Що таке законопроект про допомогу та доступ і що це означає для вашої безпеки?

допомога та доступ до рахунку австралії

Законопроект про допомогу та доступ до Австралії, який часто називають “австралійським” антизашифровуючий закон, було прийнято у грудні 2018 року. Це складний набір правил, який визначив міжнародні заголовки для його потенційних наслідків. Він також отримав значну критику з боку технологічних компаній, захисників конфіденційності та широкої громадськості.

Якщо ви лише проголосували над проблемою, вас можуть ввести в оману заголовки, дехто стверджує, що законопроект загрожує “порушенням шифрування” та компрометувати безпеку в усьому світі.

Це не зовсім так, тому що уряд не може просто “зламати” шифрування, тому що хоче. Шифрування покладається на математичні закони, які, на щастя, мають перевагу над законами австралійського парламенту.

Інша проблема цих тверджень полягає в тому, що законопроект насправді не говорить про те, що він спрямований на порушення шифрування. Насправді в ньому є застереження проти впровадження слабких місць та вразливості.

Не помиляйтеся на ці поступки, як про те, що законопроект є хорошою справою. Він безумовно потребує доопрацювання та її теперішня форма може призвести до серйозних проблем із безпекою.

Однак гіпербола та хибність викладу фактів роблять усі для себе сумнівом. Якщо що-небудь, це додатково виправдовує позицію уряду, оскільки може стверджувати, що будь-яке протиріччя проти регламенту базується на брехні чи маніпулюванні фактами.

Минуло кілька місяців з часу прийняття законопроекту, і пил нарешті почав осідати. Зараз настав час вивчити законопроект у більш реалістичному сенсі, розібратися з міфами та поговорити про реальні проблеми, а також про їх потенційні наслідки.

Contents

Що таке допомога & Доступ до рахунку?

Законопроект про поправки у сфері телекомунікацій та іншого законодавства (допомога та доступ) 2018 року, популярно скорочено до Рахунок про допомогу та доступ (і розмовно називається антизашифровуючим законом), прийнято обома палатами австралійського уряду 6 грудня 2018 року.

Основна увага законодавства та аспект, який привернув найбільшу увагу ЗМІ, – це положення законопроекту, які можуть змушують компанії допомагати владі отримувати доступ до даних фізичних осіб.

Організації або особи можуть бути змушені передавати дані коли на ціль видано ордер відповідно до Закону про телекомунікації (перехоплення та доступ), Закону про пристрої спостереження або їх еквівалентів на рівні держави.

Відповідно до одного з цих актів має бути попередньо встановлений ордер, і жодних конкретних ордерів не потрібно, перш ніж компанії будуть змушені оприлюднювати інформацію або допомагати владі отримати доступ до неї іншими способами. Це означає, що судового нагляду за процесом немає.

Незважаючи на ці проблеми, законопроект не може використовуватися для масового нагляду, оскільки необхідні попередні ордери.

В його найбільш крайній інтерпретації існує побоювання, що деякі повноваження, надані законопроектом, можуть змусити бізнес ввести вразливості в свої послуги, що, в свою чергу, може послабити глобальну безпеку.

На кого впливає законопроект?

Законопроект поширюється на “Призначені провайдери зв’язку”, який текст визначає надзвичайно широко. Хоча законопроект нібито спрямований на телекомунікаційні підприємства та технічні компанії, він також охоплює тих, хто бере участь у:

  • Виробниче обладнання.
  • Постачання обладнання.
  • Розробка та оновлення програмного забезпечення.
  • Виступаючи посередником у будь-якому з перерахованих вище процесів.

Після формулювання законопроекту, схоже, він також стосується гравців, які займаються невеликим часом, таких як власники веб-сайтів та навіть фізичні особи, які працюють у будь-якій із перелічених вище компаній, а не просто сама організація або її керівники.

Законопроект поширюється на будь-яку організацію, яка має “один або кілька кінцевих користувачів в Австралії”. Це означає, що повноваження можна використовувати проти міжнародних організацій. На цьому етапі, проте, невідомо, як міжнародні організації відреагують на законопроект, або якими будуть їх зобов’язання.

Які повноваження надає законопроект?

