Layanan Riset Parlemen Eropa menyebut VPN sebagai “celah yang harus ditutup”

 (cyberinsider.com)
2 poin oleh GN⁺ 2 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • European Parliamentary Research Service (EPRS) menyatakan bahwa VPN makin sering digunakan untuk mengakali sistem verifikasi usia online, dan menyebutnya sebagai “celah legislasi yang harus ditutup”
  • Pemerintah di Eropa dan wilayah lain sedang memperluas aturan keselamatan anak online yang mewajibkan platform memverifikasi usia pengguna sebelum mengakses konten dewasa atau konten dengan batasan usia
  • EPRS menyatakan bahwa setelah undang-undang verifikasi usia wajib diberlakukan di Inggris dan beberapa negara bagian AS, penggunaan VPN melonjak tajam, dan di Inggris aplikasi VPN mendominasi tangga unduhan
  • Dokumen EPRS782618_EN.pdf) menyebut bahwa sebagian pembuat kebijakan dan advokat keselamatan anak ingin mewajibkan verifikasi usia bahkan untuk akses ke VPN itu sendiri, tetapi verifikasi identitas sebelum mengakses VPN dapat melemahkan perlindungan anonimitas dan meningkatkan risiko pengawasan serta pengumpulan data
  • EPRS menyatakan bahwa ketika UE merevisi legislasi keamanan siber dan keselamatan online, penyedia VPN dapat menghadapi pengawasan yang lebih ketat, dan dalam revisi EU Cybersecurity Act di masa depan dapat diperkenalkan persyaratan keselamatan anak untuk mencegah penyalahgunaan VPN

Peringatan EPRS tentang celah regulasi VPN

  • European Parliamentary Research Service (EPRS) menyatakan bahwa VPN makin sering digunakan untuk mengakali sistem verifikasi usia online, dan menyebutnya sebagai “celah legislasi yang harus ditutup”
  • Pemerintah di Eropa dan wilayah lain sedang memperluas aturan keselamatan anak online yang mewajibkan platform memverifikasi usia pengguna sebelum mengakses konten dewasa atau konten dengan batasan usia
  • VPN adalah alat privasi yang mengenkripsi lalu lintas internet dan merutekan koneksi melalui server jarak jauh untuk menyembunyikan alamat IP pengguna
  • VPN juga banyak digunakan untuk tujuan yang sah seperti melindungi komunikasi, menghindari pengawasan, dan kerja jarak jauh yang aman, tetapi regulator khawatir teknologi yang sama memungkinkan anak di bawah umur menghindari verifikasi usia berbasis wilayah

Penggunaan VPN meningkat setelah undang-undang verifikasi usia berlaku

  • EPRS menyatakan bahwa setelah undang-undang verifikasi usia wajib diberlakukan di Inggris dan beberapa negara bagian AS, penggunaan VPN melonjak tajam
  • Di Inggris, layanan online diwajibkan mencegah akses anak ke konten berbahaya, dan setelah aturan itu berlaku aplikasi VPN dilaporkan mendominasi tangga unduhan
  • Unggahan EPRS menuliskan bahwa “VPN makin sering digunakan untuk menghindari verifikasi usia online”, dan menyatakan bahwa aturan baru yang mewajibkan usia minimum untuk mengakses sebagian layanan kini sedang diberlakukan

Dorongan untuk mewajibkan verifikasi usia bahkan untuk akses VPN

  • Dokumen EPRS782618_EN.pdf) secara eksplisit menyebut VPN sebagai celah regulasi, dan menyatakan bahwa sebagian pembuat kebijakan serta advokat keselamatan anak menilai akses ke VPN itu sendiri juga perlu verifikasi usia
  • England’s Children’s Commissioner juga meminta agar layanan VPN dibatasi hanya untuk orang dewasa
  • Namun, jika verifikasi identitas diwajibkan sebelum akses ke VPN, perlindungan anonimitas bisa sangat melemah dan muncul risiko baru terkait pengawasan serta pengumpulan data
  • Penyedia VPN dan kelompok privasi sudah menentang pendekatan ini dalam surat yang dikirim kepada para pembuat kebijakan Inggris

