Yüzlerce güvenlik ve gizlilik uzmanı Perşembe günü yayınladığı açık mektupta, Avrupa Birliği milletvekillerinin, mesajlaşma platformlarının vatandaşların özel iletişimlerini çocuklara yönelik cinsel istismar materyalleri (CSAM) açısından taramasını yasal olarak zorunlu kılma yönündeki tartışmalı girişiminin, günde milyonlarca hatalı pozitif sonuca yol açabileceği konusunda uyardı.
AB teklifiyle ilgili endişeler, Komisyon’un iki yıl önce CSAM tarama planını önermesinden bu yana artıyor; alarmı verenler arasında bağımsız uzmanlar, Avrupa Parlamentosu’ndaki yasa yapıcılar ve hatta bloğun kendi Veri Koruma Denetçisi de var.
AB teklifi, yalnızca tarama için CSAM tespit emri alan mesajlaşma platformlarını gerektirmeyecek. bilinen CSAM; ayrıca bilinmeyen CSAM’yi tespit etmek ve tımarlama faaliyetini gerçekleşirken tespit etmek için belirtilmemiş tespit tarama teknolojilerini kullanmak zorunda kalacaklar; bu da yasa yapıcıların tekno-çözümcülüğün büyülü düşünme düzeylerine düşkün olduğu yönündeki suçlamalara yol açacak.
Eleştirmenler, önerinin teknolojik olarak imkansız olanı gerektirdiğini ve belirtilen çocukları istismardan koruma amacına ulaşmayacağını savunuyor. Bunun yerine, platformları, istemci tarafı tarama gibi riskli, kanıtlanmamış teknolojilerin dağıtımında tüm kullanıcılarının kapsamlı gözetimini uygulamaya zorlayarak İnternet güvenliğine ve web kullanıcılarının gizliliğine zarar vereceğini söylüyorlar.
Uzmanlar, yasanın gerektirdiği şeyleri yarardan çok zarara yol açmadan gerçekleştirebilecek bir teknolojinin bulunmadığını söylüyor. Ancak AB her şeye rağmen yoluna devam ediyor.
En son açık mektup, Avrupa Konseyi tarafından yakın zamanda önerilen ve imzacıların plandaki temel kusurları gidermede başarısız olduğunu iddia ettiği taslak CSAM tarama düzenlemesinde yapılan değişikliklere değiniyor.
Bu mektubun yazıldığı sırada sayısı 270 olan mektubun imzacıları arasında, aralarında Harvard Kennedy School’dan profesör Bruce Schneier ve Johns Hopkins Üniversitesi’nden Dr. Matthew D. Green gibi tanınmış güvenlik uzmanlarının da bulunduğu yüzlerce akademisyenin yanı sıra bir avuç akademisyen de yer alıyor. IBM, Intel ve Microsoft gibi teknoloji şirketlerinde çalışan araştırmacılar.
465 akademisyen tarafından imzalanan daha önceki bir açık mektupta (geçtiğimiz Temmuz), mevzuat teklifinin platformları benimsemeye zorlamaya dayandığı tespit teknolojilerinin “son derece kusurlu ve saldırılara karşı savunmasız” olduğu ve bu teknolojilerin sağladığı hayati korumaların önemli ölçüde zayıflamasına yol açacağı konusunda uyarılmıştı. uçtan uca şifrelenmiş (E2EE) iletişim.
Karşı teklifler için çok az ilgi
Geçtiğimiz sonbaharda, Avrupa Parlamentosu’ndaki Avrupa Parlamentosu milletvekilleri, taramayı hâlihazırda çocuklara yönelik cinsel istismardan şüphelenilen bireyler ve gruplarla sınırlayacak olan, büyük ölçüde revize edilmiş bir yaklaşımla geri adım atmak için birleşti; bakım için tarama gereksinimini ortadan kaldırarak bunu bilinen ve bilinmeyen CSAM ile sınırlandırın; ve uçtan uca şifrelenmemiş platformlarla sınırlandırarak E2EE’ye yönelik riskleri ortadan kaldırın. Ancak AB yasalarının oluşturulmasında görev alan diğer ortak yasama organı olan Avrupa Konseyi, konu hakkında henüz bir pozisyon almadı ve bu konunun nereye varacağı, yasanın nihai şeklini etkileyecek.
