We
need Big Tech to protect us from Big Brother
Người
sử dụng có một quyền mong đợi các hãng công nghệ đảm
bảo an toàn cho tính riêng tư của họ khỏi việc gián
điệp của nhà nước. Những hàn gắn giống như sự mã
hóa là không đủ.
Users
have a right to expect technology firms to safeguard their privacy
from state spying. Fixes like encryption are not enough
Bài được đưa lên
Internet ngày: 07/08/2013
Trung tâm dữ liệu
của Google ở Oregon. Ảnh: EPA
Google's
data centre in Oregon. Photograph: EPA
Lời
người dịch: Trích đoạn “Người sử dụng có một
quyền mong đợi các hãng công nghệ đảm bảo an toàn cho
tính riêng tư của họ khỏi việc gián điệp của nhà
nước. Những hàn gắn giống như sự mã hóa là không
đủ”. “Các công ty công nghệ
cần đặt lựa chọn và sức mạnh an ninh dữ liệu trực
tiếp vào trong tay của những người sử dụng”.
“Nếu họ không đòi sự kiểm soát rõ ràng đó, thì các
công ty công nghệ đó mạo hiểm đánh
mất công việc kinh doanh - không chỉ
từ các khách hàng khó tính, mà còn cả từ các khách
hàng tập đoàn và chính phủ nước ngoài. Liên
minh An ninh Đám mây (Cloud Security Alliance) đã
thăm dò các công ty và thấy rằng
10% đã hoãn kinh doanh đám mây Mỹ và 56% ít có khả năng
kinh doanh với các nhà cung cấp Mỹ.
“Nếu các doanh nghiệp hoặc các chính phủ nghĩ họ có
thể bị gián điệp”, Phó
chủ tịch Ủy ban châu Âu Neelie Kroes nói,
“họ sẽ có ít lý do để tin tưởng đám mây và các
nhà cung cấp đám mây cuối cùng sẽ bị lỡ””. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Các công ty công nghệ:
bây giờ là thời điểm khi bạn phải trả lời cho chúng
tôi, những người sử dụng của bạn, liệu bạn có là
những người cộng tác với các nỗ lực “thu
thập tất cả” của chính phủ Mỹ hay không - từng
chuyển động của chúng tôi trên Internet - hoặc liệu
bạn, cũng có là những nạn nhân của sự quá xá của nó
hay không.
Từng công ty được
nêu tên trong những tiết lộ của Edward
Snowden đã nói rằng hãng phải tuân thủ với các yêu
cầu của chính phủ, bao gồm các yêu cầu giữ cho các
lệnh toà án bí mật là bí mật. Đủ đúng. Nhưng chỉ
là quá lâu họ có thể ẩn dấu đằng sau chiếc áo
choàng đó trước khi làm cho nó rõa ràng liệu họ có
đang chịu các yêu cầu của chính phủ hay đang gúp chính
phủ. Và bây giờ, thời điểm đã tới để đi xa hơn:
để sử dụng cả vốn công nghệ và chính trị để bảo
vệ tích cực sự
riêng tư của công chúng. Ai sẽ làm điều đó?
Chúng tôi bây giờ
biết, nhờ có Snowden, về ít nhất 3 lớp công ty công
nghệ đã mắc vào trong máy quét của NSA
đối với các hoạt động mạng của chúng tôi (chúng tôi
còn chưa biết liệu NSA đã có cùng cộng tác với các
công ty từ các nền công nghiệp tài chính, bán lẻ, các
dịch vụ dữ liệu và khác hay không):
- Các nền tảng Internet mà cung cấp các dịch vụ trực tiếp cho các khách hàng, cho phép chính phủ yêu cầu sự truy cập tới các dấu hiệu về chúng tôi: Google với tìm kiếm, thư điện tử, lịch, bản đồ; Facebook với các kết nối; Skype với các cuộc hội thoại, và...
Trong
báo
cáo đầu tiên về PRISM, tờ Bưu điện Washington hình
như đã không công bằng chỉ ra 9 trong số các công ty, tố
cáo NSA và FBI “truy cập trực tiếp vào các máy chủ
trung tâm” mà giữ các “cuộc chat, hình ảnh, thư điện
tử, tài liệu và các lưu ký kết nối”. Nhanh chóng, các
công ty đã cự tuyệt tố
cáo đó và đã
tìm kiếm quyền báo cáo ít nhất cách
mà nhiều đề nghị bí mật được thực hiện. Nhưng có
nhiều hơn thứ mà họ có thể và sẽ làm.
