Przełom grudnia i stycznia to każdorazowo okazja do podsumowywania mijającego roku w zakresie cyberbezpieczeństwa, ale także do snucia mniej lub bardziej popartych twardymi danymi domniemywań odnośnie nowych zagrożeń. W zasadzie każdy szanujący się branżowy think-tank oraz producent oprogramowania antywirusowego opublikował już swoje podsumowanie. Między wierszami prognoz można odnaleźć co najmniej jeden wspólny mianownik – największym cyberzagrożeniem mogą się okazać konsekwencje naszej własnej paranoi.
Zmiana optyki...
Równie częstym podsumowaniem, jak te dotyczące cyberzpieczeństwa, są zestawienia największych sukcesów i porażek w IT. W drugiej kategorii w zdecydowanej większości publikacji królował skandal związany z naruszeniem prywatności użytkowników Facebooka przez firmę Cambridge Analytica. Zuckerberg stanął przed Kongresem, zaś recepcja jego wystąpienia była na ogół negatywna. W tym momencie zagadnienie prywatności w Internecie i w pewnym sensie cyberbezpieczeństwo stały się tematem masowym, podchwyconym i rozdmuchanym przez masowe media trafiające do setek milionów ludzi. To, co przez lata zajmowało wyłącznie zainteresowanych branżą IT nagle stało się ważnym tematem dla mas.
W ten sposób, krok po kroku, zmienia się optyka. Dekadę temu zapewne nikt nie spodziewałby się, że na jedynkach amerykańskich mediów ogólnokrajowych będą takie tematy, jak rzekoma hakerska ingerencja w amerykańskie wybory prezydenckie, zakaz stosowania antywirusa Kaspersky w administracji, Cambridge Analytica czy oskarżenia o szpiegostwo kierowane po adresem Huawei. Zmieniła się nie tylko optyka mediów, ale także wrażliwość ich odbiorców. Powierzchowną orientację (na tyle, na ile pozwalają na to telewizyjne uproszczenia balansujące na granicy przekłamań) w zakresie prywatności chce mieć dziś każdy, niezależnie od tego, że kwestia prywatności to pociąg, który odjechał lata temu.
...i wybuchy paniki
Większość z nas ma ogólne wyobrażenie o tym, jak wygląda atak masowej paniki: chaos, startowania, ranni, nierzadko ofiary śmiertelne. Istnieje także pojęcie paniki moralnej, czyli stanu napięcia, jakie towarzyszy społeczeństwu w obliczu naruszania wartości fundamentalnych dla tego społeczeństwa. Dla szeroko pojętego świata zachodniego taką wartością na pewno będzie względnie szeroko zakrojona wolność obywatelska i obyczajowa, zaś jej naruszeniem – zewnętrzna ingerencja nieznanego, nawet jeśli tylko rzekoma. Forsowane w mainstreamowych mediach przekonanie, że północnokoreański, chiński czy rosyjski haker wejdzie z butami do wypełnionego elektroniką domu może się wydawać śmieszne, ale w minionym roku koncepcja ta stała się aktualna i prawdopodobna dla milionów ludzi w Stanach Zjednoczonych i Europie.
Niezależnie od tego, czy będzie to atak na termostat czy kradzież wrażliwych danych niemieckich polityków, cyberzagrożenia wykładane w postaci strawnej dla przeciętnego nietechnicznego są powodem do strachu i chęci oddania się pod opiekę instytucjom, które ujarzmią nieznane. To zaś daje ogromne pełnomocnictwa i legitymację do ich stosowania rządom i służbom – zagrożeni chętnie zrzekniemy się swoich przywilejów i praw, przymkniemy oko na inwigilację, machniemy ręką na cenzurę. Wszystko to w zamian za obietnicę bezpieczeństwa. To właśnie dlatego w analizach między innymi CSO/IDG, Symanteca czy MIT jednym z najczęściej wymienianych cyberzagrożeń roku 2019 są ci, którzy deklarują, że będą nas przed zagrożeniami chronić – rządzący.
