Спорный акт. Как Великобритания тайно тестирует новую систему для слежки за пользователями в Интернете

Спорный акт. Как Великобритания тайно тестирует новую систему для слежки за пользователями в Интернете

В 2016 году в Великобритании был принят Investigatory Powers Act («Акт о полномочиях следствия»). Это событие привело к созданию специальной системы, с помощью которой можно отслеживать интернет-активность пользователей, проживающих на территории данного демократического государства.

В течение последних двух лет правоохранительные органы совместно с интернет-компаниями по всей Великобритании секретно разрабатывали и тестировали особую технологию слежки. С помощью нее они могли регистрировать и сохранять данные о просмотре страниц в Интернете каждого пользователя, проживающего на территории страны.

Тесты, которые были осуществлены двумя неизвестными интернет-провайдерами, Министерством внутренних дел и Национальным агентством по борьбе с преступностью, проводились после принятия спорного «Акта о полномочиях следствия», вступившего в силу в конце 2016 года. В случае успешной реализации данного постановления правительство получило бы возможность развернуть слежку на национальном уровне.

Несмотря на то, что Национальное агентство по борьбе с преступностью заявило, что в процессе реализации данного акта была проделана «значительная работа», подробности воплощения постановления в жизнь не разглашаются. Подобный подход со стороны правоохранительных органов уже оспаривается в суде. Публичного объявления о начале какого-либо тестирования или слежки за пользователями в сети не было. Более того, многие инсайдеры, следящие за деятельностью полиции и государственных органов, утверждают, что не могут говорить о новой технологии из-за соображений собственной безопасности.

До сих пор идет судебный процесс, связанный с выполнением «Акта о полномочиях следствия», вступившего в силу в 2016 году. Сам акт связан с законом Snooper’s Charter. Опираясь на совокупность этих постановлений, государство получило возможность создавать записи о каждом подключении пользователя к сети. В них содержится полная информация о том, какие действия пользователь осуществлял в Интернете. Другими словами, это метаданные о его интернет-жизни: кто он, что делает, с кем общается, чем интересуется. Опираясь на «Акт о полномочиях следствия», государство или полиция могут потребовать от интернет-компании хранить историю посещений определенного пользователя в течение 12 месяцев.

Первое из подобных требований было выдвинуто еще в июле 2019 года. Именно тогда записи о деятельности пользователей или ICR были опробованы на практике (согласно отчету уполномоченного по выполнению принятого акта). Второе требование, выдвинутое уже другому интернет-провайдеру в рамках того же судебного разбирательства, появилось в октябре 2019 года. Сам судебный процесс продолжается и сейчас. Полицией проводятся регулярные проверки, чтобы гарантировать тот факт, что собранные данные не нарушают права пользователей на приватность. После того, как программа по сбору данных будет тщательно протестирована, вопрос о ее принятии на национальном уровне будет рассмотрен правительством страны.

Однако организации по защите прав граждан утверждают, что отсутствие прозрачности вокруг подобных судебных процессов свидетельствует о том, что такая программа по сбору данных – не идеальна. «Потребовалось несколько лет, чтобы судебный процесс, связанный со сбором данных пользователей, получил огласку. Это говорит о том, что сама система, занимающаяся отслеживанием активности пользователей в сети, требует доработки», - утверждает Хизер Бернс, политический эксперт из Open Rights Group, британской организации по защите конфиденциальности и свободы в Интернете.

Бернс говорит, что судебный процесс, связанный со сбором ICR, заставил интернет-провайдеров «откопать намного больше личной информации о пользователях, чем планировалось». Она добавляет, что неясно, какие именно данные были собраны в результате судебного разбирательства. «Я поражена отсутствием прозрачности в деле, связанном с подобным массовым сбором и хранением личных данных жителей Великобритании».

Весь судебный процесс покрыт тайнами. Неизвестно, какие данные собираются, какие компании участвуют в этом и как полученная информация используется третьими лицами. Министерство внутренних дел отказалось предоставить подробности судебного разбирательства, заявив, что оно является «не столь значительным» и проводится лишь для определения того, какие данные могут быть получены в результате подобной практики. Отчеты ICR были придуманы для того, чтобы раскрывать серьезные преступления и предотвращать их в будущем, утверждают в Министерстве внутренних дел.

«Мы поддерживаем спонсируемую Министерством внутренних дел инициативу по созданию записей об активности пользователей в сети с целью выполнения технических, правовых и политических задач», - говорит представитель Национального агентства по борьбе с преступностью. Само агентство потратило по меньшей мере 130 000 фунтов стерлингов на выполнение двух внешних контрактов по созданию базовых технических систем для осуществления слежки. Стоит отметить, что в документах, связанных с выполнением «Акта о полномочиях следствия», от июня 2019 года, говорится о том, что для осуществления записей об активности пользователей в Интернете уже была проделана «значительная работа».

