Μαζική Παρακολούθηση (Mass Surveillance)
Μέρος 1 – Κίνδυνοι, Ευκαιρίες και Στρατηγικές Μετριασμού
ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ
ΜΕΛΕΤΗ
Αξιολόγηση Επιστημονικών και Τεχνολογικών Επιλογών
ERPS | European Parliamentary Research Service (Υπηρεσία Έρευνας του Ευρωπαϊκού Κοινοβουλίου), Scientific Foresight (STOA) Unit (Μονάδα Διερεύνησης Επιστημονικής Προοπτικής)
(Αναδημοσίευση με μετάφραση επιλεγμένων τμημάτων από: Βιβλιοπωλείο της ΕΕ, “Mass Surveillance”, Έτος έκδοσης: 2015, ISBN: 978-92-823-5535-0, doi: 10.2861 / 269619, QA-05-14-155-EL-N, [Pdf αρχείο, 66 σελίδες στα αγγλικά])
Μαζική Παρακολούθηση ή Mass Surveillance
Ποιοι είναι οι κίνδυνοι για τους πολίτες και ποιες οι ευκαιρίες για την ευρωπαϊκή κοινωνία της πληροφορίας; Ποιες είναι οι πιθανές στρατηγικές μετριασμού;
Μέρος 1 – Κίνδυνοι και ευκαιρίες που παρουσιάζονται από την τρέχουσα γενιά
των δικτυακών υπηρεσιών και εφαρμογών
Μελέτη, IP/G/STOA/FWC-2013-1/LOT 9/C5/SC1, Ιανουάριος 2015, PE 527.409
Σχετικά με την έκδοση:
Το πρότζεκτ του STOA, “Μαζική Παρακολούθηση (Mass Surveillance) Μέρος 1 – Κίνδυνοι, Ευκαιρίες και Στρατηγικές Μετριασμού” πραγματοποιήθηκε από το TECNALIA Research and Investigation στην Ισπανία.
ΣΥΓΓΡΑΦΕΙΣ:
Arkaitz Gamino Garcia
Concepción Cortes Velasco
Eider Iturbe Zamalloa
Erkuden Rios Velasco
Iñaki Eguía Elejabarrieta
Javier Herrera Lotero
Jason Mansell (Γλωσσική Εξέταση)
José Javier Larrañeta Ibañez
Stefan Schuster (Επιμέλεια)
Οι συγγραφείς αναγνωρίζουν και θα ήθελαν να ευχαριστήσουν τους εξής εμπειρογνώμονες για τη συμβολή τους σε αυτή την έκθεση:
Prof. Nigel Smart, University of Bristol,
Matteo E. Bonfanti PhD, Research Fellow in International Law and Security, Scuola Superiore Sant’Anna Pisa,
Prof. Fred Piper, University of London,
Caspar Bowden, independent privacy researcher,
Maria Pilar Torres Bruna, Head of Cybersecurity, Everis Aerospace, Defense and Security,
Prof. Kenny Paterson, University of London,
Agustín Martin and Luis Hernández Encinas, Tenured Scientists, Department of Information Processing and Cryptography (Cryptology and Information Security Group), CSIC,
Alessandro Zanasi, Zanasi & Partners,
Fernando Acero, Expert on Open Source Software,
Luigi Coppolino, Università degli Studi di Napoli,
Marcello Antonucci, EZNESS srl,
Rachel Oldroyd, Managing Editor of The Bureau of Investigative Journalism,
Peter Kruse, Founder of CSIS Security Group A/S,
Ryan Gallagher, investigative Reporter of The Intercept,
Capitán Alberto Redondo, Guardia Civil,
Prof. Bart Preneel, KU Leuven,
Raoul Chiesa, Security Brokers SCpA, CyberDefcon Ltd.,
Prof. Hugo Scolnik, Departamento de Computación, Universidad Buenos Aires.
