W nowym, niepokojącym raporcie brytyjskiego urzędu regulacyjnego ds. komunikacji Ofcom padł surowy werdykt: treści wyświetlane YouTubeTikTok i YouTube„nie są wystarczająco bezpieczne” dla dzieci. Nie jest to tylko kolejne symboliczne upomnienie ze strony organu regulacyjnego. Ofcom kieruje tym sygnałem ostrzegawczym do wszystkich osób zajmujących się cyberbezpieczeństwem, analizą zagrożeń oraz bezpieczeństwem w sieci.
Jak sama organizacja stwierdza:
„Warto zauważyć, że serwisy TikTok i YouTube ły się do wprowadzenia żadnych znaczących zmian mających na celu ograniczenie wyświetlania treści szkodliwych dla dzieci, twierdząc, że ich kanały informacyjne są już bezpieczne dla dzieci”.
Z drugiej strony, firmy Snap, Meta i Roblox zgodziły się wprowadzić dodatkowe środki bezpieczeństwa, aby chronić dzieci przed uwodzeniem w sieci i „zagrożeniami ze strony nieznajomych”.
BBC donosi, że badanie przeprowadzone przez Ofcom wykazało, iż 84% dzieci w wieku od 8 do 12 lat nadal korzystało z co najmniej jednej popularnej usługi, w której minimalny wiek użytkownika wynosi 13 lat. Wcześniej informowaliśmy o tym, jak łatwo można było oszukać niektóre metody weryfikacji wieku. Badacze korzystający z kont osób poniżej 13. roku życia zgłaszali również, że wkrótce po wejściu do niektórych gier na platformie Roblox natrafiali na treści o charakterze seksualnym oraz obraźliwy język.
Skoro mowa o Robloxie, gazeta „The Guardian” donosi, że amerykańskie organizacje społeczne zwróciły się oficjalnie do Federalnej Komisji Handlu (FTC) z wnioskiem o zbadanie działalności Robloxu pod kątem praktyk, które określają jako „nieuczciwe i wprowadzające w błąd”. Skarga dotyczy przede wszystkim:
- Zakupy w grach, które wywierają presję na dzieci, by wydawały pieniądze
- Funkcja czatu narażająca dzieci na kontakt z nieznajomymi
- Funkcje zaprojektowane z myślą o maksymalnym zaangażowaniu użytkowników, które według krytyków mogą uzależniać
Drew Benvie, dyrektor generalny firmy Battenhall i założyciel organizacji non-profit „Raise” zajmującej się bezpieczeństwem młodzieży, zauważył:
„Chociaż Roblox wprowadza nowe środki bezpieczeństwa oparte na wieku, młodzi gracze potrafią z łatwością obejść te zabezpieczenia”.
Z punktu widzenia cyberbezpieczeństwa
To, co nie daje spać badaczom zajmującym się cyberbezpieczeństwem, to inny aspekt tego problemu. Wiele proponowanych rozwiązań w zakresie weryfikacji wieku wymaga od użytkowników przekazania dokumentów tożsamości wydanych przez organy państwowe lub danych biometrycznych z selfie. Omówiliśmy to już na naszym blogu w artykule „Weryfikacja wieku: ochrona dzieci czy zagrożenie dla prywatności?”.
Systemy weryfikacji wieku stwarzają ogromne możliwości gromadzenia danych, które stają się głównym celem dla:
- Naruszenia bezpieczeństwa danych, w wyniku których ujawniono poufne dane osobowe (PII)
- Identity ułatwiona przez scentralizowane bazy danych zawierające dane identyfikacyjne
- Kradzież danych biometrycznych, których nie da się zmienić tak jak haseł
- Złośliwe oprogramowanie i oszustwa wymierzone w użytkowników korzystających z mniej bezpiecznych platform
Kiedy ograniczenia zmuszają młodych użytkowników do korzystania z mniejszych lub mniej bezpiecznych stron, napotykają oni:
- Brak podstawowych zabezpieczeń
- Większe narażenie na złośliwe oprogramowanie
- Wzrost ryzyka związanego z phishingiem i oszustwami
- Niemoderowane treści szkodliwe
Dokładnie to obserwujemy w analizie zagrożeń: gdy specjaliści ds. bezpieczeństwa zabezpieczają jeden wektor ataku, cyberprzestępcy dostosowują się i przenoszą się gdzie indziej.
Bezpieczniejsze systemy są skuteczniejsze niż surowsze ograniczenia wiekowe
Ochrona dzieci powinna skupiać się na zapewnieniu ogólnie bezpieczniejszych doświadczeń w sieci. Jest to jedyna realna droga naprzód, ponieważ:
- Skuteczniejsza moderacja faktycznie usuwa szkodliwe treści, a nie tylko blokuje do nich dostęp
- Bezpieczniejsze systemy rekomendacji zapobiegają algorytmicznej amplifikacji szkodliwych treści
- Większa odpowiedzialność platform oznacza, że firmy nie mogą przedkładać zaangażowania użytkowników nad bezpieczeństwo
- Unikanie inwazyjnego gromadzenia danych zapobiega tworzeniu ogromnych pułapek dla atakujących
Jako osoba, która na co dzień zajmuje się analizą złośliwego oprogramowania i zagrożeń, mogę powiedzieć jedno: bezpieczeństwo oparte na niejawności (ograniczenia wiekowe) nie sprawdza się. Natomiast bezpieczeństwo oparte na solidnej konstrukcji systemu (moderacja, bezpieczniejsze algorytmy, odpowiedzialność) – tak.
Oszuści nie muszą włamują się do twojego komputera. Wystarczy, że raz klikniesz.
Malwarebytes Identity Theft wykrywa podejrzaną aktywność, zanim stanie się ona problemem.
