Podczas tegorocznej edycji Forum Ekonomiczne w Davos Catherine De Bolle, dyrektorka wykonawcza Europolu, spotkała się z przedstawicielami Big Techów. Celem było skłonienie firm do bliższej współpracowały z organami ścigania. O co konkretnie chodziło?
Czyżby szefowa europejskiej policji namawiała firmy technologiczne do przestrzegania DSA? Poprosiła, aby scam (oszustwa internetowe) zgłaszać organom ścigania, zamiast ochoczo rozpropagowywać wśród użytkowników tylko dlatego, że przestępca dobrze za to zapłacił? Może – wzorem Mateusza Chroboka – zauważyła, że Meta, czerpiąc zyski z internetowych oszustw, przypomina zorganizowaną grupę przestępczą?
Może – świadoma wpływu social mediów na procesy wyborcze – chciała się upewnić, że przynajmniej na europejskim gruncie firmy będą współpracować z organizacjami fact-checkingowymi i zwiększą ochronę przed dezinformacją?
Tudzież – wiedząc, jak często różne wątpliwe treści „nie naruszają standardów” takiej czy innej platformy – domagała się, aby Big Techy, obok skomplikowanych i słabo działających opcji zgłoszenia naruszeń moderatorom, umożliwiły użytkownikom zgłoszenie przestępstwa bezpośrednio instytucjom państwowym? Dodanie w Messengerze czy na Facebooku przycisku „zgłoś do CERT”, wzorem numeru 8080, na który można wysyłać podejrzane SMS-y, nie tylko poprawiłoby cyberbezpieczeństwo, ale też ułatwiło obywatelom życie. Podobny, a chyba jeszcze większy, pożytek przyniosłaby ikonka „zgłoś do dyzurnet.pl” (lub ich odpowiednika) umieszczona na TikToku czy w komunikatorach.
Od dawna mówi się też o negatywnym wpływie platform internetowych na zdrowie psychiczne oraz na to, jak polaryzacja wpływa na demokrację – może więc zatroskana tym Catherine De Bolle poprosiła firmy technologiczne, by te w lepszy sposób dobierały swoje algorytmy? Mieszkamy przecież w Unii Europejskiej, ostoi wolności i swobód obywatelskich, związku demokratycznych państw, a nie w jakimś autorytarnym reżimie. Skoro więc na światowym forum interweniuje szefowa europejskiej policji, wydawałoby się, że będzie szerzyć europejskie i demokratyczne standardy.
Jednak, zupełnie nie o to chodziło. Otóż, Catherine De Bolle poprosiła korporacje o współpracę z organami ścigania w zakresie… walki z szyfrowaniem end-to-end. Powiedziała dziennikowi „Financial Times”, że planuje omówić na spotkaniu „społeczną odpowiedzialność” firm w „daniu policji dostępu do zaszyfrowanych wiadomości, które są wykorzystywane przez przestępców do zachowywania anonimowości”. Twierdziła, że „anonimowość nie jest prawem podstawowym”. Porównała szyfrowanie end-to-end do zamkniętych drzwi domu, w których ukrywa się przestępca i oczekiwań społecznych, by policja mogła w takiej sytuacji wejść do środka. Zapomniała dodać, że żadna z organizacji społecznych nie wnioskuje w związku z tym, by w imię walki z przestępczością wszystkie drzwi były przezroczyste, a montowanie w nich zamków stało się nielegalne w imię walki z niebezpiecznymi kryminalistami, którzy przecież zamykają się w domu na klucz, zagrażając w ten sposób demokracji.
Szyfrowanie narzędziem przestępców?
Szyfrowanie end-to-end, zwane też E2EE (skrót od „End to End Encryption”), umożliwia prywatną komunikację między nadawcą a odbiorcą.
Komunikacja tego typu jest trudniejsza do podsłuchania czy zmodyfikowania przez osoby trzecie – bo nawet, gdy zostanie przechwycona, sprawca zdobędzie jedynie zaszyfrowaną, a więc nieprzydatną dla niego wiadomość.
E2EE stosują od dawna komunikatory popularne wśród osób związanych z cyberbezpieczeństwem, aktywistów czy osób szanujących prywatność. Do popularniejszych w Polsce należy Signal, do mniej znanych – Threema, o której mój tekst można przeczytać na łamach TECHSPRESSO.CAFE tutaj, Session czy Element (bazujący na protokole matrix). Nawet należący do Mety WhatsApp chwali się zaimplementowaniem szyfrowania end-to-end.