Διευθυντής Έρευνας του STOA
Peter Ide-Kostic
Scientific Foresight (STOA) Unit
Directorate for Impact Assessment and European Added Value
Directorate-General for Parliamentary Research Services
European Parliament, Rue Wiertz 60, B-1047 Brussels
E-mail: [email protected]
Γλωσσικές αποδόσεις
Πρωτότυπη: EN (στα Αγγλικά)
Σχετικά με τον Εκδότη
Για να επικοινωνήσετε με το STOA ή για να εγγραφείτε στο ενημερωτικό δελτίο του, στείλτε μήνυμα στο: [email protected]
Αυτό το έγγραφο είναι διαθέσιμο στο διαδίκτυο στη διεύθυνση: http://www.ep.europa.eu/stoa/
Το χειρόγραφο ολοκληρώθηκε τον Ιανουάριο του 2015
Βρυξέλλες, Ευρωπαϊκή Ένωση, 2015
Αποποίηση ευθυνών
Το περιεχόμενο του παρόντος εγγράφου είναι αποκλειστική ευθύνη του συντάκτη και τυχόν απόψεις που εκφράζονται σε αυτό δεν αντιπροσωπεύουν απαραίτητα την επίσημη θέση του Ευρωπαϊκού Κοινοβουλίου. Απευθύνεται στους βουλευτές και το προσωπικό του ΕΚ για το κοινοβουλευτικό έργο τους. Η αναπαραγωγή και η μετάφραση για μη εμπορικούς σκοπούς επιτρέπεται, εφόσον αναφέρεται η πηγή και το Ευρωπαϊκό Κοινοβούλιο έχει προηγουμένως ενημερωθεί και αποσταλεί σε αυτό ένα αντίγραφο.
PE 527.409, ISBN: 978-92-823-5535-0, DOI: 10.2861/269619, CAT: QA-05-14-155-EN-N
Σύντομη Περίληψη
Το έγγραφο αυτό προσδιορίζει τους κινδύνους της παραβίασης των δεδομένων των χρηστών των διαθέσιμων στο κοινό υπηρεσιών του Internet, όπως e-mail, κοινωνικά δίκτυα και cloud computing, καθώς και τις πιθανές επιπτώσεις για τους ίδιους και για την Ευρωπαϊκή Κοινωνία της Πληροφορίας. Παρουσιάζει τις τελευταίες εξελίξεις της τεχνολογίας που επιτρέπουν την ανάλυση των δεδομένων του χρήστη και των μετα-δεδομένων του, σε μαζική κλίμακα για λόγους παρακολούθησης. Προσδιορίζει τα τεχνολογικά και οργανωτικά μέτρα και τους βασικούς ενδιαφερόμενους για τη μείωση των κινδύνων που έχουν εντοπιστεί. Τέλος, η μελέτη προτείνει πιθανές επιλογές πολιτικής για την υποστήριξη των μέτρων μείωσης του κινδύνου, που προσδιορίζονται από τη μελέτη.
Η μελέτη αυτή καλύπτει την ανάλυση της υπάρχουσας γενιάς των διαδικτυακών υπηρεσιών και των εφαρμογών, κατά τη στιγμή της μελέτης (2014) και για το ποια είναι τα βραχυπρόθεσμα και μεσοπρόθεσμα τεχνικά μέτρα και οι επιλογές πολιτικής που είναι κατάλληλες για την αντιμετώπιση των πρακτικών της μαζικής παρακολούθησης και για την διασφάλιση της ιδιωτικής ζωής και της ασφάλειας των ηλεκτρονικών καναλιών επικοινωνίας.
Οι μελλοντικές μακροπρόθεσμες τεχνολογικές και πολιτικές επιλογές αντιμετώπισης για την προστασία της ιδιωτικής ζωής και της ασφάλειας στον τομέα των τεχνολογιών της πληροφορίας και της επικοινωνίας, περιγράφονται στο δεύτερο μέρος αυτής της μελέτης, που δημοσιεύθηκε από το STOA.
