Watch, Wait and Pray: The Potential Impact of Updates to the Investigatory Powers Act

Når det kommer til teknologiregulering, ser den britiske regering ud til at slingre fra den ene kontrovers til den anden. Frisk fra en kamp med Big Tech om end-to-end-kryptering (E2EE) i sin meget omstridte onlinesikkerhedslov, vender regeringen nu sin opmærksomhed mod foreslåede opdateringer til Investigatory Powers Act (IPA).

Hvis de sættes i kraft i deres nuværende form, kan forslagene gøre Storbritannien til et vilde vesten for cybertrusler og udnyttelse og kan tvinge utallige teknologiudbydere til at trække deres tjenester fra markedet, hvilket efterlader brugerne med usikre og ineffektive kommunikationsværktøjer.

Hvad er nyt i IPA?

IPA var almindeligt kendt som "Snooper's Charter" af en meget god grund. Blandt dets mest kontroversielle bestemmelser er at tillade regeringen at kræve, at udbydere af teknologikommunikation ændrer deres tjenester for at muliggøre regeringssnoking på en måde, der kan underminere sikkerheden for alle. En Technical Capability Notice (TCN) er det primære middel til at gøre dette. Det kunne teoretisk set kræve "fjernelse af elektronisk beskyttelse af en relevant operatør", så længe regeringen kan bevise, at dette ville stå i rimeligt forhold til dens slutmål. Da sådanne anmodninger er hemmelige, kan vi kun forestille os, at ingen er lykkedes indtil videre, da de involverede teknologivirksomheder højst sandsynligt ville have reageret ved at true med at forlade markedet.

Der er flere mål opført som en del af de foreslåede IPA-opdateringer. Men to kunne være særligt problematiske for britiske virksomheder:

Mål 3

udvider IPA's eksisterende eksterritoriale dækning, hvilket tvinger globale teknologivirksomheder til at holde sig til regeringens regler i alle de lande, de opererer i. Den angivne begrundelse er at løse enhver potentiel "usikkerhed" for regeringen i forbindelse med udstedelse af TCN'er til virksomheder med "komplekse virksomhedsstrukturer". Målet foreslår også at "styrke håndhævelsesmulighederne for manglende overholdelse af meddelelsesordningerne" sideløbende med dette mål.

Mål 4

tilføjer en forpligtelse for "operatører" til at "informere udenrigsministeren om relevante ændringer, herunder tekniske ændringer", og til at gøre det "en rimelig tid før relevante ændringer implementeres". Sådanne ændringer er ikke specificeret, men kan forstås som enhver ny sikkerhedsfunktion introduceret af en teknologiudbyder eller endda sikkerhedsopdateringer, der løser sårbarheder. Teoretisk set kunne udenrigsministeren blokere sådanne ændringer, som ville påvirke alle slutbrugere af meddelelsestjenester og kommunikationsenheder.

Hvad en ny IPA kunne føre til

Fortalere for privatliv og sikkerhed er forståeligt nok chokerede over forslagene. Og det har Apple allerede sagde det ville fjerne tjenester som iMessage og FaceTime fra Storbritannien, hvis de er implementeret. Der er flere åbenlyse grunde til, at ikke kun teknologivirksomheder, men også virksomheder og forbrugere ville modsætte sig en ny IPA:

Mål 3 ville:

• Potentielt underminere sikkerheden for journalister, dissidenter og andre i forskellige dele af verden, som er afhængige af sikker kommunikation for at undgå autokratiske regeringers opmærksomhed.
• Sæt tech-virksomheder et umuligt sted: tvunget til at overholde nye krav fra den britiske regering, som faktisk kan bryde internationale menneskerettighedslove og modsige reglerne fastsat i lovgivning som f.eks. GDPR, som sætter sikkerhed ved design i centrum.

