Τι είναι ο λογαριασμός Assistance & Access Bill και τι σημαίνει για την ασφάλειά σας;
Το νομοσχέδιο για την αυστραλιανή βοήθεια και πρόσβαση, που συχνά αναφέρεται ως το νόμος κατά της κρυπτογράφησης , ψηφίστηκε τον Δεκέμβριο του 2018. Είναι ένα περίπλοκο σύνολο κανονισμών που έχει γίνει πρωτοσέλιδο σε διεθνή πρωτοσέλιδα για τις πιθανές επιπτώσεις του. Έχει επίσης λάβει σημαντική κριτική από εταιρείες τεχνολογίας, υποστηρικτές της ιδιωτικής ζωής και το ευρύ κοινό.
Εάν έχετε ξεσκαλίσει μόνο το θέμα, μπορεί να έχετε παραπλανηθεί από τους τίτλους, με κάποιους να υποστηρίζουν ότι το νομοσχέδιο απειλεί να « διακοπή κρυπτογράφησης ' και θέτουν σε κίνδυνο την ασφάλεια σε όλο τον κόσμο .
Αυτό δεν συμβαίνει ακριβώς, επειδή μια κυβέρνηση δεν μπορεί απλώς να «σπάσει» την κρυπτογράφηση επειδή το θέλει. Η κρυπτογράφηση βασίζεται σε μαθηματικούς νόμους, οι οποίοι ευτυχώς έχουν προτεραιότητα έναντι αυτών του Αυστραλιανού Κοινοβουλίου.
Ένα άλλο πρόβλημα με αυτούς τους ισχυρισμούς είναι ότι το νομοσχέδιο δεν λέει στην πραγματικότητα ότι στοχεύει να σπάσει την κρυπτογράφηση. Στην πραγματικότητα, έχει προειδοποιήσεις για την εισαγωγή αδυναμιών και τρωτών σημείων ασφαλείας.
Μην μπερδεύετε αυτές τις παραχωρήσεις ως υπονοούμενα ότι το νομοσχέδιο είναι καλό. Χρειάζεται σίγουρα αναθεωρήσεις και Η τρέχουσα μορφή του θα μπορούσε να οδηγήσει σε σοβαρά προβλήματα ασφάλειας .
Ωστόσο, η υπερβολή και η παραποίηση των γεγονότων αδικούν όλους. Αν μη τι άλλο, δικαιολογεί περαιτέρω τη θέση της κυβέρνησης, επειδή μπορεί να υποστηρίξει ότι οποιαδήποτε διαφωνία ενάντια στους κανονισμούς βασίζεται σε ψέματα ή χειραγώγηση των γεγονότων.
Έχουν περάσει αρκετοί μήνες από τότε που ψηφίστηκε το νομοσχέδιο και η σκόνη άρχισε επιτέλους να καταλαγιάζει. Τώρα είναι η κατάλληλη στιγμή να εξετάσουμε το νομοσχέδιο με μια πιο ρεαλιστική έννοια, να ξεπεράσουμε τους μύθους και να μιλήσουμε για τα πραγματικά ζητήματα, καθώς και τις πιθανές προεκτάσεις τους.
Τι είναι ο λογαριασμός βοήθειας και πρόσβασης;
ο Τροποποίηση Τηλεπικοινωνιών και Άλλης Νομοθεσίας (Βοήθεια και Πρόσβαση) Νομοσχέδιο 2018 , λαϊκά συντόμευση σε Το νομοσχέδιο για τη βοήθεια και την πρόσβαση (και στην καθομιλουμένη αναφέρεται ως νόμος κατά της κρυπτογράφησης), ψηφίστηκε και από τα δύο σώματα της αυστραλιανής κυβέρνησης στις 6 Δεκεμβρίου 2018.
Το κύριο επίκεντρο της νομοθεσίας, και η πτυχή που έχει λάβει τη μεγαλύτερη προσοχή από τα μέσα ενημέρωσης, είναι οι διατάξεις του νομοσχεδίου που μπορούν αναγκάζουν τις εταιρείες να βοηθήσουν τις αρχές να έχουν πρόσβαση στα δεδομένα των ατόμων .
Οργανισμοί ή άτομα μπορούν να υποχρεωθούν να παραδώσουν δεδομένα όταν έχει εκδοθεί ένταλμα κατά του στόχου βάσει του νόμου περί τηλεπικοινωνιών (παρακολούθησης και πρόσβασης), του νόμου περί συσκευών επιτήρησης ή των ισοδύναμων τους σε κρατικό επίπεδο.
Χρειάζεται μόνο να υπάρχει προϋπάρχον ένταλμα βάσει μιας από αυτές τις πράξεις και δεν απαιτείται συγκεκριμένο ένταλμα προτού αναγκαστούν οι εταιρείες να αποκαλύψουν πληροφορίες ή να βοηθήσουν τις αρχές να έχουν πρόσβαση σε αυτές με άλλους τρόπους. Αυτό σημαίνει ότι δεν υπάρχει δικαστική εποπτεία της διαδικασίας.
Παρά τα προβλήματα αυτά, το νομοσχέδιο δεν μπορεί να χρησιμοποιηθεί για μαζική παρακολούθηση, καθώς απαιτούνται προϋπάρχοντα εντάλματα.
Στην πιο ακραία ερμηνεία του, υπάρχει φόβος ότι ορισμένες από τις εξουσίες που παρέχονται από το νομοσχέδιο θα μπορούσαν να αναγκάσουν τις επιχειρήσεις να εισάγουν τρωτά σημεία στις υπηρεσίες τους, γεγονός που θα μπορούσε με τη σειρά του να αποδυναμώσει την παγκόσμια ασφάλεια.