Η παρούσα μελέτη συνοδεύεται από παράρτημα, στο οποίο παρέχονται λεπτομερείς απαντήσεις στις τριάντα πέντε ερωτήσεις που τέθηκαν στην αρχική έρευνα για τη μελέτη αυτή. Το παράρτημα δημοσιεύεται ως ξεχωριστό έγγραφο:
ANNEX / ΠΑΡΑΡΤΗΜΑ, Science and Technology Options Assessment (STOA) / Επιστημονικές και Τεχνολογικές Επιλογές
Mass Surveillance / Μαζική Παρακολούθηση
Part 2 – Technology foresight, options for longer term security and privacy improvements / Μέρος 2 – Τεχνολογικές προοπτικές, δυνατότητες για μακροπρόθεσμες βελτιώσεις στην ασφάλεια και την προστασία της ιδιωτικής ζωής
[pdf αρχείο, 100 σελίδες στα αγγλικά]
Πίνακας περιεχομένων
ΠΕΡΙΛΗΨΗ
1. ΕΙΣΑΓΩΓΗ
2 ΔΟΜΗ του ΕΓΓΡΑΦΟΥ και ΜΕΘΟΔΟΛΟΓΙΚΗ ΠΡΟΣΕΓΓΙΣΗ
- 2,1 Οι Συμβάσεις μορφοποίησης
- 2.2 Η Δομή του εγγράφου
- 2.3 Η μεθοδολογική προσέγγιση που εφαρμόστηκε
3 ΤΡΕΧΟΥΣΕΣ ΠΡΑΚΤΙΚΕΣ ΥΠΟΚΛΟΠΗΣ και ΑΝΑΛΥΣΗΣ των ΜΕΤΑ-ΔΕΔΟΜΕΩΝ των ΧΡΗΣΤΩΝ
- 3.1 Οι τύποι των μετα-δεδομένων και η διατήρησή τους
- 3.2 Ο ρόλος των εμπορικών Cookies και των trackers
- 3.3 Η ανάλυση των μετα-δεδομένων για τους σκοπούς της μαζικής παρακολούθησης
- 3.4 Η συνενοχή μεταξύ των οργανισμών μαζικής παρακολούθησης και των άλλων μερών
4 ΑΞΙΟΠΙΣΤΙΑ της ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ σε ΕΝΑΝ “μετα-SNOWDEN” ΚΟΣΜΟ
- 4.1 Τα τρέχοντα και τα επερχόμενα προβλήματα της κρυπτογραφίας
- 4.2 Το malware σε πλατφόρμες και στα τελικά άκρα (end-points)
- 4.3 Η αρένα της κρυπτογραφίας και του ηλεκτρονικού πολέμου
- 4.4 Ο τομέας των τηλεπικοινωνιών
5 ΔΥΝΑΤΟΤΗΤΕΣ των ΕΜΠΟΡΙΚΩΝ ΠΡΟΪΟΝΤΩΝ στην ΠΡΑΚΤΙΚΗ της ΜΑΖΙΚΗΣ ΠΑΡΑΚΟΛΟΥΘΗΣΗΣ
- 5.1 Τα εμπορικά διαθέσιμα προϊόντα μαζικής παρακολούθησης
- 5.2 Το νομικό πλαίσιο για τα εργαλεία και τις υπηρεσίες μαζικής παρακολούθησης
- 5.3 Η αποτελεσματικότητα των προϊόντων εποπτείας και οι πόροι που απαιτούνται
- 5.4 Η κρυπτογραφία και η ανάλυση της κρυπτογράφησης
6 ΤΕΧΝΙΚΗ ΑΞΙΟΠΙΣΤΙΑ των ΔΥΝΑΤΟΤΗΤΩΝ HACKING των ΟΡΓΑΝΙΣΜΩΝ ΕΘΝΙΚΗΣ ΑΣΦΑΛΕΙΑΣ
- 6.1 Η συνεργασία των ιδιωτικών επιχειρήσεων με τις εθνικές υπηρεσίες ασφαλείας
- 6.2 Οι hacking δυνατότητες των εθνικών υπηρεσιών ασφαλείας
- 6.3 Η αποτελεσματικότητα των προγραμμάτων παρακολούθησης των υπηρεσιών πληροφοριών
- 6.4 Η αξιοπιστία στις κατηγορίες για την διενέργεια μαζικής παρακολούθησης
- 6.5 Η αποτελεσματικότητα των λύσεων για την καταπολέμηση της μαζικής παρακολούθησης
- 6.6 Οι απειλές και οι ευκαιρίες από τη χρήση ξένων λειτουργικών συστημάτων (OS) και εφαρμογών (APPS) στην δημόσια διοίκηση
7 ΤΕΧΝΙΚΕΣ και ΠΟΛΙΤΙΚΕΣ ΕΠΙΛΟΓΕΣ που ΠΡΟΤΕΙΝΟΝΤΑΙ για τον ΜΕΤΡΙΑΣΜΟ των ΕΝΤΟΠΙΣΜΕΝΩΝ ΚΙΝΔΥΝΩΝ
- 7.1 Οι βέλτιστες πρακτικές για την αποφυγή των προβλημάτων στην κρυπτογραφία
- 7.2 Οι τεχνικές λύσεις για τον μετριασμό του κινδύνου από την παρακολούθηση
- 7.3 Οι βραχυπρόθεσμες και μεσοπρόθεσμες επιλογές πολιτικής για τον έλεγχο της μαζικής παρακολούθησης
8 ΣΥΜΠΕΡΑΣΜΑΤΑ
ΣΥΝΤΟΜΟΓΡΑΦΙΕΣ
