Avrupa Birliği, interneti iyi ya da kötü yönde düzenleme konusundaki kararlılığıyla ünlüdür. GDPR, dünya çapındaki ülkeler tarafından şu şekilde tekrarlandı: the vatandaşların dijital gizliliğini korumaya yönelik plan. 25 Ağustos’tan itibaren Dijital Pazar Yasası ve Dijital Hizmet Yasası, dijital hizmetlere yönelik yeni yükümlülükler getirdi. Aynı zamanda Sohbet Kontrolü teklifi, çevrimiçi güvenlik adına şifrelemeye yönelik saldırısı nedeniyle birçok eleştiri topluyor.
Oldukça tartışılan bu mevzuatlar arasında bir teklif gözden kaçmış olabilir: AB’nin dijital kimlik yasasının (eIDAS) revizyonu. Ekim 2020’de başlayan ve yasa koyucuların ülke üyeleri arasında web güvenliğini “düzeltmeye” çalıştığı şu anda üçlü diyalog müzakereleri devam eden bir süreç. Ancak uzmanlar bunun yerine daha fazla gözetim, sansür ve sahte güvenlik gibi istenmeyen sonuçlara karşı uyarıyor.
Güvenli tarayıcı sağlayıcısı Mozilla yakın tarihli bir yazısında “Avrupa Komisyonu güvenlik teknolojisini yanlış yola yönlendiriyor… web için güvensiz bir gelecek yaratma riskini taşıyan bir hareket” diye yazdı. rapor: İstenmeyen sonuçların kanunu. Peki, önerilen revizyon neyi değiştirmeye çalışıyor ve AB’deki kullanıcılar için tehlikede olan ne?
Madde 45.2 ve web sitesi asma kilitleri
Büyük ihtimalle tarayıcının arama çubuğundaki web sitesi URL’sinin sol tarafında küçük asma kilidi görmüşsünüzdür. Bu, söz konusu siteye erişimin bir HTTPS bağlantısıyla güvence altına alındığını, yani tarayıcı ile hizmeti sağlayan sunucu arasındaki bağlantının şifrelendiğini gösterir. Günümüzde bağlantıların %90’ı HTTPS’dir.
Güvenlik asma kilidi ise yalnızca 2019’da tanıtılan bir şey. Bundan önce URL çubuğu, genişletilmiş doğrulama (EV) sertifikaları olarak bilinen sertifikaları gösteriyordu. Buradaki sorun, fiili olarak herkesin bu sertifikaları verebilmesi ve kullanıcıları bir web sitesinin güvenli olmadığı halde güvenli olduğunu düşünmeleri için kandırabilmesiydi. Asma kilidin gerçek yerine güvenli bir site anlamına geldiğini düşünen habersizleri cezalandırmaya devam eden bir sorun: bağlantı.
Tarayıcılar bunları görüntülemeyi tamamen bıraktı ve bağlantıyı güvenli olarak etiketleyip etiketleyemeyeceklerine kendileri karar vermek yerine kök depo programlarını çalıştırmaya başladı. Sertifika yetkilileri dışında herkes mutluydu; satmak bu sertifikalar.
Şimdi, AB milletvekilleri EV sertifikalarını geri getirmek için 45. Maddede revizyon yapılması için baskı yapıyor. Yeni yasa, daha sonra, AB’nin kendi sertifika yetkilileri listesini (burada güven hizmeti sağlayıcısı olarak adlandırılmaktadır) tutmasını zorunlu kılarken, kimlik bilgilerinin tarayıcıda görüntülenmesi yükümlülüğünü de getirecektir.
Mozilla’nın Küresel Ürün Politikası Başkanı Udbhav Tiwari TechRadar’a şunları söyledi: “Yapmak istedikleri şey aslında paralel bir altyapı oluşturmak; burada yalnızca tarayıcıların karar vermesi yerine AB hükümetleri kimin sertifika verip veremeyeceğine ve ne tür sertifikalar verilmesi gerektiğine karar veriyor. görüntüleniyor.”
Bu hamle, interneti daha güvenli hale getirmenin bir yolu olarak geliyor. Ancak küresel uzmanlar ve sivil toplumlar, bunun “taban veya temel yerine web sitesi sertifikaları üzerinde bir tavan oluşturarak” tam tersi bir sonuca yol açabileceği konusunda uyarıyorlar, dedi Tiwary ve hükümetlere yeni kapsamlı yetkiler verdi. “Bu, karşı çıktığımız en büyük şey” diye ekledi.
Mozilla’nın raporunda detaylandırdığı gibi, böyle bir hüküm AB hükümetlerinin diğer şeylerin yanı sıra kitlesel gözetim ve sansür kampanyalarını kolaylıkla yürütmesine olanak tanıyacak. Ayrıca şifrelemeyi zayıflatarak ve kullanıcılar arasında sahte bir güvenlik duygusu yaratarak web güvenliğini zayıflatacaktır.
🛡️Rusya’da Sberbank ile yaşananlar AB’nin eIDAS düzenlemesi için uyarı niteliği taşıyor. eIDAS, tarayıcı güvenlik kontrollerini atlayarak devlete ait CA’ların gözetim yürütmesine olanak sağlayabilir. #güvenlikriskahead #bayramlar28 Nisan 2023
Mozilla AB Kamu Politikası Başkanı Tasos Stampelos, TechRadar’a verdiği demeçte, en endişe verici olanı, bunun “tehlikeli bir küresel emsal” oluşturacağını söyledi. Şöyle dedi: “Diğer ülkeler Avrupa’yı görecek ve daha sonra bunu herhangi bir kötü niyetli amaç için kullanabilirler.”