Masalah keamanan dan privasi pada aplikasi verifikasi usia UE

  • Bulan lalu, para peneliti menemukan berbagai celah keamanan dan privasi segera setelah aplikasi verifikasi usia resmi European Commission dirilis
  • Aplikasi ini dipromosikan sebagai alat yang menjaga privasi di bawah kerangka DSA, tetapi ditemukan masalah berupa penyimpanan gambar biometrik sensitif di lokasi yang tidak terenkripsi
  • Kelemahan yang memungkinkan kontrol verifikasi dilewati sepenuhnya juga terungkap

Verifikasi usia yang sulit secara teknis dan alternatifnya

  • Dokumen EPRS mengakui bahwa verifikasi usia di seluruh UE masih sulit secara teknis dan terfragmentasi
  • Sistem saat ini yang berbasis pernyataan mandiri, perkiraan usia, dan verifikasi identitas masih dapat diakali relatif mudah oleh anak di bawah umur
  • Pendekatan baru seperti verifikasi “double-blind” yang digunakan di Prancis juga diajukan
    • Situs web hanya menerima konfirmasi bahwa pengguna memenuhi persyaratan usia, tanpa mengetahui identitas pengguna
    • Penyedia verifikasi tidak dapat melihat situs web mana yang dikunjungi pengguna

Legislasi mulai secara langsung menargetkan VPN

  • Utah baru-baru ini menjadi negara bagian AS pertama yang mengesahkan undang-undang yang secara eksplisit menargetkan penggunaan VPN dalam verifikasi usia online
  • Utah SB 73 mendefinisikan lokasi pengguna berdasarkan keberadaan fisik, bukan alamat IP yang tampak, bahkan jika lokasi disembunyikan dengan VPN atau layanan proxy
  • EPRS menilai bahwa penyedia VPN dapat menghadapi pengawasan yang lebih ketat ketika UE merevisi legislasi keamanan siber dan keselamatan online
  • EPRS menyatakan bahwa dalam revisi EU Cybersecurity Act di masa depan dapat diperkenalkan persyaratan keselamatan anak untuk mencegah penyalahgunaan VPN yang digunakan untuk menghindari perlindungan hukum

Bacaan terkait

1 komentar

 
GN⁺ 2 jam lalu
Komentar Hacker News

  • Sekadar mengingatkan, ketika Tiongkok mulai mewajibkan izin pendaftaran sebelum mengoperasikan situs web, dalihnya juga melindungi anak-anak
    Kebijakan sederhana ini pada akhirnya membungkam sebagian besar penerbit individu dan media swakelola, memusatkan industri ke tangan segelintir pihak, serta menghapus peluang yang tersisa bagi pendiri kecil. Ini bisa menjadi akibat yang jauh lebih buruk daripada anak-anak melihat pornografi online, karena berdampak negatif sepanjang hidup orang
    Jika UE benar-benar ingin membatasi layanan VPN hanya untuk orang dewasa, mereka cukup mendenda anak yang menggunakan VPN atau orang tua yang mengizinkannya. Sama seperti pelanggaran lalu lintas yang didenda adalah pengemudinya, bukan jalannya
    Kalau itu pun masih dianggap tidak cukup, putus saja kabelnya seperti Korea Utara