ΠΑΡΑΡΤΗΜΑ (βλέπε ξεχωριστό έγγραφο: ANNEX / ΠΑΡΑΡΤΗΜΑ, Science and Technology Options Assessment (STOA) / Επιστημονικές και Τεχνολογικές Επιλογές, Mass Surveillance / Μαζική Παρακολούθηση, Part 2 – Technology foresight, options for longer term security and privacy improvements / Μέρος 2 – Τεχνολογικές προοπτικές, δυνατότητες για μακροπρόθεσμες βελτιώσεις στην ασφάλεια και την προστασία της ιδιωτικής ζωής)
ΠΕΡΙΛΗΨΗ [σελίδα 1]
Η αποκάλυψη των αμφιλεγόμενων προγραμμάτων μαζικής παρακολούθησης που χρησιμοποιούνται από τις υπηρεσίες κατασκοπίας και εθνικής ασφαλείας, έχει προκαλέσει μια διεθνή συζήτηση σχετικά με το δικαίωμα των πολιτών στο να προστατεύονται από την παράνομη ή την χωρίς ένταλμα συλλογή και ανάλυση των δεδομένων και των μετα-δεδομένων τους. Η παρούσα έκθεση/μελέτη στοχεύει στον εντοπισμό για το ποιοι είναι οι κίνδυνοι των παραβιάσεων δεδομένων για τους χρήστες στις διαθέσιμες στο κοινό υπηρεσίες στο διαδίκτυο, όπως είναι οι πλοηγοί περιήγησης στο διαδίκτυο (web browsers), το ηλεκτρονικό ταχυδρομείο, τα κοινωνικά δίκτυα, το cloud computing ή οι φωνητικές επικοινωνίες μέσω προσωπικών υπολογιστών ή κινητών συσκευών και για το ποιες είναι οι πιθανές επιπτώσεις για τους πολίτες και την ευρωπαϊκή κοινωνία της πληροφορίας.
Στο πλαίσιο αυτό, μια σαφής διάκριση πρέπει να γίνει μεταξύ των δεδομένων και των μετα-δεδομένων (metadata). Επίσης θα πρέπει να υπάρχει σαφής διαφοροποίηση μεταξύ της μαζικής χωρίς ένταλμα και αδιάκριτης υποκλοπής και της στοχευμένης νόμιμης παρακολούθησης στο διαδίκτυο και στα δεδομένα τηλεφωνίας για τους σκοπούς της επιβολής του νόμου και της διερεύνησης ενός εγκλήματος. Ενώ η στοχευμένη νόμιμη παρακολούθηση αποτελεί ένα απαραίτητο και νόμιμο μέσο των υπηρεσιών πληροφοριών και της επιβολής του νόμου, η μαζική παρακολούθηση (Mass Surveillance) θεωρείται απειλή για τις πολιτικές ελευθερίες, όπως και για το δικαίωμα της ελευθερίας της γνώμης και της έκφρασης. Αυτές οι ελευθερίες των πολιτών είναι απαραίτητες για τα ανθρώπινα δικαιώματα στις δημοκρατικές κοινωνίες και είναι ιδιαίτερης σημασίας για τη διασφάλιση της ανεξάρτητης δημοσιογραφίας και της πολιτικής αντιπολίτευσης.
Τα μετα-δεδομένα είναι δεδομένα που παράγονται όταν χρησιμοποιούνται τα ηλεκτρονικά κανάλια επικοινωνίας, όπως το διαδίκτυο ή της τηλεφωνίας και παρέχουν πληροφορίες σχετικά με το χρόνο, την καταγωγή του προορισμού, την τοποθεσία, την διάρκεια και την συχνότητα των επικοινωνιών που πραγματοποιούνται. Τα μετα-δεδομένα, ωστόσο, δεν περιέχουν το περιεχόμενο των ίδιων των επικοινωνιών. Υπάρχουν δύο τύποι μετα-δεδομένων, τα μετα-δεδομένα που παρέχουν στοιχεία σχετικά με το περιεχόμενο (πχ. ανάγνωση/εγγραφή/τροποποίηση των ιδιοτήτων ενός αρχείου, ο συντάκτης του εγγράφου, η θέσης από το GPS σε μια εικόνα, κλπ.) και τα μετα-δεδομένα σχετικά με την επικοινωνία (πχ. ο αποστολέας, ο παραλήπτης, η διάρκεια της επικοινωνίας, η ημερομηνία και η ώρα έναρξης της επικοινωνίας, το κανάλι επικοινωνίας, το πρωτόκολλο επικοινωνίας που χρησιμοποιήθηκε, κλπ.). Στο πλαίσιο αυτής της μελέτης, το κύριο ενδιαφέρον βρίσκεται στα μετα-δεδομένα σχετικά με την επικοινωνία.
