Njemačka vlada predložila je značajnu reformu svog obaveštajnog zakona, koja uključuje odredbe koje bi zahtijevale da Savezna kancelarija za informacijsku sigurnost (BSI) dijeli informacije o poznatim ranjivostima nula dana s inozemnom obavještajnom agencijom, Saveznom obavještajnom službom (BND). Ovaj je prijedlog, koji je predstavilo Savezno ministarstvo unutarnjih poslova (BMI), izazvao polemiku među stručnjacima za kibernetičku sigurnost i zagovornicima građanskih sloboda koji tvrde da podriva povjerenje između državnih institucija i IT sigurnosne zajednice.
Prema nacrtu zakona, javnim tijelima bit će dopušteno da BND-u dostavljaju informacije, uključujući osobne podatke, čim postoji konkretna indikacija da bi ti podaci mogli biti relevantni za strane obavještajne operacije. BSI, koji je zakonski ovlašten djelovati kao središnje tijelo za sigurnost informacija na nacionalnoj razini, izričito bi trebao surađivati s BND-om. Ovaj potez predstavlja temeljni pomak u njemačkom pristupu politici digitalne sigurnosti, udaljavanje od modela temeljenog na uzajamnom povjerenju prema modelu koji se odlikuje povećanjem sumnje i proaktivnom intervencijom.
Nacrt zakona opisuje sveobuhvatnu transformaciju njemačke arhitekture digitalne sigurnosti, naglašavajući aktivne mjere za rješavanje prijetnji u kiberprostoru. Omogućava obavještajnim agencijama da slobodno djeluju u područjima koja su prethodno smatrana za zaštićena ustavnim pravima. Osim toga, zakon sugerira da treće strane mogu sve više sudjelovati u digitalnim istražnim akcijama koje provodi država. Uključivanje obveze suradnje između BSI-a i BND-a savršeno se usklađuje s ovim novim okvirom, što izaziva zabrinutost zbog potencijalne zloupotrebe ranjivosti kritične infrastrukture.
Predložene promjene imaju za cilj iskoristiti razdoblje između otkrivanja ranjivosti, obavijesti dobavljača softvera i konačnog popravka greške u obavještajne svrhe. Ovaj vremenski okvir, koji je trenutno namijenjen brzom rješavanju sigurnosnih pitanja, umjesto toga će se koristiti za iskorištavanje ovih slabosti za stratešku prednost.
Ako se smatra da BSI daje prednost obavještajnim operacijama u odnosu na brzo popravljanje ranjivosti, to bi moglo odvraćati organizacije i istraživače od izvješćivanja o novootkrivenim greškama.
Dok ministarstvo navodi povećane prijetnje kao opravdanje za proširenje ovlasti nadzora, protivnici tvrde da takve mjere riskiraju daljnje narušavanje digitalnih sloboda.
Na primjer, ako obavještajna služba otkrije zlonamjerni softver unutar infrastrukture napadača prije nego što policija može odgovoriti, bit će im dopušteno poduzeti hitne protumjere umjesto čekanja na tradicionalne pravne postupke.
Od javnih subjekata se zahtijeva da prenose sigurnosne uvide BND-u u ranijim fazama napada, ponekad čak i automatski. Razlog za to je da BND, zbog svojih aktivnosti strateškog praćenja komunikacija, može bolje kontekstualizirati izolirane incidente u širim globalnim okvirima, omogućujući ranije otkrivanje prijetnji.
S obzirom na zero-day exploits - ranjivosti bez dostupnih zakrpa - BMI tvrdi da se ovaj vremenski okvir može iskoristiti za ključni rad BND-a. Kašnjenja u rješavanju ovih pitanja znatno bi smanjila njihovu primjenjivost. To bi stavila BSI u tešku poziciju, jer bi morala dati prednost obavještajnim operacijama nad brzim zatvaranjem sigurnosnih rupa, suprotno izvornoj namjeri koalicijske vlade. Financijski, inicijativa označava značajno proširenje sajber mogućnosti, što ukazuje na posvećenost povećanju operativnog dosega BND-a.
Međutim, opseg mehanizama nadzora i dalje je ograničen, s time da su odgovornosti za kontrolu konsolidirane u okviru Nezavisnog kontrolnog vijeća (UKRat), koji bi mogao provoditi sudski prethodni nadzor, ali s ograničenim opsegom.
★
Neka vijesti ostanu poštene.
ObjectiveNews financiraju čitatelji i bez oglasa je – pristranost vam pokazujemo, ne skrivamo. Podržite neovisno novinarstvo za 5 €/mjesec.
Postani podupiratelj