Канадският законопроект C-22, внесен в парламента на 12 март 2026 г., е представян от правителството като инструмент за „законен достъп“ на службите до комуникации. Според Мат Морган, автор в The Daily Bell, зад тази формула обаче се крие далеч по-сериозна промяна: принуждаване на телекомуникационните и дигиталните компании да вградят постоянни възможности за наблюдение в собствените си мрежи.
Морган твърди, че правителството настоява, че подобна система няма да създаде „системна уязвимост“. Според него това е погрешно — и историята вече го е доказала. Подобни механизми са били изграждани в американските телекомуникационни мрежи още преди три десетилетия, а през последните години китайски държавни хакери са успели да проникнат именно в такива инфраструктури.
Основната теза на автора е проста: всяка „задна врата“, създадена за държавата, рано или късно се превръща в задна врата за онези, от които държавата уж трябва да защитава гражданите.
„Законен достъп“ или скрита инфраструктура за наблюдение
В анализа си за The Daily Bell Мат Морган прави важно разграничение. Изразът „законен достъп“ обикновено описва ситуация, в която държавата вече има правомощия — например да изиска със съдебна заповед данни, които съществуват. Според него Bill C-22 отива много по-далеч.
Законопроектът би задължил доставчиците на електронни услуги — дефинирани толкова широко, че според автора обхващат голяма част от дигиталния бизнес в Канада — да разработват и поддържат техническа възможност за продължаващо наблюдение. Освен това те трябва да съхраняват метаданни за срок до една година и да изпълняват конфиденциални министерски заповеди.
Тук е важно уточнението, че официалният текст на Bill C-22 действително създава рамка за „електронните доставчици на услуги“ да могат да съдействат на упълномощени лица при вече съществуващи правомощия за достъп до информация по Наказателния кодекс и закона за канадската разузнавателна служба CSIS. Канадското правителство изрично твърди, че Част 2 от законопроекта не създава нови правомощия за прихващане на комуникации, а цели доставчиците да могат да изпълняват вече законно издадени нареждания.
В същото време самият законопроект използва много широка дефиниция за „електронна услуга“ и „доставчик на електронна услуга“ — включително услуги за създаване, съхранение, обработване, предаване или предоставяне на информация по електронен или дигитален път. Текстът позволява регулации за разработване, внедряване, тестване и поддръжка на технически възможности за извличане и организиране на информация, както и за инсталиране или използване на устройства и оборудване, които могат да позволят достъп до такава информация.
Къде според критиците започва рискът за криптирането
Именно тук се намира сърцевината на спора. Твърдението на Морган, че законът ще принуди всеки канадски телеком и дигитален доставчик да изгради възможности за наблюдение, е неговата публицистична оценка на риска. По-прецизно казано, законопроектът създава механизъм, чрез който определени „основни доставчици“ могат да бъдат задължени с регулации, а министърът може с индивидуална заповед да наложи сходни задължения и на друг доставчик на електронни услуги, дори той да не е предварително определен като „основен доставчик“.
По отношение на метаданните текстът също дава основание за тревога: Bill C-22 позволява регулации за съхраняване на категории метаданни, включително т.нар. transmission data, за „разумни срокове“, които не надхвърлят една година. Законопроектът обаче уточнява, че това не трябва да включва съдържанието на комуникациите, историята на сърфиране или активностите в социалните мрежи. (parl.ca)
Според Морган това вече не е просто „достъп“, а форма на принудително включване на частните компании в държавния апарат за наблюдение. Компаниите се превръщат в техническо продължение на държавата, като част от разходите се поемат от тях, а в крайна сметка — от клиентите им.
Apple, Meta и Signal срещу Bill C-22
Авторът припомня, че Apple, Meta, Signal, NordVPN и базираната в Торонто EasyDNS вече са се обявили публично срещу законопроекта или са заплашили да напуснат канадския пазар.
Тази част от твърдението е в значителна степен потвърдена, макар и с някои уточнения. Reuters съобщи, че Apple и Meta публично са се противопоставили на Bill C-22 с аргумента, че той може да принуди технологични компании да отслабят криптирането на своите устройства и услуги. Apple заявява, че законопроектът може да позволи на канадското правителство да принуди компании да разбиват криптиране чрез „задни врати“ — нещо, което компанията казва, че „никога няма да направи“.
Meta също публикува собствена позиция, според която Част 1 на законопроекта може да бъде работеща рамка за достъп на правоохранителните органи до данни, но Част 2 носи сериозен риск за поверителността и киберсигурността. Компанията предупреждава, че текстът може да принуди фирми да изграждат или поддържат възможности, които отслабват криптирането, или да инсталират правителствени инструменти за наблюдение директно в системите си.
NordVPN също предупреди, че може да ограничи или премахне присъствието си в канадска юрисдикция, ако Bill C-22 бъде приет по начин, който застрашава неговата no-logs архитектура или криптирането. Global News съобщава и за предупреждение от Signal, че услугата би напуснала Канада, ако бъде принудена да компрометира поверителността на потребителите си.
Канадското правителство отхвърля тези обвинения. Представител на министъра на обществената сигурност заявява пред Global News, че правителството не законодателства с цел да изисква от доставчиците да инсталират възможности за наблюдение и категорично отхвърля твърденията, че Bill C-22 би наложил „задни врати“ в продуктите им.
Въпреки това критиките не идват само от технологични компании. Комисиите по правосъдие и по външни работи в Камарата на представителите на САЩ изпратиха писмо до канадския министър на обществената сигурност с предупреждение, че Bill C-22 може да създаде трансгранични рискове за сигурността и поверителността на американски граждани. Според председателите Джим Джордан и Брайън Маст законопроектът би могъл да позволи на канадски служители да принудят американски компании да изграждат „задни врати“ в криптираните си системи.
