| 13 августа 2021 г. — 6:08 утра по тихоокеанскому времени
Обновление: В течение нескольких минут после написания этой статьи было опубликовано интервью, в котором Крейг Федериги признал, что Apple следовало поступить иначе.
Одно совершенно ясно в спорах вокруг сканирования CSAM: это застало Apple врасплох. Что само по себе является сюрпризом.
С момента первоначального анонса Apple проводит PR-кампанию, чтобы исправить недоразумения и попытаться решить очень реальные проблемы с конфиденциальностью и правами человека, возникшие из-за этого шага…
Споры вокруг сканирования CSAM
Кратко напомним о скандале с материалами о сексуальном насилии над детьми (CSAM).
Apple оказалась в невыгодном положении еще до того, как планы были опубликованы незадолго до их официального объявления компанией. Эксперт по криптографии и безопасности Мэттью Грин опубликовал планы в Твиттере, назвав это плохой идеей.
Я получил независимое подтверждение от нескольких человек, что Apple завтра выпустит клиентский инструмент для сканирования CSAM. Это очень плохая идея.
Утечка, которая не включала подробностей о мерах защиты Apple от ложных срабатываний, привела к тому, что четыре опасения были высказаны до объявления.
Затем последовало официальное объявление. Честно говоря, оно в значительной степени стало причиной путаницы в основных СМИ, поскольку включало две совершенно разные меры, которые были быстро и ошибочно объединены в многочисленных сообщениях:
- Сканирование CSAM с использованием цифровых отпечатков известных материалов сексуального насилия над детьми.
- Использование ИИ для обнаружения вероятных обнаженных изображений в iMessage, отправленных или полученных детьми.
Эксперты по безопасности продолжали высказывать опасения даже после объявления, как и многие собственные сотрудники Apple.
Споры вокруг сканирования CSAM стали настолько шумными, что другим экспертам по безопасности пришлось призвать к спокойствию и менее накаленной дискуссии.
Ответ Apple
Немедленной реакцией компании стала утечка внутреннего служебного записки, в которой признавалось, что «некоторые люди имеют заблуждения, и многие обеспокоены последствиями», и предпринята попытка сбалансировать это благодарственным письмом от Национального центра по розыску пропавших и эксплуатируемых детей (NCMEC).
Через четыре дня после объявления Apple опубликовала FAQ из шести страниц, пытаясь развеять как недоразумения, так и реальные опасения по поводу этих мер.
Как кто-то заметил тогда, сам факт того, что вам нужны шесть страниц FAQ, и их не было готовы к дню объявления, является достаточным доказательством того, что компания провалила объяснение.
Компания заявила, что расширение за пределы США будет осторожным, и участвовала в серии брифингов и интервью, чтобы попытаться противостоять негативной огласке.
Ошибки Apple
На мой взгляд, Apple совершила здесь три фундаментальные ошибки.
Наивность
Похоже, Apple исходила из того, что раз уж CSAM вызывает всеобщее возмущение, то и меры по борьбе с ним должны вызывать всеобщее одобрение. В конце концов, другие технологические гиганты, такие как Facebook и Google, уже регулярно сканируют фотографии и облачные хранилища на предмет CSAM, а Apple делала это более ответственно с точки зрения конфиденциальности. Все должны были быть довольны.
Это было наивно, потому что любые шаги, предпринятые для решения этой проблемы, неизбежно включают баланс между конфиденциальностью и защитой. Каждая компания должна выбрать свою позицию на этой шкале, но никакая позиция на ней не обходится без споров.
В то время как другие технологические компании просто делают это тихо в фоновом режиме, Apple сделала громкое объявление, которое, очевидно, привлекло бы большое внимание СМИ, как информированных, так и неинформированных.
Слепота к собственному имиджу бренда
Любая технологическая компания должна была ожидать споров, если бы она сделала публичное объявление об этом, но Apple должна была осознавать это в 10 раз сильнее. Во-первых, потому что Apple. Все, что объявляет Apple, становится главной новостью.
Но во-вторых, и это более важно, Apple годами буквально трубит о конфиденциальности, конфиденциальности, конфиденциальности. Она размещала огромные рекламные щиты. Она запускала забавные рекламные ролики. У нее есть целый микросайт, посвященный конфиденциальности. Ее генеральный директор говорит о конфиденциальности в каждом интервью и публичном выступлении. Компания критикует других технологических гигантов за конфиденциальность. Она боролась со всей рекламной индустрией из-за новой функции конфиденциальности.
Не будет преувеличением сказать, что в последние годы конфиденциальность была как основным преимуществом, так и огромной частью имиджа бренда Apple.
Я, честно говоря, поражен, что Apple не поняла, что любое снижение конфиденциальности, каким бы незначительным оно ни было и какой бы веской ни была причина, вызовет огромный резонанс.
Отсутствие реакции на самую большую угрозу
У Apple есть хорошие защитные меры против одного риска: ложных срабатываний. Компания заявляет, что отчет будет срабатывать только при совпадении нескольких фотографий, а не одной. Компания не раскрыла, сколько совпадений требуется, но заявила, что этот порог означает, что риск ложного отчета составляет один к триллиону. Обновление: Федериги указал, что требуется 30 совпадений.
