Великобритания планирует потопить мировую кибербезопасность, жёстко нарушив приватность сотен сервисов

Правительство Великобритании планирует обязать компании и исследователей сообщать о новых уязвимостях в системах безопасности и оставлять их неисправленными до проверки и одобрения необходимых правок. Подобная практика уже существует в Китае, но критикуется многочисленными ИБ-специалистами.

Представленные недавно планы по пересмотру Закона о следственных полномочиях 2016 года, регулирующего наблюдение за электронными коммуникациями в Соединённом Королевстве, привлекли внимание экспертов по кибербезопасности и свободе интернета.

Предлагаемые поправки фактически обяжут компании уведомлять правительство перед внесением любых технических изменений в свои системы. Это означает, что любой сервис, планирующий ввести важные функции или исправления безопасности, сначала должен будет проинформировать министерство внутренних дел Великобритании.

А если эта информация вдруг утечёт в открытый доступ, что также случается, безопасность всех пользователей сервиса по всему миру может оказаться под угрозой. Не говоря уже о том, что чем дольше уязвимость остаётся открытой, тем больше у киберпреступников шансов наткнуться на неё и успеть применить в реальных атаках.

По мнению Иоанниса Коувакаса, старшего юридического советника компании Privacy International, данные меры подрывающие сквозное шифрование и другие инструменты безопасности, и вряд ли выдержат тест на необходимость и соразмерность, закреплённый в статье 8 Европейской конвенции о правах человека.

Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab при Университете Торонто, назвал действия Лондона катастрофически краткосрочными: «Любой технический продукт, который останется в Великобритании, будет под подозрением на мировом рынке. Сектор исчезнет. Прощайте, инвестиции в технологии и рабочие места», — заявил Скотт-Рейлтон.

«Вы не сможете быть конкурентоспособны на глобальном уровне, когда для выпуска любых экстренных обновлений, исправляющих активно используемые уязвимости, вам нужно будет одобрение британского бюрократа», — добавил эксперт.

Тем не менее, подобную практику уже использует Китай — все обнаруженные китайскими исследователями уязвимости немедленно докладываются правительству. Теперь Великобритания, похоже, намерена последовать этому примеру.

Таким образом, планы Великобритании по введению обязательного уведомления о новых уязвимостях в системах кибербезопасности вызывают обоснованные опасения у экспертов, подрывают доверие пользователей и инвесторов, а также создают реальные риски для кибербезопасности в глобальном масштабе.

Вместо того, чтобы следовать весьма неоднозначному примеру Китая, правительствам развитых стран, возможно, следует налаживать тесный и обязательно конструктивный диалог с сообществом технических специалистов и внедрять только те решения, которые пойдут на благо всех пользователей конкретно взятого продукта.