"Den foreslåede forpligtelse til at informere HMG, før der foretages tekniske ændringer, har ophidset flere af teknologileverandørerne, store som små. Jeg ved virkelig ikke, hvorfor regeringen foreslår det, da de skal vide, hvilken reaktion det ville forårsage,” siger professor Alan Woodward ved Surrey University til ISMS.online.

"Bundlinjen er, at hvis regeringen forsøger at tvinge det, vil de berørte tech-virksomheder nægte at overholde. Og hvis det kræver at trække sig ud af Storbritannien, vil de gøre præcis det. Det virker ekstraordinært naivt, at regeringen ville forestille sig, at vores love ville tilsidesætte lovene i andre jurisdiktioner - især den jurisdiktion, hvor sælgeren er baseret."

Mål 4 kan føre til:

• Den britiske regering blokerer eller forsinker bevidst sikkerhedsopdateringer, så dens spioner kan udnytte underliggende sårbarheder til overvågningsformål.
• Patches, der tager længere tid at frigive eller holdes tilbage på ubestemt tid, hvilket giver trusselsaktører rigelig tid til at forske i udnyttelser.
• Trusselaktører, der retter sig mod offentlige systemer for at få oplysninger om ventende leverandørpatches

"At forsinke sikkerhedsopdateringer er altid dårligt, for selvom du ikke har beviser for, at en sårbarhed bliver udnyttet, betyder det faktum, at leverandøren fandt det, en anden kan have gjort det. Og hvert minut, du forsinker, er ekstra tid for dem til at udnytte det,” fortsætter Woodward.

"Det er svært ikke at konkludere, at regeringen ønsker at vide om sådanne ændringer på forhånd, hvis det påvirker en sårbarhed, som den allerede udnytter til overvågning."

Hvor sandsynligt er det?

Den offentlige høringsperiode om, hvad regeringen beskriver som de "reviderede meddelelsesordninger" i IPA 2016, er nu lukket. Derfor er intet besluttet endnu, og der er flere grunde til, at de mest kontroversielle forslag måske ikke kommer med i de endelige revisioner.

As Privacy International hævder, kunne mål 3 og 4 i fællesskab se, at Storbritannien bryde international menneskerettighedslovgivning – især retten til respekt for privatlivet, som er nedfældet i artikel 8 i den europæiske menneskerettighedskonvention (EMRK). Det er fordi, ved at forhindre en kommunikationstjenesteudbyder i at anvende sikkerhedsopdateringer eller avanceret beskyttelse som E2EE, ville regeringen nægte denne ret ikke kun til Storbritannien, men til globale borgere. Det er udfordrende at tænke på en sag, hvor godkendelse af disse beføjelser ville være "nødvendig og forholdsmæssig", som EMRK kræver.

"I det udviklende landskab af digitale rettigheder og sikkerhed understreger disse foreslåede ændringer det tvingende behov for regeringer for at finde en passende balance mellem national sikkerhed og individuelle rettigheder," hævder Privacy International. "Når det reviderer nationale overvågningslove, bør Det Forenede Kongerige på ny forpligte sig til sine forpligtelser i henhold til international lov for at beskytte individuelle rettigheder i ind- og udland."

Den anden grund er mere nøgen kommerciel. Hvis regeringen fik sin vilje, og disse forslag blev vedtaget, ville den digitale verden blive væsentligt mindre sikker. Men teknologiudbydere vil simpelthen ikke lade dette ske.

"I sidste ende vil markedskræfterne afgøre, hvordan disse virksomheder reagerer: de vil ikke gøre noget for et relativt lille marked som Storbritannien, når det kan drive kunder væk på andre store markeder," slutter Woodward.

Et worst-case-scenario for britiske virksomheder er, at forslagene på en eller anden måde kun vedtages i Storbritannien, hvilket fører til, at teknologivirksomheder trækker nogle af deres mest sikre tjenester tilbage fra landet. Det ville sandsynligvis vende et mangeårigt regeringsløfte på hovedet og gøre Storbritannien til det mindst sikre sted at handle online i verden.