Найсуперечливіша частина законопроекту обертається навколо трьох окремих повідомлень, які різні державні установи можуть надсилати компаніям:

  • Повідомлення про технічну допомогу (TANs) – Це, по суті, вимоги, які вимагають від організацій надавати допомогу владі у можливостях, які вже є. Це може охоплювати такі речі, як передача інформації про обліковий запис фізичній особі, надання технічної консультації або надання владі даних, до яких компанія вже має доступ.
  • Повідомлення про технічну спроможність (TCN) – Ці повідомлення проходять ще крок далі і можуть вимагати від організацій розробити нові можливості, щоб допомогти владі в шпигунських та інших починаннях. Компанії зобов’язані виконувати завдання на основі безприбутковості, без втрат. Це найбільш хвилююча частина законодавства, оскільки певні показання означають, що ці запити можуть змусити компанії вставити вразливі місця у свою технологію. Він охоплює:
    • Видалення форм електронного захисту, таких як шифрування або автентифікація.
    • Надання технічної інформації.
    • Встановлення, обслуговування, тестування або використання програмного забезпечення та обладнання, щоб допомогти владі в їхніх цілях.
  • Запити про технічну допомогу (ТАР) – Це добровільні прохання, які просять організації надати допомогу владі в будь-якій з перерахованих вище практик. Компанії не зобов’язані дотримуватися їх, а також не передбачено покарання за недотримання. Хоча TAR можуть здатися не такими поганими, вони мають менший нагляд, ніж інші два повідомлення.

Які агенції можуть подати ці запити?

Повідомлення про технічну допомогу (TAN) можуть бути подані Генеральний директор з питань безпеки (керівник ASIO) або головний директор будь-якого з наступних організацій, який визначає звіт агенції перехоплення:

  • The Федеральна поліція Австралії.
  • The Австралійська комісія з питань злочинності.
  • The міліція держави або Північної території.

Головний офіцер агентства з перехоплення вимагає дозволу Уповноваженого Федеральної поліції Австралії перед тим, як подати запит. Усі три типи запитів повинні бути направлені цільовій організації у письмовій формі, якщо не існує неминучий ризик заподіяння шкоди, при цьому запити можуть бути зроблені усно..

Повідомлення про технічну спроможність може бути поданий лише Генеральним директором з питань безпеки або начальником служби перехоплення, однак це потрібно зробити через Генерального прокурора. У свою чергу, Генеральний прокурор повинен отримати схвалення від міністра зв’язку.

Добровільна технічна допомога повідомлення можуть бути надані Генеральним директором з безпеки, Генеральним директором Австралійської секретної розвідувальної служби, Генеральним директором Австралійського управління сигналів або головним офіцером агентства перехоплення..

Останні кілька розділів є дещо складними через їх юридичну природу. Давайте короткий підсумок закону поки що. Це дозволяє декільком австралійським агентствам робити різні запити до технологічних та телекомунікаційних компаній. Вони варіюються від прохання про допомогу, до вимоги, щоб вони побудували нові можливості, щоб допомогти шпигувати за людьми.

Які застереження є на місці?

Якщо вам вдалося проникнути через сухий легалій, ви можете бути шоковані широкими повноваженнями, які надають закони, та їх можливими наслідками. Але існують застереження, які, здавалося б, обмежують спосіб їх застосування.

У законопроекті конкретно зазначено, що жоден із цих запитів не може змусити організації “впровадити або створити системну слабкість або системну вразливість”. Він також говорить, що запити не можна використовувати для запобігання компаніям “виправлення системної слабкості або системної вразливості”.

У чому проблема з допомогою & Доступ до рахунку?

Ці застереження, можливо, ви з полегшенням зітхнете, але вони не такі залізні, як ви могли сподіватися. У законопроекті є ряд інших тривожних елементів, які нам потрібно висвітлити.

Неясне формулювання

Багато аспектів законопроекту досить розпливчасті, що ускладнює тим, хто постраждав від нього, знати, де вони стоять у юридичному сенсі. Важко сказати, чи є ця невизначеність навмисною і зловмисною, чи є наслідком некомпетентності та поспіху, з якою був переданий законопроект.

Так чи інакше, будь-який закон, який можна тлумачити різними способами, зобов’язаний викликати серйозні проблеми через невизначеність, яку він приносить. Природно, ті, на кого можна постраждати, бояться найгірших сценаріїв, тоді як сторони, які підтримують законопроект, підкреслюють, що закони не мають наміру застосовуватися таким чином..

Давайте розглянемо кілька найважливіших прикладів, коли формулювання звіту призводить до невизначеності в його застосуванні.

Системні вразливості & системні слабкі місця

Визначення цих термінів є причиною критики законопроекту:

Системна вразливість означає вразливість, яка впливає на цілий клас технологій, але не включає вразливість, яка вибірково вводиться до однієї або декількох цільових технологій, пов’язаних з конкретною людиною. Для цього не має значення, чи можна ідентифікувати особу.

Системна слабкість означає слабкість, яка впливає на цілий клас технологій, але не включає слабкість, яка вибірково вводиться до однієї або декількох цільових технологій, пов’язаних з конкретною людиною. Для цього не має значення, чи можна ідентифікувати особу.

Перше, що ви можете помітити, це визначення однакові, забороняйте самі умови. Принаймні, використання обох термінів у звіті є зайвим і ускладнює його без потреби, оскільки вони визначені точно так само.

