สหราชอาณาจักรกำลังบั่นทอนความปลอดภัยของทั้งโลก

• สัปดาห์นี้ สหราชอาณาจักรได้ทำให้ทั้งโลกตกอยู่ในความเสี่ยง
• ในปี 2016 ได้มีการผ่าน ‘Investigatory Powers Act’ ซึ่งขยายอำนาจการสอดส่องทางอิเล็กทรอนิกส์ของสหราชอาณาจักรอย่างมาก
• เมื่อไม่นานมานี้ สหราชอาณาจักรได้สั่งให้ Apple ใส่แบ็กดอร์สำหรับ iCloud และห้ามเปิดเผยเรื่องนี้ต่อสาธารณะ
• ที่ผ่านมา Apple ปฏิเสธคำขอให้ทำแบ็กดอร์จากรัฐบาลมาโดยตลอด แต่ครั้งนี้ได้ตัดสินใจลบการเข้ารหัส iCloud สำหรับผู้ใช้ในสหราชอาณาจักรออกทั้งหมด

การปกป้องข้อมูลขั้นสูง

• การเข้ารหัสคือเทคโนโลยีที่ทำให้ผู้ไม่ได้รับอนุญาตไม่สามารถอ่านข้อมูลได้
• อุปกรณ์สมัยใหม่และทราฟฟิกอินเทอร์เน็ตส่วนใหญ่มีการเข้ารหัส แต่ผู้ให้บริการยังคงเข้าถึงได้
• ผู้ให้บริการบางรายนำ ‘การเข้ารหัสแบบต้นทางถึงปลายทาง(E2EE)’ มาใช้ เพื่อให้เข้าถึงข้อมูลได้เฉพาะบนอุปกรณ์ของผู้ใช้เท่านั้น
• โปรแกรม ‘การปกป้องข้อมูลขั้นสูง(ADP)’ ของ Apple เปิดตัวในปี 2022 โดยเข้ารหัสข้อมูล iCloud เกือบทั้งหมดด้วย E2EE ยกเว้นอีเมล รายชื่อติดต่อ และปฏิทิน
• แต่เนื่องจากคำขอของสหราชอาณาจักร Apple จึงได้ถอด ADP ออกจากสหราชอาณาจักร

