Пользователи Apple в Соединенном Королевстве больше не будут иметь доступа к ключевой функции безопасности данных для хранилища iCloud: Advanced Data Protection. Это относительно небольшое изменение, но эксперты по конфиденциальности волноваться это может иметь резонансные последствия для конфиденциальности данных во всем мире.
На прошлой неделе производитель iPhone подтвердил, что он закроет доступ пользователей из Великобритании к дополнительной функции сквозного шифрования, которая помогает чтобы гарантировать, что только пользователи могут получить доступ к своим персональным данным, таким как фотографии и сообщения.
Этот шаг был широко расценен как попытка избежать выполнения запроса британского правительства на технический «черный ход» для доступа к данным пользователей. Тем не менее, ситуация может послужить примером, которому могут последовать и другие правительства, чтобы подорвать конфиденциальность пользователей, говорят эксперты.
«Это всегда было одной из наших главных проблем», — сказала Кэролайн Уилсон, главный юрисконсульт британской некоммерческой организации Privacy International. «Тот факт, что правительство Великобритании… создает плохой прецедент для других правительств по всему миру».
В заявлении Apple говорится, что компания «глубоко разочарована» тем, что больше не предлагает эту функцию пользователям из Великобритании, «учитывая продолжающийся рост утечек данных и других угроз конфиденциальности клиентов».
Однако, по словам экспертов, у компании не было выбора.
«Apple оказалась в очень трудном положении», — сказал Джон Верди, старший вице-президент по политике в вашингтонской правозащитной группе Future of Privacy Forum. «Люди в Соединенном Королевстве просто не смогут получить доступ к высшему уровню безопасности, который Apple предоставляет в других частях мира».
Что такое расширенная защита данных?
Служба хранения данных iCloud от Apple по умолчанию использует сквозное шифрование для защиты 14 категорий конфиденциальных данных, включая данные о состоянии здоровья и пароли, хранящиеся в пользовательских устройствах. Связка ключей iCloud.
Это означает, что данные пользователя по сути зашифрованы, когда они хранятся на серверах Apple, и только пользователь, владеющий учетной записью, может получить к ним доступ в незашифрованном виде. Таким образом, никто, имеющий доступ к серверам Apple — будь то хакеры или даже сама компания — не сможет прочитать конфиденциальные данные пользователей.
«В цифровом мире сквозное шифрование станет для вас лучшим вариантом для получения по-настоящему конфиденциального и безопасного разговора, который находится на уровне того, что вы могли бы вести при личной встрече», — сказал Джо Маллин, старший аналитик по вопросам политики Electronic Frontier Foundation.
Расширенная защита данных (ADP) расширяет сквозное шифрование для дополнительных категорий данных, включая фотографии, заметки, голосовые заметки и резервные копии iCloud (например, текстовые сообщения и журналы вызовов). Так, например, в случае утечки данных такой контент будет недоступен для хакера, поскольку даже Apple не сможет его прочитать.
«Один из немногих способов гарантировать, что ваши данные не будут утечены в случае взлома компании, — это убедиться, что у самой компании их нет», — говорит Сара Шеффлер, доцент Института безопасности и конфиденциальности Cylab Университета Карнеги — Меллона.
Пользователи из Великобритании теперь потеряют защиту для этих дополнительных категорий данных. Те, кто еще не включил ADP, больше не смогут этого сделать, и Apple заявляет, что вскоре предоставит существующим пользователям руководство по отключению этой функции.
Существуют сторонние облачные хранилища, которые предлагают сквозное шифрование, например NordLocker и Proton Drive. Но Маллин отмечает, что потребители реже пользуются ими, поскольку им придется выполнять дополнительные действия, в то время как система Apple может автоматически создавать резервные копии данных телефона, когда он заблокирован и подключен к источнику питания и Wi-Fi.
«На каком-то уровне вам нужны эти зашифрованные сервисы от людей, которые делают (операционную систему) на вашем телефоне», — сказал Маллин. «Вот почему так много разговоров о шифровании связано с тем, что делают Google и Apple».
Расширенная защита данных по-прежнему будет доступна за пределами Великобритании. Для пользователей Великобритании эти стандартные категории данных со сквозным шифрованием не изменятся, а iMessage и FaceTime останутся со сквозным шифрованием.
«Это позор», — сказал Верди. «Это делает британских граждан менее защищенными».
Борьба Великобритании за доступ к данным
Действия Apple последовали за несколько недель после того, как несколько новостных агентств сообщили, что британские сотрудники службы безопасности приказали Apple создать технический бэкдор, который позволит получить доступ к глобальным данным пользователей компании. Сообщается, что требование подпадает под действие Закона о полномочиях по расследованию, который позволяет британским правоохранительным органам тайно получать доступ к сообщениям и метаданным технологических компаний.
Компания Apple построила свой бренд на принципах конфиденциальности и ранее отказывалась создавать лазейки, позволяющие правительствам или правоохранительным органам получать доступ к информации своих пользователей.
«Как мы уже много раз говорили, мы никогда не создавали бэкдор или мастер-ключ для каких-либо наших продуктов или услуг и никогда не будем этого делать», — говорится в заявлении компании относительно изменения ADP.
Но без сквозного шифрования Apple может получить доступ к данным пользователей, что означает, что правоохранительные органы могут юридически обязать компанию передать их для содействия в расследовании и судебном преследовании преступлений. Возможно, поэтому Apple считает, что шаг по прекращению ADP в регионе будет достаточным для британских правительство.
«Решение об отключении этой функции конфиденциальности в Великобритании — это попытка, как мы надеемся, не подорвать ее в остальном мире», — сказал Уилсон.
Apple отказалась напрямую комментировать британскую спрос. Министерство внутренних дел Великобритании, которое отвечает за направление запросов в соответствии с Законом о полномочиях по расследованию, не сразу отреагировало на просьбу CNN прокомментировать ситуацию.
Более широкая угроза безопасности
Но даже если это облегчит правоохранительным органам доступ к пользовательским данным, «невозможно предоставить исключительный доступ» к данным некоторым сторонам, не «подрывая безопасность всех», сказал Верди.
«Либо все защищены надежным шифрованием, либо оно ослаблено для всех», — сказал он.
Он добавил, что вместо этого правоохранительные органы могли бы попытаться получить доступ к данным напрямую, предъявив ордер, который обяжет их разблокировать свои устройства.
Вслед за действиями Великобритании Верди говорит, что видит «два возможных варианта будущего». В одном сценарии другие правительства могут решить, что они хотят сделать наоборот Великобритании и предоставить частным лицам, компаниям и государственным служащим «лучшую безопасность, которую может предложить Apple», усилив защиту шифрования. Но некоторые правительства также могут последовать примеру Великобритании и «попытаться подорвать безопасность», приняв правила или выдвинув требования, которые заставят технологические компании ослабить свое шифрование.
«Что происходит сейчас?» — сказал Шеффлер. «Это часть очень большой головоломки о… будущем конфиденциальности, будущей безопасности и будущем шифрования».
