ρύθμιση της κρυπτογράφησης που απαιτείται για να υλοποιηθεί το σχέδιό της. Όπως αναφέραμε, ο προτεινόμενος νόμος απαιτεί από τις πλατφόρμες να «σκανάρουν» το περιεχόμενό τους, συμπεριλαμβανομένων των προσωπικών μηνυμάτων (private messages/pm) μεταξύ των χρηστών τους, και αυτό τον καθιστά αμφιλεγόμενο άμεσα, διότι για να φτάσουμε σε αυτό το σημείο θα πρέπει να πρακτικά «σπάσει» η end-to-end (E2EE) κρυπτογράφηση στις επικοινωνίες μας.
Τι είναι η E2EE κρυπτογράφηση
Η συγκεκριμένη μέθοδος κρυπτογράφησης προσφέρει ασφαλή επικοινωνία μεταξύ αποστολέα-παραλήπτη, αποτρέποντας την πρόσβαση από τρίτους κατά τη μεταφορά του περιεχομένου από τη μια συσκευή στην άλλη.
Τα δεδομένα κρυπτογραφούνται στο σύστημα ή στην συσκευή του αποστολέα και μόνο ο παραλήπτης μπορεί να τα αποκρυπτογραφήσει. Καθώς η πληροφορία «ταξιδεύει» προς τον προορισμό της, δεν μπορεί να «διαβαστεί» από τους ISP (τηλεπικοινωνιακούς παρόχους), από τις πλατφόρμες που χρησιμοποιούν οι χρήστες ή κάποια άλλη υπηρεσία.
Δημοφιλείς πλατφόρμες, όπως το Messenger του Facebook (Meta), το WhatsApp, το Viber, το Telegram και το Zoom, χρησιμοποιούν E2EE κρυπτογράφηση και κατά καιρούς έχουν αντιμετωπίσει αντιδράσεις για την απόφασή τους να υιοθετήσουν την συγκεκριμένη μέθοδο προστασίας του περιεχομένου τους, καθώς έτσι καθίσταται δύσκολη η κοινοποίηση πληροφοριών που αφορούν τους χρήστες τους προς τις αρμόδιες κρατικές αρχές, όταν αυτές επιθυμούν να ανιχνεύσουν κακόβουλο περιεχόμενο, CSAΜ και παράνομες δραστηριότητες.
Για την υλοποίηση της end-to-end κρυπτογράφησης, απαιτείται ένα ξεχωριστό public key (δημόσιο κλειδί) για αποστολέα-λήπτη το οποίο κρυπτογραφεί και αποκρυπτογραφεί την πληροφορία, χωρίς αυτό να κοινοποιείται «ανοιχτά» στους μεσολαβητές του μηνύματος (ISP, servers κλπ). Παρακάτω μπορείτε να δείτε και τη σχετική επεξηγηματική εικόνα για το πώς λειτουργεί η E2EE.
Οι προβληματισμοί για την Ευρωπαϊκή νομοθετική ρύθμιση
Από τις 20 χώρες της ΕΕ (απουσιάζει η Ελλάδα) που αναφέρονται στο έγγραφο που διέρρευσε στο Wired, η πλειοψηφία δηλώνει ότι υποστηρίζει «κάποια μορφή σάρωσης των κρυπτογραφημένων μηνυμάτων», με τη θέση της Ισπανίας να είναι η πιο δυναμική. «Ιδανικά, κατά την άποψή μας, θα ήταν επιθυμητό να αποτραπεί νομοθετικά η υλοποίηση της κρυπτογράφησης end-to-end από πάροχους υπηρεσιών με έδρα την ΕΕ», αναφέρουν οι ισπανικοί αξιωματούχοι στο έγγραφο.
«Είναι απόλυτα σημαντικό να παρέχουμε σαφείς διατυπώσεις στον Κανονισμό για τη Πρόληψη της Σεξουαλικής Κακοποίησης των Παιδιών, ότι η κρυπτογράφηση end-to-end δεν αποτελεί λόγο για να μην αναφέρεται [στις αρχές] υλικό CSAM» δήλωσαν οι αντιπρόσωποι της Κροατίας στο έγγραφο. «Οι διαταγές εντοπισμού πρέπει απαραιτήτως να ισχύουν και για κρυπτογραφημένα δίκτυα», δήλωσε η Σλοβενία. «Δεν θέλουμε η E2EE κρυπτογράφηση να γίνει “καταφύγιο” για κακόβουλους δράστες» σχολίασε η Ρουμανία.