แบ็กดอร์ & Salt Typhoon

• แบ็กดอร์คืออะไร?
  • แบ็กดอร์หมายถึงช่องทางลับในระบบเข้ารหัสหรือซอฟต์แวร์ที่ทำขึ้นเพื่อให้นักพัฒนาสามารถเข้าถึงได้โดยตรง
  • โดยปกติจะทำงานอย่างเงียบ ๆ โดยไม่มีความยินยอมจากผู้ใช้ ซึ่งต่างจากการให้สิทธิ์เข้าถึงเพื่อการสนับสนุนทางเทคนิคโดยสมัครใจ
• แบ็กดอร์จะถูกใช้ได้เฉพาะโดย ‘คนดี’ เท่านั้นหรือ?
  • นักการเมืองและเจ้าหน้าที่รัฐมักอ้างว่าแบ็กดอร์จำเป็นสำหรับ “จุดประสงค์ที่ดี” แต่ในความเป็นจริงแล้วเป็นแนวคิดที่เป็นไปไม่ได้
  • เช่นเดียวกับประตูลับทางกายภาพ แบ็กดอร์ในซอฟต์แวร์ก็ไม่สามารถกันผู้บุกรุกที่มีเจตนาร้ายได้
  • ผู้ไม่หวังดีสามารถหลบเลี่ยงได้ด้วยวิธีอย่างการหาช่องโหว่ของซอฟต์แวร์หรือยึดบัญชีผู้ใช้ผ่านการโจมตีแบบฟิชชิง
• ใคร ๆ ก็สามารถนำแบ็กดอร์ไปใช้ในทางที่ผิดได้
  • ภัยคุกคามจากบุคคลภายใน(insider threat) มีอยู่จริง และพนักงานที่ไม่น่าไว้วางใจอาจนำแบ็กดอร์ไปใช้อย่างมิชอบ
  • ตัวอย่างเช่น เคยมีวิศวกรของ Yahoo แฮ็กบัญชีผู้ใช้เพื่อขโมยรูปภาพส่วนตัว
• กรณี Salt Typhoon (เหตุแฮ็กเครือข่ายโทรคมนาคมสหรัฐฯ ปี 2024)
  • ในปี 2024 มีการเปิดเผยว่ารัฐบาลจีนได้แฮ็กเครือข่ายโทรคมนาคมของสหรัฐฯ และอีกหลายประเทศ
  • ผู้ให้บริการโทรคมนาคมรายใหญ่ในสหรัฐฯ อย่างน้อย 9 ราย (เช่น Verizon, T-Mobile, AT&T) ถูกโจมตี และการแฮ็กครั้งนี้อาศัยการนำแบ็กดอร์ที่สร้างไว้สำหรับหน่วยงานบังคับใช้กฎหมายไปใช้ประโยชน์
  • แบ็กดอร์นี้เดิมถูกออกแบบมาเพื่อการดักฟังที่ได้รับอนุมัติจากศาล แต่สุดท้ายแฮ็กเกอร์ที่ทำงานให้รัฐบาลจีนก็ใช้ได้ในแบบเดียวกัน
  • ระหว่างกระบวนการนี้ บันทึกการโทรและข้อความของเจ้าหน้าที่ระดับสูง เช่น ประธานาธิบดี Donald Trump และรองประธานาธิบดี Kamala Harris ก็รั่วไหลออกมา
• แนวคิดเรื่อง ‘แบ็กดอร์ที่จะมีแต่คนดีใช้’ เป็นเรื่องแต่ง
  • กรณี Salt Typhoon เป็นหลักฐานชี้ขาดว่าแบ็กดอร์ย่อมถูกนำไปใช้ในทางที่ผิดได้
  • การที่นักการเมืองอ้างว่า “แบ็กดอร์ปลอดภัย” ก็แทบไม่ต่างจากการบอกว่ายูนิคอร์นกับออร์กมีอยู่จริง

