Амбициозният проект на ЕС за онлайн възрастова проверка се сблъска с критики още преди старта

Представянето на мобилното приложение на Европейския съюз за онлайн проверка на възрастта бързо предизвика критики, след като експерти по киберсигурност откриха сериозни пропуски в защитата на личните данни и сигурността на кода.

Председателят на Европейската комисия Урсула фон дер Лайен представи инструмента в Брюксел, като заяви, че той е „технически готов“ и скоро ще бъде пуснат, докато държавите подготвят мерки за ограничаване на достъпа на деца до социалните мрежи.

„Той е изцяло с отворен код. Всеки може да провери кода“, каза Фон дер Лайен.

Специалисти по киберсигурност и защита на личните данни веднага започнаха да преглеждат изходния код в платформата GitHub и сигнализираха за редица проблеми в архитектурата на приложението.

Случаят се очертава като комуникационен провал за Брюксел. Зад спора около кода обаче стоят и по-дълбоки разногласия между защитници на личната неприкосновеност, организации за правата на децата, технологични компании и политици за това как непълнолетните да бъдат предпазени онлайн, докато лидерите обещават да ги защитят от социалните мрежи и порносайтовете.

Само часове след публикуването на приложението консултантът по сигурността Пол Мур установи, че то съхранява чувствителни данни на телефона на потребителя, без те да бъдат защитени, написа той в широко разпространен пост в социалната мрежа X. По думите му приложението е било пробито за по-малко от две минути.

Френският етичен хакер Баптист Робер потвърди голяма част от констатациите и каза пред Politico, че е възможно да бъдат заобиколени функциите за биометрично удостоверяване. Това означава, че човек би могъл да отвори приложението, без да въвежда ПИН код или да използва Touch ID.

„Да кажем, че съм изтеглил приложението и съм доказал, че съм над 18 години. След това племенникът ми може да вземе телефона ми, да отвори приложението и да го използва, за да докаже, че и той е над 18“, обясни Оливие Блази, изследовател в областта на криптографията и член на френска работна група по дигитална идентичност.

В петък Европейската комисия потвърди позицията си, че приложението е технически готово. „Да, готово е. Може би можем да добавим: и винаги може да бъде подобрявано“, каза пред журналисти главният говорител Паула Пиньо. Говорителят по цифровите въпроси Томас Рение уточни: „Когато казваме, че това е финална версия, тя все пак е демо версия.“ Той допълни, че крайният продукт все още не е достъпен за гражданите и че „кодът ще бъде постоянно актуализиран и подобряван... днес не мога нито да изключа, нито да предреша дали ще са нужни допълнителни промени“.

В изявление до Politico Европейската комисия посочи, че хакерите са анализирали по-ранна „демо версия“ на приложението, публикувана за „тестови и развойни цели“. По думите на институцията уязвимостта вече е била отстранена.

И Мур, и Блази обаче заявиха, че са провеждали тестовете си върху най-новата публикувана версия на кода. „Добре е, че приложението е с отворен код и експертите могат да го проверяват. Проблемът е, че публикуваният код не отговаря на стандартите за киберсигурност, които бихме очаквали за толкова важен инструмент“, каза Блази.

„Опасявахме се, че Комисията ще пусне приложението прибързано, независимо от проблемите със сигурността, а сега виждаме, че иска да стартира нещо, което технически още не е готово“, добави той. „Такова прибързано пускане може да подкопае доверието в бъдещите цифрови портфейли за идентичност.“

Белгийският етичен хакер Инти Де Сьокелер заяви, че при проекти с отворен код като този би било разумно още преди пускането да бъдат публикувани и оценките за сигурността, за да може всеки да прецени ползите и рисковете.

Онлайн спорът около приложението на ЕС показа колко дълбоко е разделението по въпроса как да се регулира достъпът на интернет потребителите до съдържание - от порносайтове до социални мрежи.

Европейският съюз и много от държавите членки в момента разработват механизми за онлайн проверка на възрастта, движени от политическото желание за по-добра защита на децата в интернет.

Френският президент Еманюел Макрон събра по темата държавни и правителствени ръководители от цяла Европа на видеоконференция в четвъртък вечерта. В нея участваха фон дер Лайен, италианският премиер Джорджа Мелони, испанският премиер Педро Санчес, германският канцлер Фридрих Мерц и други лидери.

През декември Австралия стана първата държава в света, която въведе ограничения за използването на социални мрежи от деца, като на практика забрани на лица под 16 години да използват популярни платформи като TikTok и YouTube.

През 2024 г. Европейската комисия обяви обществена поръчка на стойност 4 милиона евро за приложението за проверка на възрастта. Тя беше спечелена от шведската компания за дигитална идентичност Scytáles и Deutsche Telekom.

Приложението позволява на потребителите да удостоверят възрастта си чрез паспорт, лична карта или чрез доверени доставчици като банка. Технологичните платформи могат да отправят запитване дали даден човек е над определена възраст, без да получават достъп до други лични данни. Това става чрез т.нар. метод на „доказателство с нулево знание“, чиято цел е да запази неприкосновеността на личната информация. Националните правителства също могат да разработват собствени приложения, като е предвидено те да работят съвместно, за да осигурят безпрепятствена проверка на възрастта в целия ЕС.

Критиците на подобни възрастови ограничения обаче смятат, че технологията все още не е готова да гарантира едновременно надеждна проверка и защита на личните данни. Дори и да стане готова, според тях потребителите лесно ще я заобикалят чрез виртуални частни мрежи, които прикриват местоположението им.

Блази е сред над 400 експерти по поверителност и сигурност, които през март изпратиха открито писмо до Комисията с призив да бъде наложен „мораториум върху плановете за внедряване, докато научната общност не стигне до консенсус за ползите и вредите, които технологиите за удостоверяване на възрастта могат да донесат, както и за техническата осъществимост на подобно внедряване“.

Според Маркета Грегорова, евродепутат от Чешката пиратска партия и водещ докладчик по нов законопроект за киберсигурността, „този процес се форсира под политически натиск“. По думите ѝ Европа трябва много по-внимателно да анализира приложението, „за да оцени дали са взети всички мерки за киберсигурност и защита на личните данни“.

Германската евродепутатка от лявоцентристкия спектър Биргит Зипел нарече приложението „недоизпечено решение, което не отговаря на собствените стандарти на ЕС“.

Полският евродепутат Пьотр Мюлер от групата на Европейските консерватори и реформисти заяви: „Брюксел отново настоява за централизиран технологичен инструмент за целия ЕС. Обявеното набързо приложение за проверка на възрастта крие огромен риск за неприкосновеността на гражданите... Не можем да се съгласим с постепенното създаване на интернет в европейски вариант на китайския модел.“

/БГНЕС/