Kijk, wacht en bid: de potentiële impact van updates van de Investigatory Powers Act
Inhoudsopgave:
Als het om technologieregulering gaat, lijkt de Britse regering van de ene controverse naar de andere te slingeren. Vers van een gevecht met Big Tech over end-to-end-encryptie (E2EE) in haar zeer controversiële Online Safety Bill, richt de regering nu haar aandacht op voorgestelde updates van de Investigatory Powers Act (IPA).
Als de voorstellen in hun huidige vorm van kracht worden, kunnen ze het Verenigd Koninkrijk veranderen in een Wild West voor cyberdreigingen en -uitbuiting en kunnen ze talloze technologieleveranciers dwingen hun diensten van de markt te halen, waardoor gebruikers blijven zitten met onveilige en ineffectieve communicatiemiddelen.
Wat is er nieuw in de IPA?
De IPA stond algemeen bekend als het “Handvest van Snooper” om een hele goede reden. Een van de meest controversiële bepalingen is dat de overheid mag eisen dat aanbieders van technische communicatie hun diensten aanpassen, zodat overheidsspionage mogelijk wordt op een manier die de veiligheid voor iedereen zou kunnen ondermijnen. Een Technical Capability Notice (TCN) is het belangrijkste middel om dit te doen. In theorie zou het ‘verwijdering door een relevante exploitant van elektronische beveiliging’ kunnen vereisen, zolang de overheid kan bewijzen dat dit in verhouding staat tot het einddoel. Omdat dergelijke verzoeken geheim zijn, kunnen we ons alleen maar voorstellen dat geen enkele daarvan tot nu toe is geslaagd, aangezien de betrokken technologiebedrijven hoogstwaarschijnlijk zouden hebben gereageerd door te dreigen de markt te verlaten.
Er zijn verschillende doelstellingen vermeld als onderdeel van de voorgestelde IPA-updates. Maar twee daarvan kunnen bijzonder problematisch zijn voor het Britse bedrijfsleven:
Doel 3
verbreedt de bestaande extraterritoriale dekking van het IPA, waardoor mondiale technologiebedrijven worden gedwongen zich aan de regels van de overheid te houden in elk land waarin zij actief zijn. De opgegeven reden is om eventuele “onzekerheid” voor de overheid bij het uitgeven van TCN’s aan bedrijven met “complexe bedrijfsstructuren” op te lossen. De doelstelling stelt ook voor om naast deze doelstelling “de handhavingsmogelijkheden te versterken die beschikbaar zijn bij niet-naleving van de kennisgevingsregelingen”.
Doel 4
voegt een verplichting toe voor “exploitanten” om “de minister van Buitenlandse Zaken op de hoogte te stellen van relevante wijzigingen, inclusief technische wijzigingen”, en om dit te doen “een redelijke termijn voordat relevante wijzigingen worden geïmplementeerd”. Dergelijke wijzigingen zijn niet gespecificeerd, maar kunnen worden opgevat als elke nieuwe beveiligingsfunctie die door een technologieleverancier is geïntroduceerd, of zelfs als beveiligingsupdates die kwetsbaarheden verhelpen. Theoretisch gezien zou de minister dergelijke veranderingen kunnen blokkeren, wat gevolgen zou hebben voor alle eindgebruikers van berichtendiensten en communicatieapparatuur.
Waartoe een nieuwe IPA zou kunnen leiden
Voorstanders van privacy en veiligheid zijn begrijpelijkerwijs geschokt door de voorstellen. En Apple heeft dat al gedaan zei het zal verwijder services zoals iMessage en FaceTime uit Groot-Brittannië als ze worden geïmplementeerd. Er zijn verschillende voor de hand liggende redenen waarom niet alleen technologiebedrijven, maar ook bedrijven en consumenten zich tegen een nieuwe IPA zouden verzetten:
Doelstelling 3 zou:
- Mogelijk ondermijnt het de veiligheid van journalisten, dissidenten en anderen in verschillende delen van de wereld die afhankelijk zijn van veilige communicatie om de aandacht van autocratische regeringen te ontwijken.
- Plaats technologiebedrijven in een onmogelijke positie: gedwongen om te voldoen aan nieuwe eisen van de Britse regering, die mogelijk de internationale mensenrechtenwetten overtreden en in tegenspraak zijn met de regels die zijn vastgelegd in wetgeving zoals de GDPR, waarin veiligheid door ontwerp centraal staat.
