Mi a segítségnyújtási és hozzáférési törvényjavaslat, és mit jelent ez az Ön biztonsága szempontjából?

segítség és hozzáférési számla Ausztrália

Az ausztrál segítségnyújtási és hozzáférési törvényjavaslat, amelyet gyakran a titkosításellenes törvény, 2018. decemberében fogadták el. Ez egy bonyolult szabályozás, amely nemzetközi címsort hozott a lehetséges következményeire. Jelentős kritikát kapott a technológiai társaságok, a magánélet védelme és a nagyközönség is.

Ha csak a kérdésre ragaszkodott, akkor valószínűleg megtévesztették a címsorok, néhányan azt állítják, hogy a törvényjavaslat a titkosítás megszakítását fenyegeti, és veszélyezteti a biztonságot az egész világon.

Nem pontosan ez a helyzet, mert a kormány nem tudja „megtörni” a titkosítást, mert akar. A titkosítás matematikai törvényekre támaszkodik, amelyek szerencsére elsőbbséget élveznek az ausztrál parlament törvényeihez képest.

Ezen állítások másik problémája az, hogy a törvényjavaslat valójában nem azt mondja, hogy célja a titkosítás megszakítása. Valójában óvintézkedéseket tesz a biztonsági gyengeségek és sebezhetőségek bevezetése ellen.

Ne tévessze be ezeket a engedményeket, amelyek azt sugallják, hogy a törvényjavaslat jó. Határozottan felülvizsgálatra és jelenlegi formája súlyos biztonsági problémákat okozhat.

A hiperbol és a tények hamis bemutatása azonban mindenkinek szolgaságot jelent. Ha van valami, ez további igazolja a kormány álláspontját, mert azt állíthatja, hogy a rendeletekkel szembeni bármiféle eltérés hazugságon vagy a tények manipulálásán alapul..

Több hónap telt el a törvényjavaslat elfogadása óta, és a por végre elkezdett leülepedni. Itt az ideje, hogy megvizsgáljuk a törvényjavaslatot valósághűbb értelemben, átvágjuk a mítoszokat és beszéljünk a valós kérdésekről, valamint azok lehetséges következményeiről..

Mi a segítség? & Hozzáférési számla?

A távközlési és egyéb jogszabályok módosításáról (támogatás és hozzáférés) szóló 2018. évi törvényjavaslat, közismerten rövidítve A támogatási és hozzáférési törvényjavaslat (és közbeszédül titkosítási törvénynek nevezték el), az ausztrál kormány mindkét házában elfogadták 2018. december 6-án..

A jogalkotás és az a szempont, amelyre a legtöbb média figyelmet fordította, a legfontosabb a törvényjavaslat rendelkezései arra kényszerítse a vállalatokat, hogy segítsék a hatóságokat az egyének adataihoz való hozzáférésben.

A szervezeteket vagy az egyéneket kényszeríteni lehet az adatok átadására ha a céltól elfogatóparancsot adtak ki a távközlési (lehallgatásról és hozzáférésről) törvény, a felügyeleti eszközökről szóló törvény vagy azok állami szintű ekvivalensei alapján.

Csak ezeknek a jogi aktusoknak a hatálya alá kell vonni az engedélyt, és nincs szükség külön parancsra, mielőtt a társaságok kénytelenek lesznek információt nyilvánosságra hozni vagy segíteni a hatóságokat annak más módon történő elérésében. Ez azt jelenti, hogy a folyamatot nem bírósági felügyelet alatt tartják.

Ezen kérdések ellenére a törvényjavaslat nem használható fel tömeges megfigyelésre, mivel már létező engedélyekre van szükség.

A legszélsőségesebb értelmezésnél attól tartanak, hogy a törvényjavaslat által biztosított egyes jogok arra késztethetik a vállalkozásokat, hogy kiszolgáltatottságukat vezessék be szolgáltatásaikba, ami viszont gyengítheti a globális biztonságot.

Ki befolyásolja a törvényjavaslatot?

A törvényjavaslat a következőkre vonatkozik: „Kijelölt kommunikációs szolgáltatók”, amelyet a szöveg rendkívül tágan határoz meg. Noha a törvényjavaslat látszólag a távközlési vállalkozások és a technológiai vállalkozások számára irányul, a következőkre terjed ki:

  • Gyártó berendezések.
  • Ellátó berendezések.
  • Szoftver fejlesztése és frissítése.
  • Közvetítőként jár el a fenti folyamatok bármelyikében.

A törvényjavaslat megfogalmazását követően úgy tűnik, hogy ez vonatkozik a kisvállalati szereplőkre is, például a webhelytulajdonosokra és a még a fent felsorolt ​​vállalatok bármelyikén dolgozó egyének, nemcsak maga a szervezet vagy annak vezetői.

A törvényjavaslat minden olyan szervezetre vonatkozik, amelynek „egy vagy több végfelhasználó Ausztráliában”. Ez azt jelenti, hogy a hatáskörök felhasználhatók a nemzetközi szervezetekkel szemben. Ebben a szakaszban azonban nem ismeretes, hogyan reagálnának a nemzetközi szervezetek a törvényjavaslatra, vagy mi lenne kötelezettségeik.

Milyen hatásköröket biztosít a törvényjavaslat?