Zamiast przemocy ziarnko wątpliwości
Nie ma wątpliwości, że w ciągu ostatnich lat akty terroryzmu był wielokrotnie wykorzystywane do uzasadniania i umacniania nadzoru, czego dobitnym przykładem jest program PRISM uruchomiony w rezultacie zamachów z 11 września czy regulacje zwiększające pełnomocnictwa służb po serii zamachów we Francji. Teraz nie są już jednak nawet potrzebne faktyczne, fizyczne zamachy terrorystyczne, lecz oparta na spekulacjach i wzajemnych oskarżeniach atmosfera strachu przed byciem zhakowanym. Równie realna i groźna jak wizja samobójczego zamachu w metrze stała się wizja bankomatów nieczynnych w wyniku hakerskiego ataku wrogiego mocarstwa, co efektownie zarysowała schodząca na pniu powieść „Blackout”. Nie trzeba już pretekstu w postaci przemocy, wystarczy zasiać wątpliwość, subtelnie odebrać poczucie stabilności i bezpieczeństwa.
Przykłady polityki prewencyjnej można mnożyć do woli – w Europie w najlepsze trwają prace nad artykułem 11. i 13. reformy prawa autorskiego, znane lepiej jako podatek od linków oraz – co ważniejsze – filtrowanie platform. To drugie rozwiązanie zakłada proaktywne filtrowanie publikowanych w Sieci materiałów i automatyczne usuwanie ich. Dziś automatyczne moderowanymi na mocy artykułu 13. treściami miałyby być materiały objęte prawami autorskimi. To dziś, a jutro? Nie mniejszy apetyt na występowanie w roli sędziego Internetu niż instytucje mają korporacje – w lutym Google zbawiło nas od najbardziej nachalnych reklam dzięki blokadzie nakładanej w przeglądarce Google Chrome. I znów – dziś reklamy. A jutro?
Niebezpieczny precedens w Australii
Papierkiem lakmusowym może być Australia – kraj-kontynent, który w rezultacie ataków na tle rasowym w Republice Południowej Afryki zmaga się z kryzysem migracyjnym, gdyż to między innymi właśnie do Australii wyruszyli Afrykanerzy i inne uciskane w RPA mniejszości etniczne. Poczucie chaosu, zagrożenia i zwyczajna walka o władzę pchnęły Canberrę do przyjęcia skrajnie niebezpiecznej, bezprecedensowej ustawy PATRIOT Act. I nie należy się tu sugerować odległością geograficzną – do podobnych regulacji przymierza się od lat rząd Francji, a także Republika Federalna Niemiec. Nietrudno nakreślić tutaj związki pomiędzy stanem bezpieczeństwa wewnętrznego a apetytami rządzących na prywatność obywateli.
W praktyce australijskie PATRIOT Act to zbiór regulacji dotyczących komunikacji internetowej – nakłada on między innymi na producentów komunikatorów obowiązek wprowadzenia narzędzi, które umożliwią wgląd do wiadomości. Wgląd oznacza w tym przypadku wgląd do treści wiadomości, a nie do ich zaszyfrowanej postaci czy metadanych. Co ciekawe, ustawa dopuszcza odmowę udostępnienia treści wiadomości bez jakichkolwiek sankcji, nie przewiduje jednak, aby firmy mogły odmówić wprowadzenia wspomnianych narzędzi. Słowem – Australijczycy chcą wymusić na dostawcach oprogramowania stosowanie rządowych backdoorów i porzucenia szyfrowania end-to-end. Konwersacje mają być szyfrowane tak, by służby w razie konieczności mogły uzyskać dostęp do treści.
Whistleblowerom zabrakło tchu
Podobnych historii z miesiąca na miesiąc jest na całym świecie coraz więcej, a apetyty rosną w miarę jedzenia. Niegdyś na straży prywatności stało grono alarmistów, sporo całkiem skutecznych think-tanków rozsianych po całym świecie. Dziś jednak apele Edwarda Snowdena, Juliana Assange’a czy Chelsea Manning są całkowicie niesłyszalne, gdyż tak skutecznie udało się rozpętać tajfun zastraszenia rzekomymi lub faktycznymi cyberzagrożeniami. Wszak na wieść o kolejnych falach ataków azjatyckich hakerów przeciętny użytkownik smartfonu powita ustawy pokroju PATRIOT Act ze szczerym entuzjazmem.