ปัญหาแบ็กดอร์ในบริบทที่กว้างขึ้น

• ต่อให้ยอมรับว่าการที่สหราชอาณาจักรบีบให้ Apple ทำแบ็กดอร์นั้นผิด ก็ไม่ได้กระทบแค่ผู้ใช้ในสหราชอาณาจักรเท่านั้น
• เหตุการณ์นี้ไม่ใช่กรณีเฉพาะรายธรรมดา แต่ต้องเข้าใจในฐานะส่วนหนึ่งของรูปแบบที่ใหญ่กว่า
• PGP และสงครามการเข้ารหัส(Crypto Wars)
  • PGP(Pretty Good Privacy) หลังเปิดตัวในปี 1991 ก็ถูกรัฐบาลสหรัฐฯ ควบคุมในฐานะสิ่งที่เข้าข่ายอาวุธ
  • เมื่อศาลตัดสินว่า “โค้ดคือเสรีภาพในการแสดงออก” เทคโนโลยีการเข้ารหัสจึงสามารถแพร่หลายได้อย่างกว้างขวาง
  • คำตัดสินนี้ทำให้ทุกวันนี้เทคโนโลยีอย่าง TLS และ AES กลายเป็นเรื่องปกติ และทำให้การซื้อของออนไลน์กับการจัดเก็บข้อมูลอย่างปลอดภัยเป็นไปได้
  • เหตุการณ์นี้ยังเป็นจุดที่ทำให้ EFF(Electronic Frontier Foundation) เป็นที่รู้จักอย่างมาก และผู้แทนทางกฎหมายในเวลานั้นก็คือ Cindy Cohn ซึ่งปัจจุบันเป็นผู้อำนวยการของ EFF
• สงครามการเข้ารหัสยังคงดำเนินต่อไป
  • ในสหรัฐฯ เอง การถกเถียงเรื่องการทำแบ็กดอร์ก็ยังดำเนินต่อเนื่อง
    • ในสมัยรัฐบาล Trump อัยการสูงสุด William Barr สนับสนุนแบ็กดอร์อย่างแข็งขัน
    • รัฐบาล Biden ก็สนับสนุนการทำให้การเข้ารหัสอ่อนแอลงทางอ้อมผ่าน “Kids Online Safety Act” ในปี 2022
    • ท่าทีของ Biden ต่อร่างกฎหมายที่เข้มงวดกว่านี้ เช่น EARN IT Act และ STOP CSAM Act ยังไม่ชัดเจน
• ภัยคุกคามต่อความปลอดภัยดิจิทัลในยุโรปก็เพิ่มขึ้น
  • Chat Control: ในยุโรป มีการเสนอร่างกฎหมายที่บังคับให้แอปส่งข้อความ (เช่น WhatsApp) ตรวจจับสื่อการล่วงละเมิดทางเพศเด็ก(CSAM)
  • Apple เองก็เคยพยายามนำระบบคล้ายกันมาใช้ แต่ภายหลังก็ถอนออกเพราะข้อบกพร่องทางเทคนิคและความเป็นไปได้ที่จะถูกใช้ในทางที่ผิด
  • อย่างไรก็ตาม ความพยายามลักษณะนี้ก็ยังถูกเสนอซ้ำและฟื้นกลับมาเรื่อย ๆ
• รัฐบาลสหราชอาณาจักรยังพยายามวาดภาพผู้ใช้การเข้ารหัสให้เป็นอาชญากรผ่านแคมเปญ #NoPlaceToHide
  • การเคลื่อนไหวเพื่อลบล้างความไม่เปิดเผยตัวตนออนไลน์ และโครงการสอดส่องโซเชียลมีเดียในวงกว้าง เป็นนโยบายละเมิดความเป็นส่วนตัวที่กำลังกระจายไปทั่วโลก
  • คำสั่งของสหราชอาณาจักรต่อ Apple ไม่ได้มุ่งเฉพาะเพื่อประชาชนของตนเองเท่านั้น แต่ยังอาจกลายเป็นอีกหนึ่งการโจมตีต่อความเป็นส่วนตัวดิจิทัลระดับโลกและเป็นแบบอย่างที่ “ประสบความสำเร็จ”

