Zakon o kibernetičkoj sigurnosti i otpornosti UK-a: Što znači za privatnost VPN-a

Britanska vlada uvela je Zakon o kibernetičkoj sigurnosti i otpornosti, značajan zakonodavni akt koji podatkovne centre reklasificira kao ključne komunalne usluge i uključuje ih u formalni nacionalni režim izvješćivanja o kibernetičkoj sigurnosti. Dok se većina medijskog praćenja usredotočila na obveze usklađenosti za poduzeća, zakon ima stvarne implikacije za sve koji koriste VPN uslugu koja usmjerava promet kroz infrastrukturu smještenu u UK-u. Za korisnike kojima je stalo do privatnosti, razumijevanje aspekta privatnosti u kontekstu Zakona o kibernetičkoj sigurnosti i otpornosti UK-a više nije izborno.

Što Zakon o kibernetičkoj sigurnosti i otpornosti zapravo zahtijeva od podatkovnih centara

U svojoj srži, zakon proširuje opseg postojećih propisa o mrežnim i informacijskim sustavima (NIS). Od podatkovnih centara koji posluju u UK-u zahtijevalo bi se ispunjavanje novih temeljnih standarda kibernetičke sigurnosti i, što je ključno, izvješćivanje regulatora o značajnim incidentima unutar definiranih rokova. Obrazloženje vlade je jednostavno: podatkovni centri više nisu pasivni objekti za pohranu. Oni podupiru bankarstvo, zdravstvo, komunikacije i usluge u oblaku. Tretiranje ih poput bilo kojih drugih komercijalnih prostora oduvijek je bila regulatorna praznina, a nedavne visokoprofilne povrede podataka učinile su tu prazninu nemogućom za ignoriranje.

Zakon regulatorima daje šira istražna ovlaštenja, uključujući mogućnost zahtijevanja tehničkih informacija, revizije sigurnosnih praksi i izricanja provedbenih mjera kada operateri ne ispunjavaju zahtjeve. Za velike komercijalne podatkovne centre, to znači da će timovi za usklađenost morati mapirati svaki incident u odnosu na nove pragove izvješćivanja. Za manje operatere, opterećenje bi moglo biti znatno.

Ono što zakon ne čini, barem u svom trenutnom oblikovanju, jest izričito rješavanje posljedica za privatnost koje proizlaze iz obveznog otkrivanja podataka. Kada podatkovni centar prijavi incident vladinom regulatoru, ta prijava može opisivati koje su podatke bile zahvaćene, koji su stanari bili uključeni i kojim je sustavima pristupljeno. Te informacije ulaze u vladinu bazu podataka, a uvjeti pod kojima se dalje mogu dijeliti još nisu potpuno definirani.

Kako režimi obveznog izvješćivanja stvaraju nove rizike za infrastrukturu VPN poslužitelja u UK-u

VPN davatelji koji iznajmljuju prostor na poslužitelju unutar podatkovnih centara u UK-u stanari su tih objekata. Oni nisu izuzeti iz lanca izvješćivanja. Ako podatkovni centar koji ugošćuje VPN poslužitelje doživi kvalificirani incident, operater ga mora prijaviti. Ta prijava mogla bi sadržavati pojedinosti o tome koje su usluge radile na zahvaćenoj infrastrukturi, otvarajući prozor u aktivnost VPN poslužitelja koji inače ne bi postojao.

Osim izvješćivanja o incidentima, proširena istražna ovlaštenja iz zakona postavljaju trajnije pitanje: mogu li regulatori prisiliti podatkovni centar da pruži pristup infrastrukturi stanara tijekom istrage? Zakonodavni jezik koji se odnosi na prikupljanje informacija širok je, a pravna tumačenja trebat će vremena da se ustale kroz sudsku praksu i regulatorne smjernice.

Za korisnike VPN-a, praktični rizik nije nužno taj da će vladini službenik sutra čitati njihovu povijest pregledavanja. Rizik je strukturalan. Regulatorni okvir koji podatkovne centre tretira kao ključnu nacionalnu infrastrukturu, opremljen proširenim ovlastima pristupa i prisilnog otkrivanja, stvara uvjete koji su temeljno manje naklonjeni anonimiziranim uslugama zaštite privatnosti od okvira koji to ne čini.

Zapljena poslužitelja oštriji je rub te zabrinutosti. Britanska tijela za provođenje zakona već imaju mehanizme za zapljenu poslužitelja u sklopu kaznenih istraga. Novi zakon izravno ne proširuje ta ovlaštenja, ali bliži odnos između operatera podatkovnih centara i vladinih regulatora čini operativno okruženje propusnijim. Davatelji koji nisu implementirali verificiranu arhitekturu bez zapisnika (no-logs) suočeni su s povećanom izloženošću u tom kontekstu.

Britanski kibernetički zakon u usporedbi s GDPR-om i NIS2: Gdje se uklapa u globalni regulatorni obrazac

Britanski zakon nije nastao u vakuumu. Nakon Brexita, UK je zadržao NIS propise izvedene iz originalne EU direktive NIS, ali se odvojio prije nego što je stupio na snagu EU-ov ažurirani NIS2. NIS2 je značajno proširio kategorije obuhvaćenih subjekata i pooštrio rokove izvješćivanja o incidentima u državama članicama EU-a. Britanski Zakon o kibernetičkoj sigurnosti i otpornosti jest, dijelom, britanski odgovor na NIS2, koji slijedi slične ciljeve kroz domaći zakonodavni instrument.