«Είναι σοκαριστικό να βλέπουμε την Ισπανία να δηλώνει ρητά ότι θα πρέπει να υπάρχει νομοθεσία που απαγορεύει στους παρόχους υπηρεσιών με έδρα την ΕΕ να υλοποιούν E2EE κρυπτογράφηση», δήλωσε η Riana Pfefferkorn, ερευνήτρια στο Πανεπιστήμιο Stanford της Καλιφόρνιας, η οποία εξέτασε το έγγραφο κατόπιν αιτήματος του Wired.
Στο ίδιο μήκος κύματος κινήθηκε και η Iverna McGowan, γενική γραμματέας της ευρωπαϊκής μη κερδοσκοπικής οργάνωσης Κέντρο για την Δημοκρατία και την Τεχνολογία (Center for Democracy and Technology/CDT): «Η ανατροπή της κρυπτογράφησης end-to-end για όλους δεν θα ήταν μόνο δυσανάλογη, αλλά θα αποδεικνύονταν αναποτελεσματική στην επίτευξη του στόχου να προστατευθούν τα παιδιά».
Στην έκθεση αυτή, που έχει ημερομηνία σύνταξης 12 Απριλίου 2023, οι 20 χώρες απαντάνε σε μια σειρά ερωτήσεων που σχετίζονται με την πρόληψη και καταπολέμηση του CSAM, συμπεριλαμβανομένου του εάν θεωρούν την κρυπτογράφηση end-to-end «εμπόδιο» για το έργο τους στην αντιμετώπιση της σεξουαλικής κακοποίησης των παιδιών και εάν θα προτιμούσαν να προστεθεί νέα διατύπωση στον νόμο που να ορίζει ότι η κρυπτογράφηση δεν θα πρέπει να αποδυναμωθεί. Οι ερωτήσεις τέθηκαν για πρώτη φορά τον Ιανουάριο.
Όπως ήταν αναμενόμενο, η νομοθετική ρύθμιση που προτάθηκε από την Ylva Johansson, την Επίτροπο της ΕΕ για την Εσωτερική Ασφάλεια (Home Affairs), έχει προκαλέσει αντιδράσεις από ειδικούς της κρυπτογράφησης, προγραμματιστές και υπερασπιστές της ιδιωτικότητας λόγω των δυνητικών επιπτώσεων κατάργησης ή περιορισμού της end-to-end κρυπτογράφησης.
Η αιώνια διαμάχη για την κρυπτογράφηση
Όσο η ζωή μας εντάσσεται μέσα σε ένα ψηφιακό πλαίσιο, το οποίο ολοένα και διευρύνεται, η επικοινωνία μεταξύ των ανθρώπων πραγματοποιείται σχεδόν αποκλειστικά μέσα από διαδικτυακές πλατφόρμες. Είτε πρόκειται για email είτε για μηνύματα σε chat, η πληροφορία που «ταξιδεύει» μέσα από οπτικές ίνες και (δια)δικτυακούς κόμβους είναι ατελείωτη και ασταμάτητη, ενώ αποτελεί κομμάτι των ευαίσθητων προσωπικών δεδομένων μας.
Ανοίγοντας την «πόρτα» σε εταιρείες, οργανισμούς και ανεξάρτητες αρχές να «σκανάρουν» αυτά τα δεδομένα -για τον οποιονδήποτε λόγο κρίνουν αυτοί οι μηχανισμοί, δεν αποκλείεται να αποδεχθεί μοιραίο για την ασφάλειά μας. Μια έκθεση του μη κερδοσκοπικού οργανισμού Business for Social Responsibility, η οποία επιμελήθηκε η Meta, κατέληξε στο συμπέρασμα ότι η end-to-end κρυπτογράφηση είναι κάτι παραπάνω από «θετική δύναμη» για την προστασία των ανθρωπίνων δικαιωμάτων μας.