A törvényjavaslat legellentmondásosabb része a három külön értesítés körül fordul, amelyeket különféle kormányzati ügynökségek küldhetnek a vállalatoknak:

  • Technikai segítségnyújtási közlemények (TAN) - Ezek alapvetően olyan követelmények, amelyek megkövetelik a szervezetektől, hogy segítsék a hatóságokat a már működő képességekkel. Ez magában foglalhatja például az egyéni számlainformációk átadását, technikai tanácsadást vagy olyan hatóságok adatainak megadását, amelyekhez a vállalat már hozzáférhet.
  • Műszaki alkalmassági közlemények (TCN-k) - Ezek az értesítések egy lépéssel tovább mennek, és megkövetelhetik a szervezetektől, hogy új képességeket fejlesszenek ki, hogy segítsék a hatóságokat kémkedés és egyéb erőfeszítések során. A társaságok kötelesek nyereségmentesség és veszteségmentes alapon elvégezni a feladatokat. Ez a jogszabályok leginkább aggasztó része, mivel egyes olvasmányok azt sugallják, hogy ezek a kérések arra kényszeríthetik a vállalatokat, hogy biztonsági réseket helyezzenek el technológiájukba. Fedezi:
    • Az elektronikus védelem olyan formáinak eltávolítása, mint például a titkosítás vagy a hitelesítés.
    • Technikai információk biztosítása.
    • Szoftver és berendezés telepítése, karbantartása, tesztelése vagy használata, hogy segítse a hatóságokat a céljaik elérésében.
  • Technikai segítségnyújtási kérelmek (TAR) - Ezek önkéntes kérelmek, amelyek felkérik a szervezeteket, hogy segítsék a hatóságokat a fenti gyakorlatok egyikében. A társaságok nem kötelesek ezeket követni, és a szabályok be nem tartásáért sem szankcionálnak. Noha a TAR-ok nem tűnnek olyan rossznak, kevésbé vannak felügyeletük, mint a másik két értesítés.

Melyik ügynökségek nyújthatják be ezeket a kérelmeket?

Technikai segítségnyújtási közlemények (TAN-ok) benyújtását a Biztonsági főigazgató (az ASIO vezetője), vagy a következő szervezetek bármelyikének vezérigazgatója, amelyre a jelentés vonatkozik elfogási ügynökségek:

  • Az Ausztrál szövetségi rendőrség.
  • Az Ausztrál Bűnügyi Bizottság.
  • Az egy állam vagy az északi terület rendõri erõi.

A lehallgatási ügynökség vezérigazgatója engedély kérésére az ausztrál szövetségi rendõrség biztosától kérheti a kérelmet. Mindhárom típusú kérelmet írásban kell benyújtani a célszervezethez, kivéve ha közvetlen veszély áll fenn, amely esetben a kérelmet szóbeli módon lehet benyújtani..

Műszaki képességekre vonatkozó közlemények csak a Biztonsági Főigazgató vagy az elfogási ügynökség vezérigazgatója nyújthatja be, ezt azonban a főügyész útján kell megtenni. A főügyésznek viszont a kommunikációs miniszter jóváhagyását kell megszereznie.

Önkéntes technikai segítségnyújtás értesítést küldhet a Biztonsági Főigazgató, az Ausztrál Titkos hírszerző Szolgálat főigazgatója, az Ausztrál Jelek Igazgatóságának főigazgatója, vagy egy elfogási ügynökség vezetője.

Az utolsó néhány szakasz jogi természetük miatt kissé összetett. Adjunk rövid összefoglalót az eddigi törvényről. Ez lehetővé teszi több különböző ausztrál ügynökség számára, hogy különféle kéréseket tegyen a tech- és telekommunikációs társaságoknak. Ezek a segítségnyújtástól kezdve a követelésekig terjednek, hogy új képességeket építsenek ki az egyének kémkedésére.

Milyen figyelmeztetések vannak a helyén?

Ha sikerült átvágnia a száraz legalese-en, akkor sokkolhat a törvények által biztosított széles hatalom és azok esetleges következményei. De vannak olyan figyelmeztetések, amelyek látszólag korlátozzák alkalmazásuk módját.

A törvényjavaslat kifejezetten kimondja, hogy e kérelmek egyike sem kényszerítheti a szervezeteket arra, hogy „szisztematikus gyengeséget vagy szisztémás sebezhetőséget valósíthat meg vagy építhet fel”. Azt is mondja, hogy a kérelmek nem használhatók fel annak megakadályozására, hogy a vállalatok „kijavítsák a rendszerszintű gyengeségeket vagy a biztonsági réseket.

Mi a probléma a segítségnyújtással? & Hozzáférési számla?

Ezek a figyelmeztetések lehet, hogy megkönnyebbülten felsóhajt, de ők nem olyan vaskosak, mint amennyire remélhettél. A törvényjavaslat számos egyéb aggasztó elemmel rendelkezik, amelyeket be kell fednünk.

Homályos megfogalmazás

A törvényjavaslat sok szempontja meglehetősen homályos, ami megnehezíti azokat, akiket az érint, és hogy tudják, hol állnak jogi értelemben. Nehéz megmondani, hogy ez a homályosság szándékos és rosszindulatú-e, vagy az inkompetencia és a számla átadásának sietésének eredménye.

Akárhogy is, minden olyan törvény, amelyet többféleképpen lehet értelmezni, komoly kérdéseket vet fel, annak bizonytalansága miatt. Természetesen az érintettek félnek a legrosszabb forgatókönyvektől, míg a törvényjavaslat támogatói hangsúlyozzák, hogy a törvényeket nem az ilyen módon kell használni..

Vizsgáljuk meg néhány legfontosabb példát, amelyekben a jelentés megfogalmazása bizonytalanságot eredményez annak alkalmazásában.

Rendszeres sebezhetőség & szisztémás gyengeségek

E fogalmak meghatározása felelős a törvényjavaslat kritikájának nagy részéért:

Rendszeres sebezhetőség "sebezhetőség", amely a technológia egész osztályát érinti, de nem foglalja magában a sebezhetőséget, amelyet szelektíven vezetnek be egy vagy több céltechnológiához, amelyek kapcsolódnak egy adott személyhez. Ebből a célból nem számít, hogy a személy azonosítható-e.

Szisztémás gyengeség "gyengeség", amely a technológia egész osztályát érinti, de nem foglalja magában a gyengeséget, amelyet szelektíven vezetnek be egy vagy több céltechnológiához, amelyek kapcsolódnak egy adott emberhez. Ebből a célból nem számít, hogy a személy azonosítható-e.

Az első dolog, amit észrevehet, az a meghatározások azonosak, akadályozzák magukat a feltételeket. Legalábbis mindkét kifejezés használata a jelentésben felesleges és feleslegesen bonyolítja, mivel pontosan azonos módon vannak meghatározva.

