Спірний акт. Як Великобританія таємно тестує нову систему для стеження за користувачами в Інтернеті

У 2016 році у Великій Британії було прийнято Investigatory Powers Act («Акт про повноваження слідства»). Ця подія призвела до створення спеціальної системи, за допомогою якої можна відстежувати інтернет-активність користувачів, які мешкають на території цієї демократичної держави.

Протягом останніх двох років правоохоронні органи спільно з інтернет-компаніями по всій Великій Британії секретно розробляли та тестували особливу технологію стеження. За допомогою неї вони могли реєструвати та зберігати дані про перегляд сторінок в Інтернеті кожного користувача, який проживає на території країни.

Тести, які були здійснені двома невідомими інтернет-провайдерами, Міністерством внутрішніх справ та Національним агентством по боротьбі зі злочинністю, проводилися після ухвалення спірного «Акту про повноваження слідства», що набрав чинності наприкінці 2016 року. У разі успішної реалізації цієї постанови уряд отримав би можливість розгорнути стеження на національному рівні.

Незважаючи на те, що Національне агентство боротьби зі злочинністю заявило, що в процесі реалізації цього акту було проведено «значну роботу», подробиці втілення постанови в життя не розголошуються. Подібний підхід із боку правоохоронних органів уже оскаржується у суді. Публічного оголошення про початок тестування або стеження за користувачами в мережі не було. Більше того, багато інсайдерів, які стежать за діяльністю поліції та державних органів, стверджують, що не можуть говорити про нову технологію через міркування власної безпеки.

Досі триває судовий процес, пов’язаний із виконанням «Акту про повноваження слідства», який набув чинності у 2016 році. Сам акт пов’язаний із законом Snooper’s Charter. Спираючись на сукупність цих ухвал, держава отримала можливість створювати записи про кожне підключення користувача до мережі. Вони містять повну інформацію про те, які дії користувач здійснював в Інтернеті. Іншими словами, це метадані про його інтернет життя: хто він, що робить, з ким спілкується, чим цікавиться. Спираючись на «Акт про повноваження слідства», держава чи поліція можуть вимагати від інтернет-компанії зберігати історію відвідувань певного користувача протягом 12 місяців.

Першу з таких вимог було висунуто ще у липні 2019 року. Саме тоді записи про діяльність користувачів або ICR були випробувані на практиці (відповідно до звіту уповноваженого щодо виконання прийнятого акта). Друга вимога, висунута вже іншому інтернет-провайдеру в рамках того самого судового розгляду, з’явилася у жовтні 2019 року. Сам судовий процес триває й досі. Поліція проводить регулярні перевірки, щоб гарантувати той факт, що зібрані дані не порушують права користувачів на приватність. Після того, як програму збору даних буде ретельно протестовано, питання про її прийняття на національному рівні буде розглянуто урядом країни.

Однак організації захисту прав громадян стверджують, що відсутність прозорості навколо подібних судових процесів свідчить про те, що така програма зі збору даних – не ідеальна. «Потрібно було кілька років, щоб судовий процес, пов’язаний зі збором даних користувачів, набув розголосу. Це говорить про те, що сама система, яка займається відстеженням активності користувачів у мережі, вимагає доопрацювання», – стверджує Хізер Бернс, політичний експерт з Open Rights Group, британської організації захисту конфіденційності та свободи в Інтернеті.

Бернс каже, що судовий процес, пов’язаний зі збором ICR, змусив інтернет-провайдерів " відкопати набагато більше особистої інформації про користувачів, ніж планувалося ". Вона додає, що неясно, які саме дані було зібрано внаслідок судового розгляду. «Я вражена відсутністю прозорості у справі, пов’язаній із подібним масовим збором та зберіганням особистих даних мешканців Великобританії».

Весь судовий процес покритий таємницями. Невідомо, які дані збираються, які компанії беруть участь у цьому та як отримана інформація використовується третіми особами. Міністерство внутрішніх справ відмовилося надати подробиці судового розгляду, заявивши, що воно є «не таким значним» і проводиться лише для визначення того, які дані можуть бути отримані в результаті подібної практики. Звіти ICR були придумані для того, щоб розкривати серйозні злочини та запобігати їм у майбутньому, стверджують у Міністерстві внутрішніх справ.

«Ми підтримуємо спонсоровану Міністерством внутрішніх справ ініціативу щодо створення записів про активність користувачів у мережі з метою виконання технічних, правових та політичних завдань», – каже представник Національного агентства боротьби зі злочинністю. Сама агенція витратила щонайменше 130 000 фунтів стерлінгів на виконання двох зовнішніх контрактів щодо створення базових технічних систем для здійснення стеження. Варто зазначити, що в документах, пов’язаних із виконанням «Акту про повноваження слідства», від червня 2019 року йдеться про те, що для здійснення записів про активність користувачів в Інтернеті вже було проведено «значну роботу».