Μπορεί οι τεχνολογικές εξελίξεις των τελευταίων χρόνων να δημιουργούν διάφορες ανέσεις στην καθημερινότητά μας, παρόλα αυτά υπάρχει ένα «κρυφό κόστος» σε αυτή την απολαβή. Από τις πρακτικές συλλογής δεδομένων της Google, που ένα βράδυ αναζητούμε ένα μίξερ χειρός και τις επόμενες μέρες όλες οι διαδικτυακές διαφημίσεις (ads) που συναντάμε είναι παρόμοιες, μέχρι την ανίχνευση ενδιαφέροντος περιεχομένου στα social media -παρακολουθώντας, για παράδειγμα, ένα Instagram reel με γάτες, το δημοφιλές μέσο κοινωνικής δικτύωσης αντιλαμβάνεται το «ενδιαφέρον» μας και επιλέγει για εμάς αντίστοιχα reels στην συνέχεια- το ίντερνετ έχει μετατραπεί σε έναν σύγχρονο κατάσκοπο που διαμορφώνει άμεσα τον τρόπο σκέψης και τη ζωή μας.
Μεθοδολογίες κρυπτογράφησης, όπως η E2EE, είναι απαραίτητες προκειμένου να διαφυλάξουμε την ασφάλεια και το απόρρητο της επικοινωνίας μας, που για τις Big Tech εταιρείες αποτελούν πόλο έλξης προκειμένου να συνεχίσουν ανενόχλητες να χτίζουν το σύμπαν και την αυτοκρατορία τους γύρω από τις ανάγκες και τις επιθυμίες μας. Όσο επιτρέπουμε στην Google και στην Yahoo να επεμβαίνουν με τις «προτάσεις» τους για την σύνταξη ή την διόρθωση ενός κειμένου email, τόσο αυτές «ανιχνεύουν» το περιεχόμενο και μπορούν στην πορεία να μας παρουσιάσουν στοχευμένες διαφημίσεις μέσα στον ψηφιακό τους κόσμο. Ή, ακόμα χειρότερα, να επιτρέψουν σε τρίτους την πρόσβαση στα δεδομένα μας.
Η πρόταση της Ευρωπαϊκή Επιτροπής σαφώς στοχεύει στην καταπολέμηση της σεξουαλικής παιδικής κακοποίησης, η οποία εκτιμάται ότι παρουσιάζεται παγκοσμίως σε ένα ποσοστό 19,7% για τα κορίτσια και 7,9% τα αγόρια, κυρίως από άνδρες, ωστόσο η κατάργηση της end-to-end κρυπτογράφησης -όπως εύστοχα σχολίασε η Iverna McGowan- δεν θα μπορέσει να λειτουργήσει προληπτικά ή αποτρεπτικά. Χρειάζονται κρατικοί μηχανισμοί που θα εστιάσουν στην κοινωνική πρόνοια, στην καταπολέμηση της πατριαρχίας και των κοινωνικών/ταξικών ανισοτήτων, καθώς η διασφάλιση της ασφάλειας των παιδιών από δυνητική σεξουαλική εκμετάλλευση ή κακοποίηση, μπορεί να αποφευχθεί μέσω της παρουσίας ειδικού προσωπικού σε διάφορες βαθμίδες της εκπαίδευσης και παροχή άμεσης αντίδρασης όταν δηλώνονται CSAM περιστατικά.
Προφανώς η προστασία των παιδιών οφείλει είναι στην κορυφή των προτεραιοτήτων μιας κοινωνίας, διασφαλίζοντας όμως, ταυτόχρονα, πως τα προσωπικά δεδομένα μας είναι εξίσου ασφαλή. Αυτό που απαραίτητα χρειαζόμαστε είναι η ανάπτυξη τεχνολογικών εργαλείων που θα μπορούν να λειτουργούν παράλληλα με την όποια κρυπτογράφηση -όπως τα metadata των συνομιλιών, τα δεδομένα δηλαδή που αφορούν την τοποθεσία, την ώρα/μέρα- και όχι η καθολική κατάργηση του τελευταίου «οχυρού» μας απέναντι στην ψηφιακή κατασκοπεία που θα δρα ανεξέλεγκτα με τις ευλογίες της ΕΕ.