A második fő kérdés az, hogy a kifejezés A „technológiai osztály” nincs meghatározva a törvényjavaslatban. Az iparban ez nem általánosan használt kifejezés, és nincs egyetértés sem abban, hogy mit jelent valójában. Feltételezhető, hogy egy nagyon széles típusú technológiára utal, például számítógépekre vagy mobiltelefonokra. Hivatkozhat valami árnyaltabbra, például a titkosításra vagy a hitelesítésre, vagy valami még konkrétabbra, például RSA vagy digitális tanúsítványok.

Mivel nem tudhatjuk, hogy ezeknek a meghatározásoknak mit kell lefedniük, ez gyakorlatilag megszünteti az összes olyan különleges védelmet, amelyet elsősorban a figyelmeztetés kínál. Ha a törvényt visszaélnék, hogyan tudná valaki tudni, hol áll törvényesen?

Ha lenne kisvállalkozás, mit tennél, ha olyan kérést kapna, amely veszélyezteti a szolgáltatás biztonságát? Ha nem tudná megfizetni a jogi díjakat, hajlandó lenne megtámadni a törvényt és megtagadni annak betartását?

A meg nem felelés jelenlegi maximális bírsága szinte kb 1 000 000 USD (700 100 USD) a szervezetek számára és 50 000 USD (35 005 USD) az egyének számára, valamint legfeljebb tíz év börtönbüntetés.

Az, hogy valami szisztematikus gyengeséget vagy rendszersérülékenységet jelent-e, végül az értékelő dönt az esetről esetre. Az értékelőknek olyan ismeretekkel kell rendelkezniük, amelyek lehetővé teszik a személy számára, hogy felmérje, vajon egy cselekmény szisztematikus gyengeséget vagy sebezhetőséget eredményez-e. Sajnos a „tudás” nincs meghatározva, ez újabb rést nyit a törvényben.

Valami abszurd okból a törvényjavaslat egy nyugdíjas bírót is megköveteli az értékelésben való részvételhez. Ez nem indokolja a korábbi bírák aktív bírókkal szembeni használatát. Nincs keret arra sem, hogy a két értékelő hogyan határozza meg, hogy mi jelent rendszerszintű gyengeséget vagy sebezhetőséget, és nincs egyértelműen felvázolt fellebbezési eljárás is..

Ez egy olyan törvényjavaslat, amely számos embert és vállalkozást érint. Ha ilyen homályos terminológia van egy központi részében, ez csak bizonytalanságot eredményez, és a legrosszabb esetben a visszaéléshez nyitja meg az ajtót.

A törvény felhasználható az alkalmazottak megcélzására

További komoly aggodalomra ad okot, hogy a törvényjavaslat megfogalmazására utaló módon kerül sor az egyes alkalmazottakat meg lehet célozni a kérelmek végrehajtása érdekében, és jogilag megakadályozható, hogy értesítsék feletteseiket.

A „személy” kifejezést használja, amikor arra utal, hogy mi képezi a kijelölt kommunikációs szolgáltatót, és így a jogalanyokat, amelyekre a törvény vonatkozik. Egyes esetek egyértelműen jogi személyekre utalnak (amelyek lehetnek társaságok vagy magánszemélyek), nem pedig természetes személyekre (magánszemélyekre)..

Jó példa az 1. tétel, „a személy fuvarozó vagy szállítási szolgáltató”. Az ember nem tudja szó szerint lenni „szállító vagy szállítmányozó szolgáltató”, tehát nyilvánvalóan szervezetekre utal. Ahogy megyünk a listára, a dolgok kevésbé világosak.

A 6. tétel a olyan személy, aki „szoftvert fejleszt, szállít vagy frissít felhasználásra, vagy valószínűleg a következőkhöz kapcsolódóan: a) felsorolt ​​szállítási szolgáltatás; vagy (b) olyan elektronikus szolgáltatás, amely rendelkezik ”.

A 8. tétel a következőkre terjed ki: az a személy, aki „alkatrészeket gyárt vagy szállít használatra, vagy valószínűleg felhasználásra kerül egy felhasználható létesítmény gyártásakor, vagy valószínűleg használni fogják Ausztráliában ”.

Mindkét esetben könnyű úgy értelmezni őket, hogy az alkalmazottakra és a vállalatokra is utalnak. Maga a törvényjavaslat nem említi, hogy csak a vállalatokat célozza meg, így tisztességes, ha az ilyen pozícióban lévő emberek aggódnak.

Ezeket a félelmeket a Belügyminisztérium elutasította, honlapján közzétette:

„Az iparági támogatási keretrendszer célja a segítségnyújtás cégek, nem pedig olyan emberek, akik egy vállalkozás alkalmazottjaként járnak el. A segítségnyújtás iránti kérelmeket maga a vállalati egység is kézbesíti, a 2006. Évi szolgáltatási rendelkezésekkel összhangban szakasz 317ZL. Felhívás kézbesíthető egy magánszemélyre, ha ez a magánvállalkozó kizárólagos vállalkozó, és saját jogi személyiséggel rendelkezik. ”

Vegye figyelembe, hogy a 317ZL szakasz nem említi, hogy ezeket az értesítéseket kézbesíthetik-e egyének.

Jó, hogy a Belügyminisztérium felajánlja ezt a pontosítást, de miért nem szerepel a segélyezési és hozzáférési törvénytervezet szövegében? Amit valamelyik tisztviselő írt egy kormányzati weboldalon, az nem sérti a törvényt, amelyet mindkét parlamenti ház elfogadott.

Ha úgy értelmezzük a törvényt, ahogy azt írjuk, nem irreális azt gondolni, hogy e kérelmek egyikét be lehet nyújtani egy társaság alkalmazottjának. Ha ez megtörténne, az komoly erkölcsi problémába ütközne a munkavállalót, mert ők nem szabad nyilvánosságra hozni a kérés kézhezvételét, kivéve, ha a kérelem teljesítéséhez szükséges.