Τα μετα-δεδομένα επικοινωνίας συνήθως συγκεντρώνονται από τους παρόχους τηλεπικοινωνιών και τους παρόχους υπηρεσιών διαδικτύου, στο πλαίσιο των επιχειρηματικών τους δραστηριοτήτων. Διαφορετικοί νόμοι και κανονισμοί υπάρχουν στην Ευρώπη και σε άλλες χώρες, οι οποίοι καθορίζουν την περίοδο διατήρησης αυτών των δεδομένων. Η νόμιμη παρακολούθηση των μετα-δεδομένων έχει ως στόχο την παρακολούθηση που απαιτείται από τις αρχές επιβολής του νόμου και δεν θεωρείται ως μαζική παρακολούθηση. Η ανάλυση των μετα-δεδομένων, παρά το γεγονός ότι δεν περιέχει το περιεχόμενο αυτό καθ’ αυτό, μπορεί να αποκαλύψει πολύ αναλυτικές πληροφορίες σχετικά με το πρόσωπο που τα έχει δημιουργήσει.
Μια άλλη πιθανή πηγή πληροφοριών που περιέχουν ιδιωτικά στοιχεία είναι τα Cookies (HTTP cookie). Τα cookies είναι αρχεία κειμένου που οι ιστοσελίδες που επισκεπτόμαστε αποθηκεύουν στον σκληρό μας δίσκο. Τα cookies επιτρέπουν μια πιο έξυπνη και πιο γρήγορη πλοήγηση και χρησιμοποιούνται συνήθως για να διαμορφώσουν το περιεχόμενο μιας ιστοσελίδας, καθώς και τις διαφημίσεις και τα χαρακτηριστικά των συνδεδεμένων με αυτήν τρίτων μερών, όταν την ξαναεπισκεφτούμε. Δεν βρέθηκαν αποδεικτικά στοιχεία που να βεβαιώνουν ότι οι κυβερνητικές υπηρεσίες αξιοποίησαν τις πληροφορίες που μπορούν να συναχθούν από τα δεδομένα που περιέχονται σε cookies, μέσω της συνεργασίας τους με εμπορικές εταιρίες ιχνηλάτησης (tracking).
Η δομημένη φύση των μετα-δεδομένων είναι ιδανική για ανάλυση με τη χρήση τεχνικών εξόρυξης δεδομένων (data mining), όπως είναι η αναγνώριση προτύπων (pattern recognition), η μηχανική μάθηση (machine learning) και η συγχώνευση πληροφοριών ή δεδομένων (information or data fusion). Η ανάλυση μετα-δεδομένων μπορεί να αποκαλύψει ένα εξαιρετικά πλούσιο ποσό από πληροφορίες σχετικά με τις συνήθειες και τις σχέσεις των ανθρώπων και όταν συγκεντρώνονται (aggregated) -δεδομένα με την πάροδο του χρόνου ή η σύνδεση τους με άλλα σύνολα δεδομένων- μπορούν να εκθέσουν ακόμα πιο πλούσιες προσωπικές πληροφορίες και λεπτομέρειες συσχετισμών. Αν δεν ληφθούν ειδικές προφυλάξεις, μερικά από τα προσωπικά μυστικά της καθημερινής μας ζωής δεν θα αντέξουν σε μια προσεκτική ανάλυση των μετα-δεδομένων μας.
Οι κυβερνητικές υπηρεσίες παρακολουθούν τα μετα-δεδομένα είτε μέσω των δικών τους τεχνικών δυνατοτήτων, είτε με πρόσβαση σε αυτά μέσω των παρόχων υπηρεσιών με βάση νόμιμων αιτημάτων/γενικευμένων ενταλμάτων ή υπό την απειλή προστίμων. Διαθέτουν επίσης ισχυρές δυνατότητες για να σπάσουν την προστασία ενός συστήματος και να διεισδύσουν στα συστήματα και στα δίκτυα με την εφαρμογή προηγμένης τεχνολογίας υλισμικού (hardware) και λογισμικού (software) [πχ. Fiber tapping και PRISM (surveillance program)].