“De voorgestelde verplichting om HMG te informeren voordat er technische wijzigingen worden aangebracht, heeft verschillende technologieleveranciers, groot en klein, verontwaardigd gemaakt. Ik weet echt niet waarom de regering dit voorstelt, omdat ze moeten weten welke reactie het zou veroorzaken”, vertelt professor Alan Woodward van de Universiteit van Surrey aan ISMS.online.
“Het komt erop neer dat als de overheid dit probeert te forceren, de getroffen technologiebedrijven zullen weigeren hieraan te voldoen. En als dat een terugtrekking uit Groot-Brittannië vereist, zullen ze precies dat doen. Het lijkt buitengewoon naïef dat de overheid zich zou voorstellen dat onze wetten de wetten van andere rechtsgebieden terzijde zouden schuiven – vooral het rechtsgebied waar de verkoper is gevestigd.”
Doelstelling 4 zou kunnen leiden tot:
- De Britse overheid blokkeert of vertraagt opzettelijk beveiligingsupdates, zodat haar spionnen onderliggende kwetsbaarheden kunnen misbruiken voor surveillancedoeleinden.
- Patches waarvan de release langer duurt of die voor onbepaalde tijd worden tegengehouden, waardoor bedreigingsactoren voldoende tijd hebben om exploits te onderzoeken.
- Bedreigingsactoren richten zich op overheidssystemen voor informatie over aanstaande leverancierspatches
“Het uitstellen van beveiligingsupdates is altijd slecht, want zelfs als je geen bewijs hebt dat er misbruik wordt gemaakt van een kwetsbaarheid, betekent het feit dat de leverancier dit heeft ontdekt, dat iemand anders dit mogelijk heeft gedaan. En elke minuut die je uitstelt, is voor hen extra tijd om ervan te profiteren”, vervolgt Woodward.
“Het is moeilijk om niet te concluderen dat de overheid van tevoren op de hoogte wil zijn van dergelijke veranderingen, voor het geval deze een kwetsbaarheid aantasten die zij al uitbuit voor surveillance.”
Hoe waarschijnlijk is het?
De publieke consultatieperiode over wat de regering omschrijft als de “herziene kennisgevingsregimes” in het IPA 2016 is nu gesloten. Daarom is er nog niets besloten, en er zijn verschillende redenen waarom de meest controversiële voorstellen de definitieve herziening wellicht niet halen.
As stelt Privacy InternationalDoelstellingen 3 en 4 zouden er samen voor kunnen zorgen dat Groot-Brittannië de internationale mensenrechtenwetgeving schendt – met name het recht op respect voor het privéleven, vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Dat komt omdat de regering, door een communicatiedienstverlener te beletten beveiligingsupdates of geavanceerde bescherming zoals E2EE toe te passen, dit recht niet alleen aan Groot-Brittannië maar ook aan wereldburgers zou ontzeggen. Het is een uitdaging om een geval te bedenken waarin het autoriseren van deze bevoegdheden “noodzakelijk en proportioneel” zou zijn, zoals het EVRM vereist.
“In het evoluerende landschap van digitale rechten en veiligheid onderstrepen deze voorgestelde veranderingen de dwingende noodzaak voor regeringen om een passend evenwicht te vinden tussen nationale veiligheid en individuele rechten”, betoogt Privacy International. “Terwijl het de binnenlandse toezichtwetten herziet, moet het Verenigd Koninkrijk zich opnieuw verbinden aan zijn verplichtingen onder het internationaal recht om individuele rechten in binnen- en buitenland te beschermen.”
De tweede reden is meer puur commercieel. Als de regering haar zin zou krijgen en deze voorstellen zouden worden aangenomen, zou de digitale wereld aanzienlijk minder veilig worden. Maar technologieaanbieders laten dit eenvoudigweg niet gebeuren.
“Uiteindelijk zullen de marktkrachten bepalen hoe deze bedrijven reageren: ze zullen niets doen voor een relatief kleine markt als Groot-Brittannië, terwijl deze klanten in andere grote markten zou kunnen wegjagen”, besluit Woodward.
Een worstcasescenario voor Britse bedrijven is dat de voorstellen op de een of andere manier alleen in Groot-Brittannië worden doorgevoerd, waardoor technologiebedrijven een aantal van hun veiligste diensten uit het land zullen terugtrekken. Dat zou waarschijnlijk keren een al lang bestaande belofte van de regering op zijn kop en maken van Groot-Brittannië de minst veilige plaats ter wereld om online zaken te doen.