Ezek a gag-utasítások nyilvánvalóan nagyon nehéz helyzetbe hoznák a munkavállalókat, és arra kényszerítik őket, hogy körülzárkózhassanak minden társa és magasabb szintje körül, akik számára nem tudják közzétenni az értesítést. A törvényjavaslat védi a munkavállalókat attól, hogy elbocsátják az ilyen értesítés követelményeinek teljesítése során, de még mindig nem jó a helyzet, ha egy személyt.

Még egyszer: a törvény nem szándékozik ilyen módon alkalmazni, hanem ha nem szüntetjük meg ezeket a hiányosságokat, akkor a jogalkotás visszaélésekre nyitva áll.

Korlátozott felügyelet

Nem csak a jogszabályok homályosak, hanem korlátozott felügyelettel is járnak azok alkalmazásában. A három kérelem egyikéhez sem szükséges külön indoklás, bár a távközlési (lehallgatásról és hozzáférésről) szóló törvény, a felügyeleti eszközökről szóló törvény vagy azok állami szintű ekvivalensei alapján már létezik igazolás az egyén adatainak eléréséhez.

Ennek eredményeként nincs bírósági felügyelet e kérelmek kezelésének módja tekintetében. A nyugdíjas bíró részt vesz az értékelési folyamatban, de nem aktívan szolgál.

Amint azt a Rendszeres sebezhetőség & szisztematikus gyengeség szakasz, az értékelési folyamat megvizsgálja, hogy a kérelem bevezet-e szisztematikus hiányosságokat, de azt is megvizsgálja, hogy a kérelem valóban-e ésszerű, arányos, kivitelezhető és műszakilag megvalósítható. Ennek ellenére korlátozott részletek vannak arról, hogyan történik ez valójában.

Figyelembe véve az ausztrál kormány tapasztalatait a technológiával és a biztonsággal kapcsolatban, nem túl messzire vonzza, hogy az „ésszerű” meghatározása komolyan különbözik a tech társaságok és a kiberbiztonsági szakértők definíciójától. Csak a következő idézetet kell elolvasnia Malcolm Turnbull volt miniszterelnök kriptográfiájáról, hogy félje a legrosszabbat:

"A matematikai törvények nagyon dicséretesek, de Ausztráliában csak az ausztrál törvény alkalmazandó."

Az állítás ugyanolyan abszurd, mint a „A gravitáció dicséretes, ám hazámban ez nem vonatkozik.„A technikai koncepciók iránti ilyenfajta tudatlanságot fel lehet vetni arra a feltételezésre, hogy a kormány veszélyes vagy ésszerűtlen cselekményeket követelhet, akár inkompetencia, akár rosszindulat miatt.

A kijelölt kommunikációs szolgáltatókat értesíteni kell a Nemzetközösség ombudsmanjának, a hírszerzési és biztonsági főfelügyelőnek (IGIS), vagy azokkal egyenértékű államuknak panaszuk jogáról..

Ennek ellenére a rendeletek nem határozzák meg a folyamat kereteit. A törvényjavaslat nem határozza meg, hogy mi tekinthető érvényes panasznak, vagy hogy hogyan lehetne helyette az igazságszolgáltatásnál átvenni.

E hatáskörök felhasználását nyomon kell követni, a a Parlamentnek 12 havonta kiadott jelentést. Ennek tartalmaznia kell az egyes hatalmak hányszor történő felhasználását, valamint a bűncselekmény típusát, amelyet azok kivizsgálására használtak. Az önkéntes kérelmeket nem kell nyomon követni és benyújtani a Parlamentnek, és jelentős mennyiségű releváns információt kell bizalmasan kezelni.

A társaságok nem értesíthetik az érintett személyeket adataikhoz való hozzáférés iránti kérelemről, és nem is szabadon tájékoztathatják a nyilvánosságot arról, hogy kérelem érkezett. Megengedhetik nekik, hogy felfedjék a hat hónapon belül benyújtott kérelmek számát, és hogy ezek kötelező vagy önkéntes megrendelések voltak-e. Tilos illeni, ha valamelyik fél konkrét információkat közöl a kérelmekkel kapcsolatban.

Noha a törvényjavaslat tartalmaz némi felügyeletet, nem összetartozó, átlátható vagy formálisan elkészített. Figyelembe véve ezeknek a kéréseknek a lehetséges következményeit, egy ilyen laza folyamat veszélyes, és hatalommal való visszaéléshez vezethet.

A jogszabály által biztosított hatáskörök tág

A jogszabályok nyilvános eladása során alkalmazott egyik fő szempont az volt, hogy a törvényjavaslat hozzájárulhat olyan bűncselekmények megelőzéséhez, mint a terrorizmus, a gyermekpornográfia és más súlyos bűncselekmények. E címkézés ellenére a számla valójában kiterjed mindenkire, akit bűncselekmény elkövetésével gyanúsítanak, az ausztrál vagy a nemzetközi jog értelmében legfeljebb három év büntetéssel.

Ez magában foglalja a rendkívül sokféle bűncselekményt, például a bigamyt, amelynek hétéves börtönbüntetése van, valamint a jogellenes szerencsejáték-művelet elvégzéséhez. Még egy olyan bal oldali mezőnek, mint a másik személy szarvasmarha jogellenes használata, legfeljebb három év büntetést kell viselni.

A jogszabály megfogalmazása szerint a törvényjavaslat hatásköreit mind a három vizsgálatban felhasználhatták. Ha a törvényjavaslatot valóban azok számára célozták meg, akik súlyos bűncselekményeket követnek el, akkor miért nem korlátoznák azt csak rájuk?

A támogatás biztonsági következményei & Hozzáférési számla

A Támogatási és Hozzáférési Törvény széles körű következményekkel járhat Ausztráliában és a világon egyaránt. Mivel a törvényjavaslat annyira homályos, és sok folyamat bizalmas, nem tudunk biztosak lenni abban, hogy eddig hogyan használták, vagy mi fog történni a jövőben.

A legjobb, amit tehetünk, ha elolvassa a szöveget, és megvizsgálja, mi történhet. A laza megfogalmazás miatt befolyásolhatja a globális biztonságot és az informatikai ipar egészét.

Megtörténhet a számla titkosítása?

