В 2016 году в Великобритании был принят Investigatory Powers Act («Акт о полномочиях следствия»). Это событие привело к созданию специальной системы, с помощью которой можно отслеживать интернет-активность пользователей, проживающих на территории данного демократического государства.
В течение последних двух лет правоохранительные органы совместно с интернет-компаниями по всей Великобритании секретно разрабатывали и тестировали особую технологию слежки. С помощью нее они могли регистрировать и сохранять данные о просмотре страниц в Интернете каждого пользователя, проживающего на территории страны.
Тесты, которые были осуществлены двумя неизвестными интернет-провайдерами, Министерством внутренних дел и Национальным агентством по борьбе с преступностью, проводились после принятия спорного «Акта о полномочиях следствия», вступившего в силу в конце 2016 года. В случае успешной реализации данного постановления правительство получило бы возможность развернуть слежку на национальном уровне.
Несмотря на то, что Национальное агентство по борьбе с преступностью заявило, что в процессе реализации данного акта была проделана «значительная работа», подробности воплощения постановления в жизнь не разглашаются. Подобный подход со стороны правоохранительных органов уже оспаривается в суде. Публичного объявления о начале какого-либо тестирования или слежки за пользователями в сети не было. Более того, многие инсайдеры, следящие за деятельностью полиции и государственных органов, утверждают, что не могут говорить о новой технологии из-за соображений собственной безопасности.
До сих пор идет судебный процесс, связанный с выполнением «Акта о полномочиях следствия», вступившего в силу в 2016 году. Сам акт связан с законом Snooper’s Charter. Опираясь на совокупность этих постановлений, государство получило возможность создавать записи о каждом подключении пользователя к сети. В них содержится полная информация о том, какие действия пользователь осуществлял в Интернете. Другими словами, это метаданные о его интернет-жизни: кто он, что делает, с кем общается, чем интересуется. Опираясь на «Акт о полномочиях следствия», государство или полиция могут потребовать от интернет-компании хранить историю посещений определенного пользователя в течение 12 месяцев.
Первое из подобных требований было выдвинуто еще в июле 2019 года. Именно тогда записи о деятельности пользователей или ICR были опробованы на практике (согласно отчету уполномоченного по выполнению принятого акта). Второе требование, выдвинутое уже другому интернет-провайдеру в рамках того же судебного разбирательства, появилось в октябре 2019 года. Сам судебный процесс продолжается и сейчас. Полицией проводятся регулярные проверки, чтобы гарантировать тот факт, что собранные данные не нарушают права пользователей на приватность. После того, как программа по сбору данных будет тщательно протестирована, вопрос о ее принятии на национальном уровне будет рассмотрен правительством страны.
Однако организации по защите прав граждан утверждают, что отсутствие прозрачности вокруг подобных судебных процессов свидетельствует о том, что такая программа по сбору данных – не идеальна. «Потребовалось несколько лет, чтобы судебный процесс, связанный со сбором данных пользователей, получил огласку. Это говорит о том, что сама система, занимающаяся отслеживанием активности пользователей в сети, требует доработки», - утверждает Хизер Бернс, политический эксперт из Open Rights Group, британской организации по защите конфиденциальности и свободы в Интернете.
Бернс говорит, что судебный процесс, связанный со сбором ICR, заставил интернет-провайдеров «откопать намного больше личной информации о пользователях, чем планировалось». Она добавляет, что неясно, какие именно данные были собраны в результате судебного разбирательства. «Я поражена отсутствием прозрачности в деле, связанном с подобным массовым сбором и хранением личных данных жителей Великобритании».
Весь судебный процесс покрыт тайнами. Неизвестно, какие данные собираются, какие компании участвуют в этом и как полученная информация используется третьими лицами. Министерство внутренних дел отказалось предоставить подробности судебного разбирательства, заявив, что оно является «не столь значительным» и проводится лишь для определения того, какие данные могут быть получены в результате подобной практики. Отчеты ICR были придуманы для того, чтобы раскрывать серьезные преступления и предотвращать их в будущем, утверждают в Министерстве внутренних дел.
«Мы поддерживаем спонсируемую Министерством внутренних дел инициативу по созданию записей об активности пользователей в сети с целью выполнения технических, правовых и политических задач», - говорит представитель Национального агентства по борьбе с преступностью. Само агентство потратило по меньшей мере 130 000 фунтов стерлингов на выполнение двух внешних контрактов по созданию базовых технических систем для осуществления слежки. Стоит отметить, что в документах, связанных с выполнением «Акта о полномочиях следствия», от июня 2019 года, говорится о том, что для осуществления записей об активности пользователей в Интернете уже была проделана «значительная работа».