Οι εμπορικοί προμηθευτές τεχνολογίας παρακολούθησης πωλούν εφαρμογές λογισμικού και εργαλεία για σκοπούς παρακολούθησης και προηγμένες λύσεις για νόμιμη υποκλοπή, συλλογή, επεξεργασία ή/και ανάλυση δεδομένων επικοινωνιών (συμπεριλαμβανομένων τόσο των μετα-δεδομένων όσο και του ίδιου του περιεχομένου των επικοινωνιών). Πελάτες τους είναι οι κυβερνήσεις, οι οργανισμοί πληροφοριών, οι υπηρεσίες εθνικής ασφάλειας και επιβολής του νόμου, που χρησιμοποιούν αυτές τις πλατφόρμες και τα μέσα πληροφοριών για τη συλλογή, την επεξεργασία και την ανάλυση τόσο για μαζικά όσο και για στοχευμένα δεδομένα επικοινωνιών.
Το νομικό πλαίσιο για τους εμπορικούς προμηθευτές τεχνολογίας παρακολούθησης ορίζεται σε διαφορετικές εθνικές και διεθνείς νομοθεσίες, συμφωνίες και κανονισμούς. Η συμφωνία Wassenaar (Wassenaar Agreement), μια ολοκληρωμένη διεθνής συνθήκη σχετικά με τους ελέγχους των εξαγωγών, συμπεριλαμβανομένης και για της τεχνολογίας παρακολούθησης, είναι υπογεγραμμένη από 42 κράτη και έχει επεκταθεί το 2013 για να συμπεριλάβει και τα εργαλεία συλλογής ή εξοπλισμού και τα συστήματα παρακολούθησης δικτύου IP από τις υπηρεσίες πληροφοριών/επιβολής του νόμου. Παρόλα αυτά, η έκθεση του UN OHCHR (United Nations, Office of the High Commissioner for Human Rights) τον Ιούνιο του 2014 αναφέρει ότι στα περισσότερα κράτη, τα νομικά πρότυπα είναι είτε ανύπαρκτα είτε ανεπαρκή για να αντιμετωπίσουν το σύγχρονο περιβάλλον παρακολούθησης των επικοινωνιών (βλ. Report of the Office of the United Nations High Commissioner for Human Rights, A/HRC/27/37, “The right to privacy in the digital age”, 30 June 2014).
Αλλά και οι υπηρεσίες εθνικής ασφάλειας από μόνες τους έχουν αναπτύξει μια σειρά από εξελιγμένα εργαλεία υλισμικού και λογισμικού παρακολούθησης που τους επιτρέπουν να διεισδύουν στον εξοπλισμό δικτύωσης, να παρακολουθούν τα κινητά τηλέφωνα και τους υπολογιστές και να εκτρέπουν ή ακόμα και να τροποποιούν τα δεδομένα χωρίς να γίνονται αντιληπτές.
Μια ιδιαίτερη έμφαση στην προσπάθεια της μαζικής παρακολούθησης εντοπίζεται στο σπάσιμο της κρυπτογράφησης που εμποδίζει την πρόσβαση των υπηρεσιών πληροφοριών και επιβολής του νόμου στα σχετικά δεδομένα. Ελαττώματα λογισμικού στην υλοποίηση των αλγορίθμων κρυπτογράφησης μπορεί να οδηγήσουν σε τρωτά σημεία που μπορούν να είναι εύκολα εκμεταλλεύσιμα, ανεξάρτητα από την πολυπλοκότητα, τη θεωρητική αντοχή ή την ποιότητα της τεχνικής εφαρμογής της κρυπτογράφησης. Οι υπηρεσίες ασφαλείας έχουν καταφέρει να αξιοποιήσουν αυτά τα τρωτά σημεία, που υποτίθεται ότι τους επέτρεψαν να εισαγάγουν κερκόπορτες στα πρότυπα της κρυπτογράφησης, αλλά είχαν περιορισμένη μόνο επιτυχία με τις παραδοσιακές κρυπταναλυτικές επιθέσεις.
Η νέα γενιά της τεχνολογίας κρυπτογράφησης είναι αρκετά καλή για να αποφευχθούν οι ντετερμινιστικές βίαιες επιθέσεις και παρέχει την πλέον αξιόπιστη προστασία από την μη εξουσιοδοτημένη πρόσβαση στα δεδομένα, αν οι παράμετροι εφαρμογής της και η διαμόρφωσή της γίνουν σωστά. Οι σημαντικές επιθέσεις συμβαίνουν όταν οι υλοποιήσεις των σημερινών τεχνολογιών κρυπτογράφησης δεν συμμορφώνονται πιστά με τις προδιαγραφές τους ή όταν σφάλματα και λάθη -μερικές φορές σκόπιμα- εγχέονται στο επίπεδο του κώδικα. Αυτός είναι ο λόγος της έκκλησης για μια πολιτική δράση που θα εγγυάται την πρόσβαση των Ευρωπαίων πολιτών σε πιστοποιημένες, ανθεκτικές και ανοιχτού κώδικα εφαρμογές, διαφορετικών προδιαγραφών, κρυπτογραφήσεις.