Az egyik legnagyobb félelem a jogszabályokkal kapcsolatban, hogy az gyengítheti a kiberbiztonságot az egész világon. Lehet, hogy hallotta, hogy a számlát fel lehet használni a titkosítás megszakítására, bár ez egy pontatlan állítás.

Ennek oka az, hogy amikor a megfelelő titkosítási szabványokat (például AES-256) használják, és helyesen hajtják végre őket, nem törhetők fel a jelenlegi technológia és technikák szerint.

Ennek oka az, hogy támaszkodnak a matematikai törvényekre, és hacsak nincs olyan furcsaság, amelyről nem tudunk, vagy ha a kormány rendelkezel elképzelhetetlen mennyiségű titkos számítástechnikai erővel, egyszerűen nem lehetséges.

Vegyünk egy olyan üzenetküldő alkalmazást, mint a Signal, amely az egyik legfontosabb alkalmazás a hatékony biztonsági megvalósításhoz. Ha a kormány kopogtat a Signal ajtaján, és kéri egy adott személy üzenetének visszafejtését, a szervezet válaszolhat: "Sajnálom, de itt senki nem fér hozzá ehhez az információhoz."

Ennek oka az, hogy a legtöbb esetben, A Signal nem fér hozzá a személyes kulcsokhoz, amelyek az adatok feloldásához szükségesek.

Tegyük fel, hogy a kormány fegyvert tartott a Signal fejéhez, és azt mondta neki, hogy tegyen meg minden tőle telhetőt, hogy segítsen. A Signalnak teljesen át kell javítania alkalmazását a hátsó ajtó telepítéséhez, ami rövid idő alatt nem lenne praktikus.

Valószínűleg egy ilyen cselekedet nem lenne ésszerű vagy praktikus, de lehetetlen tudni, hogy ezeket a törvényeket hogyan fogják alkalmazni. Még ha a Signal is átalakította volna alkalmazásukat és megváltoztatná a biztonsági megvalósításukat, akkor csak a jövőbeli üzenetekhez férhetnek hozzá hozzáférést, és nem a múltbeli üzenetekhez.

Ezeket a múltbeli üzeneteket továbbra is titkosították a cél titkos kulcsaival, bár egy ilyen átalakítás lehetővé teheti a hatóságok számára, hogy a kulcsokat a célból elvegyék.

Meglévő gyenge biztonság

Nem minden alkalmazás épül a Signal szabványának megfelelően, tehát ez a példa messze nem egyetemes. Számos alkalmazás rossz biztonsági megvalósítású, vagy nem kínálják fel kódot felülvizsgálatra, ezért nem igazán tudhatjuk, mi folyik a motorháztető alatt. Ezekben az esetekben a vállalatok átadhatják a kormánynak a kulcsokat vagy építhetnek eszközöket, amelyek hozzáférést biztosítanak neki.

Hamis ügyfelek

A hatóságok számára a legpraktikusabb módszer az egyén adatainak megcélzására az lenne, ha egy társaságot arra kényszerítenének készítsen alkalmazásuk hamis verzióját, majd ragaszkodjon az ember eszközéhez. Ezt megteheti úgy, hogy fizikailag hozzáfér az eszközhöz, becsapja az embert a letöltésbe, vagy hamis „frissítést” küld a cél telefonjára..

Nehéz lehet fizikailag hozzáférni valaki telefonjához vagy számítógépéhez, és nem javasolt az emberek hamis frissítések küldése. Ennek oka az, hogy a frissítések nélkülözhetetlenek az újonnan felfedezett biztonsági rések biztosításához.

Ha szokásossá válik, hogy a hatóságok a frissítéseket az emberek kémkedésére használják, a nyilvánosság gyanúja lehet a frissítésekről, és esetleg nem telepíti azokat a jövőben. Egy ilyen hozzáállás mindenkit sokkal kevésbé biztonságossá tesz. Az Egyesült Államok Nemzetbiztonsági Tanácsa már megvizsgálta ezt a lehetőséget, de azt javasolta ellenében, kijelentve, hogy:

„… Annak használata megkérdőjelezheti a létrehozott szoftverfrissítési csatornák megbízhatóságát. Az egyes felhasználók, akiknek eszközeik távoli elérése miatt aggódnak, dönthetnek úgy, hogy kikapcsolják a szoftverfrissítéseket, ezáltal az eszközök jelentősen kevésbé biztonságosak az idő múlásával és a sérülékenységek felfedezésével.

Függetlenül attól, hogy a kormány hamis ügyfelet szerez valaki eszközére, akkor ezt felhasználhatja egy közép-ember támadás során. A középső ember támadása alatt minden normálisnak tűnik a cél felé. Úgy gondolják, hogy közvetlenül kommunikálnak másokkal biztonságos módon, de valójában egy támadó van köztük.

Amikor a célpont üzenetet küld, először a támadóhoz kerül, aki aztán továbbítja a címzettnek. Bármi, amit visszajuttatnak a célhoz, szintén a támadón megy keresztül. Ezen a folyamaton keresztül, a támadó összes bejövő és kimenő adatot gyűjt, beleértve a kulcsokat és a privát üzeneteket.

Az ilyen típusú támadás lehetővé tenné a kormány számára, hogy szinte mindent megtapasztaljon, amit a célpont csinál. Rendkívül valószínűtlen, hogy ez rendszerbeli gyengeségnek minősül, mivel a szervezet nem vezet be sebezhetőséget a szoftverben, amelyet mindenki használ, ez csak egy hamis verzió készítése az egyedi célponthoz.

Azt is meg kell jegyezni, hogy kifinomult spyware már létezik. Ezek a programok felhasználhatók az egyének adataihoz különböző forgatókönyvek sorában.

Ha a hatóságok fizikai hozzáférést kapnak az egyén eszközeihez, vagy becsaphatják őket az eszköz telepítésébe, akkor rögzíthetik a személy minden jövőbeli kommunikációját, és felfedezhetik a korábban tárolt adatok feloldásához szükséges kulcsokat. Emiatt, a hátsó ajtók szükségessége korlátozottabb, mint sokan rájönnek.

