Законопроектът на Великобритания за киберсигурност и устойчивост: Какво означава той за поверителността при VPN

Законопроектът на Великобритания за киберсигурност и устойчивост: Какво означава той за поверителността при VPN

Правителството на Великобритания въведе Законопроекта за киберсигурност и устойчивост — значимо законодателство, което прекласифицира центровете за данни като основни комунални услуги и ги включва в официален национален режим за докладване на киберинциденти. Докато повечето анализи са съсредоточени върху задълженията за корпоративно съответствие, законопроектът има реални последици за всеки, който използва VPN услуга, насочваща трафик през базирана в Обединеното кралство инфраструктура. За потребителите, загрижени за поверителността, разбирането на аспекта на поверителността в Законопроекта за киберсигурност и устойчивост на Великобритания вече не е по избор.

Какво всъщност изисква Законопроектът за киберсигурност и устойчивост от центровете за данни

По същество законопроектът разширява обхвата на съществуващите разпоредби за мрежова и информационна сигурност (NIS). Центровете за данни, опериращи в Обединеното кралство, ще трябва да отговарят на нови базови стандарти за киберсигурност и — което е от ключово значение — да докладват значими инциденти на регулаторите в определени срокове. Обосновката на правителството е ясна: центровете за данни вече не са пасивни складове за съхранение. Те са в основата на банковото дело, здравеопазването, комуникациите и облачните услуги. Третирането им като всякакъв друг търговски обект винаги е представлявало регулаторна празнина, а редица известни пробиви в сигурността направиха тази празнина невъзможна за пренебрегване.

Законопроектът предоставя на регулаторите по-широки следствени правомощия, включително възможността да изискват техническа информация, да проверяват практиките за сигурност и да налагат принудителни мерки, когато операторите не отговарят на изискванията. За големите търговски центрове за данни това означава, че екипите по съответствие ще трябва да съпоставят всеки инцидент с новите прагове за докладване. За по-малките оператори административната тежест може да бъде значителна.

Това, което законопроектът не прави — поне в настоящата си формулировка — е изрично да разглежда последиците за поверителността от задължителното разкриване на информация. Когато един център за данни докладва инцидент на правителствен регулатор, докладът може да описва какви данни са засегнати, кои наематели са били въвлечени и до кои системи е бил осъществен достъп. Тази информация постъпва в правителствена база данни, а условията, при които тя може да бъде споделяна по-нататък, все още не са напълно определени.

Как режимите на задължително докладване създават нови рискове за инфраструктурата на VPN сървъри в Обединеното кралство

VPN доставчиците, наемащи сървърно пространство в центрове за данни в Обединеното кралство, са наематели на тези съоръжения. Те не са освободени от веригата за докладване. Ако даден център за данни, в който се намират VPN сървъри, претърпи квалифициран инцидент, операторът е длъжен да го докладва. Този доклад може да включва подробности за това кои услуги са работили на засегнатата инфраструктура, като по този начин се отваря прозорец към дейността на VPN сървърите, който иначе не би съществувал.

Освен докладването на инциденти, разширените следствени правомощия по законопроекта повдигат по-трайния въпрос: могат ли регулаторите да задължат центъра за данни да предостави достъп до инфраструктурата на наемателите по време на разследване? Формулировките на законодателството относно събирането на информация са широки, а правните тълкувания ще отнемат време, докато се установят чрез съдебна практика и регулаторни насоки.

За потребителите на VPN практическият риск не е непременно, че правителствен служител ще прочете историята им на сърфиране утре. Рискът е структурен. Регулаторна рамка, която третира центровете за данни като критична национална инфраструктура, снабдена с разширени правомощия за достъп и принудително разкриване на информация, създава условия, които са принципно по-неблагоприятни за анонимизирани услуги, запазващи поверителността, в сравнение с рамка, при която това отсъства.

Изземването на сървъри е по-острият ръб на тази загриженост. Британските правоприлагащи органи вече разполагат с механизми за изземване на сървъри като част от наказателни разследвания. Новият законопроект не разширява директно тези правомощия, но по-тясната връзка между операторите на центрове за данни и правителствените регулатори прави оперативната среда по-пропусклива. Доставчиците, които не са внедрили проверена архитектура за нулево регистриране, са изложени на по-голям риск в този контекст.

Британското киберзаконодателство спрямо GDPR и NIS2: Как се вписва в глобалния регулаторен модел

Британският законопроект не се появи в изолация. След Brexit Обединеното кралство запази разпоредбите NIS, произтичащи от оригиналната Директива NIS на ЕС, но се отдели от тях, преди обновената NIS2 на ЕС да влезе в сила. NIS2 значително разшири категориите обхванати субекти и затегна сроковете за докладване на инциденти в държавите — членки на ЕС. Законопроектът на Великобритания за киберсигурност и устойчивост е отчасти британският отговор на NIS2, преследващ сходни цели чрез вътрешен законодателен инструмент.