แนวทางรับมือ

• เมื่อพิจารณาจากกรณี Salt Typhoon และกรณีข้อมูลรั่วไหลต่าง ๆ ผู้ที่ผลักดันแบ็กดอร์จึงดูเหมือนจะขาดความเข้าใจทางเทคนิค หรือไม่ก็มีเจตนาจะผลักดันเรื่องนี้อย่างจงใจ
  • การที่รัฐบาลสหราชอาณาจักรมองการเข้ารหัสเป็นภัยคุกคามและพยายามทำให้มันอ่อนแอลง สุดท้ายแล้วจะทำให้ข้อมูลผู้ใช้เปราะบางขึ้น และเปิดช่องให้ประเทศอื่นมีข้ออ้างทำแบบเดียวกัน
• มีการคาดเดาว่าการถอนตัวของ Apple จากตลาดสหราชอาณาจักรอาจเป็นกลยุทธ์เพื่อรับมือทางกฎหมาย แต่ยังไม่มีหลักฐานที่น่าเชื่อถือ
  • หาก Apple ต่อสู้ในชั้นกฎหมายและชนะ นี่จะเป็นจุดเปลี่ยนสำคัญของการคุ้มครองความเป็นส่วนตัว
  • เช่นเดียวกับกรณีการเข้ารหัส PGP และ Phil Zimmermann ในอดีต ชัยชนะทางกฎหมายอาจกลายเป็นบรรทัดฐานเพื่อการคุ้มครองความเป็นส่วนตัวดิจิทัล
  • มาตรการจากประเทศหนึ่งประเทศใด (โดยเฉพาะมหาอำนาจ) ย่อมส่งผลต่อประเทศอื่นด้วย และโดยมากมักไปในทิศทางเชิงลบ
• สิ่งที่ผู้ใช้ทำได้
  • เลิกใช้ iCloud :
    • แม้ Advanced Data Protection(ADP) ของ Apple จะยังมีให้ใช้ในบางประเทศ แต่การฝากข้อมูลทั้งหมดไว้กับคลาวด์ก็ไม่ใช่ทางเลือกที่น่าเชื่อถือ
    • รูปภาพ ปฏิทิน โน้ต และพื้นที่จัดเก็บไฟล์ สามารถย้ายไปยังบริการทางเลือกที่น่าเชื่อถือกว่าได้
    • รายการบริการทางเลือก ที่ให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัย
  • สำหรับข้อมูลที่คัดลอกทดแทนได้ยาก ให้เก็บไว้บนอุปกรณ์หรือไม่ใช้เลย
    • บริการอย่างข้อมูลสุขภาพ การแจ้งเตือน และกระเป๋าเงินดิจิทัล อาจเหมาะที่จะเก็บไว้บนอุปกรณ์หรือพิจารณาไม่ใช้ไปเลย
    • แม้จะยอมรับความสะดวกของ Apple Wallet แต่ก็มีงานวิจัยที่ชี้ว่าการใช้เงินสดมีประสิทธิภาพต่อการควบคุมงบประมาณมากกว่า
    • แม้ไม่มีการวิเคราะห์ข้อมูลการนอนหลับ หลายกรณีก็เพียงพอแล้วหากรักษาสุขอนามัยการนอนขั้นพื้นฐาน
  • การมีส่วนร่วมทางการเมือง
    • กฎหมายคุ้มครองความเป็นส่วนตัวสามารถเป็นแนวป้องกันสำคัญของการคุ้มครองข้อมูลได้ (เช่น ในสหภาพยุโรปที่ใช้ GDPR แทบไม่มีเว็บไซต์ค้นหาข้อมูลส่วนบุคคล)
    • หากเป็นพลเมืองสหราชอาณาจักร ควรติดต่อสมาชิกสภาผู้แทนเพื่อแสดงความคัดค้านต่อ “technical capability notice” ที่เกี่ยวข้องกับ Advanced Data Protection ของ Apple
    • ยังสามารถขอการสนับสนุนผ่านองค์กรในสหราชอาณาจักร เช่น Big Brother Watch และ Privacy International ได้

บทสรุป

• ในหมู่คนที่ให้ความสำคัญกับความเป็นส่วนตัว ไม่มีใครสนับสนุนอาชญากรรม
• แต่การยอมสละเสรีภาพของประชาชนเพื่อหยุดอาชญากรเพียงส่วนน้อย เป็นแนวทางที่เสียสมดุล
• นโยบายละเมิดความเป็นส่วนตัวจำนวนมากถูกผลักดันภายใต้ข้ออ้างว่า “ปกป้องเด็ก” แต่สิ่งนั้นไม่ใช่การปกป้องที่แท้จริง
  • เด็กและเยาวชนจำเป็นต้องมีสภาพแวดล้อมที่เติบโตได้อย่างอิสระและเรียนรู้จากความผิดพลาด
  • โลกดิจิทัลไม่ควรกลายเป็นสถานที่ที่ความผิดพลาดเพียงครั้งเดียวคงอยู่ตลอดไปและกดทับเสรีภาพของบุคคล
  • สิ่งที่ควรเป็นคำตอบที่แท้จริงไม่ใช่นโยบาย แต่คือมาตรการคุ้มครองทางเทคนิค
• การแบนการเข้ารหัสไม่ใช่การปกป้อง แต่กลับสร้างความเสี่ยงมากกว่า
• วิธีตอบโต้นโยบายละเมิดความเป็นส่วนตัวของรัฐบาลสหราชอาณาจักร:
  • ย้ายไปใช้บริการที่ปลอดภัยและอยู่นอกอำนาจกฎหมายของสหราชอาณาจักร
  • ในฐานะผู้มีสิทธิเลือกตั้ง ให้ส่งเสียงคัดค้านต่อรัฐบาล