Друге головне питання – це термін “Клас технології” у законопроекті не визначений. Це не поширений термін у галузі, а також не існує консенсусу щодо того, що він насправді означає. Можна припустити, що це стосується дуже широкого типу технологій, наприклад, комп’ютерів або мобільних телефонів. Це може стосуватися чогось більш нюансованого, наприклад шифрування чи автентифікації, або чогось ще більш конкретного, наприклад, RSA або цифрових сертифікатів.

Оскільки ми не можемо знати, що повинно охоплювати ці визначення, воно фактично скасовує будь-який конкретний захист, який пропонує застереження. Якби закон зловживали, як би хто знав, де вони легально стоять?

Якби ви були власником малого бізнесу, що б ви зробили, якби отримали запит, що посягає на безпеку вашої служби? Якби ви не могли дозволити собі судові збори, ви хочете оскаржити закон і відмовитись виконувати їх?

Поточний максимальний штраф за недотримання майже дорівнює 1 000 000 (700 100 доларів США) для організацій та 50 000 доларів (35 005 доларів США) для фізичних осіб, а також до десяти років позбавлення волі.

Незалежно від того, чи є щось системною слабкістю чи системною вразливістю, в кінцевому підсумку оцінювач визначає у кожному конкретному випадку. Оцінювачі повинні мати “знання, які б дали змогу людині оцінити”, чи буде дія вводити системну слабкість чи вразливість. На жаль, “знання” не визначені, що відкриває ще одну проступаючу дірку в законі.

З якоїсь абсурдної причини законопроект також вимагає від судді у відставці брати участь у оцінці. Це не дає причин використовувати колишніх суддів над активними. Також немає рамки для того, як обидва засідателі визначатимуть, що є системною слабкістю чи вразливістю, і не існує чітко окресленого процесу оскарження..

Це законопроект, який стосується великої кількості людей та підприємств. Наявність такої мутної термінології в одній із її центральних частин лише додає непевності, а в гіршому – відкриває двері для зловживань.

Закон можна використовувати для орієнтації на працівників

Інша основна стурбованість полягає в тому, що законопроект формулюється так, що це означає окремі працівники можуть бути націлені на реалізацію запитів, і їм може бути юридично заборонено повідомляти своїх начальників.

Він використовує термін “особа”, коли йдеться про те, що становить призначений провайдер зв’язку, і, таким чином, суб’єкти, які підпадають під дію закону. Деякі випадки чітко стосуються юридичних осіб (якими можуть бути компанії чи фізичні особи), а не фізичних осіб (фізичних осіб).

Хороший приклад – Пункт 1, «особа є перевізником або постачальником послуг перевезення». Людина не може буквально бути “постачальник послуг або постачальник послуг з перевезення”, тому він, очевидно, стосується організацій. Коли ми знижуємось у списку, все стає менш зрозумілим.

Пункт 6 посилається на a особа, яка “розробляє, постачає або оновлює програмне забезпечення використовуються для використання або, можливо, будуть використані у зв’язку з: (a) переліченою службою перевезення; або (b) електронна послуга, яка має її “.

Пункт 8 охоплює а особа, яка «виготовляє або постачає компоненти для використання, або, можливо, буде використовуватися при виробництві об’єкта для використання або, можливо, буде використовуватися в Австралії “.

В обох випадках їх легко тлумачити як посилання на працівників, так і на компанії. Сам законопроект не зазначає, що він націлений лише на компанії, тому справедливо людей, які перебувають на цих посадах, турбувати.

Ці побоювання було відхилено Департаментом внутрішніх справ, розмістивши на своєму веб-сайті:

«Система допомоги в галузі займається отриманням допомоги компанії, а не люди, які діють як працівники компанії. Запити про допомогу будуть надсилатись до самої корпоративної особи відповідно до положень про надання послуг у розділ 317ZL. Повідомлення може бути вручено фізичній особі, якщо ця фізична особа є приватним підприємцем та власною юридичною особою. “

Зауважимо, що в розділі 317ZL не зазначається, чи можна ці сповіщення подавати особам.

Приємно, що Департамент внутрішніх справ пропонує це роз’яснення, але чому він не включений до тексту законопроекту про допомогу та доступ? Те, що якийсь писар написав на урядовому веб-сайті, не скасовує закон, який прийняли обидві палати парламенту.

Якщо ми тлумачимо закон так, як він написаний, нереально думати, що один із цих запитів може бути надісланий працівникові в компанії. Якби це сталося, це поставило б працівника в серйозну моральну загрозу, бо вони заборонено розголошувати, що запит отримано, якщо це не вимагається, щоб виконати запит.