Για τον τελικό χρήστη είναι πρακτικά αδύνατο να εξακριβώσει αν τα μετα-δεδομένα που παράγονται κατά την πλοήγηση του στο διαδίκτυο, στην αποστολή μηνυμάτων ή στην λειτουργία άλλων επικοινωνιών μέσω διαδικτύου, αναλύονται ή χρησιμοποιούνται (ή θα χρησιμοποιηθούν) από τρίτους και ακόμη λιγότερο, αν ένα σύστημα υπόκειται σε μια σύνθετη επίθεση ενορχηστρωμένη από ισχυρούς αντιπάλους όπως είναι οι κυβερνητικές υπηρεσίες. Οι πολίτες μπορούν να προστατεύσουν την ιδιωτική τους ζωή με την εφαρμογή συνειδητών πρακτικών ασφάλειας και χρησιμοποιώντας ειδικά εργαλεία λογισμικού και υπηρεσίες που βοηθούν στο να κρύβονται τα ψηφιακά τους ίχνη. Τα firewalls, το anti-virus λογισμικό, τα εικονικά ιδιωτικά δίκτυα (Virtual Private Networks), τα anonymizing proxies και networks, και, το σημαντικότερο, η κρυπτογραφία, είναι εκείνα τα τεχνικά μέσα που είναι προσιτά στους τελικούς χρήστες. Αλλά ακόμα και αν είναι δυνατό να εμποδιστεί η μη εξουσιοδοτημένη πρόσβαση στα προσωπικά δεδομένα ή στα μετα-δεδομένα με την εφαρμογή ενός μίγματος διαφορετικών μηχανισμών προστασίας, δεν υπάρχουν τα μέσα για την εξασφάλιση της πλήρους απαλλαγής από τέτοιου είδους επιθέσεις.
Οι επιλογές πολιτικής που θεωρούνται ότι βοηθούν στη μείωση του κινδύνου της εισβολής στην ιδιωτική ζωή με την μαζική παρακολούθηση, σε ένα βραχυπρόθεσμο και μεσοπρόθεσμο χρονοδιάγραμμα είναι: α) η προώθηση των λειτουργικών συστημάτων και των εφαρμογών που επιτρέπουν την συνεχή επιθεώρηση και τον έλεγχο από μια μεγάλη κοινότητα εμπειρογνωμόνων ανοικτού κώδικα και φορέων επαλήθευσης και επικύρωσης και β) στο να επενδύσουμε και να τονώσουμε την ένταξη των φιλικών προς το χρήστη εργαλείων με λύσεις λογισμικού.
Η απειλή από τις πρακτικές της μαζικής παρακολούθησης δεν μπορεί, ωστόσο, να επιλυθεί σε τεχνικό έδαφος. Οι οργανισμοί πληροφοριών και ασφάλειας θα έχουν πάντα ένα ανταγωνιστικό πλεονέκτημα στο να μπορούν να κερδίσουν έναν τέτοιο αγώνα τεχνολογικής υπεροχής πάνω στην ασφάλεια του διαδικτύου, λόγω των πόρων που διαθέτουν. Το πρόβλημα πρέπει να αντιμετωπιστεί σε πολιτικό επίπεδο. Μια κατάλληλη ισορροπία ανάμεσα στις πολιτικές ελευθερίες και στα έννομα συμφέροντα εθνικής ασφάλειας, πρέπει να καθοριστεί, με βάση μια δημόσια συζήτηση που θα δίνει τη δυνατότητα στους πολίτες να αποφασίζουν τόσο για τα πολιτικά τους δικαιώματα που επηρεάζονται, όσο και για τις κοινωνικές τους αξίες που διακυβεύονται.
…
8 ΣΥΜΠΕΡΑΣΜΑΤΑ [σελίδα 55]
Οι πρακτικές της μαζικής παρακολούθησης από τις υπηρεσίες πληροφοριών και ασφαλείας έχουν τραβήξει το ενδιαφέρον των μέσων μαζικής ενημέρωσης και στο ευρύ κοινό, με την δημοσίευση των απορρήτων εγγράφων που διέρρευσαν από τον Edward Snowden. Η μαζική παρακολούθηση αποτελεί σήμερα μια πραγματικότητα και εφαρμόζεται εδώ και χρόνια από τις εθνικές υπηρεσίες πληροφοριών σε έναν αριθμό από χώρες, όπως είναι πχ. η συμμαχία FIVE EYES, αλλά και από κάποια άλλα μέλη κράτη της ΕΕ και από άλλες χώρες.