Ostatnio bezpieczniejszy sposób porozumiewania się oferują także szerzej stosowane komunikatory, jak np. Messenger i chociaż odbiorcy prywatności wciąż nie polecają produktów Mety, ze względu na ilość gromadzonych przez firmę danych i zagrożenia dla prywatności, to właśnie w działania prywatność zwiększające uderza Europol.
W 2025 roku nie trzeba już chyba nikomu tłumaczyć, jak istotną rolę pełni szyfrowanie – temat niejednokrotnie przetaczał się przez infosferę (na łamach TECHSPRESSO.CAFE szerzej pisaliśmy o tym przy sprawie kontroli czatu) czy to w kontekście obrony dzieci, czy praw kobiet, aktywistów i dziennikarzy, czy – wreszcie – zagrożenia ze strony Rosji czy Chin.
Technicznie nie da się przecież przechwytywać jedynie „złych wiadomości od złych ludzi” – pozostaje masowa inwigilacja. Żądania Europolu wymagałyby de facto albo całkowitej rezygnacji z szyfrowania, albo zastosowania metody client-side-scanning, albo wymuszenia na dostawcach implementacji państwowych backdoorów. Umożliwiłoby to dostęp do komunikacji osobom do tego nieupoważnionym – nie tylko ciekawskim studentom obeznanym w informatyce, ale też cyberprzestępcom czy szpiegom obcych państw. Dobrze ten problem ilustruje afera Salt Typhoon Hack . Nawet polskie władze – i to jeszcze w czasach podsłuchiwania opozycji Pegasusem – sprzeciwiały się masowej inwigilacji na taką skalę. Przedstawiciele Polski podkreślali w rozmowach z innymi krajami europejskimi znaczenie cyberbezpieczeństwa i bezpiecznych narzędzi do porozumiewania się, powołując się na dyrektywę NIS2.
Czy przestępcy korzystają czasem z szyfrowanej komunikacji? Oczywiście. To ludzie, a w ludzkiej naturze leży dążenie do zamierzonego celu za pomocą dostępnym środków. Przestępcy czy inni ludzie o wątpliwej moralności korzystają także z nieszyfrowanej komunikacji, papieru i długopisu, ubrań czy kosmetyków. Ba! Podobnie jak pani De Bolle spożywają też posiłki i wdychają tlen – co nie tylko ułatwia, ale wręcz umożliwia im dokonywanie przestępstw. Nie postuluje się jednak, by w ramach ułatwienia pracy organom ścigania zdelegalizować sprzedaż żywności – bo byłby to środek niewspółmierny do sytuacji, uderzający w zwykłych ludzi. Z prywatnością jest podobnie.
Niewinni nie mają nic do ukrycia?
Chociaż kiedyś nie było RODO, istniał pewien społeczny konsensus odnośnie prawa do prywatności. Nawet w czasach, w których wielodzietna rodzina gnieździła się w jednej izbie, a gazety bez skrępowania podawały pełne dane uczestników różnych wydarzeń, policja nie podsłuchiwała masowo wszystkich ludzi w ich prywatnych domach w ramach „walki o demokrację”. Nie rozprawiano o tym, czy powinno się spisywać wszelkie rozmowy między żoną i mężem, dziećmi i rodzicami, panią i służącą – by umożliwić policji gromadzenie dowodów potencjalnych zbrodni. To po prostu nie podlegało dyskusji.
Rozwój technologii z jednej strony, a telewizyjne reality-show, internet i social media z drugiej, z czasem przesunęły tę granicę. Zaczęliśmy opowiadać o swoich życiu – najpierw znajomym, a potem obcym ludziom. Tego samego zaczęliśmy oczekiwać od innych. W zeszłym roku usłyszałam zarzut, że zachowuję się jak nastolatka – bo nie chciałam komuś pokazać moich prywatnych zapisków.
Przy okazji przekazujemy nasze dane firmom technologicznym. Gdybym miała opisać wszystkie sytuacje, w których tłumaczę innym, dlaczego nie mam w telefonie facebookowego Messengera – musiałabym napisać książkę. Nieraz zdarza mi się usłyszeć, że „nasze dane i tak nic nie znaczą”, „ktoś chce, niech czyta – przecież nie robię nic nielegalnego”. Sama miałam podobne podejście na pewnym etapie życia, więc tutaj też bez winy nie jestem. W XXI wieku maksyma „jeśli jesteś niewinny, to nie powinieneś mieć nic do ukrycia” nabrała wiatru w żagle.