Ці накази про відхилення очевидно поставлять співробітників у дуже важке становище, змушуючи їх пробиратися навколо будь-яких однолітків і вищих вершин, про які вони не можуть розголошувати повідомлення. Законопроект захищає працівників від звільнення від виконання вимог такого повідомлення, але все-таки це не гарна ситуація, щоб посадити людину.

Знову ж таки, закон не може бути використаний таким чином, але якщо ми не закриємо ці прогалини, це просто залишає законодавство відкритим для зловживань.

Обмежений нагляд

Законодавство не тільки є розпливчастим, але існує і обмежений нагляд за його застосуванням. Конкретний ордер не потрібен для жодного з трьох запитів, хоча вже має бути наявний ордер на доступ до даних особи відповідно до Закону про телекомунікації (перехоплення та доступ), Закону про пристрої спостереження або їх еквівалентів на рівні держави.

Це призводить до відсутності судового нагляду за способом управління цими запитами. Суддя у відставці бере участь у процесі оцінювання, але не є активно обслуговуючим.

Як згадується в Системна вразливість & розділ систематичної слабкості, процес оцінювання вивчає, чи запит запровадить систематичні недоліки, але він також розглядає, чи є запит розумний, пропорційний, практичний і технічно здійсненний. Незважаючи на це, є мало обмежень щодо того, як це насправді робиться.

Зважаючи на успішність австралійського уряду, що стосується технології та безпеки, то не надто надумано, що його визначення “розумного” буде серйозно відрізнятися від визначень технологічних компаній та експертів з кібербезпеки. Варто лише прочитати наступну цитату про криптографію від колишнього прем’єр-міністра Малкольма Тернбулла, щоб побоюватися найгіршого:

“Закони математики дуже похвальні, але єдиний закон, який застосовується в Австралії, – закон Австралії”.

Заява настільки ж абсурдна, як і сказати “Гравітація похвальна, але вона не застосовується в моїй країні.“Таке незнання щодо технічних концепцій може бути екстраполіровано, щоб припустити, що уряд може призвести до небезпечних чи необгрунтованих дій, або через некомпетентність, або на зло.

Визначені постачальники комунікацій повинні бути повідомлені про своє право на скаргу до Омбудсмена Співдружності, Генерального інспектора з питань розвідки та безпеки (IGIS) або їх еквівалентів у штаті.

Незважаючи на це, положення не встановлюють рамки для цього процесу. Законопроект не вказує, що є дійсною скаргою, або як вона може бути прийнята на розгляд судової влади.

Використання цих повноважень повинно бути відстежено, з звіт, що надходить до парламенту кожні 12 місяців. Він повинен включати кількість разів, коли кожна влада була використана, а також тип правопорушення, яке вони використовували для розслідування. Добровільні прохання не слід відстежувати та подавати Парламенту; значна кількість відповідної інформації зберігається в таємниці.

Компаніям не дозволяється повідомляти постраждалих осіб про запит на доступ до їх даних, а також не дозволяють повідомляти громадськості про те, що був запит. Їм дозволяється розкрити кількість запитів, зроблених протягом шести місяців, і чи це були примусові чи добровільні замовлення. Заборонено будь-якій стороні публікувати конкретну інформацію про запити.

Хоча законопроект включає деякий нагляд, він не є злагодженим, прозорим або викладеним формально. Враховуючи можливі наслідки цих запитів, такий нещільний процес небезпечний і може призвести до зловживання владою.

Повноваження, надані законодавством, занадто широкі

Одним із головних напрямків продажу цього законодавства для населення було те, що законопроект може допомогти запобігти таким злочинам, як тероризм, дитяча порнографія та інші серйозні правопорушення. Незважаючи на це маркування, законопроект фактично охоплює всіх, хто підозрюється у вчиненні злочину, максимальне покарання – три роки або більше, згідно з австралійським чи міжнародним законодавством.

Сюди входить надзвичайно широкий спектр правопорушень, таких як бігамія, яка засуджена до семи років, як і проведення незаконних азартних ігор. Навіть щось настільки ліве поле, як незаконне використання худоби іншої людини, має три роки максимального покарання.

Відповідно до формулювання законодавства, повноваження законопроекту можуть бути використані у всіх трьох цих розслідуваннях. Якщо законопроект був справді розроблений для націлювання на тих, хто чинить серйозні правопорушення, то чому б не обмежити його лише ними?

Реакції безпеки на допомогу & Доступ до рахунку

Законопроект про допомогу та доступ може мати широкі наслідки як в Австралії, так і в світі. Оскільки законопроект настільки розпливчастий і багато процесів є конфіденційними, ми не можемо бути впевнені в тому, як він використовувався до цього часу, або що буде в майбутньому.

Найкраще, що ми можемо зробити, це прочитати текст, який він є, і вивчити, що може статися. Через слабке формулювання це може вплинути на глобальну безпеку та ІТ-індустрію в цілому.