    • Ringkasnya, begini kira-kira yang terjadi di Rusia
      Sekitar 2015, kerangka hukum dibuat dengan alasan memblokir media bajakan, terutama torrents.ru, dan pemblokiran DNS skala nasional diperkenalkan, tetapi mudah dilewati dengan menanyakan ke 8.8.8.8
      Setelah itu pemerintah memakai dasar hukum tersebut untuk menambahkan item lain ke daftar blokir, seperti kasino dan organisasi teroris, lalu mulai menerapkan pemblokiran IP secara hati-hati
      Hukumnya makin meluas sehingga pemerintah bisa memblokir media tertentu dengan kriteria yang samar, mencoba pemblokiran IP pada sebagian situs besar, dan ISP diwajibkan memasang perangkat DPI untuk pemfilteran berdasarkan HTTPS SNI
      Sekitar 2019, dibentuk lembaga pemerintah Roskomnadzor(RKN) yang menegakkan pemblokiran tanpa perintah pengadilan, dan sekitar 2021 situs yang tidak memfilter konten sesuai standar hukum Rusia mulai diblokir atas permintaan RKN, sementara layanan VPN juga harus memfilter trafik dengan DPI
      Sekitar 2023 dimulai penindakan VPN, layanan komersial populer diblokir lewat IP, koneksi OpenVPN dan IPSec diperlambat secara selektif lewat DPI, dan sekitar 2025 diperkenalkan pemfilteran VPN yang kuat untuk vless, WireGuard, dan lainnya, sementara performa situs tertentu seperti YouTube dan Twitter juga diturunkan
    • Saya akan mendukung undang-undang anti-privasi seperti ini kalau politisi, penegak hukum, dan militer juga terkena penerapannya dengan cara yang sama. Tentu saja saya tidak benar-benar mendukungnya
      Oposisi akan membongkar bahan kotor mereka hingga korupsi sehari-hari terekspos, lalu data itu akan terus dipakai sebagai senjata satu sama lain, tetapi dunia seperti itu tidak akan datang. Karena kita tidak hidup di dunia tempat hukum diterapkan adil kepada semua orang
      Intinya, “aturan untuk kalian saja, bukan untuk saya”
    • Kamu mengajukan pertanyaan yang terlalu logis. Untuk warga dunia tahun 2026, kamu terlalu banyak berpikir dan berbicara. Sekarang “penalaran” adalah kata khusus yang dipesan untuk chatbot, jadi manusia tak boleh lagi melakukannya, dan harus patuh seperti bot sambil berpura-pura bahwa semua kebohongan mereka adalah kebenaran
      Saya tinggal di Turki, dan pemerintah melarang semua situs dewasa sekitar 2008. Orang dewasa pun tidak bisa mengaksesnya. Tahun ini, mengikuti arus global, mereka juga melarang VPN dan memperkenalkan verifikasi usia serta verifikasi identitas
      Mereka juga melarang beberapa game, mengendalikan media sosial, dan sedang melegalkan pengendalian serta pelacakan semua orang di internet. Sungguh kebetulan bahwa upaya serupa terjadi bersamaan di beberapa negara yang katanya merdeka
      Dan sejak 2008, anak-anak di Turki juga tidak benar-benar menjadi lebih terlindungi
    • Logika “lindungi anak-anak” selalu dipakai. Karena siapa pun yang menentang regulasi atau hukum bisa dicap, paling ringan, sebagai “orang yang mengekspos anak pada bahaya”, atau paling buruk, “pedofil”
      Akibatnya, penentang regulasi atau hukum itu, paling ringan, menjadi orang yang tidak layak didengar, dan paling buruk, orang yang harus dipenjara
      https://en.wikipedia.org/wiki/Think_of_the_children
    • Saya tidak ingat bahwa sistem izin pendaftaran situs web di Tiongkok dibenarkan dengan dalih “melindungi anak-anak”, dan sulit juga menemukan bukti bahwa justifikasi itu pernah menonjol secara terbuka
      Menurut saya, itu lebih dekat pada pemerintah yang menilai mereka butuh kontrol lebih besar atas internet, lalu membuat hukum yang memberi mereka kontrol tambahan. https://www.gov.cn/gongbao/content/2000/content_60531.htm
      Dalam hukum itu juga tidak ada ketentuan khusus yang awalnya hanya berlaku untuk anak-anak lalu belakangan diperluas ke orang dewasa. Sementara itu, sejauh yang saya tahu, pembatasan waktu bermain game untuk anak masih tetap hanya berlaku bagi anak-anak