Tablodaki en son değişiklik, AB Üye Devletleri hükümetlerinin temsilcileri adına tartışmalara öncülük eden Belçika Konsey başkanlığı tarafından Mart ayında ortaya atıldı. Ancak açık mektupta uzmanlar, bu teklifin hâlâ Komisyon yaklaşımında oluşan temel kusurları gidermede başarısız olduğu konusunda uyarıyor ve revizyonların halen devam ettiğini öne sürüyor. yaratmak “İnternet kullanıcılarının gözetimi ve kontrolü için benzeri görülmemiş yetenekler” ve “… toplumumuz için dijital geleceği güvence altına alır ve Avrupa ve ötesindeki demokratik süreçler üzerinde çok büyük sonuçlar doğurabilir.”
Değiştirilen Konsey önerisinde tartışılacak ince ayarlar arasında, risk kategorizasyonu ve risk azaltma tedbirleri uygulanarak tespit kararlarının daha hedefli hale getirilebileceği önerisi yer alıyor; ve siber güvenlik ve şifreleme, platformların şifresi çözülmüş verilere erişim sağlamak zorunda kalmamasını sağlayarak ve algılama teknolojilerini inceleyerek korunabilir. Ancak 270 uzman, bunun bir güvenlik ve mahremiyet felaketinin kenarlarında dolaşmak anlamına geldiğini öne sürüyor.
“Teknik açıdan bakıldığında, bu yeni teklifin etkili olabilmesi için iletişim ve sistem güvenliğini de tamamen baltalayacağı” uyarısında bulunuyorlar. Daha hedefe yönelik tespit emirlerinin gönderilmesi amacıyla ilgilenilen vakaları belirlemek için “kusurlu tespit teknolojisine” güvenmek, yasanın web kullanıcılarının mesajlarının “kitlesel gözetimi” ile distopik bir çağ başlatması riskini azaltmayacak olsa da, analiz.
Mektupta aynı zamanda Konseyin, “ilgili kişiyi” CSAM’yi zaten paylaşmış veya bir çocuğa bakım yapmaya teşebbüs etmiş bir kullanıcı olarak tanımlayarak hatalı pozitif sonuç riskini sınırlamaya yönelik önerisi de ele alınıyor; bunun otomatik bir değerlendirme aracılığıyla yapılması öngörülüyor; Kullanıcı resmi olarak şüpheli olarak tespit edilip CSAM raporlarını ele alacak olan AB Merkezine bildirilmeden önce, bilinen CSAM için 1 isabetin veya bilinmeyen CSAM/bakım için 2 isabetin beklenmesi gibi.
Milyarlarca kullanıcı, milyonlarca yanlış pozitif
Uzmanlar, bu yaklaşımın hâlâ çok sayıda yanlış alarma yol açabileceği konusunda uyarıyor.
“Tespit hatalarından kaynaklanan hatalı pozitiflerin sayısının, tekrar sayısı tespitin etkili olmasını engelleyecek kadar büyük olmadığı sürece önemli ölçüde azalması pek olası değildir. Bu platformlarda gönderilen çok sayıda mesajın (milyarlarca) göz önüne alındığında, çok büyük miktarda (milyonlarca) yanlış alarm beklenebilir. Bir tespit emri ile Meta’nın sahip olduğu WhatsApp gibi milyonlarca hatta milyarlarca kullanıcıya sahip olabilir.
“Pratikte kullanılabilecek dedektörlerin performansı hakkında kamuya açık herhangi bir bilgi bulunmadığı göz önüne alındığında, teklifte belirtildiği gibi CSAM ve bakım için sadece %0,1 Yanlış Pozitif oranına sahip bir dedektörümüz olacağını hayal edelim. (yani binde bir kez CSAM olmayanı CSAM olarak yanlış sınıflandırır), bu da şu anda bilinen herhangi bir dedektörden çok daha düşüktür.
“WhatsApp kullanıcılarının günde 140 milyar mesaj gönderdiği göz önüne alındığında, bu tür dedektörler tarafından test edilen mesajların yüzde 1’i bile olsa, her gün 1,4 milyon hatalı pozitif sonuç çıkacaktır. Yanlış pozitifleri yüzlerce sayıya indirmek için istatistiksel olarak farklı, istatistiksel olarak bağımsız görüntüler veya dedektörler kullanılarak en az 5 tekrarın tanımlanması gerekir. Ve bu yalnızca WhatsApp için geçerli. E-posta da dahil olmak üzere diğer mesajlaşma platformlarını düşünürsek, gerekli tekrarların sayısı, CSAM paylaşım yeteneklerini etkili bir şekilde azaltamayacak kadar önemli ölçüde artacaktır.”