Чи може законопроект порушити шифрування?

Один з найбільших побоювань щодо законодавства полягає в тому, що воно може послабити кібербезпеку в усьому світі. Можливо, ви чули, що законопроект може бути використаний для порушення шифрування, хоча це свого роду неточне твердження.

Це тому, що коли використовуються правильні стандарти шифрування (наприклад, AES-256), і вони реалізовані правильно, їх не можна розбити за сучасними технологіями та прийомами.

Це тому, що вони покладаються на закони математики, і якщо є якісь примхи, про які ми не знаємо, або уряд у своєму розпорядженні немислимою кількістю таємних обчислювальних потужностей, це просто неможливо.

Візьмемо таку програму для обміну повідомленнями, як Signal, яка є однією з найпопулярніших програм, що стосується ефективних реалізацій безпеки. Якщо уряд стукає у двері сигналу і просить його розшифрувати повідомлення конкретної людини, організація може відповісти: “Вибачте, але ніхто тут не має доступу до цієї інформації”.

Це тому, що в більшості випадків, Сигнал не має доступу до приватних ключів, необхідних для розблокування даних.

Скажімо, уряд тримав пістолет до голови “Сигналу” і казав йому зробити все можливе, щоб допомогти. Сигналу доведеться повністю переглядати його додаток, щоб встановити задню панель, яка не була б практичною за короткий проміжок часу..

Імовірно, такий вчинок не було б розумним чи практичним, але неможливо знати, як ці закони застосовуватимуться Навіть якби Signal переробив їх додаток і змінив його реалізацію безпеки, вони зможуть надати доступ лише до майбутніх повідомлень, а не до тих, що минули..

Ці минулі повідомлення все ще будуть зашифровані секретними ключами цілі, хоча такий ремонт може дозволити владі забрати ключі від цілі.

Існуюча низька безпека

Не кожен додаток створено за стандартом Signal, тому цей приклад далеко не універсальний. У багатьох додатках є погана реалізація безпеки або вони не пропонують свій код для перегляду, тому ми не можемо знати, що відбувається під капотом. У цих випадках компаніям, можливо, вдасться передати урядові ключі або створити інструменти, які дозволять йому надати доступ.

Підроблені клієнти

Найбільш практичним способом націлити владу на дані окремих осіб було б змусити компанію до цього створити підроблену версію програми, а потім перенести її на пристрій людини. Це можна зробити, або отримати фізичний доступ до пристрою, обманувши людину на його завантаження, або надіславши фальшиве «оновлення» на телефон цілі.

Отримати фізичний доступ до чийогось телефону чи комп’ютера може бути важко, і надсилати людям підроблені оновлення не рекомендується. Це тому, що оновлення мають важливе значення для забезпечення знову виявлених уразливостей.

Якщо владі стане звичним використання оновлень, щоб шпигувати за людьми, громадськість може підозріло ставитись до оновлень і може не встановлювати їх у майбутньому. Таке ставлення зробило б усіх набагато менш захищеними. Рада національної безпеки США вже вивчила цей варіант, але рекомендувала проти нього, заявивши, що:

“… Його використання може поставити під сумнів надійність встановлених каналів оновлення програмного забезпечення. Окремі користувачі, стурбовані віддаленим доступом до своїх пристроїв, могли вимкнути оновлення програмного забезпечення, роблячи їхні пристрої значно менш безпечними, коли пройшов час і виявлено вразливості b [ut] не виправлено.

Незалежно від того, як уряд потрапляє на фальшивий клієнт на підробленого клієнта, вони можуть використовувати його в атаці “людина-в-середині”. Під атакою “людина-в-середині” все виглядає нормально до цілі. Вони думають, що вони безпечно спілкуються з іншими, але насправді між ними нападник.

Коли ціль відправляє повідомлення, воно спочатку переходить до зловмисника, який потім передає його одержувачу. Все, що надсилається назад до цілі, також проходить через нападника. Через цей процес, зловмисник збирає всі вхідні та вихідні дані, включаючи ключі та приватні повідомлення.

Така атака дозволила б уряду побачити майже все, що робить ціль. Також надзвичайно малоймовірно, що це буде кваліфікуватися як системна слабкість, оскільки організація не вводить вразливість до програмного забезпечення, яке використовує кожен, це просто виготовлення підробленої версії для окремої цілі.

Слід також зазначити, що витончений шпигунське програмне забезпечення вже існує. Ці програми можна використовувати для доступу до даних окремих людей у ​​різних сценаріях.

Якщо органи влади можуть отримати фізичний доступ до пристроїв окремої людини або наштовхнути їх на встановлення, вони можуть захопити всі майбутні комунікації та можуть виявити ключі для розблокування будь-яких раніше збережених даних. Через це, потреба в будь-якому задньому плані обмежена, ніж багато хто усвідомлює.