Из крупных интернет-провайдеров Великобритании только Vodafone подтвердил, что не участвовал ни в каких тестированиях, связанных с хранением интернет-данных об активности своих пользователей. Представители BT, Virgin Media и Sky отказались комментировать данную ситуацию, а оператор мобильной связи Three вовсе не ответил на запрос журналистов. Более мелкие интернет-провайдеры утверждают, что они не были вовлечены в какие-либо тестирования новых программ безопасности.
Скорее всего, поставщикам услуг мешает закон, по которому они не имеют права распространяться публично о данных, которые собирают. Такая секретность ставит под угрозу модернизацию и тестирование всей интернет-сети в целом. В одном из разделов «Акта о полномочиях следствия» говорится, что телекоммуникационным компаниям или людям, работающим в данной сфере, не разрешается публично или приватно высказываться о «существовании или содержании» каких-либо приказов, связанных с хранением личных данных пользователей.
«Акт о полномочиях следствия» - это многоуровневый закон, который устанавливает порядок, по которому правоохранительные органы в Великобритании могут собирать и обрабатывать данные, связанные с осуществлением преступной активности. С тех пор как он был принят в 2016 году, акт привел к радикальным реформам в сфере безопасности данных в Великобритании. Правоохранительные органы получили больше контроля над приватной информацией жителей страны, объяснив это тем, что телефоны, компьютеры и другие гаджеты могут быть взломаны злоумышленниками. В рамках этих изменений ICR (отчеты об активности пользователей) были введены как новый тип данных, который можно собирать и хранить в целях безопасности.
Записи об активности людей в Интернете могут содержать в себе информацию о приложениях, которые они использовали; доменах, которые они посещали; IP-адресе, присущем их сети. Обладая подобным объемом информации, полиция может узнать о начале и конце сеанса пользователя в сети, а также об объеме данных, которые были получены или отправлены с его устройства. Хотя метаданные не смогут напрямую указать на то, что вы именно смотрели на определенной странице в Интернете, они все же несут в себе опасность вашей конфиденциальности. Помимо всего прочего, ICR содержат информацию о состоянии здоровья, политических пристрастиях и личных интересах пользователей. В документах Министерства внутренних дел говорится, что «нет единого набора данных, которые собираются для создания ICR». Все журналы будут храниться интернет-провайдерами в течение необходимого промежутка времени.
Уже прошло пять лет с момента принятия акта. В 2016 году многие его аспекты казались довольно спорными – и создание ICR занимало первое место в этом списке. Эдвард Сноуден назвал этот закон «самой экстремальной слежкой в истории западной демократии». Стоит также отметить, что после того, как акт вступил в силу, состоялись множественные судебные разбирательства о том, какое количество личных данных пользователеймогут собирать интернет-провайдеры.
Несмотря на то, что закон был принят еще в ноябре 2016 года, вполне вероятно, что системы, необходимые для сбора информации об интернет-активности всех пользователей в Великобритании, еще необходимо развивать. При обсуждении акта в 2015 году многие интернет-провайдеры заявили о том, что ICR – это совершенно новый тип данных, поскольку ничего подобного в мире пока еще не было разработано.
Хью Вулфорд, тогдашний операционный директор Virgin Media, сказал, что подобная слежка требует «зеркального отражения всего трафика нашей сети, чтобы получить возможность отфильтровать его в последствии». Другие специалисты утверждали, что такие системы обойдутся государству дороже, чем в 175 миллионов фунтов стерлингов, которые были изначально заложены Министерством внутренних дел в бюджет по исполнению акта. В результате этого, возможно, расходы людей на услуги Интернета увеличатся.
«Акт о полномочиях следствия» планируется тщательно изучить в следующем году. Он должен быть пересмотрен через пять лет и шесть месяцев после его принятия. Бернс утверждает, что это шанс улучшить прозрачность самого процесса сбора данных и понять, как закон работает на практике. «Мы должны лишний раз убедиться, что ICR собирают необходимое количество данных об активности пользователей в сети», - говорит она. «Необходимо также дать гарантии, что любые шаги по масштабированию данной практики не будут предприниматься государством и правоохранительными органами в дальнейшем».
По материалам Wired.Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.
Join the conversation.