Konseyin tespit emirlerini “yüksek riskli” kabul edilen mesajlaşma uygulamalarıyla sınırlandırmaya yönelik bir başka önerisi, imzacıların görüşüne göre, bunun hâlâ “ayrım gözetmeden çok sayıda insanı etkileyeceğini” öne sürdükleri için işe yaramaz bir revizyon. Burada, CSAM değişimi için yalnızca görüntü paylaşımı ve metin sohbeti gibi standart özelliklerin gerekli olduğuna dikkat çekiyorlar; bu özellikler, birçok hizmet sağlayıcı tarafından yaygın olarak desteklenen özelliklerdir; bu, yüksek risk sınıflandırmasının “şüphesiz birçok hizmeti etkileyeceği” anlamına gelir.
Ayrıca, E2EE’nin benimsenmesinin arttığına dikkat çekiyorlar ve bunun, onu piyasaya süren hizmetlerin yüksek riskli olarak sınıflandırılma olasılığını artıracağını öne sürüyorlar. “Bu sayı, Dijital Piyasalar Kanunu’nun getirdiği ve mesajların düşük riskli ve yüksek riskli hizmetler arasında akmasına neden olacak birlikte çalışabilirlik gereksinimleriyle daha da artabilir. Sonuç olarak neredeyse tüm hizmetler yüksek riskli olarak sınıflandırılabilir” diyorlar. (Not: Mesajların birlikte çalışabilirliği AB’nin DMA’sının temel planlarından biridir.)
Arka kapı için bir arka kapı
Şifrelemenin korunmasına gelince, mektup, güvenlik ve gizlilik uzmanlarının yıllardır yasa koyuculara defalarca bağırdığı mesajı yineliyor: “Uçtan uca şifrelenmiş hizmetlerde algılama, tanım gereği, şifreleme korumasını zayıflatır.”
“Yeni teklifin hedeflerinden biri ‘siber güvenliği ve şifrelenmiş verileri korurken, uçtan uca şifreleme kullanan hizmetleri tespit emirleri kapsamında tutmak’. Daha önce de açıkladığımız gibi bu bir çelişkidir” diye vurguluyorlar. “Uçtan uca şifrelemenin sağladığı koruma, bir iletişimin hedeflenen alıcısı dışında hiç kimsenin bu iletişimin içeriğine ilişkin herhangi bir bilgiyi öğrenemeyeceği anlamına gelir. Şifrelenmiş veriler için veya şifrelenmeden önceki veriler için algılama yeteneklerinin etkinleştirilmesi, uçtan uca şifrelemenin sağladığı gizlilik tanımını ihlal ediyor.”
Geçtiğimiz haftalarda Avrupa genelindeki polis şefleri kendi ortak bildirilerini kaleme aldılar; E2EE’nin genişlemesiyle ilgili endişelerini dile getirdiler ve platformların güvenlik sistemlerini yasa dışı faaliyetleri tespit edebilecek ve kolluk kuvvetlerine mesaj içeriği hakkında raporlar gönderebilecek şekilde tasarlamaları yönünde çağrıda bulundular. .
Müdahale, yaygın olarak milletvekillerine CSAM tarama yönetmeliği gibi yasaları geçirmeleri için baskı yapma girişimi olarak görülüyor.
Polis şefleri, şifrelemenin arka kapıyla kapatılmasını istediklerini inkar ediyor ancak platformların aranan “yasal erişimi” mümkün kılmak için hangi teknik çözümleri benimsemesini istediklerini tam olarak açıklamadılar. Bu dairenin karesini almak, çok bozuk şekilli bir topu milletvekillerinin mahkemesine geri getiriyor.
Mektubu imzalayanlar, AB’nin mevcut yolda ilerlemeye devam etmesi halinde (Konsey’in, Avrupa Parlamentosu üyelerinin ısrar ettiği gibi rotayı değiştirmeyeceğini varsayarsak) sonuçlarının “felaket” olacağı konusunda uyarmaya devam ediyor. “İnternetin filtrelenmesi konusunda bir emsal teşkil ediyor ve insanların dijital alanda özel yaşam haklarını korumaya yönelik mevcut birkaç araçtan bazılarını kullanmasını engelliyor; özellikle etkileşimleri için büyük ölçüde çevrimiçi hizmetlere güvenen gençler için caydırıcı bir etki yaratacaktır. Bu, dijital hizmetlerin dünya çapında kullanılma biçimini değiştirecek ve muhtemelen dünya çapındaki demokrasileri olumsuz yönde etkileyecektir.”
Konseye yakın bir AB kaynağı, Üye Devletler arasındaki mevcut tartışmalar hakkında bilgi sağlayamadı ancak 8 Mayıs’ta bir çalışma grubu toplantısı yapıldığını ve burada çocukların cinsel istismarıyla mücadeleye yönelik bir düzenleme önerisinin tartışılacağını doğruladıklarını belirtti.
Kaynak: https://techcrunch.com/2024/05/02/eu-csam-scanning-council-proposal-flaws/