Система головного ключа

Альтернативу, яка могла б надати уряду доступ до будь-якого потрібного пристрою, можна розглядати як цифрову версію головного ключа. Ця електронна система теоретично могла би дати владі доступ до кожного пристрою.

Якби влада отримала таку владу над усіма пристроями, то це було б критично важливо зберегти головний ключ абсолютно таємно. Якщо воно потрапило в чужі руки, зловмисники могли використовувати його для доступу до всього, що вони хотіли. Це кине світ у сум’яття.

Якби така система майстер-ключів була побудована, це було б гарантувати її безпеку практично неможливо. Системі потрібні суворі заходи аутентифікації для запобігання несанкціонованого доступу. З огляду на те, наскільки цінним буде головний ключ, існує величезний ризик, що або системи, або персонал, який ним керував, будуть атаковані під час атак.

Побудова такої системи також було б величезним технічним завданням. Це повинно бути достатньо гнучким, щоб обслуговувати кожен тип пристроїв та комп’ютерів, і для того, щоб система працювала, коли ці пристрої оновлюються, знадобиться величезна інженерна група. Просто буде занадто багато можливостей, щоб вразливості могли проскочити через щілини.

Ослаблення безпеки опосередковано

Коли розробляється програмне забезпечення, це звичайно здайте його на тестер зовнішнього проникнення. Це, по суті, хороші хлопці хакерства, яким платять, щоб перевірити код і побачити, чи зможуть вони знайти якісь уразливості.

Сторонні контрагенти – це чудовий підхід до безпеки, оскільки вони можуть знайти проблеми, які ті, хто наблизився до проекту, не помітили. Але законопроект про допомогу та доступ може покласти край цьому процесу.

Оскільки у нас немає відповідного визначення, що таке системні слабкі та вразливі місця в контексті закону, ми повинні вважати найгірше, якщо ми хочемо бути готовими до всіх можливих ситуацій.

Скажімо, влада так чи інакше масажує визначення системної слабкості і вдається змусити компанію запустити задній простір у своє програмне забезпечення. Якщо ваша компанія була поставлена ​​на цю посаду, ви хочете надіслати код зовнішньому аудитору, який, ймовірно, збирається його знайти?

Як би ви пояснили це тестером проникнення? Залежно від ситуації, ваша організація може не мати можливості розкрити запит, який вимагає уряд.

Якщо тестер на проникнення виявив задню панель, і ваша компанія проігнорувала їхні рекомендації щодо виправлення, тестер на проникнення може врешті-решт оприлюднити цю вразливість і звинуватити вашу компанію в небезпеці своїх користувачів. Це може призвести до неймовірної шкоди для репутації вашої організації.

Дотримуючись цієї логіки, організації, які були змушені вставити на задній план, можуть взагалі уникати зовнішніх аудитів, щоб уникнути закінчення такої неприємної ситуації. Це було б небезпечно, бо це означає багато інших вразливості не були б узяті під час цих звичайних перевірок.

Цей застуджуючий ефект може здатися надуманим, але відбулися божевільніші речі, тому ці закони повинні бути максимально чіткими, щоб запобігти подібним найгіршим сценаріям.

Можливий вплив на ІТ-індустрію

Не тільки закони можуть послабити безпеку, але їх розпливчастість може також вплинути на бізнес та робочу силу. Насправді, деякі австралійські компанії вже зазнали фінансового впливу, оскільки клієнти бояться, що їх продукція та послуги можуть бути порушені.

Вплив на більший бізнес

На цьому етапі найкраще, що ми можемо зробити, – це спекуляція, оскільки ми не знаємо, наскільки агресивно застосовуватимуться ці закони. Ми ніколи не можемо дізнатися це через сувору конфіденційність, яка оточує їх видачу.

Якщо будь-який технічний гігант звернеться з необгрунтованим запитом, цілком імовірно, що вони матимуть сили та ресурси для боротьби з ним та працюватимуть у відповідності до закону. Вони можуть відмовитися виконувати вимоги, як Apple зробила у своїй справі проти ФБР щодо iPhone одного з винуватців стрілянини в Сан-Бернардіно 2015 року

Якщо ці величезні компанії були занепокоєні впливом закону, вони можуть спробувати захистити себе переконавшись, що в Австралії не робиться жодних розробок, уникаючи зберігання даних в межах кордонів країни або відмовляючись від найму австралійців якщо закони поширюватимуться на австралійців, що базуються за кордоном. Якби це було так, це може мати сильний негативний вплив на австралійську ІТ-робочу силу.

За крайнього сценарію, компанії можуть відмовитися від ведення бізнесу в Австралії та вилучити свою продукцію та послуги з ринку. Це здається дуже малоймовірним, оскільки це матиме величезні наслідки. Незважаючи на це, це не зовсім передбачувано, враховуючи, що Google одного разу витягнув його пошукову систему з китайського ринку через проблеми з китайським урядом.