- Các loại hàng hóa giao tiếp truyền thông với các mối quan hệ khách hàng mà truyền các siêu dữ liệu và/hoặc các cái vòi mở trong lưu thông Internet để thu thập đối với NSA và GCHQ của nước Anh, tạo ra các cơ sở dữ liệu khổng lồ mà có thể sau đó được tìm kiếm thông qua XKeyscore. Verizon đứng đầu danh sách đó, và chúng ta biết từ Süddeutsche Zeitung rằng còn có cả BT và Vodafone nữa.
- Các nhà cung cấp băng rộng mà cho phép NSA và các đối tác quốc tế của nó chõ mõm vào net, bán buôn. Süddeutsche liệt kê 3 thương hiệu viễn thông ở trên, bổ sung thêm vào Mức 3, Global Crossing, Viatel, và Interroute. Eric King, người đứng đầu về nghiên cứu cho Privacy International, đã hỏi trên tờ Guardian: “liệu các công ty có được trang bị mạnh, hay họ là các đối tác tự nguyện?”
Nhiều
nhà vận chuyển dữ liệu không có thương hiệu người
tiêu dùng hoặc các mối quan hệ và vì thế có khả năng
ít nhất là cảm thấy sức ép thương mại để bảo vệ
các quyền của người sử dụng. Các công ty điện thoại
nên lo lắng hơn nhưng họ vận hành như các thị trường
không làm chủ được với các thái độ độc quyền và
hiếm khi thể hiện sự đồng cảm của người tiêu dùng
(mà là một cách thức tốt lành để nói các mô hình
kinh doanh của họ được xây dựng trên sự cầm tù các
khách hàng).
Một
liên
minh người nông dân lùn béo các nhà làm luật của Mỹ
cuối cùng đã tỉnh giấc đối với nhu cầu và cơ hội
đứng
lên vì các quyền công dân, nhưng họ sẽ là chậm và,
chúng ta không biết, không hiệu quả và thường không
được thông tin. Các tòa án sẽ chậm hơn và ghen tỵ
về sức
mạnh của họ. con đường chậm nhất của ngành ngoại
giao để cải cách, làm việc theo chủ
nghĩa tượng trưng vô nghĩa.
Nên những mong đợi
mạnh nhất của chúng tôi phải biến thành lới đầu
tiên ở trên, các nền tảng Internet của những người
tiêu dùng. Họ có nhiều thứ nhất để mất - theo lòng
tin và vì thế cả giá trị - trong việc về phía chính
phủ chống lại họ.
Tại hội nghị
Guardian Activate tại Luân Đôn vào tháng trước, tôi đã
hỏi Vint Cerf, một kiến trúc sư của mạng và là
người truyền giáo cho Google, về việc mã
hóa giao tiếp truyền thông của chúng tôi như là một sự
bảo vệ chống lại việc gián điệp của NSA. Ông ta
đã gợi ý rằng giao tiếp truyền thông nên được mã
hóa trong và ngoài các máy chủ của các công ty trên
Internet (việc cản trở, hoặc vì thế chúng tôi hy vọng,
việc nghe trộm từng bit một trên mạng qua cáp quang của
các công ty viễn thông) - mà sẽ được mã hóa bên trong
các máy chủ của các công ty sao cho họ có thể mang giá
trị gia tăng của chúng tôi dựa vào nội dung: một chiếc
vé vào điện thoại của chúng ta, một trình ghi nhớ từ
trình lập lịch của chúng ta, một cảnh báo về một câu
chuyện chúng ta đang đi theo (không nhắc tới một quảng
cáo có đích ngắm).
Bây giờ, có các
báo cáo rằng Google đang xem xét việc mã hóa ít nhất
các tài liệu được lưu trữ trong Google Drive. Điều đó
là khôn ngoan trong bất kỳ trường hợp nào, như thường
thấy, chúng có thể chứa các thông tin cá nhân và của
công ty nhạy cảm của người sử dụng. Bây giờ tôi
nghĩ Google và tất cả cần đi xa hơn và thực hiện mã
hóa một lựa chọn trong bất kỳ thông tin nào. Tôi
không muốn mã hóa sẽ là mặc định vì, thực lòng, hầu
hết cuộc sống số của tôi là tầm thường và tôi muốn
vẫn giữ một nhúm các lời nhắc trong lịch của mình.