  • Judul ini tampaknya menyesatkan
    Dokumen Parlemen Eropa itu tampaknya menyoroti adanya perdebatan tentang VPN
    Kalimat terkaitnya kira-kira berbunyi, “sebagian pihak berpendapat ini adalah celah hukum dan verifikasi usia juga harus diwajibkan untuk VPN. Menanggapi hal ini, beberapa penyedia VPN mengatakan mereka tidak membagikan informasi dengan pihak ketiga, dan sejak awal layanan mereka memang tidak dimaksudkan untuk digunakan anak-anak. Komisioner Anak Inggris menyerukan agar VPN dibatasi hanya untuk penggunaan orang dewasa”
    Tentu, saya tidak mengatakan UE tidak akan mengatur VPN, tetapi di mana pun dalam dokumen itu tidak ada bagian yang mengatakan “UE” menyatakan VPN harus ditutup

    • Orang-orang bodoh seperti ini, dan saya tidak hanya bicara tentang UE, benar-benar ingin mencegah remaja menonton porno dan siap merusak infrastruktur internet untuk itu. Ini tanda muram dari masyarakat yang menua
    • Judul itu juga memang judul persis dari bab dokumen tersebut
      Secara keseluruhan, benar bahwa dokumen itu membahas topik ini dengan seimbang, tetapi pilihan kalimat khusus itu buruk dan menjadi ungkapan yang memberi makan mesin kemarahan
      https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/7826...
    • Menunjukkan manusia telanjang kepada anak-anak adalah kejahatan yang mengerikan
      Mengebom anak-anak tidak apa-apa, dan semua senjata yang diperlukan untuk itu diproduksi dan dikirim dengan senang hati
      Pola masyarakat yang sakit
    • “Children's Commissioner for England” bukan UE. Benar-benar bukan UE. Inggris telah keluar dari UE melalui pemilu dan proses bertahun-tahun
    • Kita butuh “hukum judul berita” yang baru. Jika judul mengatakan UE mengatakan sesuatu, kenyataannya bukan UE yang mengatakannya

  • Menurut saya semua sistem verifikasi identitas harus dimulai dari pemilik manfaat sebenarnya perusahaan
    Pemerintah telah dilobi agar para orang kaya yang memiliki bisnis dengan kegiatan mencurigakan tetap bisa menjaga anonimitas penuh, sementara orang biasa makin diarahkan ke situasi di mana membeli bahan makanan pun harus menunjukkan identitas

    • Betul. Lebih parah lagi, tidak ada yang mendorong pemerintah ke arah verifikasi usia yang menjaga privasi
      Sebaliknya, para teknolog malah mencoba meyakinkan bahwa tidak usah mengatur apa pun, dan itu mungkin tidak akan berhasil
    • Sebagai orang yang tinggal di yurisdiksi yang mewajibkan pengungkapan seperti itu, saya bisa bilang ini cukup merepotkan bagi usaha kecil dan manfaatnya bagi publik umum nyaris tidak ada
    • Untuk kelas penguasa ada perusahaan cangkang, untuk rakyat biasa anonimitas yang terus menyusut

  • Pihak yang paling ingin memblokir VPN sebenarnya adalah perusahaan streaming komersial, terutama yang bergerak di olahraga langsung
    Terlepas dari negara atau partai yang berkuasa, pada akhirnya semua kembali ke uang

    • Poin ini perlu lebih ditekankan
      Ini bukan cuma soal pemerintah. Sebagian korporasi besar yang punya uang juga diam-diam mendorongnya

  • Kenapa celah pajak tidak diawasi seketat itu
    Verifikasi usia wajib online menurut saya berbahaya dan seharusnya dilarang