Вплив на менший бізнес

Незважаючи на те, що великі компанії можуть використовувати свої сили та ресурси, щоб уникнути будь-яких запитів уряду, цей шлях може бути непридатним для менших організацій. У цих підприємств може не вистачати коштів на організацію правової битви та австралійський уряд може залякати, коли він поступився.

Закони настільки розпливчасті, що підприємства не знають своїх прав або чи можуть вони оскаржити. Це може призвести до уряду зловживати своєю владою проти малих підприємств або змушувати їх застосовувати небезпечні та необгрунтовані зміни у своєму програмному забезпеченні. Суворі вимоги щодо конфіденційності також заважають цим підприємствам публічно не ставитись до вимог.

Вплив на австралійський бізнес

Деякі австралійські ІТ-бізнеси вже пошкоджені правилами. Брон Гондвана, генеральний директор австралійського постачальника хостингів електронної пошти FastMail, сказав: “Ми бачили, як існуючі клієнти відходять, а потенційні клієнти їдуть в інше місце, називаючи цей законопроект причиною свого вибору. Ми [також] регулярно запитують клієнтів, чи плануємо ми переїхати ».

Найбільша технологічна компанія Австралії Atlassian побачила, що ціна акцій знизилася під час прийняття законопроекту, хоча не може бути підтверджено, чи були дві події пов’язані. “Ми повинні визнати, що цей закон загрожує робочим місцям”, – сказав співголова Атлантіана, Скотт Фарвард.

Сенетас, австралійська компанія з шифрування, також очікувала негативного впливу на закон. “У тому вигляді, який він є на даний момент, і якщо він не буде змінений, це законодавство змусить нашу компанію піти в офшор”, – заявив її невиконавчий голова Френсіс Гальбаллі.

Інші небезпеки допомоги & Доступ до рахунку

Законопроект про допомогу та доступ охоплює більше, ніж те, що влада може вимагати від компаній. Він також включає ряд змін до системи ордерів. Деякі з них здаються розумними, відповідно до зміни технології та змінних вимог, щоб правоохоронні органи були ефективними на своїх робочих місцях. Інші аспекти – це зайві кроки, які можуть порушити конфіденційність людей.

Це може порушити конфіденційність третіх осіб

Одним із таких кроків є положення, яке дозволяє правоохоронцям входити до приміщень сторонніх осіб або отримувати доступ до цифрових систем третіх сторін під час виконання ордера. Однозначно є ситуації, коли це був би розумний хід дій. Скажімо, терористична атака триває і найбезпечніший спосіб, коли чиновники можуть її закінчити, це ввійти через іншу будівлю.

Інший приклад може включати дитину, якій загрожує надзвичайна небезпека, а доступ до мережі або комп’ютера третьої сторони може бути найкращим способом врятувати дитину.

Проблема полягає в тому, що ці повноваження не обмежуються такими конкретними сценаріями, і їх можна використовувати, коли суддя вважає це “доцільним”. Оскільки закон навіть охоплює такі аспекти, як додавання, копіювання, видалення чи зміна даних на сторонніх комп’ютерах, його використання може легко призвести до зайвих порушень конфіденційності.

Майже всі погоджуються, що за певних обставин, як у вищезазначених випадках, розумно перекривати права на конфіденційність третьої сторони. Однак використання повинно обмежуватися лише тими випадками, коли повноваження абсолютно необхідні для запобігання виникненню серйозної шкоди.

Змушує людей відмовитися від своїх паролів

Законопроект включав оновлення до Закон про пристрої спостереження (SD) і Закон про АСІО. Зміни до Закон про СД дозволити правоохоронним органам подавати заявки допомогу накази від судді. Ці замовлення можна використовувати змушуйте людей передавати будь-яку інформацію, яка є “розумною та необхідною” щоб влада могла “отримати, скопіювати, перетворити або зробити зрозумілою” будь-які дані, які охоплені ордером.

Ці накази можуть змусити людей до цього передайте свої паролі, їх біометричні дані або знання про будь-які відповідні системи та пристрої. Вони не націлюються лише на осіб, підозрюваних у злочині, але також можуть охоплювати своїх партнерів, власників відповідних пристроїв, системних адміністраторів та тих, хто використовував пристрої.

Невиконання цих запитів згідно із Законом про УР може призвести до до 10 років позбавлення волі та штрафу в розмірі 126 000 доларів США (88 212 доларів США).

Аналогічним чином зміни до Закону про АСІО дозволяють Генеральному директорові звернутися з клопотанням про Генерального прокурора змусити осіб надавати однакові дані. Відмова від виконання вимог може призвести до до 5 років в’язниці або штрафу в розмірі 63 000 доларів США (44 106 доларів США). Одне з найбільших питань нових повноважень, передбачених Законом про АСІО, полягає в тому, що судового нагляду не існує – владі ніколи не доведеться йти до судді, щоб отримати дозвіл.