Οι οργανισμοί που συμμετέχουν στην πρακτική της μαζικής παρακολούθησης δικαιολογούν αυτές τις μεθόδους με το δόγμα της πρόληψης του εγκλήματος και της τρομοκρατίας και στην υιοθέτηση της αρχής της παντογνωσίας ως τον βασικό τους σκοπό. Ο στόχος της ανάσχεσης κάθε επικοινωνίας που λαμβάνει χώρα πάνω στο διαδίκτυο ή/και στα τηλεφωνικά δίκτυα, σε πολλές περιπτώσεις επιδιώκεται με αμφίβολη εφαρμογή νομοθεσίας, αν δεν είναι και οριστικά παράνομες ως εισβολές στον τομέα της πληροφορικής και των τηλεπικοινωνιακών συστημάτων. Αυτή η στρατηγική συσσωρεύει μια ποσότητα πληροφοριών που μπορούν να επεξεργαστούν και να αναλυθούν με συστήματα τεχνητής νοημοσύνης, που είναι σε θέση να διακρίνουν σχήματα που δείχνουν παράνομες, εγκληματικές ή τρομοκρατικές δραστηριότητες.
Ενώ η δικαιολογημένη (και με δικαστικό ένταλμα) νόμιμη παρακολούθηση των δεδομένων σχετικά με στοχευμένους υπόπτους είναι ένα υποχρεωτικό και αδιαμφισβήτητο εργαλείο για την επιβολή του νόμου, ώστε οι αρμόδιες υπηρεσίες να έχουν πρόσβαση σε στοιχεία, η γενικευμένη προσέγγιση της συλλογής μέσω της μαζικής παρακολούθησης παραβιάζει το δικαίωμα στην ιδιωτική ζωή και της ελευθερίας του λόγου. Η απόδοση των αποφάσεων σχετικά με ύποπτους τύπους δεδομένων ή συμπεριφοράς πολιτών σε ευφυή συστήματα υπολογιστών, επιπλέον, εμποδίζει τη λογοδοσία και δημιουργεί την απειλή της εφαρμογής μιας οργουελικού τύπου κοινωνίας παρακολούθησης.
Πολλοί πολίτες δεν έχουν επίγνωση των απειλών που μπορεί να αντιμετωπίσουν όταν χρησιμοποιούν το διαδίκτυο ή τις συσκευές τηλεπικοινωνίας. Μέχρι σήμερα, ο μόνος τρόπος για τους πολίτες, για να εξουδετερώσουν την παρακολούθηση και έχουν μια πρόληψη απέναντι στην παραβίαση της ιδιωτικής τους ζωής, συνίσταται στην εξασφάλιση μιας άφθαρτης απ’ άκρου εις άκρον (end-to-end) κρυπτογράφησης του περιεχομένου και του καναλιού μεταφοράς σε όλες τις επικοινωνίες τους.
Λόγω του πλήθους/της πολυπλοκότητας/της ετερογένειας αυτών των εργαλείων είναι ωστόσο ένα πολύ περίπλοκο έργο για να επιτευχθεί από την πλειονότητα των τεχνικά ανεκπαίδευτων χρηστών. Η κατάσταση αυτή απαιτεί και τη δημιουργία ευαισθητοποίησης αλλά και την παροχή ολοκληρωμένων φιλικών προς τον χρήστη και εύκολων στην χρήση λύσεων που θα εγγυώνται την προστασία της ιδιωτικής ζωής και την ασφάλεια των επικοινωνιών τους.
Αλλά οι υπεύθυνοι χάραξης της πολιτικής πρέπει να κατανοήσουν ότι το πρόβλημα της μαζικής παρακολούθησης (πρώτα από όλα να κατανοήσουν ότι πρόκειται όντως για ένα πρόβλημα) δεν μπορεί να λυθεί σε τεχνικό έδαφος, αλλά πρέπει να αντιμετωπιστεί σε πολιτικό επίπεδο. Μια κατάλληλη ισορροπία ανάμεσα στις πολιτικές ελευθερίες και στα έννομα συμφέροντα εθνικής ασφάλειας πρέπει να βρεθεί και αυτή η ισορροπία θα πρέπει να βασίζεται σε μια δημόσια συζήτηση που θα δίνει τη δυνατότητα στους πολίτες να αποφασίζουν τόσο για τα πολιτικά τους δικαιώματα όσο και για τις κοινωνικές τους αξίες που διακυβεύονται.