Mester kulcsrendszer

Egy olyan alternatíva, amely a kormány számára hozzáférést biztosíthat a kívánt eszközökhöz, egy mesterkulcs digitális változatának tekinthető. Ez az elektronikus rendszer elméletileg hozzáférést biztosíthat a hatóságok számára minden eszközhöz.

Ha a hatóságoknak ilyen hatalmat adnának minden eszköz felett, akkor az lenne kritikus, hogy a fő kulcsot teljes mértékben titokban tartsuk. Ha rossz kezekbe került, a támadók bármi eléréséhez felhasználhatták. Ez zűrzavarba dobja a világot.

Ha ilyen mesterkulcs-rendszert építenek, akkor az lenne gyakorlatilag lehetetlen garantálni a biztonságát. A jogosulatlan hozzáférés megakadályozása érdekében a rendszerre szigorú hitelesítési intézkedésekre lenne szükség. Tekintettel arra, hogy mennyire értékes lenne a fő kulcs, óriási kockázat áll fenn, hogy akár a rendszereket, akár a személyzetet, aki azt irányította, veszélybe kerülne a támadások.

Egy ilyen rendszer felépítése szintén óriási technikai kihívás. Annak elég rugalmasnak kell lennie, hogy minden típusú készüléket és számítógépet kiszolgáljon, és hatalmas mérnöki munkacsoportra lesz szükség a rendszer működésének folyamatos fenntartásához, amikor ezeket az eszközöket frissítik. Egyszerűen túl sok lehetőség lenne arra, hogy a sebezhetőség átcsúszjon a repedések között.

A biztonság közvetett gyengülése

A szoftver fejlesztésekor ez a közös adja át egy külső penetrációs tesztelőnek. Ezek alapvetően a hackelés jó fiúi, akiknek fizetni kell a kódon keresztüli próbálkozásért, és meg kell nézni, találnak-e sebezhetőséget.

A kívülállókkal való szerződéskötés nagyszerű megközelítés a biztonság szempontjából, mivel olyan problémákat találhatnak, amelyeket a projekthez közeli személyek még nem vettek észre. De a segítségnyújtási és hozzáférési törvényjavaslat megállíthatja ezt a folyamatot.

Mivel nincs megfelelő meghatározása annak, hogy milyen rendszerszintű gyengeségek és sebezhetőségek vannak a törvény összefüggésében, akkor a legrosszabbat kell feltételeznünk, ha fel akarunk készülni minden esetre.

Tegyük fel, hogy a hatóságok valamilyen módon megmasszázsolják a szisztémás gyengeség meghatározását, és sikerül arra kényszeríteni a cégeket, hogy csúsztassák be a hátsó ajtót a szoftverükbe. Ha a társaságát ebbe a helyzetbe helyezik, akkor el akarja küldeni a kódot egy külső könyvvizsgálónak, aki valószínűleg meg fogja találni?

Hogyan magyaráznád ezt a penetrációs tesztelőnek? A helyzettől függően előfordulhat, hogy szervezete nem tudja nyilvánosságra hozni a kormány által kért hátsó ajtót.

Ha a penetrációs tesztelő megtalálta a hátsó ajtót, és a vállalat figyelmen kívül hagyta a javításra vonatkozó ajánlásaikat, a penetrációs tesztelő végül nyilvánosságra hozza a sebezhetőséget, és azzal vádolhatja vállalkozását, hogy veszélyezteti felhasználóit. Ez végül hihetetlenül károsíthatja szervezetének hírnevét.

Ezt a logikát követve azok a szervezetek, amelyek kénytelenek voltak hátsó ajtókat beilleszteni, végül elkerülhetik a külső ellenőrzéseket, hogy elkerüljék ilyen kínos helyzetet. Ez veszélyes lenne, mert azt jelenti sok más sebezhetőséget nem vetnének fel ezekben a rutinellenőrzések során.

Ez a hűtési hatás messze tűnik, de őrültebb dolgok történtek, ezért ezeknek a törvényeknek a lehető legszorosabbaknak kell lenniük az ilyen legrosszabb esetek megelőzése érdekében..

Lehetséges hatások az informatikai iparra

A törvények nemcsak a biztonságot gyengítik, hanem homályosságuk is befolyásolhatja az üzletet és a munkaerőt. Valójában néhány ausztrál társaságot már finansiálisan érintettek, mivel az ügyfelek attól tartanak, hogy termékeik és szolgáltatásaik veszélybe kerülhetnek.

Hatások a nagyobb vállalkozásokra

Ebben a szakaszban a legjobb, amit tehetünk, a spekuláció, mert nem tudjuk, mennyire agresszíven alkalmazzák ezeket a törvényeket. Soha nem tudhatjuk meg a kibocsátásukat körülvevő szigorú titoktartás miatt.

Ha az egyik technikai óriáshoz indokolatlan kérelmet nyújtanak be, akkor valószínű, hogy hatalmukkal és erőforrásaikkal rendelkeznek a harc ellen és a törvény körüljárása érdekében. Megtagadhatják a szabályok betartását, mint az Apple az FBI-vel szemben a 2015. évi San Bernardino-i lövöldözés egyik elkövetőjének iPhone-jával kapcsolatban.

Ha ezeket a hatalmas vállalatokat attól tartja, hogy a törvény befolyásolja, megpróbálhatják magukat megvédeni annak biztosítása, hogy Ausztráliában ne történjen fejlesztés, elkerüli az adatok tárolását az ország határain belül, vagy megtagadja az ausztráliak felvételét ha a törvények kiterjednek az ausztráliai tengerentúli székhellyel is. Ebben az esetben nagyon negatív hatással lehet az ausztrál informatikai munkaerőre.

Szélsőséges forgatókönyv szerint a vállalatok megtagadhatják ausztráliai üzleti tevékenységet, és termékeik és szolgáltatásaik eltávolítását a piacról. Ez nagyon valószínűtlennek tűnik, mert hatalmas következményekkel jár. Ennek ellenére nem teljesen előre nem látható, tekintve, hogy a Google egyszer kihúzta keresőmotorját a kínai piacról a kínai kormánygal kapcsolatos kérdések miatt.

