Ірландія рухається до легалізації комерційного шпигунського ПЗ для правоохоронних органів
Ірландія просуває новий законопроєкт про комунікації (перехоплення та законний доступ), який надасть поліції законні повноваження для використання комерційного шпигунського програмного забезпечення, зокрема інструментів від суперечливих постачальників, таких як NSO Group. Запропонований закон покликаний модернізувати законодавство країни у сфері стеження, розширивши його дію на зашифровані платформи обміну повідомленнями — зокрема Signal і WhatsApp, — а також на метадані, що генеруються в ході таких комунікацій.
Законопроєкт є одним із найзначніших розширень державних повноважень у сфері стеження в новітній історії Ірландії та викликав гостру критику з боку правозахисників у сфері цифрових прав, які попереджають, що слабкі механізми нагляду можуть перетворити ці інструменти на знаряддя зловживань.
Що насправді дозволяє законопроєкт
Окрім резонансної згадки про комерційне шпигунське ПЗ, законопроєкт охоплює ширший набір можливостей для стеження, що викликають серйозне занепокоєння у фахівців із захисту приватності.
Законопроєкт містить положення щодо використання криміналістичних інструментів та IMSI-перехоплювачів — пристроїв, які імітують стільникові вежі для перехоплення мобільних комунікацій і ідентифікації телефонів у певному районі. Ці технології не є точковими у своєму застосуванні. Зокрема, IMSI-перехоплювачі збирають дані з кожного пристрою в зоні дії, а не лише з тих, що належать підозрюваним.
Шпигунське програмне забезпечення, подібне до того, що виробляє NSO Group, діє інакше, але є, мабуть, ще більш нав'язливим. Після встановлення на цільовому пристрої воно здатне безшумно збирати історію місцезнаходжень, фотографії, історію пошуку, приватні повідомлення та списки контактів — і все це без відома користувача. Жертва не отримує жодного сигналу про те, що її пристрій було скомпрометовано.
Законопроєкт також розширить повноваження щодо стеження на метадані зашифрованих платформ. Навіть коли зміст повідомлень захищений наскрізним шифруванням, метадані розкривають, хто з ким спілкувався, коли, як часто і з якого місця. Лише ця інформація може дати детальну картину зв'язків і переміщень людини.
Чому фахівці з цифрових прав стурбовані
Головне заперечення організацій із захисту цифрових прав полягає не в тому, що правоохоронні органи мають бути повністю позбавлені доступу до комунікацій у серйозних кримінальних розслідуваннях. Занепокоєння стосується пропорційності та нагляду.
Комерційне шпигунське ПЗ має задокументовану історію зловживань. Розслідування журналістів та організацій громадянського суспільства пов'язали інструмент Pegasus від NSO Group зі стеженням за журналістами, правозахисниками, адвокатами та представниками політичної опозиції в багатьох країнах. Сама технологія не розрізняє кримінального підозрюваного та активіста громадянського суспільства. Це розрізнення цілком залежить від правової бази та систем нагляду, що регулюють її використання.
Ірландія як держава — член ЄС підпадає під дію європейського законодавства у сфері прав людини, яке вимагає, щоб заходи стеження були необхідними, пропорційними та підлягали реальному судовому нагляду. Критики стверджують, що законопроєкт у нинішньому вигляді не передбачає достатніх гарантій для відповідності цьому стандарту. Якщо нагляд є слабким або судова санкція перетворилася на формальність, відкривається шлях для поступового розширення сфери застосування цих інструментів проти людей, які не становлять жодної кримінальної загрози.
Включення IMSI-перехоплювачів додає ще один рівень занепокоєння. Їхня невибіркова природа означає, що будь-яка людина, присутня на протесті, зустрічі чи публічному заході, може опинитися в зоні масового збору даних — незалежно від будь-яких підозр у правопорушеннях.
Що це означає для вас
Для більшості людей в Ірландії безпосередній практичний вплив цього законопроєкту може здатися абстрактним. Поліцейське шпигунське ПЗ зазвичай застосовується в цільових розслідуваннях, а не щодо широкого загалу. Проте ризики є реальними, і вони виходять за межі кримінальних підозрюваних.
Журналісти, які спілкуються з джерелами, активісти, що організовуються навколо чутливих політичних питань, адвокати, які ведуть конфіденційні справи клієнтів, та всі, чия робота або переконання можуть поставити їх у суперечність із державними інтересами, мають безпосередні підстави бути уважними. Історія зловживань стеженням у демократичних країнах свідчить: інструменти, дозволені для розслідування серйозних злочинів, з часом нерідко починають застосовуватися значно ширше.
Зашифровані месенджери залишаються важливим інструментом захисту приватності, але пряма мета законопроєкту — обійти шифрування — підкреслює їхні обмеження, коли скомпрометовано сам кінцевий пристрій. Шпигунське ПЗ на рівні пристрою повністю обходить шифрування, зчитуючи дані до їх надсилання або після отримання.
Розуміння того, які дані ви генеруєте, хто може до них отримати доступ і за яких правових умов, стає дедалі важливішим для кожного, хто цінує свою приватність.
Ключові висновки для читачів:
- Регулярно переглядайте дозволи та налаштування доступу до даних на своїх пристроях
- Майте на увазі, що метадані зашифрованих застосунків можуть бути такими ж промовистими, як і зміст повідомлень
- Стежте за просуванням цього законопроєкту через ірландський законодавчий процес, оскільки періоди публічних консультацій надають можливість для громадської участі
- Підтримуйте організації з захисту цифрових прав, які ретельно вивчають законодавство у сфері стеження та відстоюють надійні механізми нагляду
- Подумайте, які дані генерують і зберігають ваші пристрої, адже шпигунське ПЗ атакує пристрій, а не лише канал зв'язку
Ірландський законопроєкт наразі перебуває на стадії розгляду, а отже, є час для того, щоб громадянське суспільство, правові експерти та громадськість домоглися запровадження більш надійних гарантій. Те, яким зрештою стане цей закон, матиме довготривалі наслідки для права на приватність в Ірландії та може встановити прецедент, за яким пильно спостерігатимуть по всій Європі.