    • Setuju. Verifikasi usia di web harus dilarang 100%
      Orang tua harus belajar menjadi orang tua, dan pemerintah tidak boleh memaksa perusahaan mengambil alih pengasuhan
    • “Celah” pajak hanyalah kebijakan yang memang disengaja tetapi tidak kamu setujui
    • Kenapa kamu merasa itu tidak diawasi? Khususnya Double Irish Dutch Sandwich sudah ditindak
    • Kenapa berpikir begitu? Saat memperpanjang SIM atau membeli sesuatu di Amazon bukankah usia juga diverifikasi?
      Ketika saya kecil, acara anak dan iklannya diawasi ketat. Sekarang anak mana pun bisa mengakses porno, kekerasan, dan penipuan di internet. Yang berbahaya bukan verifikasi usia, melainkan hal-hal itu
    • Bagaimana kamu mendefinisikan celah pajak? Tidak ada satu tindakan tunggal bernama “celah pajak”; masing-masing adalah bundel praktik yang sepenuhnya legal dan dipakai sebagai optimasi, sehingga sulit didefinisikan dan karena itu juga sulit diawasi
      Ini permainan kejar-kejaran tanpa akhir

  • Jika ada pejabat pemerintah UE yang membaca ini, saya ingin menyampaikan secara singkat
    Tolong berhenti memikirkan anak-anak di internet. Sebagai gantinya, ada hal yang jauh lebih mendesak untuk dilakukan
    Pajaki perusahaan besar lebih banyak, pajaki juga superkaya lebih tinggi, dan danai teknologi serta infrastruktur open source buatan UE
    Buat orang tua bisa menghabiskan lebih banyak waktu dengan anak-anak mereka, agar mereka bisa melindungi anak-anaknya dan menjauhkan mereka dari predator jauh lebih baik daripada hukum bodoh apa pun
    Dan perbanyak kereta

  • Ada satu pertanyaan yang terus terngiang di kepala saya
    Kenapa verifikasi usia dikaitkan dengan verifikasi identitas?
    Saya paham yang pertama mustahil tanpa yang kedua, tetapi bukankah lembaga yang menangani verifikasi cukup meneruskan hasil verifikasi usia saja tanpa detail lain?
    Apa saya salah paham? Kalau itu memungkinkan, tampaknya VPN masih bisa terus dipakai

    • Verifikasi “double blind” tampaknya memang bekerja seperti itu
      Laporan itu menyoroti pendekatan baru seperti sistem verifikasi double blind yang dipakai di Prancis. Situs web hanya menerima apakah pengguna memenuhi syarat usia tanpa mengetahui identitasnya, sementara penyedia verifikasi tidak melihat situs web mana yang dikunjungi pengguna
    • Setidaknya untuk kasus seperti UE yang ingin memaksakan sistemnya sendiri dan tidak bergantung pada pihak ketiga independen, masalahnya adalah kita harus secara buta percaya bahwa pemerintah akan mengendalikan aplikasi verifikasi usia sambil tetap menghormati hal itu
    • Dari sudut pandang teknis, ini adalah masalah yang sudah diselesaikan sekitar 10 tahun lalu oleh DID, yaitu identitas terdesentralisasi, dan bukti yang bisa diverifikasi
      Kerangka kerja dompet digital UE juga dibangun di atasnya, dan skenario yang kamu sebut adalah salah satu use case utamanya
      Sekarang ini sedang bergerak dari ranah akademik dan riset ke ranah politik, dan umpan balik serta tekanan dari kelompok komersial dan agenda politik membuat situasinya keruh
      Tautan dokumen standarnya ada di sini. Video penjelasan berkualitas tinggi yang lebih singkat dan mudah juga bisa ditemukan dengan mudah
      https://www.w3.org/TR/did-1.0/
      https://www.w3.org/TR/vc-data-model-2.0/
      Sebagai catatan, ini adalah salah satu produk sampingan yang sehat dari era blockchain, jadi sebaiknya jangan termakan video berlebihan dari para promotor kripto
    • Betul. Verifikasi usia dengan cara yang menjaga privasi itu memungkinkan. Rasanya sebagian besar orang yang sangat menentang ide ini tidak menyadari hal itu
      Sebagian besar keluhan yang terlihat di sini mengasumsikan bahwa verifikasi usia pasti berarti pelacakan
      Sayang sekali, kalau orang sedikit mencari tahu sebelum mengeluh, mungkin bisa ada diskusi yang menarik tentang verifikasi usia yang menjaga privasi