Ποιους αφορά το νομοσχέδιο;
Το νομοσχέδιο ισχύει για «καθορισμένοι πάροχοι επικοινωνιών» , το οποίο το κείμενο ορίζει με εξαιρετικά ευρύ τρόπο. Ενώ το νομοσχέδιο φαινομενικά απευθύνεται σε επιχειρήσεις τηλεπικοινωνιών και εταιρείες τεχνολογίας, καλύπτει επίσης όσους εμπλέκονται σε:
- Κατασκευαστικός εξοπλισμός.
- Προμήθεια εξοπλισμού.
- Ανάπτυξη και ενημέρωση λογισμικού.
- Ενεργώντας ως ενδιάμεσος σε οποιαδήποτε από τις παραπάνω διαδικασίες.
Σύμφωνα με τη διατύπωση του νομοσχεδίου, φαίνεται ότι ισχύει και για παίκτες μικρού χρόνου, όπως οι ιδιοκτήτες ιστότοπων και ακόμη και άτομα που εργάζονται σε οποιαδήποτε από τις παραπάνω εταιρείες , και όχι μόνο ο ίδιος ο οργανισμός ή οι ηγέτες του.
Το νομοσχέδιο ισχύει για κάθε οργανισμό που έχει « έναν ή περισσότερους τελικούς χρήστες στην Αυστραλία '. Αυτό σημαίνει ότι οι εξουσίες μπορούν να χρησιμοποιηθούν εναντίον διεθνών οργανισμών. Σε αυτό το στάδιο, ωστόσο, δεν είναι γνωστό πώς θα ανταποκριθούν οι διεθνείς οργανισμοί στο νομοσχέδιο ή ποιες θα είναι οι υποχρεώσεις τους.
Ποιες εξουσίες παρέχει το νομοσχέδιο;
Το πιο αμφιλεγόμενο μέρος του νομοσχεδίου περιστρέφεται γύρω από τις τρεις ξεχωριστές ειδοποιήσεις που μπορούν να στείλουν διάφορες κρατικές υπηρεσίες σε εταιρείες:
- Ειδοποιήσεις τεχνικής βοήθειας (TANs) – Πρόκειται ουσιαστικά για αιτήματα που απαιτούν από τους οργανισμούς να συνδράμουν τις αρχές με δυνατότητες που ήδη υπάρχουν. Αυτό μπορεί να καλύπτει πράγματα όπως η παράδοση πληροφοριών λογαριασμού σε ένα άτομο, η παροχή τεχνικών συμβουλών ή η παροχή στις αρχές δεδομένων στα οποία έχει ήδη πρόσβαση μια εταιρεία.
- Σημειώσεις τεχνικής ικανότητας (TCN) – Αυτές οι ανακοινώσεις προχωρούν ένα βήμα παραπέρα και μπορεί να απαιτήσουν από τους οργανισμούς να αναπτύξουν νέες δυνατότητες για να βοηθήσουν τις αρχές σε κατασκοπεία και άλλες προσπάθειες. Οι εταιρείες υποχρεούνται να εκτελούν τα καθήκοντα χωρίς κέρδος και χωρίς ζημία. Αυτό είναι το πιο ανησυχητικό μέρος της νομοθεσίας, επειδή ορισμένες αναγνώσεις υποδηλώνουν ότι αυτά τα αιτήματα θα μπορούσαν να αναγκάσουν τις εταιρείες να εισαγάγουν τρωτά σημεία στην τεχνολογία τους. Καλύπτει:
- Κατάργηση μορφών ηλεκτρονικής προστασίας, όπως κρυπτογράφηση ή έλεγχος ταυτότητας.
- Παροχή τεχνικών πληροφοριών.
- Εγκατάσταση, συντήρηση, δοκιμή ή χρήση λογισμικού και εξοπλισμού για να βοηθήσουν τις αρχές με τους στόχους τους.
- Αιτήματα τεχνικής βοήθειας (TARs) – Πρόκειται για εθελοντικά αιτήματα που ζητούν από τους οργανισμούς να βοηθήσουν τις αρχές σε οποιαδήποτε από τις παραπάνω πρακτικές. Οι εταιρείες δεν υποχρεούνται να τις ακολουθήσουν, ούτε υπάρχει τιμωρία για μη συμμόρφωση. Αν και τα TAR μπορεί να μην φαίνονται τόσο άσχημα, έχουν λιγότερη επίβλεψη από τις άλλες δύο ανακοινώσεις.
Ποιοι φορείς μπορούν να υποβάλουν αυτά τα αιτήματα;
Σημειώσεις τεχνικής βοήθειας (TAN) μπορούν να υποβληθούν από την Γενικός Διευθυντής Ασφάλειας (ο αρχηγός της ASIO) ή ο επικεφαλής οποιασδήποτε από τις ακόλουθες οντότητες, όπως ορίζει η έκθεση υπηρεσίες παρακολούθησης :
- ο Αυστραλιανή Ομοσπονδιακή Αστυνομία.
- ο Αυστραλιανή Επιτροπή Εγκλήματος.
- ο αστυνομική δύναμη ενός κράτους ή της Βόρειας Επικράτειας.
Ο επικεφαλής αξιωματικός μιας υπηρεσίας υποκλοπών απαιτεί άδεια από τον Επίτροπο της Ομοσπονδιακής Αστυνομίας της Αυστραλίας προτού υποβληθεί αίτημα. Και τα τρία είδη αιτημάτων πρέπει να υποβάλλονται στον οργανισμό-στόχο εγγράφως, εκτός εάν υπάρχει άμεσος κίνδυνος βλάβης, οπότε τα αιτήματα μπορούν να υποβληθούν προφορικά.
Σημειώσεις Τεχνικών Δυνατοτήτων μπορούν να υποβληθούν μόνο από τον Γενικό Διευθυντή Ασφαλείας ή από έναν επικεφαλής μιας υπηρεσίας παρακολούθησης, ωστόσο, πρέπει να το κάνουν μέσω του Γενικού Εισαγγελέα. Με τη σειρά του, ο Γενικός Εισαγγελέας πρέπει να λάβει έγκριση από τον Υπουργό Επικοινωνιών.
Εθελοντική τεχνική βοήθεια ειδοποιήσεις μπορούν να δοθούν από τον Γενικό Διευθυντή Ασφάλειας, τον Γενικό Διευθυντή της Αυστραλιανής Μυστικής Υπηρεσίας Πληροφοριών, τον Γενικό Διευθυντή της Διεύθυνσης Αυστραλιανών Σημάτων ή τον επικεφαλής αξιωματικό μιας υπηρεσίας παρακολούθησης.
Οι τελευταίες ενότητες είναι κάπως περίπλοκες λόγω της νομικής φύσης τους. Ας κάνουμε μια σύντομη περίληψη του νόμου μέχρι τώρα. Επιτρέπει σε πολλούς διαφορετικούς αυστραλιανούς οργανισμούς να υποβάλλουν μια σειρά διαφορετικών αιτημάτων σε εταιρείες τεχνολογίας και τηλεπικοινωνιών. Αυτά κυμαίνονται από το να ζητήσουν βοήθεια, μέχρι να απαιτήσουν να δημιουργήσουν νέες δυνατότητες για να βοηθήσουν στην κατασκοπεία ατόμων .
Ποιες επιφυλάξεις υπάρχουν;
Αν καταφέρατε να ξεπεράσετε τα νόμιμα, μπορεί να εκπλαγείτε από τις ευρείες εξουσίες που παρέχουν οι νόμοι και τις πιθανές επιπτώσεις τους. Αλλά υπάρχουν προειδοποιήσεις που φαινομενικά περιορίζουν τον τρόπο εφαρμογής τους.
Το νομοσχέδιο αναφέρει συγκεκριμένα ότι κανένα από αυτά τα αιτήματα δεν μπορεί να αναγκάσει τους οργανισμούς να « να εφαρμόσει ή να δημιουργήσει μια συστημική αδυναμία ή μια συστημική ευπάθεια '. Λέει επίσης ότι τα αιτήματα δεν μπορούν να χρησιμοποιηθούν για να εμποδίσουν τις εταιρείες να «διορθώσουν μια συστημική αδυναμία ή μια συστημική ευπάθεια.
Ποιο είναι το πρόβλημα με τον λογαριασμό βοήθειας και πρόσβασης;
Αυτές οι επιφυλάξεις μπορεί να σας κάνουν να αναστενάζετε με ανακούφιση, αλλά δεν είναι τόσο σιδερένιες όσο θα μπορούσατε να ελπίζετε. Το νομοσχέδιο έχει μια σειρά από άλλα ανησυχητικά στοιχεία που πρέπει να καλύψουμε.
Αόριστη διατύπωση
Πολλές πτυχές του νομοσχεδίου είναι αρκετά ασαφείς, γεγονός που καθιστά δύσκολο για όσους επηρεάζονται από αυτό να γνωρίζουν πού βρίσκονται από νομική άποψη. Είναι δύσκολο να πει κανείς εάν αυτή η ασάφεια είναι σκόπιμη και κακόβουλη ή είναι αποτέλεσμα ανικανότητας και βιασύνης με την οποία ψηφίστηκε το νομοσχέδιο.
Είτε έτσι είτε αλλιώς, κάθε νόμος που μπορεί να ερμηνευτεί με διάφορους τρόπους είναι βέβαιο ότι θα προκαλέσει σοβαρά ζητήματα, λόγω της αβεβαιότητας που φέρνει. Φυσικά, όσοι θα μπορούσαν να επηρεαστούν φοβούνται τα χειρότερα σενάρια, ενώ οι υποστηρικτές του νομοσχεδίου τονίζουν ότι οι νόμοι δεν προορίζονται να χρησιμοποιηθούν με τέτοιους τρόπους.
Ας εξετάσουμε μερικά από τα πιο σημαντικά παραδείγματα όπου η διατύπωση της έκθεσης οδηγεί σε αβεβαιότητα ως προς τον τρόπο εφαρμογής της.
Συστημικές ευπάθειες & συστημικές αδυναμίες
Οι ορισμοί αυτών των όρων είναι υπεύθυνοι για μεγάλο μέρος της κριτικής του νομοσχεδίου:
Συστημική ευπάθεια σημαίνει μια ευπάθεια που επηρεάζει μια ολόκληρη κατηγορία τεχνολογίας, αλλά δεν περιλαμβάνει μια ευπάθεια που εισάγεται επιλεκτικά σε μία ή περισσότερες τεχνολογίες-στόχους που συνδέονται με ένα συγκεκριμένο άτομο. Για το σκοπό αυτό, δεν έχει σημασία αν το άτομο μπορεί να ταυτοποιηθεί.
Συστημική αδυναμία σημαίνει μια αδυναμία που επηρεάζει μια ολόκληρη κατηγορία τεχνολογίας, αλλά δεν περιλαμβάνει μια αδυναμία που εισάγεται επιλεκτικά σε μία ή περισσότερες τεχνολογίες-στόχους που συνδέονται με ένα συγκεκριμένο άτομο. Για το σκοπό αυτό, δεν έχει σημασία αν το άτομο μπορεί να ταυτοποιηθεί.
Το πρώτο πράγμα που μπορεί να παρατηρήσετε είναι ότι οι ορισμοί είναι οι ίδιοι , κλείστε τους ίδιους τους όρους. Τουλάχιστον, η χρήση και των δύο όρων στην έκθεση είναι περιττή και την περιπλέκει άσκοπα, αφού ορίζονται με τον ίδιο ακριβώς τρόπο.
Το δεύτερο σημαντικό ζήτημα είναι ότι ο όρος Η «κατηγορία τεχνολογίας» δεν ορίζεται στο νομοσχέδιο . Δεν είναι ένας ευρέως χρησιμοποιούμενος όρος στη βιομηχανία, ούτε υπάρχει συναίνεση σχετικά με το τι σημαίνει στην πραγματικότητα. Κάποιος μπορεί να υποθέσει ότι αναφέρεται σε έναν πολύ ευρύ τύπο τεχνολογίας, όπως υπολογιστές ή κινητά τηλέφωνα. Θα μπορούσε να αναφέρεται σε κάτι πιο σύνθετο, όπως κρυπτογράφηση ή έλεγχος ταυτότητας, ή κάτι ακόμα πιο συγκεκριμένο, όπως RSA ή ψηφιακά πιστοποιητικά.
Εφόσον δεν μπορούμε να γνωρίζουμε τι υποτίθεται ότι καλύπτουν αυτοί οι ορισμοί, ακυρώνει ουσιαστικά οποιαδήποτε από τις συγκεκριμένες προστασίες που προσφέρονται από την προειδοποίηση εξαρχής. Εάν γινόταν κατάχρηση του νόμου, πώς θα ήξερε κανείς πού βρίσκονται νομικά;
Αν ήσασταν ιδιοκτήτης μικρής επιχείρησης, τι θα κάνατε αν λαμβάνατε ένα αίτημα που συνεπαγόταν διακύβευση της ασφάλειας της υπηρεσίας σας; Εάν δεν μπορούσατε να αντέξετε οικονομικά έξοδα νομικής, θα ήσασταν πρόθυμοι να αμφισβητήσετε το νόμο και να αρνηθείτε να συμμορφωθείτε;
Το τρέχον μέγιστο πρόστιμο για μη συμμόρφωση είναι σχεδόν 1.000.000 δολάρια Αυστραλίας (700.100 δολάρια ΗΠΑ) για οργανισμούς και 50.000 δολάρια Αυστραλίας (35.005 δολάρια ΗΠΑ) για άτομα, καθώς και φυλάκιση έως και δέκα ετών.
Το εάν κάτι συνιστά ή όχι συστημική αδυναμία ή συστημική ευπάθεια αποφασίζεται τελικά από έναν αξιολογητή κατά περίπτωση. Οι αξιολογητές πρέπει να έχουν «γνώση που θα επέτρεπε στο άτομο να αξιολογήσει» εάν μια ενέργεια θα εισήγαγε συστημική αδυναμία ή ευπάθεια. Δυστυχώς, η «γνώση» δεν ορίζεται, ανοίγοντας ένα άλλο κενό στο νόμο.
Για κάποιο παράλογο λόγο, το νομοσχέδιο απαιτεί και από συνταξιούχο δικαστή να συμμετέχει στην αξιολόγηση. Δεν δίνει λόγους για τη χρήση πρώην δικαστών έναντι ενεργών δικαστών. Επίσης, δεν υπάρχει πλαίσιο για τον τρόπο με τον οποίο οι δύο αξιολογητές θα προσδιορίσουν τι συνιστά συστημική αδυναμία ή ευπάθεια, ούτε υπάρχει μια σαφώς περιγραφόμενη διαδικασία προσφυγών.
Πρόκειται για ένα νομοσχέδιο που επηρεάζει μεγάλο αριθμό ανθρώπων και επιχειρήσεων. Η ύπαρξη τέτοιας θολή ορολογία σε ένα από τα κεντρικά του μέρη προσθέτει απλώς αβεβαιότητα, και στη χειρότερη, ανοίγει την πόρτα για κατάχρηση.
Ο νόμος μπορεί να χρησιμοποιηθεί για τη στόχευση των εργαζομένων
Μια άλλη σημαντική ανησυχία είναι ότι το νομοσχέδιο διατυπώνεται με τρόπο που συνεπάγεται θα μπορούσαν να στοχευθούν μεμονωμένοι υπάλληλοι για την υλοποίηση των αιτημάτων , και ενδέχεται να εμποδίζονται νομικά να ειδοποιήσουν τους ανωτέρους τους.
Χρησιμοποιεί τον όρο «πρόσωπο» όταν αναφέρεται σε αυτό που συνιστά καθορισμένο πάροχο επικοινωνιών, και συνεπώς σε οντότητες που υπόκεινται στη νομοθεσία. Ορισμένες από τις περιπτώσεις αναφέρονται σαφώς σε νομικά πρόσωπα (τα οποία μπορεί να είναι εταιρείες ή φυσικά πρόσωπα), παρά σε φυσικά πρόσωπα (ιδιώτες).
Ένα καλό παράδειγμα είναι το Στοιχείο 1, 'το άτομο είναι φορέας ή πάροχος υπηρεσιών μεταφοράς'. Ένα άτομο δεν μπορεί κυριολεκτικά είναι ένας «πάροχος υπηρεσιών μεταφορέα ή μεταφοράς», επομένως προφανώς αναφέρεται σε οργανισμούς. Όσο κατεβαίνουμε στη λίστα, τα πράγματα γίνονται λιγότερο ξεκάθαρα.
Το σημείο 6 αναφέρεται σε α άτομο που «αναπτύσσει, προμηθεύει ή ενημερώνει λογισμικό χρησιμοποιείται, για χρήση ή είναι πιθανό να χρησιμοποιηθεί σε σχέση με: (α) καταχωρισμένη υπηρεσία μεταφοράς· ή (β) ηλεκτρονική υπηρεσία που διαθέτει».
Το στοιχείο 8 καλύπτει α πρόσωπο που «κατασκευάζει ή προμηθεύει εξαρτήματα για χρήση , ή είναι πιθανό να χρησιμοποιηθεί, για την κατασκευή μιας εγκατάστασης για χρήση, ή πιθανόν να χρησιμοποιηθεί, στην Αυστραλία».
Και στις δύο περιπτώσεις, είναι εύκολο να ερμηνευτούν ότι αναφέρονται σε εργαζόμενους καθώς και σε εταιρείες. Το ίδιο το νομοσχέδιο δεν αναφέρει ότι στοχεύει μόνο εταιρείες, επομένως είναι δίκαιο να ανησυχούν άτομα σε αυτές τις θέσεις.
Αυτοί οι φόβοι έχουν απορριφθεί από το Υπουργείο Εσωτερικών, δηλώνοντας σχετικά δικτυακός τόπος :
«Το πλαίσιο βοήθειας του κλάδου ασχολείται με τη λήψη βοήθειας από εταιρείες και όχι άτομα που ενεργούν υπό την ιδιότητά τους ως υπάλληλοι μιας εταιρείας . Τα αιτήματα για βοήθεια θα επιδοθούν στην ίδια την εταιρική οντότητα σύμφωνα με τις θεωρούμενες διατάξεις παροχής υπηρεσιών στο ενότητα 317ZL . Μια ειδοποίηση μπορεί να επιδοθεί σε ένα φυσικό πρόσωπο εάν το άτομο αυτό είναι ατομικός έμπορος και η δική του εταιρική οντότητα.»
Σημειώστε ότι η ενότητα 317ZL δεν αναφέρει εάν αυτές οι ειδοποιήσεις μπορούν να επιδοθούν σε ιδιώτες.
Είναι ωραίο που το Υπουργείο Εσωτερικών προσφέρει αυτή τη διευκρίνιση, αλλά γιατί δεν περιλαμβάνεται στο κείμενο του Νομοσχεδίου Βοήθειας και Πρόσβασης; Ό,τι κι αν έγραψε κάποιος υπάλληλος σε έναν κυβερνητικό ιστότοπο δεν παρακάμπτει τον νόμο που ψηφίστηκε και από τα δύο σώματα του κοινοβουλίου.
Εάν ερμηνεύσουμε τον νόμο όπως είναι γραμμένος, δεν είναι ρεαλιστικό να πιστεύουμε ότι ένα από αυτά τα αιτήματα θα μπορούσε να υποβληθεί σε έναν υπάλληλο σε μια εταιρεία. Αν γινόταν αυτό, θα έβαζε τον εργαζόμενο σε σοβαρό ηθικό δίλημμα, γιατί αυτοί δεν επιτρέπεται να αποκαλύπτουν ότι έχει ληφθεί ένα αίτημα , εκτός εάν απαιτείται να πραγματοποιηθεί το αίτημα.
Αυτές οι εντολές φίμωσης προφανώς θα έφερναν τους υπαλλήλους σε πολύ δύσκολη θέση, αναγκάζοντάς τους να περιπλανηθούν κρυφά σε οποιουσδήποτε συνομηλίκους και υψηλότερους ανώτατους φορείς στους οποίους δεν μπορούν να αποκαλύψουν την ειδοποίηση. Το νομοσχέδιο όντως προστατεύει τους υπαλλήλους από την απόλυση για να ανταποκριθούν στις απαιτήσεις μιας τέτοιας ειδοποίησης, αλλά εξακολουθεί να μην είναι καλή κατάσταση να βάλεις ένα άτομο.
Για άλλη μια φορά, ο νόμος μπορεί να μην προορίζεται να χρησιμοποιηθεί με αυτόν τον τρόπο, αλλά Εάν δεν καλύψουμε αυτά τα κενά, απλώς αφήνουμε τη νομοθεσία ανοιχτή σε κατάχρηση .
Περιορισμένη εποπτεία
Όχι μόνο η νομοθεσία είναι ασαφής, αλλά υπάρχει περιορισμένη εποπτεία στον τρόπο εφαρμογής της . Δεν απαιτείται συγκεκριμένο ένταλμα για κανένα από τα τρία αιτήματα , αν και πρέπει να υπάρχει ήδη ένα υπάρχον ένταλμα πρόσβασης στα δεδομένα ενός ατόμου βάσει του νόμου περί τηλεπικοινωνιών (παρακολούθησης και πρόσβασης), του νόμου περί συσκευών επιτήρησης ή των ισοδύναμων τους σε κρατικό επίπεδο.
Αυτό οδηγεί σε καμία δικαστική εποπτεία για τον τρόπο διαχείρισης αυτών των αιτημάτων. Στη διαδικασία αξιολόγησης εμπλέκεται ένας συνταξιούχος δικαστής, αλλά όχι ένας που υπηρετεί ενεργά.
Όπως αναφέρεται στο Τμήμα συστημικής ευπάθειας & συστηματικής αδυναμίας , η διαδικασία αξιολόγησης εξετάζει εάν ένα αίτημα θα εισάγει συστηματικές αδυναμίες, αλλά εξετάζει επίσης εάν το αίτημα είναι ή όχι λογικό, αναλογικό, πρακτικό και τεχνικά εφικτό. Παρόλα αυτά, υπάρχουν περιορισμένες λεπτομέρειες σχετικά με το πώς γίνεται αυτό στην πραγματικότητα.
Δεδομένου του ιστορικού της αυστραλιανής κυβέρνησης σε ό,τι αφορά την τεχνολογία και την ασφάλεια, δεν είναι πολύ τραβηγμένο ότι ο ορισμός του 'λογικού' θα είναι σοβαρά διαφορετικός από τους ορισμούς των εταιρειών τεχνολογίας και των ειδικών στον κυβερνοχώρο. Αρκεί να διαβάσει κανείς το ακόλουθο απόσπασμα σχετικά με την κρυπτογραφία από τον πρώην πρωθυπουργό Malcolm Turnbull για να φοβηθεί το χειρότερο:
«Οι νόμοι των μαθηματικών είναι πολύ αξιέπαινοι, αλλά ο μόνος νόμος που ισχύει στην Αυστραλία είναι ο νόμος της Αυστραλίας».
Η δήλωση είναι τόσο παράλογη όσο λέει «Η βαρύτητα είναι αξιέπαινη, αλλά δεν ισχύει στη χώρα μου.Αυτό το είδος άγνοιας προς τις τεχνικές έννοιες μπορεί να επεκταθεί για να υποτεθεί ότι η κυβέρνηση μπορεί να καταλήξει να απαιτεί μη ασφαλείς ή παράλογες ενέργειες , είτε από ανικανότητα είτε από κακία.
Οι καθορισμένοι πάροχοι επικοινωνίας πρέπει να ειδοποιούνται για το δικαίωμά τους να υποβάλουν καταγγελία στον Διαμεσολαβητή της Κοινοπολιτείας, στον Γενικό Επιθεωρητή Πληροφοριών και Ασφάλειας (IGIS) ή σε ομολόγους τους.
Παρόλα αυτά, οι κανονισμοί δεν ορίζουν ένα πλαίσιο για αυτή τη διαδικασία. Το νομοσχέδιο δεν διευκρινίζει τι συνιστά έγκυρη καταγγελία ή πώς θα μπορούσε να αντιμετωπιστεί με το δικαστικό σώμα.
Η χρήση αυτών των εξουσιών πρέπει να παρακολουθείται, με έκθεση που υποβάλλεται στο Κοινοβούλιο κάθε 12 μήνες . Πρέπει να περιλαμβάνει τον αριθμό των φορών που έχει χρησιμοποιηθεί κάθε εξουσία, καθώς και το είδος της παράβασης που χρησιμοποιήθηκαν για τη διερεύνηση. Τα εθελοντικά αιτήματα δεν χρειάζεται να παρακολουθούνται και να παρουσιάζονται στο Κοινοβούλιο, και σημαντικές ποσότητες σχετικών πληροφοριών τηρούνται εμπιστευτικές .
Οι εταιρείες δεν επιτρέπεται να ειδοποιούν τα επηρεαζόμενα άτομα για αίτημα πρόσβασης στα δεδομένα τους, ούτε επιτρέπεται να πουν στο κοινό ότι έχει υποβληθεί αίτημα. Τους επιτρέπεται να αποκαλύψουν τον αριθμό των αιτημάτων που έχουν υποβληθεί σε περίοδο έξι μηνών και εάν αυτά ήταν υποχρεωτικές ή εθελοντικές εντολές. Είναι παράνομο για οποιοδήποτε μέρος να δημοσιεύει συγκεκριμένες πληροφορίες σχετικά με αιτήματα.
Αν και το νομοσχέδιο περιλαμβάνει κάποια επίβλεψη, δεν είναι συνεκτικό, διαφανές ή διατυπωμένο με επίσημο τρόπο. Λαμβάνοντας υπόψη τις πιθανές επιπτώσεις αυτών των αιτημάτων, μια τέτοια χαλαρή διαδικασία είναι επικίνδυνη και θα μπορούσε να οδηγήσει σε κατάχρηση εξουσίας.
Οι εξουσίες που παρέχονται από τη νομοθεσία είναι πολύ ευρείες
Μία από τις κύριες πλευρές που χρησιμοποιήθηκαν για την πώληση αυτής της νομοθεσίας στο κοινό ήταν ότι το νομοσχέδιο θα μπορούσε να βοηθήσει στην πρόληψη εγκλημάτων όπως η τρομοκρατία, η παιδική πορνογραφία και άλλα σοβαρά αδικήματα. Παρά αυτή την επισήμανση, το νομοσχέδιο στην πραγματικότητα καλύπτει οποιονδήποτε ύποπτο για διάπραξη εγκλήματος με μέγιστη ποινή τριών ετών ή περισσότερο, σύμφωνα με το αυστραλιανό ή το διεθνές δίκαιο .
Αυτό περιλαμβάνει ένα εξαιρετικά ευρύ φάσμα αδικημάτων, όπως η διγαμία, η οποία έχει ποινή φυλάκισης επτά ετών, όπως και η λειτουργία παράνομης επιχείρησης τζόγου. Ακόμη και κάτι τόσο αριστερό όσο η παράνομη χρήση βοοειδών άλλου ατόμου επισύρει μέγιστη ποινή τριών ετών.
Σύμφωνα με τη διατύπωση της νομοθεσίας, οι εξουσίες του νομοσχεδίου θα μπορούσαν να χρησιμοποιηθούν και στις τρεις αυτές έρευνες. Εάν το νομοσχέδιο σχεδιάστηκε πραγματικά για να στοχεύει όσους διαπράττουν σοβαρά αδικήματα, γιατί να μην το περιορίσουμε μόνο σε αυτούς;
Επιπτώσεις ασφαλείας του Νομοσχεδίου Βοήθειας & Πρόσβασης
Ο νόμος για τη βοήθεια και την πρόσβαση θα μπορούσε να έχει εκτεταμένες επιπτώσεις τόσο στην Αυστραλία όσο και στον κόσμο. Δεδομένου ότι ο λογαριασμός είναι τόσο ασαφής και πολλές από τις διαδικασίες είναι εμπιστευτικές, δεν μπορούμε να είμαστε σίγουροι για το πώς έχει χρησιμοποιηθεί μέχρι στιγμής ή τι θα συμβεί στο μέλλον.
Το καλύτερο που μπορούμε να κάνουμε είναι να διαβάσουμε το κείμενο ως έχει και να εξετάσουμε τι θα μπορούσε να συμβεί. Λόγω της χαλαρής διατύπωσης, θα μπορούσε να καταλήξει να επηρεάσει την παγκόσμια ασφάλεια και τη βιομηχανία πληροφορικής στο σύνολό της.
Θα μπορούσε ο λογαριασμός να σπάσει την κρυπτογράφηση;
Ένας από τους μεγαλύτερους φόβους σχετικά με τη νομοθεσία είναι ότι θα μπορούσε να αποδυναμώσει την ασφάλεια στον κυβερνοχώρο σε όλο τον κόσμο. Ίσως έχετε ακούσει ότι ο λογαριασμός θα μπορούσε να χρησιμοποιηθεί για να σπάσει την κρυπτογράφηση, αν και αυτό είναι κάπως ανακριβές.
Αυτό συμβαίνει γιατί όταν χρησιμοποιούνται τα σωστά πρότυπα κρυπτογράφησης (όπως π AES-256 ), και εφαρμόζονται σωστά, δεν μπορούν να σπάσουν με την τρέχουσα τεχνολογία και τεχνικές.
Αυτό οφείλεται στο γεγονός ότι βασίζονται στους νόμους των μαθηματικών και εκτός και αν υπάρχουν κάποιες ιδιορρυθμίες που δεν γνωρίζουμε ή η κυβέρνηση έχει στη διάθεσή της μια ασύλληπτη ποσότητα μυστικής υπολογιστικής ισχύος, απλά δεν είναι δυνατό.
Ας πάρουμε μια εφαρμογή ανταλλαγής μηνυμάτων όπως το Signal, η οποία είναι μία από τις κορυφαίες εφαρμογές όσον αφορά τις αποτελεσματικές εφαρμογές ασφάλειας. Εάν η κυβέρνηση χτυπήσει την πόρτα της Signal και της ζητήσει να αποκρυπτογραφήσει τα μηνύματα ενός συγκεκριμένου ατόμου, ο οργανισμός μπορεί να απαντήσει με: «Συγγνώμη, αλλά κανείς εδώ δεν έχει πρόσβαση σε αυτές τις πληροφορίες».
Αυτό συμβαίνει γιατί, στις περισσότερες περιπτώσεις, Το Signal δεν έχει πρόσβαση στα ιδιωτικά κλειδιά που είναι απαραίτητα για το ξεκλείδωμα των δεδομένων.
Ας πούμε ότι η κυβέρνηση κράτησε ένα όπλο στο κεφάλι του Signal και του είπε να κάνει ό,τι μπορεί για να βοηθήσει. Το Signal θα έπρεπε να αναθεωρήσει πλήρως την εφαρμογή του για να εγκαταστήσει μια κερκόπορτα, κάτι που δεν θα ήταν πρακτικό σε σύντομο χρονικό διάστημα.
Μάλλον μια τέτοια πράξη δεν θα ήταν λογικό ή εφικτό , αλλά είναι αδύνατο να γνωρίζουμε πώς θα εφαρμοστούν αυτοί οι νόμοι. Ακόμα κι αν η Signal αναθεώρησε την εφαρμογή της και άλλαζε τις υλοποιήσεις ασφαλείας της, θα μπορούσαν να παραχωρήσουν πρόσβαση μόνο σε μελλοντικά μηνύματα και όχι σε αυτά από το παρελθόν.
Αυτά τα προηγούμενα μηνύματα θα εξακολουθούσαν να είναι κρυπτογραφημένα με τα μυστικά κλειδιά του στόχου, αν και μια τέτοια αναθεώρηση μπορεί να επιτρέψει στις αρχές να πάρουν τα κλειδιά από τον στόχο.
Υπάρχουσα κακή ασφάλεια
Δεν είναι όλες οι εφαρμογές κατασκευασμένες σύμφωνα με τα πρότυπα της Signal, επομένως αυτό το παράδειγμα απέχει πολύ από το να είναι καθολικό. Πολλές εφαρμογές έχουν κακές εφαρμογές ασφαλείας ή δεν προσφέρουν τον κώδικά τους για έλεγχο, επομένως δεν μπορούμε πραγματικά να γνωρίζουμε τι συμβαίνει κάτω από την κουκούλα. Σε αυτές τις περιπτώσεις, οι εταιρείες ενδέχεται να είναι σε θέση να παραδώσουν στην κυβέρνηση τα κλειδιά ή να δημιουργήσουν εργαλεία που μπορούν να της παραχωρήσουν πρόσβαση.
Ψεύτικοι πελάτες
Ο πιο πρακτικός τρόπος για να στοχεύσουν οι αρχές τα δεδομένα ενός ατόμου θα ήταν να αναγκάσουν μια εταιρεία να το κάνει δημιουργήστε μια ψεύτικη έκδοση της εφαρμογής τους και, στη συνέχεια, τοποθετήστε την κρυφά στη συσκευή του ατόμου . Αυτό θα μπορούσε να γίνει είτε με φυσική πρόσβαση στη συσκευή, εξαπάτηση του ατόμου για λήψη της είτε στέλνοντας μια ψεύτικη «ενημέρωση» στο τηλέφωνο του στόχου.