Ale tylko pozornie w dobie walki o lajki prywatność odeszła do lamusa. Nigdy nie chodziło bowiem o to, by na siłę chować się przed światem – ale by samodzielnie decydować, komu i ile o sobie opowiemy. Nawet osoby publiczne mają swoje życie prywatne, którego starają się – mniej lub bardziej skutecznie – bronić przed okiem obcych.
Nawet korporacyjne platformy internetowe, które z ochroną prywatności nie mają za wiele wspólnego, oferują różnie poziomy widoczności profilu. Fakt, że wolimy porozmawiać o czymś z rodziną przez Messengera lub podzielić się czymś tylko ze znajomymi z pracy, zamiast z resztą świata, nie czyni z nas przestępców. Szyfrowana komunikacja to kolejny poziom bezpieczeństwa. To nie czyny osób stosujących szyfrowanie są problemem – lecz intencje tych, którzy odmawiają ludziom prawa do prywatności.
To dla dobra dzieci. Naprawdę?
„Walka z terroryzmem i krzywdą dzieci” – ten argument dla likwidacji szyfrowania zawsze dobrze się sprzedaje. Łatwo za jej pomocą uciszyć krytyków, ustawiając ich w jednej linii z terrorystami i pedofilami – zwłaszcza w dobie social mediów, w której wyrwane z kontekstu zdanie może stać się viralem i żyć w internecie własnym życiem.
Tymczasem walka z szyfrowaniem nie jest atakiem tylko „na tych złych”, a głównie na zwykłych ludzi. Uderza w dzieci – którym odbiera się prawo do prywatności i budowania bezpiecznej relacji z drugim człowiekiem. Inaczej zachowujemy się działając pod nadzorem – a tutaj nie mamy nawet do czynienia z sytuacją, w której „nadzorcą” byłaby zaufana osoba z rodziny.
Zwykli obywatele korzystają z szyfrowanej komunikacji, ponieważ szanują swoją i rozmówcy prywatność – a nie dlatego, że zrobili coś nielegalnego. Analogicznie włożenie papierowej kartki do koperty nie oznacza z automatu, że wraz z życzeniami wysyłamy marihuanę lub pigułki poronne. Choćby w okresie świątecznym policja oddelegowała wszystkich policjantów od ważnych spraw i kazała im rozrywać wszystkie koperty we wszystkich sortowniach pocztowych, to znajdą tam głównie listy z życzeniami czy przysłowiowe „sianko pod obrus”.
Pomysły Europolu wymierzone są w dziennikarzy, aktywistów oraz polityków różnych opcji – bo w demokracji obecni rządzący mogą stać się opozycją i vice versa. Wraz z naruszeniem prywatności ucierpi tajemnica handlowa, adwokacka czy lekarska. Polska opinia publiczna jest świadoma zagrożeń związanych z technologiczną inwigilacją, odkąd problem wyszedł z niszy za sprawą afery Pegasusa.
Przede wszystkim jednak – informacje otrzymane dzięki inwigilacji dają możliwości nie tylko rodzimym służbom czy politykom, pragnącym za ich pomocą przejąć lub utrzymać władzę czy uderzyć w politycznych przeciwników. Mają też potencjał wywiadowczy, z którego chętnie skorzystają zewnętrzni aktorzy – a to w kontekście obecnej sytuacji geopolitycznej powinno szczególnie martwić. Nawet FBI i CISA zaczęły oficjalnie zachęcać do stosowania szyfrowanych komunikacji – w związku z infiltracją amerykańskich telekomów przez chińskie grupy cyberszpiegów.
Dlaczego służby mają taki problem z prawem do prywatności?
Służby i politycy od dawna próbują rozprawić się z szyfrowaniem. Francuskie organy śledcze korzystanie z Signala uważają za podejrzane. Brytyjskie Ministerstwo Spraw Wewnętrznych zorganizowało specjalną kampanię, aby zachęcić Facebooka do mniejszej dbałości o prywatność użytkowników – jako pretekstu używając „ochrony dzieci”. Sam Europol też nie pierwszy raz uderza w prawo do prywatności. Citizen Lab regularnie donosi o wykorzystywaniu oprogramowania szpiegowskiego w walce politycznej – służby chętnie stosują je do uderzenia w dziennikarzy, polityków, aktywistów czy dyplomatów.
