Unia przygląda się VPN-om. "Trzeba zamknąć lukę"

W analizie EPRS narzędzia do łączenia się z wirtualnymi sieciami prywatnymi (VPN) opisano jako rozwiązania używane nie tylko do ochrony prywatności, lecz także do obchodzenia regionalnych blokad i kontroli wieku. Autorzy dokumentu napisali, że to "luka w przepisach, którą trzeba zamknąć".

Chodzi o rozwiązania, które państwa w Europie i poza nią wprowadzają przy dostępie do treści dla dorosłych albo materiałów z ograniczeniem wiekowym. Platformy mają sprawdzać wiek użytkownika jeszcze przed udzieleniem dostępu. Regulatorzy zwracają jednak uwagę, że połączenie przez VPN może utrudnić skuteczne zastosowanie takich zabezpieczeń.

Sieci VPN szyfrują ruch w internecie i ukrywają adres IP użytkownika, przekierowując połączenie przez zdalne serwery. EPRS zauważa, że technologia ma wiele legalnych zastosowań, w tym ochronę komunikacji, ograniczanie nadzoru i bezpieczną pracę zdalną. Jednocześnie te same mechanizmy mogą pomagać nieletnim w omijaniu kontroli wieku.

W dokumencie wskazano, że zainteresowanie VPN wyraźnie wzrosło po wejściu w życie obowiązkowej weryfikacji wieku w takich miejscach jak Wielka Brytania i kilka stanów USA. Przykład dla tej tezy stanowi chociażby wzrost pobrań Proton VPN o 1400 proc. po wejściu w życie Online Safety Act w Wielkiej Brytanii.

EPRS odnotowuje też, że część polityków i organizacji zajmujących się bezpieczeństwem dzieci uważa, iż sam dostęp do VPN powinien podlegać kontroli wieku. Komisarz ds. dzieci w Anglii postulował nawet, by usługi VPN były dostępne wyłącznie dla dorosłych.

Taki kierunek budzi jednak sprzeciw obrońców prywatności. Wymuszanie potwierdzania tożsamości przed skorzystaniem z VPN mogłoby osłabić anonimowość użytkowników i zwiększyć ryzyko nadzoru oraz gromadzenia danych. Dostawcy VPN i organizacje zajmujące się prywatnością już przedstawili swoje zastrzeżenia w liście wysłanym do brytyjskich decydentów.

Według EPRS sam system weryfikacji wieku pozostaje w Unii Europejskiej rozdrobniony i trudny technicznie. W analizie zaznaczono, że obecne metody są stosunkowo łatwe do obejścia przez nieletnich. Dotyczy to rozwiązań opartych na:

• samodzielnym deklarowaniu wieku,
• szacowaniu wieku,
• potwierdzaniu tożsamości.

Dokument wskazuje również nowe podejścia. Wśród nich wymieniono systemy "podwójnie ślepej" weryfikacji stosowane we Francji. W takim modelu strona internetowa otrzymuje jedynie potwierdzenie, że użytkownik spełnia wymóg wieku, ale nie poznaje jego tożsamości. Z kolei dostawca weryfikacji nie widzi, jakie strony odwiedza użytkownik.

W ubiegłym miesiącu badacze wykryli kilka problemów z bezpieczeństwem i prywatnością w oficjalnej aplikacji Komisji Europejskiej do weryfikacji wieku. Jak opisano, program przechowywał wrażliwe obrazy biometryczne w niezaszyfrowanych lokalizacjach, a dodatkowo miał słabości, które mogły pozwolić na obejście samych mechanizmów kontroli.

Według dokumentu Europejskiej Służby Analiz Parlamentarnych dostawcy VPN mogą znaleźć się pod coraz większą presją, gdy Unia Europejska będzie zmieniać prawo dotyczące cyberbezpieczeństwa i bezpieczeństwa online. W analizie zaznaczono, że przyszłe aktualizacje unijnego aktu o cyberbezpieczeństwie mogą wprowadzić wymogi związane z ochroną dzieci i ograniczaniem nadużyć związanych z obchodzeniem zabezpieczeń.