Unijne urzędy mają decydować, które strony internetowe są bezpieczne. Przy okazji mogą tworzyć furtki dla inwigilacji internautów.
Rozporządzenie eIDas 2.0. Zapewnić bezpieczeństwo cyfrowe
Wysiłki, by naprawić internet, mogą zmienić się w koszmar – alarmują przedstawiciele branży cyfrowej. Na środę zaplanowano zakończenie trialogów, czyli negocjacji między Parlamentem Europejskim, Komisją i Radą, dotyczących rozporządzenia eIDas 2.0. To dokument, którego pierwotna wersja miała pomóc w usuwaniu granic cyfrowych pomiędzy krajami Europejskiego Obszaru Gospodarczego.
Jego celem było z jednej strony zapewnienie bezpieczeństwa systemów cyfrowych, a z drugiej – ochrona prywatności użytkowników internetu. Rozporządzenie zostało przyjęte prawie dekadę temu – w lipcu 2014 r., dlatego Komisja Europejska zdecydowała się zaproponować jego unowocześnienie. Nowy dokument opublikowano w czerwcu 2021 r.
Rozporządzenie ma na celu stworzenie specjalnej aplikacji dla obywateli UE, dzięki której mogliby oni potwierdzać swoją tożsamość. Choć ogłoszenie politycznego porozumienia dotyczącego dokumentu odtrąbiła już szwedzka prezydencja, w rzeczywistości rozmowy toczyły się dalej pod egidą Hiszpanii. Portal Politico cytował w sierpniu unijnego dyplomatę, który mówił, że prace zostały „fałszywie zamknięte”.
Fachowcy alarmują
Tymczasem zarówno organizacje pozarządowe, jak i przedstawiciele branży mają do dokumentu poważne zastrzeżenia. Kością niezgody jest głównie art. 45 regulacji i kwestia certyfikatów uwierzytelniania stron internetowych. To rodzaj potwierdzenia, które pozwala przekonać się, czy witryna, którą odwiedzamy, jest naprawdę tą, za którą się podaje.
– Dziś zaufanie w internecie jest zapewnione poprzez wymaganie od operatorów witryn internetowych uzyskania bezpiecznego kodu cyfrowego, zwanego certyfikatem. Wydają go organizacje zwane urzędami certyfikacji (CA). Są one dokładnie sprawdzane przez każdego producenta przeglądarek, zanim ci uznają je za wystarczająco bezpieczne. Ich wiarygodność leży w interesie naszej branży – tłumaczy w rozmowie z DGP Udbhav Tiwari z fundacji Mozilla, która tworzy przeglądarkę Firefox. Jak zauważa, nowy projekt eIDas tę wiarygodność podważa. Certyfikaty ma bowiem wstępnie zatwierdzać unijny organ ds. standardów IT (ETSI). Co więcej przeglądarki nie będą mogły dłużej decydować o tym, czy witryny legitymujące się certyfikatami rzeczywiście są bezpieczne. Jeśli więc unijny organ wyda glejt nieuczciwej witrynie, trzeba będzie ją wyświetlić użytkownikowi.
Będzie państwowa inwigilacja w internecie?
Dodatkowo, tak skonstruowane przepisy mogą umożliwić państwową inwigilację aktywności w internecie – certyfikaty mogą służyć do przechwytywania danych użytkowników, np. adresów odwiedzanych stron, loginów i haseł, danych karty kredytowej. Dziś dzięki niezależnym poświadczeniom te dane są szyfrowane.
Eksperci przypominają, że podobne rozwiązania wdrożono w Kazachstanie. Pod pozorem zwiększania bezpieczeństwa obywateli miały one wprowadzić cenzurę w sieci. Podobny mechanizm wykorzystują także Rosjanie. Po rozpoczęciu pełnoskalowej inwazji na Ukrainę strony internetowe przestały odświeżać certyfikaty wystawiane przez zachodnie instytucje. Zamiast tego użytkownicy są przymuszani do instalowania certyfikatów wydanych na zlecenie rosyjskiego rządu – takie zalecenie wyświetla się na stronie np. Sberbanku. Żadna zachodnia przeglądarka takich certyfikatów nie uznaje. Jeśli eIDas wejdzie w życie w takim kształcie, podobny mechanizm może jednak dotyczyć także glejtów wydawanych przez organy UE.
W Parlamencie Europejskim tekstem zajmowała się Komisja Przemysłu, Badań Naukowych i Energii. Za przyjęciem propozycji opowiedzieli się w lutym 2023 r. polscy parlamentarzyści: Beata Szydło i Grzegorz Tobiszowski, Jerzy Buzek, Jarosław Duda i Łukasz Kohut.
Naukowcy protestują
Przeciwko regulacji protestuje nie tylko branża, lecz także naukowcy. W ubiegły czwartek 466 badaczy z 36 krajów wysłało do unijnych regulatorów list otwarty, w którym domagają się zmian w rozporządzeniu. Wyrażają też oburzenie, że negocjacje dokumentu kluczowego z punktu widzenia obywateli są podejmowane za zamkniętymi drzwiami, bez konsultacji publicznych dotyczących potencjalnych konsekwencji regulacji.
Rozporządzenie wzbudza kontrowersje także w innych sektorach. W czerwcu organizacje unijnego sektora finansowego apelowały do unijnych legislatorów, by branża została wyjęta spod działania tego prawa.
Jak wynika z dokumentów, do których dotarł Politico, art. 45 został już w negocjacjach zamknięty. Jak jednak słyszymy, może się okazać, że parlamentarzyści pod naciskiem ekspertów będą chcieli do niego wrócić – jak twierdzą nasze źródła w Brukseli, część polityków nabrała wątpliwości po przeczytaniu otwartych listów. ©℗