Hatások a kisebb vállalkozásokra

Noha a nagyvállalatok képesek lesznek felhasználni hatalmukat és erőforrásaikat a kormány bármilyen kérésének kielégítésére, lehet, hogy ez az út a kisebb szervezetek számára nem életképes. Lehetséges, hogy ezeknek a vállalkozásoknak nincs pénze a jogi csata lebonyolításához, és az ausztrál kormánytól megfélemlíthetik, hogy adja át.

A törvények annyira homályosak, hogy a vállalkozások nem tudják meg a jogaikat, vagy hogy fellebbezni tudnak-e. Ez a kormányhoz vezethet visszaél a hatalommal a kisebb vállalkozások ellen, vagy arra kényszeríti őket, hogy nem biztonságos és indokolatlan változásokat hajtsanak végre szoftverükben. A szigorú titoktartási követelmények azt is megakadályoznák, hogy ezek a vállalkozások nyilvánosságra kerüljenek az igényekkel.

Hatások az ausztrál vállalkozásokra

Számos ausztrál informatikai vállalkozást sértettek már a rendeletekkel. Bron Gondwana, az ausztrál e-mail tárhely szolgáltató, a FastMail vezérigazgatója elmondta: „Láttuk, hogy a meglévő ügyfelek távoznak, és a potenciális ügyfelek máshova mennek, és ezt a törvényjavaslatot indítják választásuk indokaként. Az ügyfelek rendszeresen kérdeznek minket, hogy költözzünk-e ”.

Az Atlassian, Ausztrália legnagyobb technológiai vállalata, a részvényárak estek a számla átadásakor, bár nem lehet megerősíteni, hogy a két esemény összefüggésben volt-e. "Fel kell ismernünk, hogy ez a törvény veszélyezteti a munkahelyeket" - mondta Scott Farquar, az Atlassian társigazgatója.

A Senetas, egy ausztrál titkosító cég szintén várhatóan negatív hatással lesz a törvényre. "A jelenlegi formájában, és ha nem változik meg, ez a jogszabály arra kényszeríti társaságunkat, hogy offshore-ra menjen" - mondta Francis Galbally ügyvezető elnöke..

A segítségnyújtás egyéb veszélyei & Hozzáférési számla

A segítségnyújtási és hozzáférési törvényjavaslat nem csupán azt foglalja le, amelyet a hatóságok a társaságoktól kérhetnek. Ez magában foglalja a warrant rendszer számos módosítását is. Ezek némelyike ​​ésszerűnek tűnik, összhangban a változó technológiával és a rendészeti ügynökségekre vonatkozó, a munkahelyükön történő hatékonyságra vonatkozó követelményekkel. Egyéb szempontok a szükségtelen túllépések, amelyek sérthetik az emberek magánéletét.

Sértheti harmadik személyek magánéletét

Az egyik ilyen lépés a rendelkezés, amely lehetővé teszi a bűnüldöző szervek számára, hogy harmadik felek helyiségeibe lépjenek, vagy harmadik felek digitális rendszereihez férjenek hozzá a parancs végrehajtása során. Határozottan vannak olyan helyzetek, amikor ez ésszerű cselekedet lenne. Tegyük fel, hogy a terrorista támadás folyamatban van, és a legbiztonságosabb módja annak, hogy a tisztviselők befejezzék azt, ha egy másik épületbe lépnek be.

Egy másik példa lehet egy olyan gyermek bevonása, akit rendkívül veszély fenyeget a sérülés, és egy harmadik fél hálózatához vagy számítógépéhez való hozzáférés lehet a legjobb módja a gyermek megmentésének..

A probléma az, hogy ezek a hatáskörök nem korlátozódnak az ilyen konkrét forgatókönyvekre, és akkor használhatók fel, amikor a bíró ezt megfelelőnek tartja. Mivel a törvény olyan aspektusokra is kiterjed, mint például az adatok hozzáadása, másolása, törlése vagy módosítása harmadik fél számítógépein, annak használata könnyen szükségtelen adatvédelmi jogsértésekhez vezethet.

Szinte mindenki egyetért azzal, hogy bizonyos körülmények között, mint például a fenti esetekben, ésszerű felülbírálni egy harmadik fél adatvédelmi jogait. A felhasználást azonban csak azokra az esetekre kell korlátozni, amikor a hatáskörök feltétlenül szükségesek a súlyos károsodások megelőzéséhez.

Az egyének arra kényszerítése, hogy feladják jelszavukat

A törvényjavaslat a Felügyeleti eszközökről szóló törvény (SD) és a ASIO törvény. A változások a SD törvény engedélyezze a bűnüldöző szervek számára a kérelmet támogatás rendelés a bírótól. Ezek a megrendelések felhasználhatók kényszerítse az egyéneket minden olyan információ átadására, amely „ésszerű és szükséges” annak érdekében, hogy a hatóságok „hozzáférhessenek, lemásolhassák, konvertálhassák vagy érthetővé tegyék” minden olyan adatot, amelyre a végzés vonatkozik.

Ezek a parancsok arra kényszeríthetik az embereket, hogy adja át jelszavát, biometrikus adatait vagy a vonatkozó rendszerek és eszközök ismereteit. Nemcsak a bűncselekménnyel gyanúsított személyt célozzák meg, hanem fedélzetükre, a kérdéses eszközök tulajdonosaira, a rendszergazdákra és az eszközöket használókra is kiterjedhetnek..

Az SD törvény értelmében e kérések nem teljesítése vezethet 10 évig terjedő börtönbüntetést és 126 000 USD (88 212 USD) pénzbírságot.

Hasonlóképpen az ASIO-törvény változásai lehetővé teszik a főigazgató számára a főügyész számára petíció benyújtását, hogy kényszerítse az egyéneket azonos típusú adatok szolgáltatására. A megfelelés megtagadása az eredményhez vezethet legfeljebb öt év börtön vagy 63 000 A (44 106 USD) büntetés. Az ASIO-törvény új hatalmainak egyik legnagyobb problémája az, hogy nincs bírósági felügyelet - a hatóságoknak soha nem kell bíró elé menniük engedélyért.

