В ЕС назвали VPN лазейкой для обмана систем проверки возраста — и её хотят закрыть

Исследовательская служба при Европарламенте (EPRS) предупредила (PDF), что для обхода сервиса проверки возраста жители региона стали всё чаще пользоваться технологиями виртуальных частных сетей (VPN). Это решение охарактеризовали как «лазейку в законодательстве, которую следует закрыть».

Власти стран Евросоюза и других регионов принимают меры, направленные на защиту детей в интернете — крупным платформам предписывают реализовывать поддержку систем проверки возраста, чтобы предоставлять пользователям доступ к материалам с возрастными ограничениями. С началом работы этих систем резко возросло и использование VPN — эксперты EPRS привели в пример Великобританию и некоторые американские штаты. На эту технологию прямо указывают как на пробел в законодательстве и предлагают ввести возрастные ограничения на доступ к самим службам VPN.

Принудительная проверка личности для доступа к VPN, однако, ослабляет защиту анонимности и создаёт новые угрозы, связанные со слежкой и сбором данных, указывают операторы VPN и правозащитники, которые ранее направили соответствующее обращение к британским властям. В официальном приложении ЕС для проверки возраста ранее было обнаружено множество уязвимостей, создающих риски для безопасности и конфиденциальности граждан — эти уязвимости позволяют обходить средства проверки, а связанные с биометрией изображения передаются на незашифрованные ресурсы.

Решение задачи о проверке возраста сопряжено с техническими сложностями, признают в EPRS, а технологии и сервисы остаются фрагментированными во всём регионе. Используются методы подтверждения личности, условной оценки возраста и даже самодекларации — все они относительно легко обходятся. Приводятся и новые решения, например, введённая во Франции «двойная слепая проверка», при которой администрация веб-сайта имеет доступ только к факту подтверждения того, что пользователь соответствует возрастным требованиям, но его личность не раскрывается, — а поставщик услуг верификации, со своей стороны, не имеет доступа к тому, какие сайты посещает пользователь.

Власти некоторых регионов выбрали радикальные решения. Так, в американском штате Юта, в соответствии с законодательством, подтверждение местоположения пользователя может осуществляться только с использованием технологий геопозиционирования, а не проверки IP-адреса, который легко фальсифицируется с помощью VPN. В EPRS указывают, что поставщики услуг VPN могут столкнуться с ужесточением законодательства: появятся новые нормы, направленные на предотвращение неправомерного использования VPN для обхода правовой защиты.