Lektorer: Forslaget om chatkontrol risikerer at udsætte borgere for statslig overvågning

Eksperterne vurderer CSAR som uacceptabelt af følgende grunde: det virker ikke, det er farligt, og det er en glidebane mod et autoritært overvågningssamfund, hvor man meget nemt kan begynde at scanne efter andet som regeringer eller præsidenter pludselig definerer som "farligt indhold".

Alt billedmateriale kan potentielt scannes

Som forskere og undervisere i sikker digital kommunikation (cybersikkerhed), ønsker vi at gøre opmærksom på de alvorlige problemer i forslaget, idet den danske regering arbejder for at få forslaget hastet igennem under dansk formandskab.

Selvom udnyttelse af børn skal bekæmpes, så er det vigtigt at metoden er proportional med problemet. Det mener vi ikke det er, når man skrider til massiv realtidsovervågning af almindelige borgeres kommunikation, uden at der foreligger nogen mistanke eller sigtelse.

Det er indiskutabelt, at seksuelt misbrug og udnyttelse af børn er afskyelige forbrydelser, der rammer de mest sårbare blandt os.

Regeringer, onlinetjenester og samfundet som helhed har et fælles ansvar for at bekæmpe dette.

I denne kontekst er CSAR blevet foreslået som et europæisk initiativ. Hovedpunktet i alle versioner af forslaget er såkaldt "client-side scanning" af indhold.

I det nuværende forslag betyder det, at alt visuelt indhold (eksempelvis billeder og videoer) i beskeder potentielt kan scannes for CSAM på hver brugerenhed — før beskederne sendes.

Og vigtigst af alt: scanningen vil ske for alle afsendere på en platform, der har fået et påbud om at scanne indholdet af det billedmateriale, der sendes; eneste undtagelser er kommunikation fra politikere og sikkerhedstjenester. 

Metoden er ineffektiv

Det fører til en vidtgående masseovervågning af alle beboere i EU. De forskellige versioner af forslaget har varieret lidt i omfanget af scanning, hvilke tjenester der rammes og om brugerne kan fravælge det.

For eksempel begrænser den seneste udgave af CSAR scanningen til "visual content", som skal forstås som "billeder og de visuelle komponenter i videoer, herunder diagrammer, infografik, logoer, animationer, ikonografi, gif'er, klistermærker eller de visuelle komponenter i livestreaming og url'er". 

Der findes ingen screeningsteknologi, der kan håndtere opgaven.

Diego F. Aranha & Carsten Baum

Uanset hvilket syn man har på overvågning, så vil ingen af de nuværende eller tidligere forslag løse den grundlæggende udfordring: client-side scanning er simpelthen ineffektiv.

Der findes ingen screeningsteknologi, der kan håndtere opgaven, og ingen teknologi, vi kender til, vil kunne gøre dette med den nødvendige præcision i overskuelig fremtid. Alle former for scanningsteknologi begår fejlskøn og vil dagligt udpege millioner af samtaler som mistænkelige (falsk positive), hvilket kræver at myndighederne skal kontrollere dem nærmere.

En meget stor del af disse kontroller vil vise sig ikke at omhandle CSAM, og det fører til et enormt ressourcespild, ligesom almindelige borgere i mange tilfælde vil føle sig under mistanke uden grund.

Derudover er det nemt for kriminelle at omgå teknologien – enten ved at manipulere indholdet af beskederne eller ved at skifte til andre uregulerede chat-tjenester. Forbrydere benytter typisk ikke WhatsApp, men tjenester på det mørke internet (Dark Web). 

Enhver bagdør kan blive misbrugt

Nogle af forslagsstillerne er godt klar over, at der ikke for nærværende er en realistisk scanningsteknologi og har derfor udskudt valget af den præcise metode til en senere certificeringsproces.

Men at definere en certificeringsproces får ikke ny og endnu ikke eksisterende teknologi til på magisk vis at opstå. Selvom forslaget i øjeblikket begrænser scanningen til visuelle medier, kræver det kun en softwareopdatering at udvide til tekst eller lyd – og kompromisteksten nævner allerede denne mulighed gennem en "review"-klausul. 

Almindelige borgere vil i mange tilfælde føle sig under mistanke uden grund.  

Diego F. Aranha & Carsten Baum

Client-side scanning er ikke bare ineffektiv – det er også farligt. Forestil dig, at regeringen besluttede at opsætte kameraer i hvert eneste rum i dit hjem, i din bil, på din arbejdsplads, og andre (private) steder, under løftet om kun at rapportere dig til politiet, hvis du gør noget alvorligt ulovligt.

Ingen ville betragte den slags tiltag som proportionelle svar på kriminalitet. Chatkontrol er den digitale pendant, men værre — da det rent faktisk vil gøre alle EU-borgere mindre sikre: Enhver bagdør i vores kommunikationssystemer kan og vil blive misbrugt af fremmede magter til at overvåge EU-borgere, virksomheder og myndigheder.

Det vil gøre os alle mindre trygge og velstående. Fortalerne for CSAR ved dette og har undtaget systemer, der bruges af politikere og folk i forsvaret, fra scanning. Men enhver sikkerhedsekspert ved, at den undtagelse er for snæver og kræver, at mange flere personer, enheder og virksomheder bliver fritaget — og det vil føre til et komplekst og bureaukratisk system.

Vi mener, at regeringen i stedet for at spionere på egne borgere skulle bruge ressourcerne på at beskytte Danmarks og EU's borgere mod udefrakommende cyberangreb og -spionage. 

Vi skal ikke have orwelsk overvågning

Vores kritik har indtil nu antaget, at ethvert stykke software, som CSAR stiller krav om, vil forblive under samfundets demokratiske kontrol. Men overvågningsteknologi bliver rutinemæssigt misbrugt af myndigheder, når først det er indført.

Spionsoftwaren kan rettes mod alle former for indhold, der opfattes som farligt: terrorisme, desinformation, illegal indvandring, narkotika, organiseret kriminalitet — blot for at nævne nogle eksempler. 

Det vil gøre os alle mindre trygge og velstående.

Diego F. Aranha & Carsten Baum

Den etablerede infrastruktur til overvågning kan ligeledes udnyttes af en ny demokratisk valgt regering, der afløser en nuværende fornuftig regering. Med risikoen for autoritære tilbøjeligheder i nogle EU-lande, vil Chatkontrol potentiel blive misbrugt mod politiske modstandere, dissidenter, journalister og enhver anden borger, hvis arbejde eller adfærd anses som uønsket af regeringer, der ikke vægter demokratiske principper højt.

Det er ikke nyt: overvågningsinfrastrukturen skabt under Obama bruges nu af Trump-administrationen, og biometriske databaser opbygget af USA i Afghanistan er faldet i Talibans hænder.

Chatkontrol kommer til afstemning til  oktober, fremsat og støttet af den danske regering, der har formandskabet i EU. Som demokratisk samfund bør vi ikke opbygge en orwelsk digital overvågningsmaskine i Europa, der ligner systemer, som normalt kun findes i verdens mest autoritære stater.

Vi mener, at et frit og demokratisk samfund forudsætter, at borgere kan kommunikere privat og uden indblanding fra staten, så længe de ikke specifikt er under mistanke for at begå noget ulovligt.