Važna razlika za potrebe privatnosti je jurisdikcijska. GDPR, koji se u UK-u i dalje primjenjuje putem zadržanog UK GDPR-a, pruža okvir za prava ispitanika i nameće ograničenja na način na koji se osobni podaci mogu obrađivati i dijeliti. Novi zakon o kibernetičkoj sigurnosti djeluje u drugom regulatornom smjeru, usredotočen na sigurnosni položaj i izvješćivanje o incidentima, a ne na prava ispitanika. Pitanje gdje se ta dva okvira međusobno presijecaju, i potencijalno sukobljavaju, ostaje otvoreno pitanje koje će regulatori i sudovi morati riješiti.

Za korisnike VPN-a koji uspoređuju jurisdikcije, ovo stavlja UK u složeniji položaj nego što je bio prije pet godina. Zadržava zaštite izvedene iz GDPR-a, ali gradi i interventniji režim kibernetičke sigurnosti s izravnim pristupom sloju infrastrukture.

Na što bi korisnici VPN-a trebali obratiti pozornost kako bi izbjegli izloženost pod britanskom jurisdikcijom

Jurisdikcija je jedan od najčešće zanemarenih čimbenika pri odabiru VPN davatelja, a implikacije Zakona o kibernetičkoj sigurnosti i otpornosti UK-a za privatnost čine je relevantnijom nego ikad. Nekoliko je konkretnih stvari koje vrijedi procijeniti.

Prvo, gdje je VPN davatelj pravno registriran? Tvrtka sa sjedištem u UK-u podliježe zahtjevima britanske policije i regulatornim obvezama bez obzira na to gdje se fizički nalaze njezini poslužitelji. Davatelj sa sjedištem u jurisdikciji izvan UK-a i izvan obavještajnog saveza Five Eyes posluje prema drugačijoj pravnoj osnovi.

Drugo, gdje se nalaze poslužitelji koje zapravo koristite? Čak i davatelj izvan UK-a može upravljati poslužiteljima unutar britanskih podatkovnih centara, koji sada potpadaju pod novi režim izvješćivanja. Davatelji koji nude poslužitelje samo s RAM-om ili koji jasno dokumentiraju svoje infrastrukturne izbore korisnicima daju više informacija za rad.

Treće, je li politika bez zapisnika davatelja neovisno revidirana? Izvješća o reviziji ne eliminiraju pravni rizik, ali uspostavljaju činjeničnu osnovu o tome koji podaci postoje. Davatelj koji ne bilježi ništa nema ništa značajno za otkriti u scenariju prisilnog izvješćivanja.

Davatelji sa sjedištem u Švedskoj, primjerice, posluju prema švedskom pravu, koje nosi vlastite zaštite privatnosti različite od britanskog okvira. PrivateVPN, osnovan 2009. sa sjedištem u Švedskoj, jedan je primjer davatelja čija se jurisdikcija nalazi potpuno izvan domašaja britanskih regulatora. To ga ne čini imunima na sve pravne pritiske, ali znači da britanske vlasti ne mogu izravno prisiliti na otkrivanje putem domaćeg prava.

Što to znači za vas

Britanski Zakon o kibernetičkoj sigurnosti i otpornosti nije zakon o nadzoru u konvencionalnom smislu. Primarno je mjera sigurnosti i usklađenosti usmjerena na jačanje nacionalne infrastrukture. No infrastruktura koju cilja uključuje podatkovne centre u kojima žive VPN poslužitelji, a proširena ovlaštenja izvješćivanja i istrage koja stvara imaju neizravne posljedice za privatnost.

Ako vaš VPN davatelj koristi poslužitelje u britanskim podatkovnim centrima, ti poslužitelji sada postoje u reguliranijoj okolini, transparentnijoj prema vladi nego prije. Ako je vaš davatelj također pravno registriran u UK-u, vaša izloženost se povećava.

Praktični koraci koje možete poduzeti sada:

  • Pregledajte popis poslužitelja vašeg VPN davatelja i provjerite nalaze li se britanski poslužitelji u vašem zadanom putu povezivanja.
  • Pročitajte politiku privatnosti davatelja i potražite neovisne revizije njihovih tvrdnji o nepohranjivanju zapisnika.
  • Razmotrite je li vaš davatelj registriran u jurisdikciji sa snažnim zakonom o privatnosti i bez izravne izloženosti britanskoj regulatornoj prisili.
  • Ako vas brine britanska jurisdikcija, procijenite davatelje sa sjedištem izvan UK-a i izvan država članica Five Eyes.

Zakonodavstvo poput ovog obično se razvija nakon uvođenja. Trenutni zakon proći će kroz Parlament, privući amandmane i generirati regulatorne smjernice u sljedećim mjesecima. Praćenje informacija dok se detalji ne urede najučinkovitija je stvar koju korisnici kojima je stalo do privatnosti mogu učiniti upravo sada.