ההכרזה הדהדה כ’קריאת עצמאות’ אמיתית במסדרונות פריז: ראש הממשלה הורתה לממשלה לנטוש את WhatsApp ו-Signal לטובת Olvid, אפליקציית הודעות שהוצגה כ’מקומית’. המטרה המוצהרת הייתה ברורה: להגן על סודות מדינה מידן הארוכה של סוכנויות מודיעין זרות.
אולם, אירוניה מרה התבררה במהרה: לבה של Olvid - תשתית השרתים שלה - פועם בתוך Amazon Web Services (AWS), ענקית אמריקאית.
עבור הציבור הרחב, זו נראית כסוגיית אחסון טכנית פשוטה. אבל עבור ארכיטקטים של אבטחת סייבר ריבונית ואלו העוקבים אחר הגיאופוליטיקה של הנתונים, מדובר בפגיעות פוליטית מהמעלה הראשונה.
חוץ-טריטוריאליות וסכסוך ריבונויות
בהסתמכותה על התשתית של אמזון, Olvid נכנסת אוטומטית למסלול של חוק ה-CLOUD האמריקאי.
הניתוח המשפטי של מקרה זה חושף תרחיש של חוסר ביטחון תחומי שעצם אימוצה של ‘אפליקציה’ לאומית אינו פותר כלל. נקודת המפנה טמונה במושג ‘שליטה’ לעומת ‘מיקום’.
חוק ה-CLOUD שינה באופן רדיקלי את הפרדיגמה המשפטית בקובעו כי המיקום הפיזי של השרת אינו משנה. חובת שיתוף הפעולה של ספק השירות (כאן, AWS) נובעת אך ורק מהזיקה השיפוטית שלו לארצות הברית. כך, וושינגטון יכולה לדרוש נתונים מחברות תחת תחום שיפוטה, גם כאשר נתונים אלו מאוחסנים פיזית על אדמת אירופה.
מבחינה חוקית, זה יוצר עימות חזיתי עם התקנה הכללית להגנה על נתונים (GDPR). בית הדין לצדק של האיחוד האירופי (באמצעות פסקי הדין המפורסמים שרמס I ו-II) כבר קבע שחוקי המעקב האמריקאיים אינם מציעים רמת הגנה שוות ערך לזו של אירופה.
ריבונות דיגיטלית אינה תכונה של תוכנה, אלא מאפיין של שלמות שרשרת המשמורת.
רוח הרפאים של FISA וההבטחה הכוזבת של ההצפנה
גרוע מכך, תלות זו בתשתית אמריקאית מציבה נתונים אלה בצל חוק מעקב המודיעין הזר (FISA), המאשר מעקב אלקטרוני למטרות ‘מודיעין זר’ המכוון ליעדים מחוץ לארה"ב.
מול איומים אלו, Olvid טוענת שההצפנה מקצה לקצה שלה מהווה מגן מספק. מנקודת המבט של הנדסת פרטיות, הגנה זו חלקית באופן מסוכן.
הדחייה האחרונה של ‘דלתות אחוריות’ על ידי האסיפה הלאומית הצרפתית מראה התנגדות חקיקתית לפגיעות על ידי תכנון. ועדיין, גם אם תוכן ההודעה מוצפן, התשתית הריכוזית של AWS חושפת מטא-דאטה. לדעת מי מדבר עם מי, מתי, באיזו תדירות ומאיפה זה לרוב בעל ערך רב יותר עבור מודיעין זר מאשר תוכן ההודעה עצמו.
ההצפנה מגנה על הטקסט, אך השרת הריכוזי בוגד ברשת אנשי הקשר.
הסכנה האמיתית עוד לפנינו
כל עוד התשתית האירופית תהיה תלויה בישויות הכפופות לחוקים חוץ-טריטוריאליים, הביטחון המשפטי של התקשורת שלנו יישאר זמני ואשלייתי גרידא.
ביטחון לאומי במאה ה-21 דורש הרבה יותר מכוונות חקיקה טובות או מגני תוכנה שטחיים: הוא דורש עצמאות תשתית וחומרה מוחלטת. מכיוון שבעוד שיירוט המטא-דאטה והחבילות המוצפנות נראה בלתי מזיק היום, הוא למעשה מזין את האיום ההרסני ביותר של העשור הבא: אסטרטגיית “אסוף עכשיו, פענח מאוחר יותר”.
סוד מדינה שיורט היום אינו אלא פצצת זמן מתמטית.
(קראו את המשך הניתוח שלנו בחלק 2: פצצת הזמן והצורך באפס ידיעה)