З великих інтернет-провайдерів Великобританії тільки Vodafone підтвердив, що не брав участь у жодних тестуваннях, пов’язаних із зберіганням інтернет-даних про активність своїх користувачів. Представники BT, Virgin Media та Sky відмовилися коментувати цю ситуацію, а оператор мобільного зв’язку Three зовсім не відповів на запит журналістів. Більш дрібні інтернет-провайдери стверджують, що вони не були залучені до тестування нових програм безпеки.

Швидше за все, постачальникам послуг заважає закон, яким вони не мають права поширюватися публічно про дані, які збирають. Така таємність ставить під загрозу модернізацію та тестування всієї інтернет-мережі загалом. В одному з розділів «Акту про повноваження слідства» йдеться про те, що телекомунікаційним компаніям чи людям, які працюють у цій сфері, не дозволяється публічно чи приватно висловлюватися про «існування чи зміст» будь-яких наказів, пов’язаних із зберіганням особистих даних користувачів.

«Акт про повноваження слідства» – це багаторівневий закон, який встановлює порядок, за яким правоохоронні органи у Великій Британії можуть збирати та обробляти дані, пов’язані із здійсненням злочинної активності. З того часу, як його було прийнято у 2016 році, акт призвів до радикальних реформ у сфері безпеки даних у Великій Британії. Правоохоронні органи отримали більший контроль над приватною інформацією жителів країни, пояснивши це тим, що телефони, комп’ютери та інші гаджети можуть зламати зловмисники. В рамках цих змін ICR (звіти про активність користувачів) були введені як новий тип даних, який можна збирати та зберігати з метою безпеки.

Записи про активність людей в Інтернеті можуть містити інформацію про програми, які вони використовували; доменах, що вони відвідували; IP-адреса, притаманна їх мережі. Маючи подібний обсяг інформації, поліція може дізнатися про початок і кінець сеансу користувача в мережі, а також про обсяг даних, отриманих або надісланих з його пристрою. Хоча метадані не зможуть безпосередньо вказати на те, що ви саме дивилися на певній сторінці в Інтернеті, вони все ж таки несуть у собі небезпеку вашої конфіденційності. Крім усього іншого, ICR містять інформацію про стан здоров’я, політичні уподобання та особисті інтереси користувачів. У документах Міністерства внутрішніх справ йдеться, що «не існує єдиного набору даних, які збираються для створення ICR». Усі журнали зберігатимуться інтернет-провайдерами протягом необхідного проміжку часу.

Вже минуло п’ять років з моменту ухвалення акту. У 2016 році багато його аспектів здавалися досить спірними – і створення ICR займало перше місце у цьому списку. Едвард Сноуден назвав цей закон " найекстремальнішим стеженням в історії західної демократії ". Варто також зазначити, що після набрання чинності актом відбулися множинні судові розгляди про те, скільки особистих даних користувачів можуть збирати інтернет-провайдери.

Незважаючи на те, що закон був ухвалений ще в листопаді 2016 року, цілком імовірно, що системи, необхідні для збору інформації про інтернет-активність усіх користувачів у Великій Британії, ще необхідно розвивати. Під час обговорення акту в 2015 році багато інтернет-провайдерів заявили про те, що ICR – це абсолютно новий тип даних, оскільки нічого подібного у світі поки що не було розроблено.

Х’ю Вулфорд, тодішній операційний директор Virgin Media, сказав, що подібне стеження вимагає " дзеркального відображення всього трафіку нашої мережі, щоб отримати можливість відфільтрувати його надалі ". Інші фахівці стверджували, що такі системи коштуватимуть державі дорожче, ніж 175 мільйонів фунтів стерлінгів, які були спочатку закладені Міністерством внутрішніх справ до бюджету з виконання акту. Внаслідок цього, можливо, витрати людей на послуги Інтернету збільшаться.

"Акт про повноваження слідства" планується ретельно вивчити наступного року. Він має бути переглянутий через п’ять років та шість місяців після його прийняття. Бернс стверджує, що це шанс покращити прозорість самого процесу збору даних та зрозуміти, як закон працює на практиці. "Ми повинні вкотре переконатися, що ICR збирають необхідну кількість даних про активність користувачів у мережі", – каже вона. «Необхідно також дати гарантії, що будь-які кроки щодо масштабування даної практики не будуть робитися державою та правоохоронними органами надалі».

За матеріалами Wired.