Madde 45.2 de güvenlik tehditlerinin dinamik doğasını hesaba katmıyor gibi görünüyor. İnternet Derneği Güçlü İnternet’ten sorumlu Kıdemli Başkan Yardımcısı Joseph Lorenzo Hall’un açıkladığı gibi, web tarayıcı sağlayıcıları “kelepçelenecek” ve “internet kullanıcılarını korumak için normalde çok hızlı bir şekilde yapacağımız şeyleri” yapmaları engellenecek.
Bu yüzden #SecurityRiskAhead kampanyası AB milletvekillerini, sağlayıcılara sorunlara tepki verme özgürlüğü vermek amacıyla tarayıcıların kök depolarına yönelik bir siber güvenlik muafiyeti üzerinde anlaşmaya çağırıyor. Tiwari, “Siber saldırılar birkaç saat içinde gerçekleşiyor ve bir günden daha kısa sürebiliyor” dedi. “Çok hızlı hareket etme yeteneğine sahip olmamız gerekiyor.”
Kimlik Cüzdanı
Ancak eIDAS revizyonlarıyla ilgili sorunlar burada bitmiyor. Bir başka tartışmalı konu da 6. Maddede listelenen AB Kimlik Cüzdanı düzenlemeleriyle ilgili. Stampelos, “Bu politika yapıcılar arasında çok fazla sürtüşme yaratıyor” diye doğruladı.
Teklif, Avrupa vatandaşlarının ve işletmelerinin kimlik verilerini daha rahat ve güvenli bir şekilde paylaşmalarına olanak sağlamayı vaat ediyor. Ancak bu plan bazı gizlilik endişelerini de beraberinde getiriyor.
Tiwari, ayrı kimlik referansları yerine tek bir kimlik numarasına sahip olmanın daha uygun olabileceğini ancak bunun aynı zamanda “hükümetlerin vatandaşları daha etkili bir şekilde gözetlemesine olanak sağladığını” açıkladı.
#eIDAS üçlü müzakerelerinin gidişatı konusunda son derece endişeliyim. @EU_Komisyonunun ve @eu2023es Başkanlığının önerdiği metinde temel gizlilik ilkelerine yönelik büyük bir saldırı görüyoruz. AB Kimlik Cüzdanı, kullanımı güvenli olmayan bir gizlilik kabusuna dönüşme tehlikesiyle karşı karşıya!!!3 Eylül 2023
Yerel otoritelerin benzersiz tanımlayıcı numaralara yaklaşımları ülkeler arasında önemli ölçüde değiştiğinden, AB üyesi ülkeler arasında fikir birliği sorunları da ortaya çıkıyor.
Örneğin Almanya’da, tüm hükümet organlarında bir kişiyi tanımlayan tek bir numaranın bulunması şu anda anayasaya aykırıdır. Macaristan gibi nüfus üzerinde daha güçlü kontrol sağlamasıyla nam salmış diğer ülkeler ise vatandaşların takibini daha da kolaylaştırabileceği için öneriyi memnuniyetle karşılıyor.
Tiwari şunları söyledi: “Bu oldukça devam eden bir konuşma.
Sıradaki ne?
Daha önce de belirtildiği gibi, eIDAS revizyonları şu anda Avrupa Parlamentosu, Avrupa Birliği Konseyi ve Avrupa Komisyonu temsilcileri arasında üçlü görüşmeler halindedir. Bu sürecin amacı, 29 Haziran’da kısmen varılan ancak henüz uzmanların taleplerini tam olarak karşılamayan geçici bir anlaşmaya varmaktır.
Stampelos bize, “En büyük endişelerden biri, Haziran ayında üzerinde mutabakata varılan ilkelerin teknik metne tam olarak yansıtılmamasıdır” dedi. “Eğer ifadeler doğru değilse siber güvenlik muafiyeti konusunda ne başardıysak bunların boşa çıkacağını düşünüyoruz.”
Uzmanlar artık belirsizlikleri ortadan kaldırmak ve tarayıcıların siber güvenlik muafiyetlerini tam olarak uygulayabilmelerini sağlamak için en son metinde (özellikle Beyan 32 ve Madde 45, paragraf 2’de) bazı küçük ama önemli değişiklikler yapılması için baskı yapıyor.
Şu anda kesin olan şu ki, üç yıldır süren bir projenin tamamlanması için güçlü bir siyasi baskı var. Şu ana kadar AB Komisyonu en azından kısmen uzmanların endişelerini dinliyor gibi görünüyor. Ancak devam eden müzakerelerin gizli niteliği yine de tehlikeli bir yasanın ortaya çıkmasına neden olabilir.
Bu noktada Stampelos, şunları söyledi: “Burada iki taraf da var. Biz ‘Zayıftır, bizim için güçlendirin’ diyoruz, onlar da ‘Zayıftır, bizim için güçlendirin’ diyorlar. Sonunda hangi tarafın kazanacağını kimse bilemez.”