Некоторые эксперты оспаривают этот расчет, но каким бы ни было реальное число, кажется очевидным, что риск чрезвычайно низок, и этот риск смягчается ручной проверкой со стороны Apple. Это означает, что если в ваших фотографиях достаточно совпадений, чтобы вызвать предупреждение, кто-то в Apple просмотрит фотографии, чтобы определить, являются ли они CSAM. Если нет, то никаких отчетов властям не передается.
Это по-прежнему создает небольшой риск конфиденциальности – что кто-то в Apple будет просматривать, возможно, совершенно невинные фотографии – но нет никакого риска, что чья-то жизнь будет разрушена ложным сообщением властям. Лично я полностью с этим согласен.
Но самая большая опасность остается:
Злоупотребление со стороны авторитарных правительств
Цифровой отпечаток может быть создан для любого типа материала, а не только для CSAM. Что помешает авторитарному правительству добавить в базу данных изображения плакатов политических кампаний или тому подобное?
Таким образом, инструмент, предназначенный для преследования серьезных преступников, может быть тривиально адаптирован для выявления тех, кто выступает против правительства или одной или нескольких его политик.
Потенциальное расширение на обмен сообщениями
Если вы используете службу обмена сообщениями со сквозным шифрованием, такую как iMessage, Apple не может видеть содержимое этих сообщений. Если правительство приходит с судебным ордером, Apple может просто развести руками и сказать, что не знает, о чем шла речь.
Но если правительство добавит отпечатки для типов текста – скажем, даты, времени и места запланированного протеста – оно сможет легко создать базу данных политических противников.
Ответом Apple было то, что она «откажется от таких требований». Однако, как я уже говорил, это обещание, которое компания не может выполнить.
Это заявление основано на том, что Apple имеет юридическую свободу отказаться. В Китае, например, Apple была юридически обязана удалить VPN, новостные и другие приложения, а также хранить данные iCloud китайских граждан на сервере, принадлежащем компании, контролируемой правительством.
Нет реалистичного способа для Apple обещать, что она не будет выполнять будущие требования по обработке предоставленных правительством баз данных «изображений CSAM», которые также включают совпадения с материалами, используемыми критиками и протестующими. Как компания часто говорила, защищая свои действия в таких странах, как Китай, Apple соблюдает законы в каждой из стран, в которых она работает.
Что следовало сделать Apple вместо этого?
Я повторю свою предыдущую мысль о том, что любое действие является спорным – как и бездействие. Здесь нет волшебного решения.
Но есть одна очень четкая вещь, которую Apple следовало бы сделать иначе, если бы она собиралась делать объявление: сначала она должна была сделать объявление о CSAM, решить все связанные с этим вопросы, а затем сделать отдельное и более позднее объявление о функции iMessage. Таким образом, они бы не были перепутаны, и большая часть опасений основных СМИ была бы снята.
Но, вероятно, ей вообще не стоило делать объявление о сканировании CSAM.
Иронично, но лучшим вариантом для Apple было бы сделать что-то менее прозрачное и менее конфиденциальное, но при этом менее спорное. А именно, сканировать фотографии в iCloud на предмет хэшей CSAM. И просто отметить это в политике конфиденциальности iCloud (отметив, что все облачные сервисы это делают), вместо того чтобы поднимать из-за этого шум.
Это было бы менее спорно, потому что все остальные делают это, и потому что эксперты по безопасности уже знали, что iCloud не является конфиденциальным: тот факт, что Apple не использует сквозное шифрование, означает, что мы уже знали, что у нее есть ключ, и мы уже знали, что она сотрудничает с правоохранительными органами, передавая данные iCloud по получении судебного ордера.
Если бы она начала делать это, я думаю, большинство экспертов по безопасности просто пожали бы плечами – ничего нового – и это не привлекло бы внимания основных СМИ.
В безумии может быть свой метод
Я высказал одну возможность в своем первоначальном ответе.
Сильное позиционирование Apple в области конфиденциальности означало, что отказ от использования сквозного шифрования для резервных копий iCloud выглядит все более аномальным – особенно в Китае, где принадлежащая правительству компания имеет доступ к серверам, на которых хранятся резервные копии.
Таким образом, одна из возможностей заключается в том, что это первый шаг к новому компромиссу со стороны Apple: она сделает будущий переход к сквозному шифрованию для резервных копий iCloud, которое включает фотографии и видео, но также создаст механизм, с помощью которого правительства смогут сканировать библиотеки фотографий пользователей. И, потенциально, сообщения тоже.
Но если это так, Apple все равно ошиблась. Она должна была сначала объявить о переходе на сквозное шифрование, затем объяснить, что в свете этого ей придется изменить способ сканирования CSAM – и указать, что новый метод предлагает лучшую конфиденциальность.
Таково мое мнение – а каково ваше? Согласны ли вы, что Apple здесь ошиблась, или считаете, что она справилась как могла? Пожалуйста, примите участие в нашем опросе и поделитесь своим мнением в комментариях.