  • Orang biasanya hanya melihat VPN privasi untuk konsumen, padahal di dalam UE ada ranah penggunaan VPN komersial yang jauh lebih luas
    Seperti tunnel titik-ke-titik yang menghubungkan dua lokasi ke satu jaringan, akses ke sumber daya perusahaan dari laptop dan perangkat mobile, serta untuk mengatasi sifat internet masa kini yang buruk dan satu arah yang terpaksa dipakai banyak orang
    Pada dasarnya, jika kamu bekerja jarak jauh walau sedikit saja, saya tidak akan bilang pasti kamu sedang memakai VPN sekarang, tetapi kemungkinannya tinggi. Mungkin backend TI para politikus sendiri juga punya pandangan tertentu tentang kemampuan cabang eksekutif untuk terlalu jauh mengintip cabang legislatif

  • Pemerintah sudah punya data identitas semua orang, termasuk tanggal lahir. Kalau masalahnya adalah anak di bawah umur mengakses situs dan layanan dewasa, maka situs cukup perlu tahu apakah pengguna berusia 18 tahun ke atas, atau di atas usia yang ditetapkan pemerintah
    Harusnya ada layanan/API identitas pemerintah yang terstandarisasi, sehingga pengguna bisa mengizinkan situs atau layanan yang mereka minta untuk hanya melihat usia mereka, atau informasi pilihan lain saja. Jika layanan identitas pemerintah punya autentikasi dua faktor dan keamanan yang memadai, itu seharusnya sudah cukup
    Permintaan dan respons bisa dianonimkan dengan tepat agar pemerintah tidak tahu situsnya, dan situs tidak tahu identitas orangnya
    Kenapa ini belum ada? Setahu saya, belum ada yang mengusulkannya

    • Ini sudah banyak dibahas dan ada implementasi awalnya. Dompet digital UE melakukan persis hal ini. https://ec.europa.eu/digital-building-blocks/sites/spaces/EU...
      Secara teori semua negara UE harus segera mendukung ini, dan pengguna akan bisa memakainya untuk membuktikan usia secara privat secara online. Masih ada pekerjaan tersisa sebelum benar-benar diterapkan, tetapi sisi teknisnya sudah berjalan dan rencana implementasinya tampak sudah ditetapkan
    • Tidak. Kamu tampaknya tidak paham bagaimana pemerintah bekerja. Ini tidak akan pernah benar-benar anonim, jadi idenya mengerikan. Pada dasarnya kamu mengusulkan agar akun dihubungkan ke paspor
    • KTP pemerintah Jerman mendukung itu. Ada PKI, dan kartu identitasnya adalah smart card yang berisi sertifikat dan private key [0]
      Ia bisa menjawab pertanyaan “apakah berusia di atas 18 tahun” dengan bukti zero-knowledge. Pada akhirnya ini hanya membuktikan bahwa seseorang memiliki kartu identitas yang sah dan mengetahui PIN-nya, tetapi tampaknya itu sudah cukup. Menurut artikelnya, Prancis juga punya fungsi ini
      [0] https://www.personalausweisportal.de/Webs/PA/EN/government/t..., https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/El...
    • Betul. Misalnya di Prancis memang begitu, dan secara umum itu juga arah yang sedang dibahas di UE
    • Betul. Jika pemerintah benar-benar menganggap verifikasi usia itu penting, merekalah yang harus menyediakan alatnya. Ada cara untuk melakukannya tanpa melanggar privasi
      Layanan seperti DigiD di Belanda bisa menjadi fondasi yang sangat baik. Ya, layanan yang justru ingin dijual ke AS meski semua orang menentangnya itu. Tinggal tambahkan layanan verifikasi usia di atasnya. Pemerintah pada dasarnya memang sudah tahu siapa kamu dalam arti hukum yang paling formal

  • Dulu orang tua yang mengendalikan situs web mana yang bisa diakses anak-anak
    Sekarang kita hidup di zaman ketika politisi yang mengendalikan situs web mana yang bisa kita akses