Kanada rozpętała wojnę z VPN-ami. Firmy grożą ucieczką z kraju

Kanadyjski rząd opublikował poradnik zachęcający obywateli do korzystania z VPN-ów podczas używania publicznych sieci Wi-Fi. Kilka dni wcześniej te same władze zaproponowały przepisy, które według branży mogą doprowadzić do końca prywatnych usług VPN w kraju. Reakcja firm była natychmiastowa i wyjątkowo ostra.

Nowa ustawa C-22 wywołała prawdziwą burzę. Dostawcy usług szyfrujących alarmują, że Kanada próbuje stworzyć system masowej retencji danych, który zmusi firmy do przechowywania logów użytkowników i budowy mechanizmów umożliwiających dostęp służb do komunikacji.

Rząd zachęca do VPN-ów. Branża przeciera oczy ze zdumienia

19 maja kanadyjska agencja Public Safety Canada opublikowała wpis w serwisie X, w którym radziła użytkownikom zabezpieczać swoje dane podczas korzystania z otwartych hotspotów Wi-Fi. W komunikacie pojawiło się jednoznaczne zalecenie: używaj VPN-u.

Problem polega na tym, że kilka dni wcześniej projekt ustawy C-22 wywołał panikę wśród największych dostawców takich usług. Według proponowanych przepisów firmy technologiczne miałyby zostać zobowiązane do przechowywania metadanych użytkowników nawet przez rok oraz tworzenia „technicznych możliwości” dla organów ścigania i wywiadu.

Dla usług VPN taki zapis brzmi jak wyrok. Większość popularnych dostawców buduje swoją markę właśnie na polityce „no logs”, czyli braku przechowywania danych użytkowników.

Kanada znalazła się w niezwykle dziwnej sytuacji. Państwo jednocześnie zachęca obywateli do ochrony prywatności za pomocą VPN-ów i proponuje przepisy, które według firm mogą doprowadzić do końca prywatnych usług szyfrujących w kraju.

Windscribe: „To przedstawienie klaunów”

Najmocniej zareagował kanadyjski dostawca VPN, Windscribe. Firma publicznie wyśmiała działania władz, odpowiadając na rządowy wpis z ironią i wściekłością. Przedstawiciele Windscribe napisali, że Kanada jednocześnie namawia obywateli do ochrony prywatności i forsuje przepisy, które praktycznie uniemożliwią funkcjonowanie VPN-ów bez śledzenia klientów. Firma stwierdziła również, że jeśli ustawa przejdzie w obecnym kształcie, rozważy przeniesienie siedziby poza Kanadę.

Dla Windscribe problem jest szczególnie poważny. To firma z główną siedzibą w Toronto, więc nowe przepisy objęłyby ją bezpośrednio. W przeciwieństwie do zagranicznych usług nie może po prostu wyłączyć kilku lokalnych serwerów i działać dalej. W jednym z wpisów firma napisała wprost, że „ustawa C-22 musi umrzeć”, publikując to hasło wielokrotnie w jednym komunikacie.

NordVPN i Signal też ostrzegają

Nie tylko Windscribe zapowiada możliwe wycofanie się z Kanady. NordVPN również przekazał, że nie zaakceptuje obowiązku łamania własnej architektury bezpieczeństwa. Firma zaznaczyła, że jeśli przepisy wymuszą przechowywanie danych użytkowników lub osłabienie szyfrowania, rozważy ograniczenie działalności w Kanadzie albo całkowite opuszczenie rynku. Podobne ostrzeżenie wystosował komunikator Signal. Twórcy aplikacji od dawna podkreślają, że nie są w stanie przekazać władzom danych użytkowników, których po prostu nie przechowują.

Projekt ustawy wywołał alarm w branży technologicznej

Nowe przepisy krytykują nie tylko firmy zajmujące się prywatnością. Głos zabrał także Shopify. Dyrektor generalny firmy, Tobi Lütke, napisał, że C-22 wygląda jak „ogromny błąd”, który może poważnie zaszkodzić kanadyjskiemu sektorowi technologicznemu. Krytyka pojawiła się również ze strony gigantów branży cyfrowej. Apple ostrzegł, że ustawa może doprowadzić do wymuszania tylnych furtek w systemach szyfrowania. Meta alarmuje z kolei, że przepisy mogą zmusić firmy do instalowania mechanizmów nadzoru bez wiedzy użytkowników.

Kanada buduje system, który Europa uznała za nielegalny

Najbardziej kontrowersyjny element projektu dotyczy obowiązkowego przechowywania metadanych wszystkich użytkowników przez okres do 365 dni. Krytycy ustawy zwracają uwagę, że podobne rozwiązania były już wcześniej podważane przez europejskie sądy.

Eksperci ds. prywatności przypominają, że masowe gromadzenie danych całej populacji było wielokrotnie uznawane w Unii Europejskiej za naruszenie praw obywatelskich.

Projekt zakłada również możliwość wydawania tajnych nakazów wobec firm technologicznych. Dostawcy usług mogliby zostać zobowiązani do wdrożenia określonych funkcji nadzoru, a jednocześnie nie mieliby prawa poinformować klientów o istnieniu takich poleceń.

USA także reagują

Sprawa zaczyna wywoływać napięcia poza Kanadą. Przewodniczący komisji w amerykańskim Kongresie ostrzegli, że nowe przepisy mogą stanowić zagrożenie dla prywatności obywateli USA. Według amerykańskich polityków Kanada może stworzyć mechanizm pozwalający wymuszać osłabianie szyfrowania w systemach wykorzystywanych przez firmy działające po obu stronach granicy.

To właśnie kwestia tylnych furtek budzi największe obawy ekspertów. Branża bezpieczeństwa od lat podkreśla, że nie istnieje „bezpieczna luka” dostępna wyłącznie dla służb. Raz osłabiony system staje się potencjalnym celem dla cyberprzestępców, obcych wywiadów i grup hakerskich.

Rząd odpiera zarzuty, ale firmy nie wierzą

Kanadyjskie władze próbują tonować emocje. Rzecznik ministra bezpieczeństwa publicznego zapewnił, że ustawa nie zmusi firm do instalowania tylnych furtek ani masowej inwigilacji obywateli.

Problem polega na tym, że branża interpretuje zapisy projektu zupełnie inaczej. Dla dostawców VPN samo wymaganie budowy „technicznych możliwości dostępu” oznacza konieczność stworzenia systemu nadzoru.