6 lipca został przyjęty projekt tymczasowej unijnej rezolucji niemal jednoznacznie pozwalającej na dodawanie do oprogramowania backdoorów w celu „zwalczania niegodziwego traktowania dzieci w celach seksualnych w internecie”. Lista głosujących znajduje się tutaj, a z pełnym projektem w języku polskim można zapoznać się w tym miejscu.
Autorzy zaznaczają, że pewni operatorzy już przed rezolucją stosowali określone środki zapobiegawcze przed niezgodnymi z prawem zachowaniami. Wydaje się jednak, że stanowią oni jedynie ułamek wszystkich dostawców. Takie działanie wymaga znacznej ingerencji w komunikację sieciową. Zdecydowana większość stron używa HTTPS, więc aby przeglądać zawartość wysyłanych żądań, trzeba „podstawić” swój certyfikat, czyli wykonać atak MITM. W przypadku jego wykrycia przez abonentów zaufanie do dostawcy po prostu zmaleje.
Prawo będzie obowiązywać „tymczasowo” przez 3 lata
Nowe prawo będzie na razie tymczasowe, ponieważ maksymalnie do trzech lat od wejścia w życie. To czas na przyjęcie nowych, długoterminowych ram prawnych.
Jasno stwierdzono, że „Niniejsze rozporządzenie przewiduje tymczasowe odstępstwo od art. 5 ust. 1 i 6 ust. 1 dyrektywy 2002/58/WE, które chronią poufność komunikacji i dane o ruchu” natomiast „Rodzaje technologii wykorzystywanych na potrzeby niniejszego rozporządzenia powinny powodować jak najmniejszą ingerencję w prywatność zgodnie z aktualnym stanem techniki w branży”.
W artykule 3. wspomniano o konieczności stosowania narzędzi do wykrywania i usuwania kwalifikowanych materiałów. Wskaźnikiem jest m.in. różnica wieku. Oznacza to, że połączenia mają być monitorowane i w przypadku wykrycia „anomalii” zgłaszane do odpowiednich organów. Operator ma również obowiązek do 31 stycznia każdego roku (i sześć miesięcy po dacie wejścia w życie opisywanego prawa) przedłożyć sprawozdanie dotyczące zebranych danych.
W jaki sposób zbierać te dane
Od strony operatora najprościej postawić własny DNS i „wymusić” jego stosowanie przez klientów. Można zaproponować akcję wymiany routerów na nowsze, odpowiednio już skonfigurowane. Mniej techniczne osoby się zgodzą, router zostanie wpięty i tyle. Dla nich ważny jest sam dostęp do Internetu, nie wiedzą, jak dokładnie przebiega ten proces. To rozwiązanie dla dostawcy zapewni jedynie wgląd do przeglądanych domen, które dzięki niemu łatwo zablokować.
Można rozważyć też stosowanie własnego VPN-a przez operatorów. Na niektórych routerach jest opcja skonfigurowania połączenia przez VPN i wtedy obejmuje to cały segment sieci lokalnej. Może działać niezauważenie, a cały ruch będzie logowany.
Co mają zrobić osoby, którym zależy na ochronie prywatności?
Dobrym krokiem będzie zainwestowanie w nowy router. Dostęp do Internetu powinien być zapewniony bez większych trudności, chyba że:
- ISP nie używa DHCP tylko statycznych adresów lub wykorzystuje PPPoE (wystarczy przepisać konfigurację ze starego routera),
- kupimy „zaawansowany” sprzęt, gdzie wiele trzeba zrobić samodzielnie, ale dzięki temu zyskujemy na pewności.
Warto używać sensownego DNS, najlepiej tego, którego infrastruktura znajduje się poza obszarem UE, np. Cloudflare. Poleca się też zakup taniego serwera VPS i postawienie własnego DNS na nim. Tutaj też należy zwrócić uwagę na lokalizację. VPN czy Tor również się sprawdzą. Inne „alternatywne” sieci zostały opisane tutaj.
W rezolucji nie wspomniano, co w przypadku firm. Ich aktywność również ma podlegać kontroli? Jeśli tak, to na jakich zasadach? Na ten moment szczególnie w domowych środowiskach należy maksymalnie zainwestować w ochronę prywatności, tym bardziej że nie jest to szczególnie trudne.
