Skandal sa Signalom: Zašto države ne koriste vlastite tajne aplikacije za komunikaciju

Časopis The Atlantic je slučajno otkrio curenje tajnog razgovora vođenog u aplikaciji Signal, u kojem su učestvovali visoki zvaničnici administracije američkog predsjednika Donalda Trumpa. Među njima su bili savjetnik za nacionalnu sigurnost Michael Waltz, ministar odbrane Pete Hegseth i potpredsjednik J. D. Vance.

Incident je izazvao zabrinutost unutar vlasti te organizacija i institucija koje se bave pitanjem sigurnosti na internetu.

Skandal se dogodio kada su u grupu greškom dodani glavni urednik spomenutog časopisa Jeffrey Goldberg i drugi, što je otvorilo vrata za sumnju u opravdanost oslanjanja na komercijalne aplikacije, čak i one koje se vode kao „najsigurnije na svijetu“.

Možda najvažnije pitanje koje je prisutno u javnosti jeste zašto vlade – posebno one moćne – koriste besplatne javne aplikacije, a ne privatne i tajne.

Ljudska greška, a ne tehnički problem

Curenje informacija koje je otkrio časopis nije rezultat greške u strukturi aplikacije ili hakiranja, već je jednostavno ljudska greška, jer su dodane osobe koje nisu bile ovlaštene za pristup grupi.

Stručnjaci su potvrdili da skandal nije rezultat hakiranja ili softverske greške, već čiste ljudske greške. Jedan zvaničnik je u grupni razgovor dodao broj, ne provjeravajući čiji je, da bi se kasnije ispostavilo da pripada novinaru, koji je iznenada dobio vojne tajne iz centra američke administracije.

Prema riječima Josepha Riddlea, stručnjaka za sigurnost na internetu u Brookings institutu, „ovaj incident nije stavio krivicu na Signal, već je razotkrio ranjivost na sigurnosne prijetnje čak i u rukovodećim strukturama“.

Pitanja vezana za aplikacije otvorenog koda

Usljed sve intenzivnije rasprave o curenju šifriranih razgovora, mnogi analitičari i posmatrači se pitaju: zašto se vlade – koje bi trebale imati najviši nivo digitalne sigurnosti – oslanjaju na komercijalne aplikacije za komunikaciju, koje su dostupne široj javnosti, kao što su Signal i WhatsApp, umjesto da razviju vlastite zatvorene i strogo kontrolirane sisteme? Da li zato što preferiraju oslanjanje na poznato ili niže troškove ili, pak, postoje dublji razlozi povezani s efektivnošću i međunarodnom komunikacijom?

Ovo pitanje nije novo, obrađivale su ga brojne tehničke analize iz oblasti sigurnosti na internetu i vladine komunikacije. Ove analize se slažu da razvoj internih komunikacijskih sistema zahtijeva ogromna ulaganja u infrastrukturu, uključujući dizajn softvera, sigurnosne provjere i samostalni hosting, osim stalnih ažuriranja i garancije održavanja i pouzdanosti. Nasuprot tome, aplikacije otvorenog koda, kao što je Signal, isplativije su i brže se implementiraju.

Komercijalne aplikacije su često najbolji izbor zbog jednostavnosti njihove upotrebe i poznatih interfejsa, što smanjuje otpor korisnika, posebno u institucijama u kojima postoje odgovorne osobe slabog znanja o tehnologiji. Osim toga, postoji sve veća potreba da odgovorni komuniciraju s vanjskim subjektima – kao što su novinari, diplomate ili međunarodne organizacije – koje ne koriste vladine komunikacijske sisteme, zbog čega su javne aplikacije praktično i dostupno rješenje za sve.

Zašto vlade koriste aplikacije poput Signala i WhatsAppa?

Nema sumnje u to da se ovo svi pitaju. Zar vlade ne bi trebale imati vlastite tajne aplikacije, neovisne od javnih platformi?

Odgovor je složen jer mnogi stručnjaci i tehničari vjeruju da ova pojava ima nekoliko uzroka, koji se mogu sažeti u nekoliko ključnih tačaka.

Prvo: Šifriranje

Stručnjaci smatraju da je šifriranje s otvorenim kodom, koje se koristi u javnim aplikacijama kao što je Signal, najpouzdanije. Nasuprot tome, mnoge vladine aplikacije su zatvorenog koda, što ih čini lakšom metom za hakiranje.

Šifriranje s otvorenim kodom znači da su metode šifriranja transparentne i dostupne svima jer su njihovi izvorni kodovi javni i svi zaineteresirani – programeri, istraživači sigurnosti ili nezavisne kompanije – mogu pregledati kod i provjeriti tačan način funkcioniranja šifriranja, ispitati sigurnosne propuste ili greške u implementaciji, kao i testirati snagu šifriranja i njenu otpornost na hakiranje ili špijuniranje. Također, mogu doprinijeti razvoju i unapređenju šifriranja kroz zajednice otvorenog koda.