Nhưng các công ty công nghệ cần đặt
lựa chọn và sức mạnh an ninh dữ liệu trực tiếp vào
trong tay của những người sử dụng.
Điều đó cũng có
nghĩa là các công ty công nghệ phải tiếp cận được và
làm việc được với nhau để cho phép mã hóa và các bảo
vệ khác khắp các dịch vụ của họ. Tôi đã học được
ách khó nhọc rằng nó khó khăn thế nào để có được
các
câu trả lời đơn giản cho các câu hỏi về làm thế
nào để mã hóa thư điện tử. Giới công nghiệp nên
làm việc cật lực để làm điều đó thành một lựa
chọn trong mỗi dịch vụ phổ biến.
Hãy rõ ràng rằng mã
hóa không phải là giải pháp, có lẽ chỉ là một sự va
đập tốc độ cho việc tiêu thụ ăn tạp của NSA. Tại
hội nghị Activate, Cerf đã được hỏi liệu giải pháp
cuối cùng sẽ là kỹ thuật hay viện trường. Không nghi
ngờ gì, viện trường, ông đã trả lời. Điều đó có
nghĩa là các công ty và các cơ quan chính phủ phải vận
hành theo các nguyên tắc đã định và các luật rõ ràng
với sự giám sát mở.
Trước những rò rỉ
của Snowden, các CEO công nghệ có thể đã phải cân bằng
giữa sự cộng tác và sự chống cự, chỉ như quốc gia
được cho là cân bằng an ninh và tính riêng tư. Nhưng bây
giờ, làn
sóng ý kiến công chúng rõ ràng đã dịch chuyển - ít
nhất bây giờ - và vì thế đây là thời điểm nắm
lấy sự kiểm soát của vấn đề này.
Nếu
họ không đòi sự kiểm soát rõ ràng đó, thì các công
ty công nghệ đó mạo hiểm đánh
mất công việc kinh doanh - không chỉ
từ các khách hàng khó tính, mà còn cả từ các khách
hàng tập đoàn và chính phủ nước ngoài. Liên minh An
ninh Đám mây (Cloud Security Alliance) đã
thăm dò các công ty và thấy rằng
10% đã hoãn kinh doanh đám mây Mỹ và 56% ít có khả năng
kinh doanh với các nhà cung cấp Mỹ. “Nếu các doanh
nghiệp hoặc các chính phủ nghĩ họ có thể bị gián
điệp”, Phó
chủ tịch Ủy ban châu Âu Neelie Kroes nói,
“họ sẽ có ít lý do để tin tưởng đám mây và các
nhà cung cấp đám mây cuối cùng sẽ bị lỡ”.
Bên cạnh việc tiến
hành hành động để đảm bảo an ninh cho công nghệ và
giám sát trong các công ty và nền công nghiệp của họ,
các công nghệ công nghệ nghĩ đúng cũng cần tập hợp
lại với nhau để sử dụng vốn chính trị của họ để
vận động hành lang các chính phủ khắp thế giới để
bảo vệ các quyền của người sử dụng và sự tự do
và sự bất khả xâm phạm về tính riêng tư và ngôn luận
trên mạng. Họ phải đứng lên táo bạo và cởi mở.
Để làm điều đó,
họ trước hết phải quyết định trong các nguyên tắc
họ sẽ bảo vệ. Trong cuốn sách của tôi Public
Parts, tôi đã đề
xuất một số nguyên tắc để thảo luận, trong số
đó:
- Ý tưởng là nếu bất kỳ bit nào trên mạng bị dừng hoặc đi đường vòng - hoặc bị gián điệp - thì không bit nào và bản thân mạng không thể được coi là sẽ tự do;
- Mạng phải giữ là mở và phân tán, không bị chính phủ trưng dụng và mua chuộc.
- Các công dân có quyền nói, tụ tập và hành động trực tuyến và vì thế có quyền kết nối mà không sợ hãi.
- Tính riêng tư là một đạo đức của việc biết thông tin của ai đó khác và tới một cách cởi mở;
- Chính phủ phải trở nên minh bạch một cách mặc định và bí mật khi cần (có những bí mật cần thiết). Edward Snowden đã chỉ cho chúng ta tất cả quá rõ ràng rằng điều ngược lại bây giờ là đúng.
