”Chatkontrol” skal redde børn – hvorfor bekymrer det ekspert i cybersikkerhed?
Over 600 forskere advarer mod forslag om at scanne private beskeder for ulovlige billeder. Justitsministeren Peter Hummelgaard (S) afviser kritikken som »forplumring af debatten«.
Forleden skrev en lytter af Jyllands-Postens nyhedspodcast ”Hvis du vil vide mere” til redaktionen, at han var »nærmest direkte skræmt« over en sag, som han mener flyver under radaren hos store dele af befolkningen.
»… at mit privatliv skal scannes og vurderes af andre væsener med øjne – efter en tam algoritme har vurderet et billede eller en tekst … Det burde løbe koldt ned ad ryggen på alle, der bare ved en brøkdel af, hvad jeg ved,« skrev lytteren Thomas Warburg.
Han er ikke den eneste, der ytrer bekymring over den såkaldte CSA-forordning – eller på engelsk: Child Sexual Abuse Regulation – som justitsminister Peter Hummelgaard (S) arbejder for at få vedtaget i EU næste måned.
Ved at tvinge techvirksomheder til at åbne en digital bagdør til europæeres korrespondancer på krypterede tjenester får myndighederne adgang til billeder, der sendes privat på platforme som WhatsApp eller Messenger, og derved opspore kriminelle, der deler materiale med seksuelle overgreb mod børn.
Kritikere af forslaget tæller blandt andet mere end 600 europæiske it-forskere og kryptografer, der bruger en mere mundret betegnelse til at beskrive CSA-forordningen: chatkontrol.
Men hvad kan problemerne være ved at give øget adgang til krypterede tjenester, så myndighederne slipper for juridiske slagsmål i retssale, når de ønsker indsigt, der kan bekæmpe kriminalitet?
»Det er et meget omfattende indgreb i privatlivet, man lægger op til,« siger Jens Myrup Pedersen, professor i cybersikkerhed, og beklager, at han ikke umiddelbart er i stand til at berolige bekymrede borgere:
»Hvis ikke alle beskeder, der bliver sendt i EU, skal scannes, så ser det ud til, at det i hvert fald kommer til at dreje sig om alle billeder, der bliver sendt via kommunikationstjenester som WhatsApp, iMessage, Signal, Messenger osv.«
Digitalt fingeraftryk
CSA-forordningen har været undervejs i et par år, men den vedvarende kritik har medført, at det danske EU-formandskab med justitsminister Peter Hummelgaard (S) i front nu fremlægger et revideret forslag.
I det nye forslag skal der i udgangspunktet kun scannes efter kendt overgrebsmateriale – altså billeder, videoer eller links, som allerede har et digitalt fingeraftryk i politiets databaser, og kun hvis en platform allerede har været brugt til at dele overgrebsmateriale, kan EU kræve, at der også scannes efter ukendt materiale.
Det er dog ikke ensbetydende med, at det kun er særlige krypterede tjenester, som kræver en doktorgrad i dark web at tilgå, der vil kunne ende i EU’s søgelys. For størstedelen af de beskedplatforme, som vi bruger i hverdagen, er sandsynligvis på et tidspunkt blevet brugt til at dele overgrebsmateriale, mener Jens Myrup Pedersen.
Hvordan screeningen helt konkret skal foregå, er stadig uklart.
Ifølge Jens Myrup Pedersen lægges der op til at lave en funktion i telefonen, der vurderer, om et billede, der deles på f.eks. WhatsApp, er et billede, der tidligere er set i kriminelle sammenhænge, eller om det findes i en central database, hvorefter det så vil blive sendt til kontrol i et nyt EU-center, der skal bygges til formålet.
»Men som jeg læser det, er det ikke kun kendt materiale, man scanner for, men også nyt materiale. Det fremgår ikke klart, hvilken teknologi der skal bruges til at detektere billederne, men jeg forestiller mig, at det formentlig er kunstig intelligens,« siger Jens Myrup Pedersen.
Trods det noble formål frygter han »falske positive«, og at mulighederne for hackermisbrug vil vokse.
