X

Laadi alla uus Eesti Raadio äpp, kust leiad kõik ERRi raadiojaamad, suure muusikavaliku ja podcastid.

Oliver Laas: privaatsustehnoloogia topeltkasutuse dilemma

Foto: ERR/ Hege-Lee Paiste

Jälgimistehnoloogiaid saab kasutada nii turvalisuse tagamiseks kui ka repressioonide läbiviimiseks, märgib Oliver Laas Vikerraadio päevakommentaaris.

Euroopa Komisjonis on käesoleva aasta algusest töös olnud seadus, mis kohustab jõustumise korral kõiki suhtlusrakenduste loojaid ja e-posti teenuste pakkujaid kasutajate seadmetes nende salvestisi ja sõnumeid skaneerima, et senisest tõhusamalt võidelda lapsporno ja terrorismiga.

Selle eesmärgi saavutamiseks valitud tehnoloogiline lahendus, kliendipoolne skaneerimine (client-side scanning), lubab tagada krüpteeritud suhtlusrakenduste, nagu WhatsApp või Signal, poolt pakutava sõnumisaladuse, võimaldades samas kasutajate seadmetest probleemne sisu tuvastamist.

Laste- ja korrakaitsjad pooldavad plaanitavat algatust, sest usuvad, et see hõlbustab kurjategijate tabamist. Privaatsusaktivistid ning mitmed küberturbe eksperdid on aga mures, et tegemist on laiapõhjalise jälgimise seadustamisega, mis rikub põhjendamatult EL-i kodanike põhiõigusi ja toetub ebaküpsele tehnoloogiale.

Krüptograafia pakutav isikut tuvastava teabe ja privaatsuse kaitse ei piirdu spetsiaalsete suhtlusrakenduste või e-posti teenustega. Suur osa internetist toetub tänapäeval krüptograafiale. Näiteks suhtlus teie seadme ja ERR-i kodulehe vahel on krüpteeritud, sest kasutab HTTPS protokolli, mis raskendab kolmandatel osapooltel teie tegevuse jälgimist. Privaatsust tagavate süsteemidega kaasneb aga topeltkasutuse dilemma: neid saab kasutada nii üksikisikute privaatsuse kaitseks kui ka kuritegude varjamiseks.

Eelmise aasta juulis võttis Euroopa Parlament vastu seaduse, mis andis e-posti ja suhtlusteenuste pakkujatele ajutiselt õiguse vabatahtlikult Euroopa Liidu kodanike sõnumeid automaatselt probleemne sisu tuvastamiseks skaneerida. Google ja Facebook on serveripoolset skaneerimist (server-side scanning) kasutanud juba aastaid rämpsposti ning nende kasutustingimusi rikkuva sisu automaatseks tuvastamiseks ja kõrvaldamiseks.

Selleks skaneeritakse teenusepakkujate serveritesse kasutajate poolt laetud andmeid. Probleemsest sisust teavitatakse kasutajat ning vajadusel ka politseid. Nii töötavad näiteks iCloud ja Google Drive. Tähelepanu alt jäävad välja muidugi kõik andmed, mida kasutaja ainult oma seadmes hoiab ning teenusepakkuja serveritesse ei saada.

Euroopa Komisjoni kavandatav seadus muudaks kohustuslikuks kliendipoolse skaneerimise ehk probleemse sisu otsimise otse kasutaja arvutist või nutitelefonist. Nii kliendi- kui ka serveripoolseks tuvastamiseks kasutatakse ühe variandina räsifunktsioone (hash functions), mis seavad andmed vastavusse neid unikaalselt tuvastava räsikoodiga, millest võib mõelda kui faili digitaalsest sõrmejäljest.

Näiteks politseile teadaolevate lapspornograafia salvestiste andmebaasis leiduva ühe pildifaili räsikood võib olla "086dg2…," mis võimaldaks kliendipoolse skaneerimise teel selle koopiaid ka kasutajate seadmetes tuvastada. Seaduse autorid leiavad, et tegemist oleks kasutajate privaatsust tagava tehnilise lahendusega topeltkasutuse dilemmale: inimesed kasutaja andmeid ei näe (välja arvatud leitud vastete kontrollimiseks) ja krüpteerimist otseselt ei nõrgestata (sellest minnakse lihtsalt mööda).

Üheks kliendipoolse skaneerimise puuduseks on tõik, et failide digitaalsed sõrmejäljed ei ole sugugi unikaalsed. Mitmed uurijad on näidanud, kuidas sisult erinevatel piltidel võivad olla identsed räsikoodid või kuidas olemasoleva räsikoodiga pildifaile saab muuta nii, et neile tekiks senitundmatu sõrmejälg, aga nende sisu jääks inimese silmale sarnaseks.

Tehnilised puudused ja avalikkuse pahameel viisid eelmisel aastal selleni, et Apple taganes plaanist oma nutitelefonides kliendipoolset skaneerimist rakendada.

Kavandatava seaduse autorid usuvad, et inimeste-poolne järelevalve aitab valepositiivseid tulemusi ja teisi tehnilisi puudusi korvata. Aga kes valvab järelevalvajaid?

Mitte kasutajad, sest tegemist on nende teadmata nende seadmetes töötava tehnoloogiaga. Mitte ka laiem avalikkus, sest digitaalsete sõrmejälgede andmebaas — laste- ja korrakaitsjate käsutuses olevad andmebaasid — ei ole avalikud, et vältida illegaalse sisu levitamist ning ohvrite edasist traumeerimist. Sellises olukorras on keeruline tuvastada, millist sisu tegelikult otsitakse.

Praeguste plaanide kohaselt tõkestavad kliendipoolse skaneerimise kuritarvitamist näiteks poliitiliste vastaste või vähemuste tuvastamiseks ainult süsteemiga seotud inimesed, kes on aga poliitiliste tuulte muutumisel väljavahetatavad, kelle seadmed on häkitavad ja kelle heatahtlikkuses ei saa kunagi täielikult kindel olla.

Üks lahendus oleks disainida süsteem tuntud turvakaalutlustest (nagu avalikkus või lihtsus) lähtuvalt. Mõned eksperdid aga kahtlevad selle võimalikkuses.

Hetkel toimuv näitab ilmekalt, et topeltkasutuse dilemmale lihtsaid ega kõigile vastuvõetavaid lahendusi ei ole.

Siiski võiks huvitatud osapoolte survest ning tugevatest emotsioonidest kantud teisitimõtlejate moraalsest hukkamõistmisest hoiduda ja pakutud tehnilisi lahendusi kriitiliselt analüüsida. Vastasel juhul võib juhtuda, et lahendame ühe topeltkasutuse dilemma teise tekitamisega, sest ka jälgimistehnoloogiaid saab kasutada nii turvalisuse tagamiseks kui ka repressioonide läbiviimiseks.


Kõiki Vikerraadio päevakommentaare on võimalik kuulata Vikerraadio päevakommentaaride lehelt.

ERR.ee võtab arvamusartikleid ja lugejakirju vastu aadressil [email protected]. Õigus otsustada artikli või lugejakirja avaldamise üle on toimetusel.

Toimetaja: Kaupo Meiel

Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: