Какво представлява законопроектът за помощ и достъп и какво означава това за вашата сигурност?

Австралийският законопроект за помощ и достъп, често наричан закон за антикриптиране, Беше приет през декември [year] г. Това е сложен набор от регулации, които създадоха международни заглавия за своите потенциални последствия. Той също получи значителна критика от технологични компании, защитници на личните данни и широката общественост.

Ако сте гласували само над емисията, може да сте били подведени от заглавията, като някои твърдят, че сметката заплашва да “наруши кодирането” и компрометиране на сигурността в целия свят.

Това не е точно така, защото правителството не може просто да „наруши“ криптирането, защото иска. Шифроването се основава на математическите закони, които с благодарност имат предимство пред тези на австралийския парламент.

Друг проблем при тези твърдения е, че законопроектът всъщност не казва, че има за цел да наруши криптирането. Всъщност той има предупреждения срещу въвеждането на слабости и уязвимости в сигурността.

Не сбъркайте тези отстъпки като последици, че сметката е добро нещо. Определено се нуждае от ревизии и настоящата му форма може да доведе до сериозни проблеми със сигурността.

Въпреки това, хиперболата и погрешното представяне на фактите правят на всички лошо обслужване. Ако не друго, това допълнително оправдава позицията на правителството, защото може да твърди, че всяко несъгласие срещу регулациите се основава на лъжи или манипулация на фактите.

Изминаха няколко месеца от отминаването на сметката и прахът най-накрая започна да се утаява. Сега е подходящ момент да разгледаме законопроекта в по-реалистичен смисъл, да преодолеем митовете и да поговорим за истинските проблеми, както и за техните потенциални последствия.

Каква е помощта & Документ за достъп?

Законопроектът за изменение на законодателството в областта на далекосъобщенията и други законодателства (помощ и достъп) [year] г., популярно съкратено до Законопроектът за помощ и достъп (и разговорно наричан закон за антикриптиране), беше приет и от двете камари на австралийското правителство на 6 декември [year] г..

Основният акцент на законодателството и аспектът, който получи най-много медийно внимание, са разпоредбите на законопроекта, които могат принуждават компаниите да помагат на властите да имат достъп до данните на физически лица.

Организации или лица могат да бъдат принудени да предават данни когато е издадена заповед срещу целта съгласно Закона за далекосъобщенията (прихващане и достъп), Закона за устройствата за наблюдение или техните еквиваленти на държавно ниво.

Необходимо е само да има предварително съществуваща заповед по един от тези актове и не се изисква конкретна заповед, преди компаниите да бъдат принудени да разпространяват информация или да помагат на властите да получат достъп до нея по други начини. Това означава, че няма съдебен контрол върху процеса.

Въпреки тези проблеми, законопроектът не може да се използва за масово наблюдение, тъй като са необходими предварително съществуващи варанти.

В най-крайното си тълкуване се опасява, че някои от правомощията, предоставени от законопроекта, биха могли да накарат бизнеса да въведе уязвимости в своите услуги, което от своя страна би могло да отслаби глобалната сигурност.

Кой влияе на сметката?

Законопроектът се прилага за „Определени доставчици на комуникации“, което текстът определя по изключително широк начин. Въпреки че законопроектът е очевидно насочен към телекомуникационния бизнес и технологичните компании, той обхваща и тези, които участват в:

• Производствено оборудване.
• Доставка на оборудване.
• Разработване и актуализиране на софтуер.
• Действайки като посредник във всеки от горните процеси.

След формулировката на законопроекта изглежда, че той се прилага и за играчи на малки времена, като собственици на уебсайтове и дори физически лица, които работят в някоя от горепосочените компании, а не само самата организация или нейните лидери.

Законопроектът се прилага за всяка организация, която има „един или повече крайни потребители в Австралия“. Това означава, че правомощията могат да бъдат използвани срещу международни организации. На този етап обаче не се знае как международните организации ще реагират на законопроекта или какви ще са задълженията им.

Какви правомощия предоставя законопроектът?

Най-спорната част от законопроекта се върти около трите отделни известия, които различни правителствени агенции могат да изпращат на компании:

• Известия за техническа помощ (TANs) – Това са по същество искания, които изискват организациите да оказват помощ на властите с вече налични възможности. Това може да обхване неща като предаване на информация за профила на дадено лице, предоставяне на технически съвети или предоставяне на данни на властите, до които една компания вече има достъп.
• Известия за техническа способност (TCN) – Тези известия отиват една стъпка по-нататък и могат да изискват от организациите да развият нови възможности, за да помогнат на властите в шпионирането и други начинания. От компаниите се изисква да изпълняват задачите без печалба и без загуба. Това е най-тревожната част от законодателството, защото някои показания предполагат, че тези искания могат да принудят компаниите да въведат уязвимости в своите технологии. Покрива:
  • Премахване на форми на електронна защита, като криптиране или удостоверяване.
  • Предоставяне на техническа информация.
  • Инсталиране, поддръжка, тестване или използване на софтуер и оборудване за подпомагане на властите в техните цели.
• Искания за техническа помощ (ТАР) – Това са доброволни искания, които искат от организациите да съдействат на властите в някоя от горните практики. Компаниите не са задължени да ги следват, нито има наказание за неспазване. Въпреки че ТАР може да не изглежда толкова лошо, те имат по-малък надзор, отколкото другите две забележки.

Кои агенции могат да изпратят тези искания?

Известия за техническа помощ (TANs) могат да бъдат изпращани от Генерален директор по сигурността (водачът на ASIO) или главният директор на някое от следните образувания, което отчита условията агенции за прихващане:

• Най- Австралийска федерална полиция.
  
• Най- Австралийска комисия за престъпност.
  
• Най- полицейски сили на държава или Северна територия.

Главният офицер на агенция за прихващане изисква разрешение от комисаря на австралийската федерална полиция, преди да може да бъде подадено искане. И трите вида искания трябва да бъдат отправени писмено до целевата организация, освен ако не съществува непосредствен риск от увреждане, при който исканията могат да бъдат отправени устно.

Известия за техническа способност могат да бъдат представени само от генералния директор по сигурността или от началник на агенция за прихващане, но те трябва да направят това чрез главния прокурор. От своя страна генералният прокурор трябва да получи одобрение от министъра на съобщенията.

Доброволна техническа помощ известия могат да бъдат дадени от генералния директор по сигурността, генералния директор на австралийската секретна разузнавателна служба, генералния директор на австралийската дирекция за сигнали или главния служител на агенция за прихващане.

Последните няколко раздела са донякъде сложни поради правния им характер. Да дадем кратко резюме на закона досега. Тя позволява на няколко различни австралийски агенции да отправят редица различни заявки към технологични и телекомуникационни компании. Те варират от молба за помощ, до изискване за изграждане на нови способности, които да помогнат на шпионирането на хора.

Какви предупреждения са на мястото си?

Ако сте успели да преминете през сухия легал, може да сте шокирани от широките правомощия, които дават законите, и техните потенциални последствия. Но има предупреждения, които на пръв поглед ограничават начина, по който те могат да бъдат приложени.

Законопроектът посочва конкретно, че нито едно от тези искания не може да принуди организациите да „внедряване или изграждане на системна слабост или системна уязвимост“. Освен това се казва, че заявките не могат да бъдат използвани за предотвратяване на компаниите да „коригират системна слабост или системна уязвимост.

Какъв е проблемът с помощта & Документ за достъп?

Тези предупреждения може да ви надишат облекчение, но не са толкова желязо, колкото може би сте се надявали. Законопроектът има редица други тревожни елементи, които трябва да покрием.

Неясна формулировка

Много аспекти на законопроекта са доста неясни, което затруднява засегнатите от него да знаят къде се намират в правен смисъл. Трудно е да се каже дали тази неяснота е умишлена и злонамерена, или резултат от некомпетентност и бързане, в която е приет законопроектът.

Така или иначе всеки закон, който може да се тълкува по много начини, е длъжен да предизвика сериозни проблеми поради несигурността, която носи. Естествено, тези, които биха могли да бъдат засегнати, се страхуват от най-лошите сценарии, докато поддръжниците на законопроекта подчертават, че законите не са предназначени да бъдат използвани по такива начини.

Нека разгледаме някои от най-важните примери, при които формулировката на доклада води до несигурност как ще се прилага.

Системни уязвимости & системни слабости

Определенията на тези условия са отговорни за голяма част от критиките на законопроекта:

Системна уязвимост означава уязвимост, която засяга цял клас технологии, но не включва уязвимост, която се въвежда избирателно към една или повече целеви технологии, които са свързани с конкретен човек. За тази цел е без значение дали лицето може да бъде идентифицирано.

Системна слабост означава слабост, която засяга цял клас технологии, но не включва слабост, която се избирателно се въвежда към една или повече целеви технологии, които са свързани с конкретен човек. За тази цел е без значение дали лицето може да бъде идентифицирано.

Първото нещо, което може да забележите е това определенията са същите, ограничете самите термини. Най-малкото използването на двата термина в доклада е излишно и го усложнява излишно, тъй като те са дефинирани по абсолютно същия начин.

Вторият основен проблем е, че терминът „Клас на технологиите“ не е определен в сметката. Това не е често използван термин в индустрията, нито има консенсус относно това какво всъщност означава. Може да се предположи, че се отнася до много широк тип технологии, като компютри или мобилни телефони. Тя може да се отнася до нещо по-нюансирано, като криптиране или удостоверяване, или нещо дори по-конкретно, като RSA или цифрови сертификати.

Тъй като не можем да знаем какво трябва да покриват тези дефиниции, това на практика отменя всяка една от специфичните защити, които се предлагат от предупреждението. Ако законът се злоупотребява, как някой ще знае къде легално стои?

Ако бяхте собственик на малък бизнес, какво бихте направили, ако получите заявка, свързана с компрометиране на сигурността на вашата услуга? Ако не бихте могли да си позволите юридически такси, бихте ли готови да оспорите закона и да откажете да го спазите?

Настоящата максимална глоба за несъответствие е почти 1 000 000 долара (700 100 долара) за организации и 50 000 долара (35 005 долара) за физически лица, както и до десет години затвор.

Дали нещо представлява системна слабост или системна уязвимост, в крайна сметка се решава от оценителя за всеки отделен случай. Оценителите трябва да имат „знания, които биха позволили на човека да прецени“ дали дадено действие би довело до системна слабост или уязвимост. За съжаление „знанието“ не е дефинирано, което отваря още една пропусната дупка в закона.

По някаква абсурдна причина законопроектът изисква и съдия в пенсия да участва в оценката. Това не дава причини да се използват бивши съдии над активни. Няма също така рамка за това как двамата оценители ще определят какво представлява системна слабост или уязвимост, нито има ясно очертан процес на обжалване..

Това е законопроект, който засяга голям брой хора и фирми. Притежаването на такава мътна терминология в една от централните й части само добавя несигурност и в най-лошия случай отваря вратата за злоупотреби.

Законът може да се използва за насочване към служители

Друго голямо притеснение е, че законопроектът е формулиран по начин, който предполага отделни служители могат да бъдат насочени към изпълнение на исканията, и може да бъде законно възпрепятствано да уведомяват своите началници.

Той използва термина „лице“, когато се отнася до това, което представлява определен доставчик на комуникации, и следователно субектите, които са предмет на закона. Някои от случаите ясно се отнасят за юридически лица (които могат да бъдат фирми или физически лица), а не физически лица (физически лица).

Добър пример е точка 1, „лицето е доставчик или доставчик на услуги за превоз“. Човек не може буквално бъда „доставчик или доставчик на услуги за превоз“, така че очевидно се отнася до организации. Докато слизаме в списъка, нещата стават по-малко ясни.

Точка 6 се отнася до a лице, което „разработва, доставя или актуализира софтуер използван за използване или вероятно ще бъде използван във връзка с: (а) изброена услуга за превоз; или (б) електронна услуга, която има такава “.

Точка 8 обхваща a лице, което „произвежда или доставя компоненти за употреба, или вероятно ще се използва при производството на съоръжение за употреба или вероятно да се използва в Австралия “.

И в двата случая е лесно да ги интерпретирате като отнасящи се до служители, както и към компании. Самият законопроект не споменава, че е насочен само към компании, така че е справедливо хората на тези позиции да се притесняват.

Тези страхове бяха отхвърлени от Министерството на вътрешните работи, като посочиха на своя уебсайт:

„Рамката за подпомагане на индустрията се занимава с получаване на помощ от компании, а не хора, действащи в качеството им на служител на фирма. Заявките за съдействие ще бъдат отправяни от самото корпоративно предприятие в съответствие с предвидените разпоредби за услуги в раздел 317ZL. Известие може да бъде връчено на физическо лице, ако то е едноличен търговец и собствено юридическо лице. “

Обърнете внимание, че в раздел 317ZL не се споменава дали тези известия могат да бъдат връчвани на физически лица.

Хубаво е, че Министерството на вътрешните работи предлага това пояснение, но защо не е включен в текста на законопроекта за помощ и достъп? Каквото и да пише някой чиновник на правителствен уебсайт, не отменя закона, който бяха приети и от двете камари на парламента.

Ако тълкуваме закона така, както е писано, не е нереално да мислим, че едно от тези искания може да бъде изпратено до служител във фирма. Ако това се случи, това би поставило служителя в сериозен морален труд, защото те не е позволено да разкрива, че е получена заявка, освен ако не е необходимо да се изпълни искането.

Тези поръчки за гафове очевидно биха поставили служителите в много трудно положение, принуждавайки ги да се промъкват около всякакви връстници и по-високи възли, на които те не могат да разкрият известието. Законопроектът предпазва служителите да не бъдат уволнени, като изпълняват исканията на такова известие, но все още не е добра ситуация да се постави човек.

За пореден път законът може да не е предназначен да се използва по този начин, но ако не затворим тези пропуски, просто оставя законодателството отворено за злоупотреба.

Ограничен надзор

Законодателството не само е неясно, но има ограничен надзор, свързан с прилагането му. За нито едно от трите искания не е необходима конкретна заповед, въпреки че вече трябва да има съществуваща заповед за достъп до данните на дадено лице съгласно Закона за далекосъобщенията (прихващане и достъп), Закона за устройствата за наблюдение или техните еквиваленти на държавно ниво.

Това води до липса на съдебен контрол за това, как се отправят тези искания. Пенсиониран съдия участва в процеса на оценяване, но не и активно обслужващ.

Както бе споменато в Системна уязвимост & раздел за системна слабост, процесът на оценяване изследва дали заявката ще внесе систематични слабости, но също така разглежда дали искането е или не разумни, пропорционални, практични и технически осъществими. Въпреки това, има ограничени детайли как всъщност се прави това.

Като се има предвид показателите на австралийското правителство по отношение на технологиите и сигурността, не е прекалено далеч, че дефиницията му за „разумен“ ще бъде сериозно различна от определенията на технологичните компании и експертите по киберсигурност. Единствено трябва да прочете следния цитат за криптографията от бившия премиер Малкълм Търнбул, за да се страхува от най-лошото:

“Законите на математиката са много похвални, но единственият закон, който се прилага в Австралия, е законът на Австралия.”

Изявлението е толкова абсурдно, колкото и да се казва „Гравитацията е похвална, но не се прилага в моята страна.„Този ​​вид невежество към техническите концепции може да бъде екстраполиран, за да се приеме, че правителството може в крайна сметка да изисква опасни или неразумни действия, било от некомпетентност или злоба.

Определените доставчици на комуникация трябва да бъдат уведомени за правото си на жалба пред Омбудсмана на Общността, Генералния инспектор по разузнаване и сигурност (IGIS) или техните еквиваленти на държавата.

Въпреки това, регламентите не предвиждат рамка за този процес. Законопроектът не уточнява какво представлява валидно оплакване или как може да се приеме вместо съдебната система.

Използването на тези правомощия трябва да бъде проследено, с доклад, издаван на Парламента на всеки 12 месеца. Той трябва да включва броя пъти, когато всяка власт е била използвана, както и вида на престъплението, което са били използвани за разследване. Не е необходимо доброволните искания да бъдат проследявани и представяни на Парламента, и значителни количества уместна информация се пазят в тайна.

На компаниите не е разрешено да уведомяват засегнатите лица за искане за достъп до техните данни, нито им е разрешено да съобщават на обществеността, че е имало искане. Позволено им е да разкрият броя на исканията, отправени за период от шест месеца, и дали това са задължителни или доброволни поръчки. Незаконно е дадена страна да публикува конкретна информация относно заявките.

Въпреки че законопроектът включва известен надзор, той не е сплотен, прозрачен или формулиран официално. Като се имат предвид потенциалните последствия от тези искания, такъв хлабав процес е опасен и може да доведе до злоупотреба с власт.

Правомощията, предоставени от законодателството, са твърде широки

Един от основните аспекти, използвани при продажбата на това законодателство на обществеността, беше, че законопроектът може да помогне за предотвратяване на престъпления като тероризъм, детска порнография и други тежки престъпления. Въпреки това етикетиране, сметката всъщност обхваща всеки, заподозрян в извършване на престъпление с максимално наказание от три години или повече, съгласно австралийското или международното право.

Това включва изключително широк кръг от престъпления, като например bigamy, която има седем години присъда, както и извършването на незаконна хазартна операция. Дори нещо като ляво поле като незаконно използване на добитък на друг човек носи тригодишна максимална присъда.

Съгласно формулировката на законодателството правомощията на законопроекта биха могли да бъдат използвани и при трите разследвания. Ако законопроектът е бил наистина предназначен да се насочи към онези, които извършват тежки нарушения, защо да не го ограничите само до тях?

Последствия за сигурността на помощта & Документ за достъп

Законопроектът за помощ и достъп може да има широкообхватни последствия както в Австралия, така и по света. Тъй като сметката е толкова неясна и много от процесите са поверителни, не можем да сме сигурни как се използва досега или какво ще се случи в бъдеще.

Най-доброто, което можем да направим, е да прочетем текста такъв, какъвто е и да проучим какво би могло да се случи. Поради хлабавата формулировка, това може да окаже влияние върху глобалната сигурност и ИТ индустрията като цяло.

Може ли сметката да счупи шифроване?

Един от най-големите опасения относно законодателството е, че той може да отслаби киберсигурността по целия свят. Може би сте чували, че сметката може да се използва за прекъсване на криптирането, въпреки че това е вид неточно изявление.

Това е така, когато се използват правилните стандарти за криптиране (като AES-256) и те се прилагат правилно, те не могат да бъдат нарушени при съвременните технологии и техники.

Това е така, защото те разчитат на законите на математиката и освен ако няма някакви странности, за които не знаем, или правителството разполага с невъобразимо количество тайни изчислителни мощности, това просто не е възможно.

Да вземем приложение за съобщения като Signal, което е едно от най-добрите приложения, когато става дума за ефективни реализации на защитата. Ако правителството почука на вратата на сигнала и поиска от него да декриптира съобщенията на конкретен човек, организацията може да отговори с „Съжаляваме, но никой тук няма достъп до тази информация.“

Това е така, защото в повечето случаи, Сигналът няма достъп до личните ключове, необходими за отключване на данните.

Нека да кажем, че правителството държи пистолет на главата на Сигнал и му каза да направи всичко възможно, за да помогне. Сигналът трябва да преработи изцяло приложението си, за да инсталира заден прозорец, което не би било практично в кратки срокове.

Вероятно такъв акт не би било разумно или приложимо, но е невъзможно да се знае как ще се прилагат тези закони Дори ако Signal направи основен ремонт на приложението си и промени неговите приложения за сигурност, те ще могат да предоставят достъп само до бъдещи съобщения, а не до тези от миналото.

Тези минали съобщения все още ще бъдат кодирани с тайните ключове на целта, въпреки че подобен ремонт може да позволи на властите да вземат ключовете от целта.

Съществуваща лоша сигурност

Не всяко приложение е изградено по стандарта на Signal, така че този пример далеч не е универсален. Много приложения имат лоши приложения за сигурност или не предлагат кода си за преглед, така че не можем да знаем какво става под капака. В тези случаи компаниите може да могат да предадат на правителството ключовете или да създадат инструменти, които да му предоставят достъп.

Фалшиви клиенти

Най-практичният начин властите да се насочат към данните на дадено лице би било да принудят компания да направи създайте фалшива версия на приложението си, след което я промъкнете върху устройството на човека. Това може да стане чрез физически достъп до устройството, заблуждаване на човека да го изтегли или чрез изпращане на фалшива „актуализация“ на телефона на целта.

Получаването на физически достъп до нечий телефон или компютър може да бъде трудно и изпращането на фалшиви актуализации на хората не се препоръчва. Това е така, защото актуализациите са от съществено значение за осигуряване на новооткритите уязвимости.

Ако властите станат нещо обичайно да използват актуализации, за да шпионират хората, обществеността може да стане подозрителна към актуализациите и може да не ги инсталира в бъдеще. Подобно отношение би направило всички далеч по-малко сигурни. Съветът за национална сигурност на САЩ вече е проучил този вариант, но препоръча срещу него, като заяви, че:

„… Използването му може да постави под въпрос надеждността на установените канали за актуализация на софтуера. Отделни потребители, загрижени за отдалечен достъп до своите устройства, биха могли да изберат да изключат актуализациите на софтуера, което прави устройствата им значително по-малко защитени с течение на времето и откриването на уязвимостите b [ut] не са кръпка.

Независимо от това как правителството получава фалшив клиент на нечие устройство, след това те могат да го използват при атака на човек в средата. При атака на човек в средата всичко изглежда нормално до целта. Те смятат, че общуват директно с другите по сигурен начин, но в действителност нападател е между тях.

Когато целта изпрати съобщение, първо отива към нападателя, който след това го изпраща на получателя. Всичко изпратено обратно към целта също минава през нападателя. Чрез този процес, нападателят събира всички входящи и изходящи данни, включително ключове и лични съобщения.

Този вид атака би позволила на правителството да види почти всичко, което цели целта. Освен това е твърде малко вероятно това да бъде квалифицирано като системна слабост, тъй като организацията не въвежда уязвимост в софтуера, който всички използват, просто прави фалшива версия за отделната цел.

Трябва също така да се отбележи, че сложни шпионски софтуер вече съществува. Тези програми могат да се използват за достъп до данните на даден човек в редица различни сценарии.

Ако властите могат да получат физически достъп до устройствата на дадено лице или да ги подведат да го инсталират, те могат да заснемат всички бъдещи комуникации на човека и може да могат да открият ключовете за отключване на всички предварително съхранени данни. Заради това, нуждата от всякакви задни помещения е по-ограничена, отколкото много хора осъзнават.

Система за мастър ключ

Алтернатива, която би могла да предостави на правителството достъп до всяко устройство, което искат, може да се мисли като цифрова версия на главния ключ. Тази електронна система теоретично би могла да предостави на властите достъп до всяко устройство.

Ако властите получиха такъв тип власт над всички устройства, тогава това ще бъде критично, за да запазите главния ключ абсолютно в тайна. Ако попадна в грешни ръце, нападателите биха могли да го използват за достъп до всичко, което искат. Това би хвърлило света в смут.

Ако трябваше да се изгради такава система за мастър ключ, това щеше да бъде практически невъзможно да се гарантира неговата сигурност. Системата ще се нуждае от строги мерки за удостоверяване, за да предотврати неправомерен достъп. Предвид колко ценен би бил главният ключ, има огромен риск или атаките, или системите или персоналът, който го е контролирал, да бъдат компрометирани.

Изграждането на такава система също би било огромно техническо предизвикателство. Тя трябва да бъде достатъчно гъвкава, за да се справи с всеки отделен тип устройство и компютър, и ще е необходима огромна инженерна работна група, която да поддържа системата да работи, когато тези устройства се актуализират. Просто би имало твърде много възможности за уязвимости, които да се промъкнат през пукнатините.

Отслабване на сигурността косвено

Когато се разработва софтуер, това е обичайно за предайте го на външен тестер за проникване. По същество това са добрите момчета от хакерството, на които се плаща да пробват чрез кода и да видят дали могат да намерят някакви уязвимости.

Външните външни лица са чудесен подход за сигурност, защото може да намерят проблеми, които близките до проекта не са забелязали. Но законопроектът за помощ и достъп има потенциал да спре този процес.

Тъй като нямаме подходящо определение за системните слабости и уязвимости в контекста на закона, трябва да приемем най-лошото, ако искаме да сме подготвени за всички евентуални ситуации.

Нека да кажем, че властите по някакъв начин масовизират определението за системна слабост и успяват да принудят една компания да вмъкне бекдор в своя софтуер. Ако вашата компания беше поставена в тази позиция, бихте ли искали да изпратите кода на външен одитор, който вероятно ще го намери?

Как бихте го обяснили на тестера за проникване? В зависимост от ситуацията, вашата организация може да не е в състояние да разкрие исканата от правителството задна врата.

Ако тестерът за проникване намери задната врата и вашата компания игнорира препоръките им, за да го поправи, тестерът за проникване може в крайна сметка да стане публично достъпен с уязвимостта и да обвини вашата компания, че застрашава потребителите си. Това може да се окаже невероятно вредно за репутацията на вашата организация.

Следвайки този ред на логика, организациите, които са били принудени да поставят на заден план, могат да избягват изцяло външни одити, за да избегнат край на такава неловка ситуация. Това би било опасно, защото това означава много други уязвимости няма да бъдат взети при тези рутинни проверки.

Този смразяващ ефект може да изглежда нагледен, но се случиха по-луди неща, така че тези закони трябва да бъдат възможно най-строги, за да се предотвратят такива най-лоши сценарии.

Възможни ефекти върху ИТ индустрията

Законите не само имат потенциал да отслабят сигурността, но и тяхната неясност може да окаже влияние върху бизнеса и работната сила. Всъщност някои австралийски компании вече са засегнати финансово, защото клиентите се опасяват, че техните продукти и услуги могат да бъдат компрометирани.

Ефекти върху по-големите предприятия

На този етап най-доброто, което можем да направим, е да спекулираме, защото не знаем колко агресивно ще се прилагат тези закони. Може никога да не разберем поради строгата поверителност, която заобикаля издаването им.

Ако бъде отправено необосновано искане до някой от техническите гиганти, има вероятност те да имат силата и ресурсите да се преборят с него и да се справят със закона. Те могат да откажат да се съобразят, както Apple направи по делото си срещу ФБР по отношение на iPhone на един от извършителите на стрелбата в Сан Бернардино през 2015 г.

Ако тези огромни компании бяха притеснени от това, че са засегнати от закона, те могат да се опитат да се защитят от като се уверите, че в Австралия не се прави никакво развитие, избягвайте съхранението на данни в границите на страната или отказвате да наемете австралийци ако законите се простират на австралийците, базирани в чужбина. Ако случаят беше такъв, това може да има силно отрицателно въздействие върху австралийската ИТ работна сила.

В краен случай компаниите могат да откажат да извършват бизнес в Австралия и да премахнат своите продукти и услуги от пазара. Това изглежда много малко вероятно, защото би имало огромни последствия. Въпреки това, това не е напълно непредвидимо, като се има предвид, че веднъж Google извади своята търсачка от китайския пазар заради проблеми с китайското правителство.

Ефекти върху по-малкия бизнес

Докато големите компании може да са в състояние да използват силата и ресурсите си, за да скрият всякакви искания от правителството, този път може да не е жизнеспособен за по-малките организации. На тези фирми може да липсват средства за провеждане на правна битка и може да бъде сплашен от предаването от австралийското правителство.

Законите са толкова неясни, че предприятията няма да знаят правата си или дали могат да обжалват. Това може да доведе до правителството злоупотребява с властта си срещу по-малки предприятия или ги принуждава да прилагат опасни и необосновани промени в софтуера си. Строгите изисквания за конфиденциалност също биха попречили на тези предприятия да бъдат публично достояние с исканията.

Ефекти върху австралийския бизнес

Няколко австралийски ИТ бизнеси вече са засегнати от наредбите. Брон Гондвана, изпълнителен директор на австралийския доставчик на хостинг услуги за електронна поща FastMail, каза: „Видяхме съществуващи клиенти да напускат, а потенциалните клиенти отиват другаде, като посочи тази сметка като причина за техния избор. От нас [също] редовно ни питат дали планираме да се преместим “.

Atlassian, най-голямата технологична компания в Австралия, видя цената на акциите му да падне по време на приемането на сметката, въпреки че не може да се потвърди дали двете събития са свързани. „Трябва да признаем, че този закон заплашва работни места“, каза съпредседателят на Atlassian, Скот Фаруър.

Senetas, австралийска компания за шифроване, също се очаква да бъде повлияна негативно от закона. „Във формата, в която е в момента, и ако не се промени, това законодателство ще принуди нашата компания да отиде в офшорка“, каза нейният неизпълнителен председател Франсис Галбали.

Други опасности от помощта & Документ за достъп

Законопроектът за помощ и достъп обхваща повече от това, което властите могат да изискват от компаниите. Той също така включва редица промени в системата на заповедта. Някои от тях изглеждат разумни, в съответствие с променящата се технология и изместващите се изисквания за правоприлагащите органи да бъдат ефективни на работните си места. Други аспекти са излишни превишения, които могат да нарушат личния живот на хората.

Това може да наруши поверителността на трети страни

Един такъв ход е разпоредбата, която позволява на правоохранителните органи да влизат в помещения на трети страни или да имат достъп до цифрови системи на трети страни по време на изпълнение на заповед. Определено има ситуации, при които това би било разумен курс на действие. Нека да кажем, че терористичното нападение е в ход и най-сигурният начин, по който служителите могат да го прекратят, е чрез влизане през друга сграда.

Друг пример може да включва дете, което е в голяма опасност да бъде наранено, а достъпът до мрежата или компютъра на трета страна може да бъде най-добрият начин да спасите детето.

Проблемът е, че тези правомощия не са ограничени до такива специфични сценарии и могат да се използват винаги, когато съдия прецени, че е “подходящо”. Тъй като законът обхваща дори аспекти като добавяне, копиране, изтриване или промяна на данни на компютри на трети страни, използването му може лесно да доведе до ненужни нарушения на поверителността.

Почти всеки би се съгласил, че при определени обстоятелства, като горните случаи, е разумно да се отменят правата за поверителност на трета страна. Използването обаче трябва да се ограничи само до случаите, когато правомощията са абсолютно необходими, за да се предотврати настъпването на сериозни вреди.

Принуждаване на хората да се откажат от паролите си

Законопроектът включваше актуализации на Закон за устройства за наблюдение (SD) и на Закон за ASIO. Промените в Закон за SD да разреши на органите на реда да кандидатстват помощ поръчки от съдия. Тези поръчки могат да се използват за принуждавайте хората да предават всяка информация, която е “разумна и необходима” така че властите да могат да „осъществяват достъп, копират, преобразуват или правят разбираеми“ всякакви данни, които са обхванати от заповед.

Тези поръчки могат да принудят хората да го правят предайте своите пароли, техните биометрични данни или знания за всички съответни системи и устройства. Те не са насочени само към лицето, заподозряно в престъпление, но могат да покрият и своите сътрудници, собствениците на въпросните устройства, системните администратори и тези, които са използвали устройствата.

Неспазването на тези искания съгласно Закона за SD може да доведе до до 10 години затвор и глоба от 126 000 долара (88 212 долара).

По подобен начин промените в Закона за ASIO позволяват на генералния директор да поиска петицията на генералния прокурор да принуди физическите лица да предоставят същия вид данни. Отказът да се съобразява може да доведе до до 5 години затвор или неустойка от 63 000 долара (44 106 долара). Един от най-големите проблеми на новите правомощия по Закона за ASIO е, че няма съдебен надзор – властите никога не трябва да отиват пред съдия, за да получат разрешение.

Струва си да се отбележи, че тези правомощия могат да бъдат използвани при разследването на всяко престъпление с максимално наказание от три години или повече. Изглежда тежък човек, който отказва да се съобрази потенциално може да завърши с присъда, която надвишава наказанието за първоначалното престъпление.

Това е особено притеснително, когато има законни причини за поверителност, поради които не искат да се отказват пароли или биометрични данни. Тъй като законите могат да се използват и срещу системни администратори и други, хората, които не са извършили никое друго престъпление, биха могли да се окажат сериозни наказания.

Също така си струва да се има предвид, че тези закони биха могли да бъдат в конфликт с привилегията срещу самоинкриминиране. На този етап правата на индивида, когато става въпрос за криптиране, не са тествани съгласно австралийското законодателство, така че не сме сигурни дали принуждаването на някой да предаде паролата си може да се разглежда като самоинкриминиране.

Още веднъж тези закони са изключително широки и много аспекти са дефинирани слабо. Поради липсата на правилни дефиниции и надзор, не можем да бъдем сигурни как ще играят в реалния свят.

Помощта & Бил за достъп беше приет без подходящо преразглеждане

Спорните са не само самите закони, но и начинът, по който са приети. Проектът на законопроекта е публикуван за първи път през август [year] г. При неговото освобождаване той предизвика огромно количество критики от страна на технологичната индустрия, групите за поверителност и гражданите. Проектът беше отворен за обществен коментар и бяха направени 343 изявления.

От тях само един беше в полза на регламентите. Останалите или поискаха ревизии, или бяха напълно против законопроекта. Въпреки каскадата на неодобренията, окончателният проект на закона едва ли е подложен на никакъв контрол.

В последния ден на заседанието преди коледния период на Парламента беше представен преработен вариант на законопроекта. В него бяха включени 173 изменения, но на членовете едва им беше предоставено време да ги прегледат.

Въпреки че те включват някои положителни промени, новият проект на законопроекта все още пренебрегва всички въпроси, споменати в тази статия. Въпреки тези сериозни проблеми, Помощта & Бил за достъп беше прокаран през Камарата и Сената, след като опозиционната партия се включи.

Официалната причина беше, че законите трябваше да бъдат приети, за да се предотвратят възможни терористични атаки през празниците. Това беше особено съмнително твърдение, тъй като Австралия вече има множество закони за борба с тероризма.

Ако властите се нуждаеха от новите възможности, за да принудят компаниите да строят на заден план, тогава това също трябва да се гледа скептично. Тъй като законите бяха приети на 6 декември, малко вероятно е някоя компания да е била в състояние да предостави необходимите инструменти преди Коледа.

На всичкото отгоре, австралийската шпионска агенция ASIO призна, че през периода няма конкретна заплаха и не повиши нивото на предупреждение.

Резултатът от този процес е, че законопроектът не взе препоръките от по-голямата част от становищата на борда, нито беше обект на подходящо ниво на парламентарен преглед и дебат. Резултатът е бъркотия на закона, която може да има сериозни ефекти върху Австралия, нейните ИТ компании и глобалната сигурност.

Законопроектът беше отнесен до Парламентарната съвместна комисия по разузнаване и сигурност, която го разгледа, след което го изпрати на Независимия мониторинг на законодателството за национална сигурност (INSLM), д-р Джеймс Ренуик, за преглед. На този етап не се знае дали прегледът ще доведе до промени.

Как ще помогне & Бил за достъп засяга Австралия & Светът?

Помощта & Бил за достъп е дълъг законодателен акт с редица сиви зони. Защото ключовите аспекти на текста не са ясни, трудно е да се знае как тези закони ще бъдат приложени и какви ще бъдат последиците от тях. Също така има голяма конфиденциалност в ключовите елементи, така че може би никога не знаем как точно се прилагат.

Основният проблем със сметката е липса на яснота, прозрачност и надзор. Тъй като части от закона са толкова слабо дефинирани, много от онези, които ще бъдат засегнати от законопроекта, приемат най-лошите сценарии, за които прекарахме голяма част от тази статия в обсъждане.

На този етап изглежда, че само най-екстремните обстоятелства биха могли да доведат до законите, компрометиращи сигурността в световен мащаб. Въпреки това, те вече предизвикаха значително напрежение между технологичните компании и австралийското правителство. Австралийските технологични компании вече са засегнати, а що се отнася до работниците в австралийската ИТ индустрия? Трудно е да се знае какво ще се случи с тях.

Има шанс законите да бъдат отменени или променени, но както много неща, свързани с това законодателство, ние просто не знаем.