Из крупных интернет-провайдеров Великобритании только Vodafone подтвердил, что не участвовал ни в каких тестированиях, связанных с хранением интернет-данных об активности своих пользователей. Представители BT, Virgin Media и Sky отказались комментировать данную ситуацию, а оператор мобильной связи Three вовсе не ответил на запрос журналистов. Более мелкие интернет-провайдеры утверждают, что они не были вовлечены в какие-либо тестирования новых программ безопасности.

Скорее всего, поставщикам услуг мешает закон, по которому они не имеют права распространяться публично о данных, которые собирают. Такая секретность ставит под угрозу модернизацию и тестирование всей интернет-сети в целом. В одном из разделов «Акта о полномочиях следствия» говорится, что телекоммуникационным компаниям или людям, работающим в данной сфере, не разрешается публично или приватно высказываться о «существовании или содержании» каких-либо приказов, связанных с хранением личных данных пользователей.

«Акт о полномочиях следствия» - это многоуровневый закон, который устанавливает порядок, по которому правоохранительные органы в Великобритании могут собирать и обрабатывать данные, связанные с осуществлением преступной активности. С тех пор как он был принят в 2016 году, акт привел к радикальным реформам в сфере безопасности данных в Великобритании. Правоохранительные органы получили больше контроля над приватной информацией жителей страны, объяснив это тем, что телефоны, компьютеры и другие гаджеты могут быть взломаны злоумышленниками. В рамках этих изменений ICR (отчеты об активности пользователей) были введены как новый тип данных, который можно собирать и хранить в целях безопасности.

Записи об активности людей в Интернете могут содержать в себе информацию о приложениях, которые они использовали; доменах, которые они посещали; IP-адресе, присущем их сети. Обладая подобным объемом информации, полиция может узнать о начале и конце сеанса пользователя в сети, а также об объеме данных, которые были получены или отправлены с его устройства. Хотя метаданные не смогут напрямую указать на то, что вы именно смотрели на определенной странице в Интернете, они все же несут в себе опасность вашей конфиденциальности. Помимо всего прочего, ICR содержат информацию о состоянии здоровья, политических пристрастиях и личных интересах пользователей. В документах Министерства внутренних дел говорится, что «нет единого набора данных, которые собираются для создания ICR». Все журналы будут храниться интернет-провайдерами в течение необходимого промежутка времени.

Уже прошло пять лет с момента принятия акта. В 2016 году многие его аспекты казались довольно спорными – и создание ICR занимало первое место в этом списке. Эдвард Сноуден назвал этот закон «самой экстремальной слежкой в истории западной демократии». Стоит также отметить, что после того, как акт вступил в силу, состоялись множественные судебные разбирательства о том, какое количество личных данных пользователеймогут собирать интернет-провайдеры.

Несмотря на то, что закон был принят еще в ноябре 2016 года, вполне вероятно, что системы, необходимые для сбора информации об интернет-активности всех пользователей в Великобритании, еще необходимо развивать. При обсуждении акта в 2015 году многие интернет-провайдеры заявили о том, что ICR – это совершенно новый тип данных, поскольку ничего подобного в мире пока еще не было разработано.

Хью Вулфорд, тогдашний операционный директор Virgin Media, сказал, что подобная слежка требует «зеркального отражения всего трафика нашей сети, чтобы получить возможность отфильтровать его в последствии». Другие специалисты утверждали, что такие системы обойдутся государству дороже, чем в 175 миллионов фунтов стерлингов, которые были изначально заложены Министерством внутренних дел в бюджет по исполнению акта. В результате этого, возможно, расходы людей на услуги Интернета увеличатся.

«Акт о полномочиях следствия» планируется тщательно изучить в следующем году. Он должен быть пересмотрен через пять лет и шесть месяцев после его принятия. Бернс утверждает, что это шанс улучшить прозрачность самого процесса сбора данных и понять, как закон работает на практике. «Мы должны лишний раз убедиться, что ICR собирают необходимое количество данных об активности пользователей в сети», - говорит она. «Необходимо также дать гарантии, что любые шаги по масштабированию данной практики не будут предприниматься государством и правоохранительными органами в дальнейшем».

По материалам Wired.

Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.




Join the conversation.

Great! Check your inbox and click the link
Great! Next, complete checkout for full access to Эксплойт
Welcome back! You've successfully signed in
You've successfully subscribed to Эксплойт
Success! Your account is fully activated, you now have access to all content
Success! Your billing info has been updated
Your billing was not updated