Британское правительство метит в яблочко кибербезопасности
The Washington Post сообщила 7 февраля, что британское правительство потребовало от Apple предоставить ключи к зашифрованным пользовательским данным. Издание ссылается на анонимные источники, официального подтверждения этой информации нет. Это не только может стать опасным прецедентом в регулировании бигтехов, но и сильно ударит по безопасности пользовательских данных в целом. Защита, которую предлагает Apple для iCloud, считается более надежной, чем у Google (которая шифрует данные уже много лет) и прочих поставщиков, так как она подразумевает шифрование данных при передаче не только с диска на устройство, но и на самом диске. По сути, сейчас даже Apple не имеет доступа к пользовательским данным (эта функция отключена по умолчанию, пользователь может включить ее, но компания предупреждает о невозможности восстановления данных в случае утраты пароля). Обычно сквозное шифрование применяется к сообщениям и данным пользователей в различных мессенджерах — тогда видеть их могут только собеседники одного чата.
Новые формулировки Закона о полномочиях по проведению расследований 2016 г. добавляют легальности требованиям британских властей. Поправки были приняты в октябре 2024 г. Как следует из части 9, гл. 1, секции 253, п. 5 этого закона, компании, предоставляющие информационные услуги («операторы») обязуются снимать «электронную защиту, которая применяется к любым сообщениям или данным» по запросу правительства.
Позиции Apple выглядят шаткими. Предоставление ключа дешифрования может дать властям неограниченный доступ к данным пользователей Apple по всему миру. Также это создает значительные риски для информационной безопасности, поскольку злоумышленники, взломав ресурсы государственных структур и получив доступ к ключу, смогут свободно воспользоваться данными пользователей. Риск не слишком высокий, но исключать этого нельзя.
The Washington Post допускает, что в ответ на эти требования Apple перестанет предоставлять услуги хранения зашифрованных данных в Великобритании, хотя это может не устроить британские органы власти.
В декабре 2022 г. Apple представила технологию расширенной защиты данных (Advanced Data Protection, ADP) для iCloud. Это необязательная функция на устройствах производителя, которая предоставляет сквозное шифрование данных в облаке. Это значит, что только устройства, принадлежащие одному владельцу, способны корректно считывать его файлы в iCloud. ADP распространяется на такие виды файлов, как фотографии, заметки, резервные копии iCloud и пр. Особенность технологии заключается в том, что ключи дешифрования автоматически удаляются с серверов Apple, то есть даже у компании нет доступа к пользовательским данным.
Apple, скорее всего, будет сопротивляться требованиям Великобритании, опираясь на свою долгосрочную позицию о защите приватности пользователей, считает директор департамента расследований T.Hunter, эксперт рынка НТИ SafeNet (Сейфнет) Игорь Бедеров. В противном случае компания может создать в публичном поле опасный прецедент, и тогда аналогичные возможности захотят и представители иных стран, рассуждает он. Более того, даже разговор о передаче властям ключей будет являться значимым репутационным риском.
Ранее также появилась информация, что в России ужесточили наказание за утечку персональных данных.
Читать статью в полной версии «Эксперт»