Wbrew sugestiom pani De Bolle, prywatność jest jednym z praw podstawowych – gwarantuje ją Europejska Karta Praw Podstawowych, której Artykuł 7 zapewnia „prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się”. Europejska Konwencja Praw Człowieka w artykule 8 dodaje ponadto, że „ingerencja władzy publicznej” w to prawo, poza określonymi wyjątkami, jest „niedopuszczalna”.
Nie oznacza to w żadnym razie, że w przypadku realnego zagrożenia służby pozostają bezsilne. Już teraz mają do dyspozycji różne środki, które mogą wykorzystać.
Anonimowość, chociaż potrzebna, w opcji dawanej przez Big Techy nie pozwala realnie ukryć tożsamości przed wszystkimi. Do założenia WhatsAppa wciąż jest wymagany numer telefonu, a profil osoby publikującej coś anonimowo na facebookowej grupie, wciąż jest dostępny dla administracji.
W praktyce mamy więc prawo zapytać „anonimowo” o warunki pracy u interesującego nas pracodawcy czy poprosić o polecenie restauracji na kolację – niespodziankę. Jednak administracja grupy wciąż będzie znać naszą tożsamość i w razie konieczności ujawni ją policji. Sama korporacja zrobi podobnie – dzielenie się pigułkami poronnymi czy innymi nielegalnymi substancjami za pośrednictwem facebookowych grup na pewno nie jest dobrym pomysłem. Udostępnione przez Facebooka informacje (rozmowa matki z córką) były już dowodem w sprawie aborcji. Nawet, jeśli ktoś nie poda prawdziwych personaliów – korporacja wciąż gromadzi liczne metadane, a organy ścigania mogą wnieść o ich udostępnienie.
Jest jednak pewne „ale” – do ujawnienia tych informacji konieczne są mocne argumenty i podstawy prawne. Nacisk przypadkowego policjanta, który dostał przykaz z magistratu, by wytropić niezadowolonego mieszkańca, raczej nie wystarczy.
Osoba, która dostanie niepokojącą wiadomość przez WhatsAppa już teraz ma możliwość nie tylko zgłosić ją do CERT-u, ale także iść na komendę. Może pokazać policjantowi swoją szyfrowaną komunikację. Podobnie widząc włamywacza może wezwać policję do swojego mieszkania – bez obawy o to, że skoro zamki w drzwiach są legalne, to policja pozostaje bezradna. W kwestii kultury osobistej policjantów przyjmujących zgłoszenie, ich empatii (lub jej braku), zbywania, czy odsyłania na później (z braku dostatecznej liczby ludzi na posterunku) – żadne zniesienie prywatnej komunikacji nie pomoże. Wręcz przeciwnie.
Jeśli przyjmiemy założenie, że służby – jak nazwa wskazuje – powinny służyć ludziom, to realnymi kłopotami tych instytucji są niedofinansowanie i (ilościowe oraz jakościowe) braki kadrowe, a nie prawo obywateli do prywatności. Patrząc w szerszym kontekście – problemem wciąż pozostają priorytety. Jeśli marnuje się środki, żeby gnębić dziennikarzy, aktywistów czy kobiety popełniające „zbrodnię” chodzenia do ginekologa (vide akcja CBA w gabinecie Marii Kubis), jeśli przy brakach kadrowych głosi się postulat, by pozostałych pracowników przesunąć do szpiegowania prywatnej komunikacji zwykłych ludzi, jeśli kala się dobre imię własnej instytucji sprawiając, że chętnych do pracy brakuje – to siłą rzeczy z prawdziwą przestępczością nie ma ani kim, ani za co walczyć.
Uwagę zwraca jeszcze jedna, ale bardzo istotna kwestia. Na Facebooku czy TikToku nieraz można natknąć się na treści czy to wprost nielegalne, czy takie na granicy prawa. Są rozprzestrzeniane przez algorytmy, publicznie, całej rzeszy użytkowników – mimo to szefowa Europolu skupia się na szyfrowaniu end-to-end. Jakby dla policji podobno demokratycznych państw ważniejsza była chorobliwa obsesja na punkcie podglądania własnych obywateli, niż walka z prawdziwą przestępczością wspieraną przez platformy.
Inne działania platform też budzą wątpliwości. Nieraz w propozycjach znajomości Facebook proponuje mi dzieci. Nie znam ich wcale, albo znam bardzo słabo – ale mam w znajomych ich rodziców. Nie proszę o te rekomendacje, wręcz przeciwnie – czuję się nimi mocno zaniepokojona. Wiem bowiem, że skoro trafiają do mnie – na analogicznej zasadzie są pokazywane innym dorosłym.