Tôi cũng tin tưởng
rằng chúng ta phải thấy một cuộc thảo luận các nguyên
tắc và đạo đức
từ các nhà công nghệ bên trong các công ty đó. Một lý
do mà tôi đã đưa ra cho Google lợi ích của sự nghi ngờ
- bên cạnh việc là một người khâm
phục - tôi tin tưởng các kỹ sư mà tôi biết trong
Google có lẽ sẽ không ở lại nếu họ thấy hãng vi phạm
đạo đức của họ, thậm chí nếu theo lệnh của chính
phủ.
Yonathan Zunger, kiến
trúc sư trưởng của Google+, đã
nói điều này sau những tiết lộ đầu tiên của
Glenn Greenwald và tờ Guardian đã được xuất bản:
Tôi có thể nói cho
bạn rằng đây là điểm tự hào, cả cho công ty và cho
nhiều người trong chúng tôi, một cách cá nhân, rằng
chúng tôi chống lại các chính phủ mà yêu cầu thông tin
của mọi người … Tôi có thể nói dứt khoát rằng
không gì giống với sự
giám sát ồ ạt các cá nhân của các chính phủ bên
trong các hệ thống của chúng tôi đã không bao giờ đi
qua được tấm biển của tôi. Nếu nó từng có, thậm
chí nếu tôi không thể nói về điều đó, trong tất cả
các khả năng tôi có thể không còn làm ở Google nữa.
Cuối cùng, không phải
các công nghệ cũng như các viện trường sẽ đảm bảo
an ninh cho chúng ta từ sự vượt quá không mủi lòng về
sự tò mò của chính phủ khi đối mặt với khả năng kỹ
thuật. Trách nhiệm về sự giám sát và sửa cho đúng bắt
đầu với các cá nhân, bất kể là những người thổi
còi hay các chính trị gia hoặc các nhân viên phản bội
lương tâm mà cuối cùng nhắc nhở họ theo sức mạnh:
Đừng có là con quỷ.
Technology
companies: now is the moment when you must answer for us, your users,
whether you are collaborators in the US government's efforts to
"collect
it all" – our every move on the internet – or whether
you, too, are victims of its overreach.
Every
company named in Edward
Snowden's revelations has said that it must comply with
government demands, including requirements to keep secret court
orders secret. True enough. But there's only so long they can hide
behind that cloak before making it clear whether they are resisting
government's demands or aiding in them. And now, the time has come to
go farther: to use both technology and political capital to actively
protect the public's privacy.
Who will do that?
We
now know, thanks to Snowden, of at least three tiers of technology
companies enmeshed in the NSA's
hoovering of our net activity (we don't yet know whether the NSA has
co-opted companies from the financial, retail, data services, and
other industries):
(1)
Internet platforms
that provide services directly to consumers, allowing government to
demand access to signals about us: Google with search, mail,
calendars, maps; Facebook with connections; Skype with conversations,
and so on.
In
its first
Prism reporting, the Washington Post apparently unfairly fingered
nine of these companies, accusing the NSA and FBI of "tapping
directly into the central servers" that hold our "chats,
photographs, e-mails, documents, and connection logs". Quickly,
the companies repudiated
that claim
and sought
the right to report at least how many secret demands are made. But
there's more they can and should do.
(2)
Communications
brands with
consumer relationships that hand
over metadata and/or open taps on internet traffic for collection
by the NSA and Britain's GCHQ, creating vast databases that can then
be searched via
XKeyscore. Verizon leads that list, and we know from the
Süddeutsche
Zeitung that it also includes BT and Vodafone.
(3)
Bandwidth providers
that enable the NSA and its international partners to snoop on the
net, wholesale. The Süddeutsche
lists the three telco brands above in addition to Level 3, Global
Crossing, Viatel, and Interroute. Eric King, head of research for
Privacy International, asked
in the Guardian: "Were the companies strong-armed, or are they
voluntary intercept partners?"
The
bulk data carriers have no consumer brands or relationships and thus
are probably the least likely to feel commercial pressure to protect
the rights of the users at the edge. The telephone companies should
care more but they operate as oligopolies with monopoly attitudes and
rarely exhibit consumer empathy (which is a nice way of saying their
business models are built on customer imprisonment).