Važnost otvorenog koda proizlazi iz činjenice da transparentnost znači veće povjerenje. Umjesto da se oslanja na riječ programera (koji može tvrditi da je njegova aplikacija „sigurna“ bez dokaza), otvoreni kod omogućava stručnjacima širom svijeta da sami provjere kod.

Nasuprot tome, zatvoreni kod znači da nije dostupan javnosti pa je korisnik primoran vjerovati kompaniji bez mogućnosti da ispita šta se dešava „iza kulisa“, kao što je slučaj s nekim korporativnim, vladinim ili nepoznatim aplikacijama za razmjenu poruka.

Drugo: Brzina i jednostavnost

Drugi razlog zašto vlade koriste popularne javne aplikacije kao što su Signal i WhatsApp jeste hitnost u političkom djelovanju – u svijetu politike nema vremena za instaliranje složenih internih aplikacija. Signal je već prisutan na svakom telefonu, funkcionira odmah i koristi provjereno efikasan sistem šifriranja, što ga čini najjednostavnijim dostupnim rješenjem.

Treće: Slabost zvanične digitalne infrastrukture

Treći razlog zbog kojeg vlade ne koriste vlastite aplikacije jeste što mnoge vlade – čak i one najnaprednije – imaju poteškoća s ažuriranjem digitalnih sistema. Svaka sigurna interna aplikacija zahtijeva godine razvoja, stroge sigurnosne provjere i stalna ažuriranja, što nije uvijek izvodivo.

Čak i kada neke vlade odluče razviti vlastite sisteme, taj proces nije bez prepreka. Naprimjer, aplikacija Confide, koja se jedno vrijeme koristila u Bijeloj kući, imala je sigurnosne propuste zbog slabog mehanizma ažuriranja. U poznatom intervjuu za britanske novine The Guardian 2014. godine, bivši američki obavještajni agent Edward Snowden upozorio je da metapodaci (ko je s kim komunicirao i kada) mogu biti opasniji od samog sadržaja poruka, a upravo ti podaci često nisu zaštićeni šifriranjem.

Najveća ironija je da se većina vlada oslanja na komercijalnu infrastrukturu, kao što su Amazon Web Services ili Microsoft Azure, čime gube potpunu kontrolu nad svojim podacima, čak i ako razviju vlastitu aplikaciju.

Postoje li neke tajne vladine aplikacije?

Uprkos svim argumentima za nekorištenje vladinih aplikacija zatvorenog koda, neke zemlje (kao što su Rusija, Kina i Izrael) imaju zatvorene i šifrirane interne komunikacijske sisteme, ali oni nisu uvijek primjenjivi izvan sigurnosnih ili vojnih konteksta, prema riječima stručnjaka i tehničara. To je iz nekoliko razloga:

• Teškoće u korištenju
• Ograničena tehnička podrška
• Ograničenja u ažuriranju i razvoju
• Poteškoće u njenom širenju među velikim brojem zvaničnika, diplomata i savjetnika koji često putuju.

Postoji li srednje rješenje?

S obzirom na sve složenosti koje se javljaju u digitalnoj komunikaciji, opcije koje su pred donosiocima odluka pune su paradoksa. Komercijalne aplikacije su jednostavne za korištenje, ali su osjetljive na ranjivosti, dok su vlasnički sistemi teoretski sigurni, ali su skupi i složeni za rad. Postoji li treće rješenje?

Stručnjaci za sigurnost na internetu smatraju da rješenje nije u potpunom okretanju ka jednom od ovih pristupa, već u izgradnji hibridnog pristupa koji kombinira praktičnu sigurnost sa operativnom efikasnošću. Prema riječima stručnjaka, rješenje nije u potpunom odbacivanju komercijalnih aplikacija ili potpunom oslanjanju na vlasničke sisteme. Umjesto toga, potrebna je pametna kombinacija tri elementa:

• korištenje alata otvorenog koda, koji su prošli široko sigurnosno testiranje
• uspostavljanje preciznih protokola za upravljanje grupama i dozvolama
• obuka osoblja za sigurnost na internetu i digitalne rizike.

U konačnici, u vremenu šifriranih poruka i hitnih odluka, više nije riječ samo o odabiru najsigurnije aplikacije, već o razumijevanju sigurnosne jednadžbe u njenom punom kontekstu: tehnologiji, praksi i institucionalnoj strukturi. Skandal s curenjem informacija iz Signala nije otkrio nedostatak u algoritmima, već je otkrio krhkost ljudske interakcije, čak i na najvišim nivoima vlasti.