Варто зазначити, що ці повноваження можуть бути використані при розслідуванні будь-якого злочину з максимальним покаранням три або більше років. Здається важко, що той, хто відмовляється виконувати може потенційно закінчитися вироком, який перевищує покарання за первинний злочин.

Це особливо занепокоєння, коли є законні причини конфіденційності, які не хочуть відмовлятися від паролів або біометричних даних. Оскільки закони також можуть застосовуватися проти системних адміністраторів та інших людей, люди, які не вчинили жодного іншого злочину, можуть зазнати серйозних покарань.

Варто також врахувати, що ці закони можуть бути суперечить привілею проти самоінкримінації. На цьому етапі права особи, що стосується шифрування, не перевірені австралійським законодавством, тому ми не впевнені, чи примушення когось передати свій пароль може розглядатися як самоінкримінація.

Знову ж таки, ці закони є винятково широкими, і багато аспектів погано визначені. Через відсутність правильних визначень та нагляду ми не можемо бути впевнені, як вони будуть грати в реальному світі.

Допомога & Доступ до Білла проскочив без відповідного огляду

Суперечливі не лише самі закони, а й спосіб їх прийняття. Проект законопроекту вперше був опублікований у серпні 2018 року. Після його виходу він викликав величезну кількість критики з боку технологічної галузі, груп приватного життя та громадян. Проект був відкритим для публічного коментаря, і було зроблено 343 подання.

З них лише одна виступала за положення. Решта або вимагали доопрацювання, або були повністю проти законопроекту. Незважаючи на каскад несхвалення, остаточний проект закону ледь не піддавався жодній увазі.

В останній день засідання перед різдвяним періодом до парламенту було подано переглянуту версію законопроекту. Він містив 173 поправки, але членам ледве було надано будь-який час для їх перегляду.

Хоча вони включали деякі позитивні зміни, новий проект законопроекту все ще нехтував усіма проблемами, згаданими в цій статті. Незважаючи на ці серйозні проблеми, допомога & Доступ до Білла проскочив і через Палату, і через Сенат після того, як опозиційна партія вступила.

Офіційною причиною було те, що закони потрібно було прийняти, щоб запобігти можливим терористичним атакам у відпустки. Це було особливо сумнівним твердженням, оскільки в Австралії вже існує чимало антитерористичних законів.

Якщо влада вимагала нових можливостей, щоб змусити компанії будувати будівництво на задньому плані, то це також слід сприймати скептично. Оскільки закони були прийняті 6 грудня, навряд чи будь-яка компанія змогла б надати необхідні інструменти до Різдва.

На додаток до цього, австралійське шпигунське агентство ASIO визнало, що конкретної загрози протягом періоду не було, і не підвищило рівень попередження.

Результатом цього процесу є те, що законопроект не приймав рекомендацій з більшості подань на борту, а також не підлягав належному рівню розгляду та обговорення Парламенту. Результат – безлад закону, який може бути серйозні наслідки для Австралії, її ІТ-компаній та глобальної безпеки.

Законопроект було передано на розгляд спільного комітету з питань розвідки та безпеки парламенту, який розглядав його, після чого надсилав його на розгляд Незалежного моніторингу законодавства з питань національної безпеки (INSLM), доктора Джеймса Ренвіка. На цьому етапі невідомо, чи призведе до будь-яких змін.

Як буде допомога & Білль про доступ впливає на Австралію & світ?

Допомога & Білль про доступ є тривалим законодавчим актом із низкою сірих областей. Оскільки ключові аспекти тексту не зрозумілі, важко знати, як ці закони будуть виконуватись і якими будуть їх наслідки. Також існує велика конфіденційність ключових елементів, тому ми, можливо, ніколи не будемо точно знати, як вони застосовуються.

Основне питання законопроекту – це відсутність ясності, прозорості та нагляду. Оскільки частини закону настільки погано визначені, багато хто з тих, на кого законопроект постраждає, припускають найгірші сценарії, на які ми витратили велику частину цієї статті, обговорюючи.

На цьому етапі здається, що лише найбільш екстремальні обставини можуть призвести до того, що закони, що загрожують безпеці в глобальному масштабі. Незважаючи на це, вони вже викликали значну напругу між технологічними компаніями та австралійським урядом. Австралійські технологічні компанії вже постраждали, а що стосується працівників австралійської ІТ-галузі? Важко знати, що з ними станеться.

Є ймовірність, що закони можуть бути скасовані чи змінені, але, як і багато речей, пов’язаних із цим законодавством, ми просто не знаємо.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me