Урокът от Атина: когато системата се обръща срещу държавата
За да обясни риска, Мат Морган се връща към случая с Vodafone в Гърция. През 2003 г. Vodafone Greece инсталира Ericsson AXE комутатори, които включват функционалност за законно прихващане на комуникации — същия тип възможност, каквато според автора би наложил и C-22.
Тази функция не е била активирана за оперативна употреба. Vodafone дори не е закупила пълните компоненти на системата за подслушване. Техническата възможност обаче вече е съществувала в мрежата — като инфраструктура, която може да бъде активирана при съдебно разрешение от гръцките органи.
През 2004 г. неизвестни хакери инсталират около 6500 реда злонамерен код в комутаторите, активират скрито функционалността за прихващане и започват да подслушват премиера, министъра на отбраната, кмета на Атина, високопоставени политици, военни, журналисти и организации за човешки права. По думите на Морган тази операция продължава почти година, преди да бъде открита.
Този случай е добре документиран. IEEE Spectrum описва как Vodafone не е закупила пълната система за законно прихващане, но софтуерно обновяване на Ericsson AXE е включвало компонентите, които позволяват такава функционалност. Именно тази архитектура по-късно е използвана от нападателите. Особено мрачна част от случая е смъртта на мрежовия мениджър на Vodafone, който вероятно е открил пробива. Той е намерен обесен в апартамента си ден преди нарушението да бъде докладвано на гръцкото правителство. Случаят остава неразрешен.
Изводът на автора е, че системата е била изградена, за да може държавата да следи граждани при наличие на съдебно разрешение. Вместо това неизвестен участник я използва, за да следи самата държава — без разрешение. Според Морган именно това означава „системна уязвимост“: не е нужно механизмът да бъде официално активиран, достатъчно е да бъде вграден.
Salt Typhoon и американският пример със „задните врати“
Вторият голям пример в статията е американският закон CALEA — Communications Assistance for Law Enforcement Act, приет през 1994 г. Той задължава телекомуникационните оператори в САЩ да проектират мрежите си така, че да позволяват законно прихващане на комуникации. Мат Морган посочва, че архитектурата, която C-22 предлага за Канада, по структура напомня именно на системата, наложена в САЩ преди 30 години.
В края на 2024 г. става известно, че хакерска група, свързвана с китайски държавни структури и известна като Salt Typhoon, е проникнала в системи на големи американски телекомуникационни компании. Reuters съобщава, че китайски хакери са пробили американски широколентови мрежи и са получили достъп до данни, свързани със системи за съдебно разрешено подслушване. Сред засегнатите компании са посочвани Verizon, AT&T и Lumen Technologies. Според американски представители по-късно броят на засегнатите телекоми достига поне девет, а атаката е свързана с възможности за геолокация и запис на разговори. Reuters съобщава, че сред целите са били и лица, свързани с кампаниите на Камала Харис и Доналд Тръмп през 2024 г.
За Морган това е ключовият исторически аргумент: инфраструктурата, изградена с цел правоохранителните органи да получават законен достъп, се превръща в цел за чуждо разузнаване. С други думи, „задната врата“ не остава запазена само за държавата, която я е поискала.
Канадската връзка: предупреждението, което дойде преди закона
Морган обръща внимание и на канадския елемент в случая Salt Typhoon. По думите му повечето канадци не знаят, че през юни 2025 г. Канадският център за киберсигурност — правителствена агенция — публикува съвместно предупреждение с ФБР.
Това също се потвърждава от официалния бюлетин на Канадския център за киберсигурност. В него се посочва, че три мрежови устройства, регистрирани на канадска телекомуникационна компания, са били компрометирани от вероятни хора, свързани със Salt Typhoon, в средата на февруари 2025 г. Нападателите са използвали уязвимост CVE-2023-20198 и са конфигурирали GRE тунел, който позволява събиране на трафик от мрежата.
Канадският център предупреждава, че подобни атаки срещу телекомуникационни компании вероятно ще продължат. И именно тук The Daily Bell вижда най-голямото противоречие: след като канадското правителство вече знае, че телекомуникационните мрежи са цел на чужди държавни хакери, то внася законопроект, който според критиците ще изисква от доставчиците да изграждат още по-чувствителна инфраструктура за достъп.
За Морган това означава, че държавата знае за риска, но въпреки това настоява за изграждане на същия клас технически възможности.
Големият въпрос: може ли да има „задна врата“ само за добрите?
В заключение Мат Морган твърди, че историята на подобни системи е еднопосочна. Инфраструктура, изградена за държавата, в крайна сметка се използва срещу държавата. Механизми, представяни като защита за гражданите, често ги излагат на още по-голям риск. Поддръжниците на C-22, пише той, вероятно ще отговорят, че предишните провали са били технически грешки — поправими проблеми, които Канада ще избегне с по-добър дизайн, по-сигурна реализация и по-строг контрол. Но според автора същото е било казвано и за CALEA през 1994 г., и за системата на Ericsson през 2003 г.
Проблемът, според The Daily Bell, е, че държавата никога не вижда себе си като източник на риска. Отговорът ѝ винаги е повече държава, повече контрол, повече обещания, че „следващия път“ системата ще бъде по-добра.
Мат Морган завършва с предупреждение, че законопроектът, представян като мярка за по-голяма сигурност, може да изложи местоположението, метаданните и комуникациите на всеки канадец на достъп от онези, които най-силно желаят да ги получат.
Както обобщава авторът: няма „задна врата“, която да пропуска само добрите. Такава никога не е имало.
Ако решите да подкрепите КритичноБГ, може да го направите тук. Предварително благодаря!
Дарения Revolut: @mariyatkwa
Дарения PayPal: @MariyanIvIvanov