Innymi słowy – losowi użytkownicy Facebooka dostają od portalu propozycje zawarcia znajomości z nastoletnimi dziećmi swoich znajomych, nie znając samego dziecka – ale mając czy to sporo informacji o rodzicu, czy o samym dziecku – jeśli rodzic nieopatrznie się nimi podzielił (np. z koleżanką z pracy czy ze szkoleniowcem). Chyba nie muszę pisać, jakie wiąże się z tym ryzyko, jeśli w gronie znajomych rodzica trafi się ktoś o złych zamiarach.
To jednak dla szefowej europejskiej policji nie stanowi najwyraźniej problemu – jakby podejrzenie przestępstwa Europol widział dopiero w tym, że skrzywdzony dzieciak poprosi kogoś zaufanego o pomoc na szyfrowanym komunikatorze.
Zarzuca mi się nieraz, że jestem naiwną idealistką, która na siłę szuka w ludziach dobra. Rzeczywiście – mimo niechęci do pewnych poczynań często zakładam, że ludzie za nimi stojący mają dobre intencje. Nawet, jeśli podejmują działania, z którymi się nie zgadzam – to gdy emocje opadną szukam innego wytłumaczenia niż „są źli, więc robią źle”.
Gdyby za zniesieniem szyfrowania optowała jakaś zupełnie przypadkowa osoba, czy nawet polityk lub policjant w niewielkiej miejscowości, pewnie też założyłabym dobre intencje. Pomyślałabym, że ktoś życzeniowo myśli o technologii i że nie rozumie, jak to wszystko działa. Uznałabym, że ma osobiście jakieś przykre doświadczenia z niewykrytym przestępstwem, albo streamuje całe swoje życie i nie pojmuje, dlaczego dla kogoś innego prywatność może być istotna. Sądziłabym, że ktoś jest zbyt zapracowany i nie ma czasu ani siły, aby dostrzec szerszy kontekst – albo że skupia się na życiu zawodowym i prywatnym, zupełnie nie interesując się polityką czy sytuacją międzynarodową. Może przypisałabym danej osobie podatność na polaryzację w social mediach lub bycie ofiarą kampanii operacji wpływów, ale nie zakładałabym złych zamiarów.
W tym wypadku jednak nie potrafię tego zrobić. Nie mówimy o przepracowanej policjantce z lokalnego posterunku czy polityczce, która głosuje nad niezrozumiałą dla niej ustawą, bo zupełnie nie ogarnia technologii. Mówimy o szefowej Europolu. Wie, czym są prawa człowieka, jak wygląda sytuacja geopolityczna i jak ważna jest ochrona danych. Była jedną z osób, której akta zniknęły z siedziby Europolu wskutek zeszłorocznego wycieku – tym bardziej więc powinna być na te kwestie wrażliwa. Naprawdę trudno mi interpretować jej zachowanie inaczej, niż jako świadome działanie przeciwko europejskiemu bezpieczeństwu i europejskiej demokracji.
Źródła:
Suzi Ring, Laura Dubois, Europol cgief says Big Tech has 'responsibility’ to unlock encrypted messages – Financial Times, ft.com, 20.01.2025
Bill Goodwin, Europol seeks evidence of encryption on crime enforcement as it steps-up pressure on Big Tech – computerweekly.com, 22.01.2025
Mateusz Chrobok, Oszust nasz pan. Jak Facebook chroni scamerów, https://www.youtube.com/watch?v=cVEX2WhamYU
U.S. officials urge Americans to use encrypted apps amid unprecedented cyberattack – nbcnews.com, 3.12.2024
Markus Reuter, Der Messenger Signal als „Kult der Geheimhaltung“ – netzpolitik.org, 13.06.2023
BBC, Encryption: UK data watchdog criticises government campaign – bbc.com, 21.01.2022
Europol, European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out – europol.europa.eu, 8.04.2024
Europejska Karta Praw Podstawowych
Europejska Konwencja Praw Człowieka
strona Citizenlab.ca
Zuzanna Kuffel, 17-latka i jej matka sądzone za aborcję. Facebook udostępnił śledczym ich rozmowę – wysokieobcasy.pl, 10.08.2022
Antoaneta Roussi, Serious security breach hits EU police agency, – politico.eu, 27.03.2024