Важното разграничение за целите на поверителността е юрисдикционното. GDPR, който все още се прилага в Обединеното кралство чрез запазения UK GDPR, предоставя рамка за правата на субектите на данни и налага ограничения върху начина, по който личните данни могат да бъдат обработвани и споделяни. Новият законопроект за киберсигурност оперира в различна регулаторна лента, съсредоточена върху нивото на сигурност и докладването на инциденти, а не върху правата на субектите на данни. Начинът, по който тези две рамки си взаимодействат и потенциално си противоречат, остава открит въпрос, който регулаторите и съдилищата ще трябва да разрешат.

За потребителите на VPN, сравняващи юрисдикции, това поставя Обединеното кралство в по-сложна позиция, отколкото преди пет години. То запазва защитите, произтичащи от GDPR, но в същото време изгражда по-интервенционистки режим за киберсигурност с пряк достъп до инфраструктурния слой.

Какво да търсят потребителите на VPN, за да избегнат излагане под британска юрисдикция

Юрисдикцията е един от най-пренебрегваните фактори при избора на VPN доставчик, а последиците за поверителността от Законопроекта за киберсигурност и устойчивост на Великобритания го правят по-актуален от всякога. Струва си да се оценят няколко конкретни неща.

Първо, къде е регистриран юридически VPN доставчикът? Компания с централа в Обединеното кралство е подчинена на исканията на британските правоприлагащи органи и на регулаторните задължения, независимо от това къде физически се намират нейните сървъри. Доставчик, базиран в юрисдикция извън Обединеното кралство и извън алианса за споделяне на разузнавателна информация „Пет очи", работи при различна правна основа.

Второ, къде се намират сървърите, които реално използвате? Дори доставчик извън Обединеното кралство може да оперира сървъри вътре в британски центрове за данни, които вече попадат под новия режим на докладване. Доставчиците, предлагащи сървъри само с RAM памет или ясно документиращи своите инфраструктурни избори, дават на потребителите повече информация, с която да работят.

Трето, одитирана ли е независимо политиката на доставчика за нулево регистриране? Одитните доклади не елиминират правния риск, но установяват фактическа основа относно това какви данни съществуват. Доставчик, който не регистрира нищо, няма нищо съществено да разкрие при сценарий на принудително разкриване.

Доставчиците, базирани в Швеция, например, работят съгласно шведското право, което носи свои собствени защити на поверителността, различни от британската рамка. PrivateVPN, основан през 2009 г. и с централа в Швеция, е един пример за доставчик, чиято юрисдикция се намира изцяло извън обхвата на британското регулиране. Това не го прави имунизиран срещу всякакъв правен натиск, но означава, че британските власти не могат да принудят разкриване на информация директно чрез вътрешното право.

Какво означава това за вас

Законопроектът за киберсигурност и устойчивост на Великобритания не е закон за наблюдение в конвенционалния смисъл. Той е преди всичко мярка за сигурност и съответствие, насочена към укрепване на националната инфраструктура. Но инфраструктурата, която той цели, включва центровете за данни, в които живеят VPN сървърите, а разширените правомощия за докладване и разследване, които той създава, имат косвени последици за поверителността.

Ако вашият VPN доставчик поддържа сървъри в британски центрове за данни, тези сървъри вече съществуват в по-регулирана, по-прозрачна за правителството среда, отколкото преди. Ако доставчикът ви е също така юридически регистриран в Обединеното кралство, вашата изложеност се увеличава допълнително.

Практически стъпки, които да предприемете сега:

• Прегледайте списъка със сървъри на вашия VPN доставчик и проверете дали британски сървъри са в пътя на вашата стандартна връзка.
• Прочетете политиката за поверителност на доставчика и потърсете независими одити на техните твърдения за нулево регистриране.
• Преценете дали вашият доставчик е регистриран в юрисдикция със силно законодателство за поверителност и без пряка изложеност на британска регулаторна принуда.
• Ако британската юрисдикция ви притеснява, разгледайте доставчици с централи извън Обединеното кралство и извън държавите — членки на „Пет очи".

Законодателство от този вид обикновено се развива след въвеждането му. Настоящият законопроект ще мине през Парламента, ще привлече изменения и ще генерира регулаторни насоки през следващите месеци. Оставането информиран, докато детайлите се изяснят, е най-ефективното нещо, което потребителите, загрижени за поверителността, могат да направят в момента.