En screeningsfunktion i f.eks. WhatsApp eller Signal kræver nemlig, at en ny kode introduceres i appen, forklarer Jens Myrup Pedersen, og den kode skal tilgå alle billeder, før de bliver delt, og kommunikere med de centrale databaser. Her skal det vurderes, om der er tale om uskyldige billeder mellem to unge kærester, og det skaber flere sårbare flader, påpeger han.
Den form for digitale bagdøre har tidligere givet bagslag.
For eksempel lykkedes det en kinesisk hackergruppe at trænge ind i det amerikanske telekommunikationsnetværk og få adgang til opkaldsdata, ukrypterede sms-beskeder og i nogle tilfælde også lydoptagelser fra telefonopkald fra potentielt tusindvis af amerikanere.
»Det tilføjer en kompleksitet til appen, der gør det lettere at hacke den og sværere at sikre, at ting ikke kan blive hacket – hvilket jeg tænker er baggrunden for, at man vil fritage brugere med konti, der relaterer sig til national sikkerhed,« siger Jens Myrup Pedersen.
Hvem der præcist skal undtages fra CSA-forordningen, er også svært at gennemskue, men hvis f.eks. statsministeren og nogle ministre undtages, ser Jens Myrup Pedersen det som en anerkendelse af den sårbarhed, som ”chatkontrollen” vil udsætte systemerne for.
Hensigten helliger
Det har ikke været muligt for Jyllands-Posten at få et interview med justitsminister Peter Hummelgaard, men han beskylder i et debatindlæg i Altinget kritikerne for at »forplumre og polarisere debatten og fjerne fokus fra det egentlige formål«. Til dr.dk udtalte han den 12. september:
»Vores retshåndhævelsesmyndigheder, det vil sige politiet og øvrige myndigheder, skal have nogle legale veje til at komme i besiddelse af den kommunikation, hvis den kan være med til enten at opklare eller forhindre kriminalitet.«
Spørger man Jens Myrup Pedersen, hvilke andre lande der har lignende ønsker om mere chatkontrol, peger han mod øst.
I Rusland reklameres i øjeblikket kraftigt for en ny national chat-tjeneste kaldet Max, der skal udkonkurrere udenlandske beskedtjenester som WhatsApp.
»Beskedtjenester bliver brugt til kriminalitet, siger de russiske myndigheder og argumenterer med, at de ønsker øget beskyttelse af brugerne mod svindlere. Man skal registrere sig med et russisk eller hviderussisk nummer, og når konti bliver knyttet til personer, bliver anonym kommunikation reelt umulig,« siger Jens Myrup Pedersen og peger på, at det kan få konsekvenser for journalister, menneskerettighedsforkæmpere, voldsramte kvinder og andre, der kan have et legitimt behov for at kommunikere anonymt.
Han har sammen med over 600 forskere skrevet under på et åbent brev stilet til Europa-Parlamentet, der peger på, at massescanning af fotos er teknisk urealistisk og vil svække borgernes sikkerhed – uden at give en bedre beskyttelse mod misbrug af børn:
»Vi beklager også, at beslutningstagere ikke har formået at skabe en åben dialog med eksperter om dette emne de seneste to år. På trods af alvorlig tvivl om detektionsteknologiernes effektivitet har der ikke været nogen offentlig debat, analyse eller vurdering af disse teknologier, som kunne retfærdiggøre den tilgang, der er valgt i det foreslåede regulativ,« står der i brevet.
Justitsminister Peter Hummelgaard skriver i et svar til dr.dk, bragt den 22. september, at han savner svar fra kritikerne på, hvad der skal træde i stedet for det kompromisforslag, der ligger.
En løsning kunne være at tildele politiet flere ressourcer til at efterforske digital kriminalitet, foreslår Jens Myrup Pedersen:
»Man ved, det virker, og det kan man gøre i morgen uden at skulle igangsætte tekniske løsninger, som er svære at bygge, og som rammer vores privatliv.«
Præcisering:
I en tidligere udgave stod, at CSA-forordningen skal tvinge tech-virksomheder til at åbne en digital bagdør til europæeres korrespondancer på krypterede tjenester, så myndighederne kan få adgang til at scanne billeder, der sendes privat på platforme som WhatsApp eller Messenger. Justitsministeriet har efterfølgende henvendt sig for at få præciseret, at det er tech-virksomhederne, der skal scanne og sende videre tll myndighederne.