A
hodgepodge
alliance of US legislators is finally waking up to the need and
opportunity to stand
up for citizens' rights, but they will be slow and, don't we
know, ineffective and often uninformed.
The courts will be slower and jealous of their
power. Diplomacy's the slowest route to reform yet, dealing in
meaningless
symbolism.
So
our strongest expectations must turn to the first tier above, the
consumer internet platforms. They have the most to lose – in trust
and thus value – in taking government's side against us.
At
the Guardian Activate conference in London last month, I asked
Vint Cerf, an architect of the net and evangelist for Google,
about encrypting
our communication as a defense against NSA spying. He suggested
that communication should be encrypted into and out of internet
companies' servers (thwarting, or so we'd hope, the eavesdropping on
the net's every bit over telcos' fibre) – but should be decrypted
inside the companies' servers so they could bring us added value
based on the content: a boarding pass on our phone, a reminder from
our calendar, an alert about a story we're following (not to mention
a targeted ad).
Now,
there are reports
that Google is looking at encrypting at least documents stored in
Google Drive. That is wise in any case, as often, these can contain
users' sensitive company and personal information. I now think Google
et al need to go farther and make encryption an option on
any information. I
don't want encryption to be the default because, in truth, most of my
digital life is banal and I'd like to keep getting those handy
calendar reminders. But technology companies need to put the option
and power of data security directly into users' hands.
That
also means that the technology companies have to reach out and work
with each other to enable encryption and other protections across
their services. I learned the hard way how difficult it is to get
simple
answers to questions about how to encrypt email. The industry
should work hard to make that an option on every popular service.
But
let's be clear that encryption is not the solution, probably only a
speed bump to the NSA's omnivorous ingesting. At the Activate
conference, Cerf was asked whether the solution in the end will be
technical or institutional. No doubt, institutional, he answered.
That means that companies and government agencies must operate under
stated principles and clear laws with open oversight.
Before
Snowden's leaks, technology CEOs would have had to balance
co-operation and resistance, just as the nation supposedly balances
security and privacy. But now, the tide
of public opinion has clearly shifted – at
least for now – and so this is the moment to grab control of
the issue.
If
they do not assert that clear control, these technology companies
risk losing
business – not only from skittish consumers, but also from
corporate and foreign-government clients. The Cloud Security Alliance
polled
companies and found that 10% had canceled US cloud business and
56% were less likely to do business with US providers. "If
businesses or governments think they might be spied on," said
European Commission Vice President Neelie Kroes, "they will
have less reason to trust the cloud, and it will be cloud providers
who ultimately miss out."
Besides
taking action to secure technology and oversight within their
companies and the industry, right-thinking technology companies also
need to band together to use their political capital to lobby
governments across the world to protect the rights of users and the
freedom and sanctity of privacy and speech on the net. They must take
bold and open stands.
To
do that, they must first decide on the principles they should
protect. In my book Public
Parts, I proposed
some principles to discuss, among them:
•
the idea that if any bit on the net is stopped or detoured – or
spied upon – then no bit and the net itself cannot be presumed to
be free;
•
that the net must remain open and distributed, commandeered and
corrupted by no government;
•
that citizens have a right to speak, assemble, and act online and
thus have a right to connect without fear;
•
that privacy is an ethic of knowing someone else's information and
coming by it openly;
•
and that government must become transparent by default and secret by
necessity (there are necessary secrets). Edward Snowden has shown us
all too clearly that the opposite is now true.
I
also believe that we must see a discussion of principles and ethics
from the technologists inside these companies. One reason I have
given Google the benefit of the doubt – besides being an admirer
– is that I believe the engineers I know inside Google would not
stay if they saw it violating their ethics, even if under government
order.
Yonathan
Zunger, the chief architect of Google+, said
this after the Guardian's and Glenn Greenwald's first revelations
were published:
I
can tell you that it is a point of pride, both for the company and
for many of us, personally, that we stand up to governments that
demand people's information … I can categorically state that
nothing resembling the mass surveillance
of individuals by governments within our systems has ever crossed my
plate. If it had, even if I couldn't talk about it, in all likelihood
I would no longer be working at Google.
In
the end, it's neither technologies nor institutions that will secure
us from the inexorable overreach of government curiosity in the face
of technical capability. Responsibility for oversight and correction
begins with individuals, whether whistleblowers or renegade
politicians or employees of conscience who finally remind those in
power:
Don't
be evil.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.