Érdemes megjegyezni, hogy ezeket a hatásköröket bármilyen bűncselekmény kivizsgálására fel lehet használni, legfeljebb három év vagy annál hosszabb büntetéssel. Nehéznek tűnik, hogy valaki megtagadja a szabályok betartását potenciálisan olyan büntetéssel zárulhat el, amely meghaladja az eredeti bűncselekményért kiszabott büntetést.

Ez különösen aggasztó, ha jogos adatvédelmi okok vannak a jelszavak vagy biometrikus adatok feladásának elmulasztása miatt. Mivel a törvények rendszergazdák és más személyek ellen is alkalmazhatók, az emberek, akik nem követtek el más bűncselekményt, súlyos büntetést szenvedhetnek el.

Azt is érdemes figyelembe venni, hogy ezek a törvények is lehetnek ellentmond az önmegvallás elleni kiváltságnak. Ebben a szakaszban az egyének titkosításhoz fűződő jogait még nem tesztelték az ausztrál törvények, tehát bizonytalanok vagyunk abban, hogy valaki arra kényszerítése, hogy adja át a jelszavát, önmegvallásnak tekinthető-e..

Még egyszer, ezek a törvények rendkívül szélesek, és sok szempontot rosszul határoznak meg. A megfelelő meghatározások és a felügyelet hiánya miatt nem lehetünk biztosak benne, hogy azok hogyan fognak játszani a való világban.

A segítségnyújtás & A Access Bill-et megfelelő áttekintés nélkül átvilágították

Nemcsak maguk a törvények vannak ellentmondásos, hanem az is, ahogyan azokat elfogadták. A törvényjavaslatot először 2018. augusztusban tették közzé. Kiadásakor óriási kritikát váltott ki a technológiai ipar, az adatvédelmi csoportok és a polgárok. A tervezet nyilvános észrevételeket tehet, és 343 beadványt nyújtottak be.

Ezek közül csak egy támogatta a rendeleteket. A többi vagy módosítást követelt, vagy teljesen ellentmondott a törvényjavaslatnak. Az elutasítás sorrendje ellenére a végleges törvénytervezetet alig vizsgálták meg.

A karácsonyi időszak előtti ülés utolsó napján a törvényjavaslat felülvizsgált változatát mutatták be a Parlamentnek. 173 módosítást tartalmazott, de a tagoknak alig volt idejük megvizsgálni azokat.

Noha ezek tartalmaztak pozitív változásokat, a törvényjavaslat új tervezete továbbra is figyelmen kívül hagyta az e cikkben említett összes kérdést. Ezen súlyos problémák ellenére a Segítségnyújtás & A hozzáférési törvényjavaslatot mind a házon, mind a szenátuson keresztül rohantak, miután az ellenzéki párt behatolt.

A hivatalos ok az volt, hogy a törvényeket be kellett sietni, hogy megakadályozzák a lehetséges terrortámadásokat az ünnepek alatt. Ez különösen kétes állítás volt, mivel Ausztráliában már számos terrorizmusellenes törvény létezik.

Ha a hatóságok megkövetelték az új képességeket, hogy a vállalatokat hátsó ajtó építésére kényszerítsék, akkor ezt szintén szkepticizmussal kell megvizsgálni. Mivel a törvényeket december 6-án fogadták el, nem valószínű, hogy karácsony előtt valamelyik társaság képes lett volna biztosítani a szükséges eszközöket.

Ráadásul az ASIO, az ausztrál kémügynökség elismerte, hogy az időszak során nem volt konkrét fenyegetés, és nem emelte fel figyelmeztetési szintjét..

Ennek a folyamatnak az az eredménye, hogy a törvényjavaslat nem vette figyelembe a fedélzeten lévő legtöbb beadvány javaslatát, és a parlament nem vizsgálta megfelelő szintű parlamenti felülvizsgálat és vita tárgyát. Az eredmény egy rendetlenség, amely esetleg megtörtént súlyos következményekkel jár Ausztráliára, annak informatikai társaságaira és a globális biztonságra.

A törvényjavaslatot a hírszerzési és biztonsági parlamenti vegyes bizottsághoz utalták, amely megvizsgálta, majd továbbküldte Dr. James Renwick független nemzetbiztonsági törvényi felügyeleti intézetének (INSLM). Ebben a szakaszban nem ismeretes, hogy a felülvizsgálat változást eredményez-e.

Hogyan lesz a segítségnyújtás & A belépési törvény Ausztráliát érinti & a világ?

A segítségnyújtás & A belépési törvény egy hosszú jogszabály, számos szürke területtel. Mivel a szöveg legfontosabb szempontjai nem egyértelműek, nehéz tudni, hogy ezeket a törvényeket miként hajtják végre, és milyen következményekkel járnak. A kulcsfontosságú elemekben sok titoktartás is szerepel, ezért valószínűleg soha nem tudjuk pontosan, hogyan alkalmazzuk azokat.

A törvényjavaslat fő kérdése a az átláthatóság, az átláthatóság és a felügyelet hiánya. Mivel a törvény egyes részei annyira rosszul vannak meghatározva, sokan, akiket a törvényjavaslat érint, a legrosszabb eset forgatókönyveit feltételezték, és e cikk nagy részét a.

Ebben a szakaszban úgy tűnik, hogy csak a legszélsőségesebb körülmények vezethetnek a biztonságot globális szinten veszélyeztető törvényekhez. Ennek ellenére már jelentős feszültségeket okoztak a tech-társaságok és az ausztrál kormány között. Az ausztrál tech-vállalatokat már érintette, és mi a helyzet az ausztrál informatikai iparban dolgozókkal? Nehéz tudni, hogy mi fog történni velük.

Lehet, hogy a törvényeket hatályon kívül helyezhetik vagy megváltoztathatják, de hasonlóan ehhez a jogszabályhoz sok minden máshoz, mi csak nem tudjuk.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 4 = 3

Adblock
detector