Η απόκτηση φυσικής πρόσβασης στο τηλέφωνο ή τον υπολογιστή κάποιου μπορεί να είναι δύσκολη και η αποστολή ψευδών ενημερώσεων στους ανθρώπους δεν ενθαρρύνεται. Αυτό οφείλεται στο γεγονός ότι οι ενημερώσεις είναι απαραίτητες για την ασφάλεια των τρωτών σημείων που ανακαλύφθηκαν πρόσφατα.
Εάν καταστεί συνηθισμένο για τις αρχές να χρησιμοποιούν ενημερώσεις για να κατασκοπεύουν άτομα, το κοινό μπορεί να υποψιαστεί τις ενημερώσεις και να μην τις εγκαταστήσει στο μέλλον. Μια τέτοια στάση θα έκανε τους πάντες πολύ λιγότερο ασφαλείς. Οι ΗΠΑ' Συμβούλιο Εθνικής Ασφαλείας έχει ήδη ερευνήσει αυτήν την επιλογή, αλλά συνέστησε να την αποφύγετε, δηλώνοντας ότι:
«…η χρήση του θα μπορούσε να θέσει υπό αμφισβήτηση την αξιοπιστία των καθιερωμένων καναλιών ενημέρωσης λογισμικού. Μεμονωμένοι χρήστες, που ανησυχούν για την απομακρυσμένη πρόσβαση στις συσκευές τους, μπορούσαν να επιλέξουν να απενεργοποιήσουν τις ενημερώσεις λογισμικού, καθιστώντας τις συσκευές τους σημαντικά λιγότερο ασφαλείς όσο περνούσε ο καιρός και ανακαλύφθηκαν ευπάθειες χωρίς να διορθωθούν.
Ανεξάρτητα από το πώς η κυβέρνηση βάζει έναν ψεύτικο πελάτη στη συσκευή κάποιου, θα μπορούσε στη συνέχεια να τον χρησιμοποιήσει σε μια επίθεση man-in-the-middle. Κάτω από μια επίθεση 'man-in-the-middle', όλα φαίνονται φυσιολογικά στον στόχο. Νομίζουν ότι επικοινωνούν απευθείας με άλλους με ασφαλή τρόπο, αλλά στην πραγματικότητα, ένας εισβολέας βρίσκεται ανάμεσά τους.
Όταν ο στόχος στέλνει ένα μήνυμα, πηγαίνει πρώτα στον εισβολέα, ο οποίος στη συνέχεια το στέλνει στον παραλήπτη. Οτιδήποτε αποστέλλεται πίσω στον στόχο περνάει επίσης από τον εισβολέα. Μέσα από αυτή τη διαδικασία, ο εισβολέας συλλέγει όλα τα εισερχόμενα και εξερχόμενα δεδομένα, συμπεριλαμβανομένων των κλειδιών και των προσωπικών μηνυμάτων .
Αυτό το είδος επίθεσης θα επέτρεπε στην κυβέρνηση να δει σχεδόν όλα όσα κάνει ο στόχος. Είναι επίσης εξαιρετικά απίθανο να χαρακτηριστεί ως συστημική αδυναμία, επειδή ο οργανισμός δεν εισάγει μια ευπάθεια στο λογισμικό που χρησιμοποιούν όλοι, φτιάχνει απλώς μια ψεύτικη έκδοση για τον μεμονωμένο στόχο .
Πρέπει επίσης να σημειωθεί ότι εξελιγμένο Το spyware υπάρχει ήδη. Αυτά τα προγράμματα μπορούν να χρησιμοποιηθούν για πρόσβαση στα δεδομένα ενός ατόμου σε μια σειρά από διαφορετικά σενάρια.
Εάν οι αρχές μπορούν να αποκτήσουν φυσική πρόσβαση στις συσκευές ενός ατόμου ή να το ξεγελάσουν για να το εγκαταστήσουν, μπορούν να καταγράψουν όλες τις μελλοντικές επικοινωνίες του ατόμου και μπορεί να είναι σε θέση να ανακαλύψουν τα κλειδιά για να ξεκλειδώσουν τυχόν δεδομένα που είχαν αποθηκευτεί στο παρελθόν. Εξαιτίας αυτού, η ανάγκη για οποιεσδήποτε κερκόπορτες είναι πιο περιορισμένη από ό,τι πολλοί άνθρωποι αντιλαμβάνονται.
Κύριο σύστημα κλειδιών
Μια εναλλακτική που θα μπορούσε να δώσει στην κυβέρνηση πρόσβαση σε οποιαδήποτε συσκευή θέλει μπορεί να θεωρηθεί ως μια ψηφιακή έκδοση ενός κύριου κλειδιού. Αυτό το ηλεκτρονικό σύστημα θα μπορούσε θεωρητικά να δώσει στις αρχές πρόσβαση σε κάθε συσκευή.
Εάν οι αρχές είχαν αυτό το είδος εξουσίας σε όλες τις συσκευές, τότε θα ήταν κρίσιμο για να κρατήσει το κύριο κλειδί απολύτως μυστικό. Αν έπεφτε σε λάθος χέρια, οι επιτιθέμενοι μπορούσαν να το χρησιμοποιήσουν για να έχουν πρόσβαση σε οτιδήποτε ήθελαν. Αυτό θα έφερνε τον κόσμο σε αναταραχή.
Εάν επρόκειτο να κατασκευαστεί ένα τέτοιο σύστημα κύριου κλειδιού, θα ήταν πρακτικά αδύνατο να εγγυηθεί την ασφάλειά του . Το σύστημα θα χρειαζόταν αυστηρά μέτρα ελέγχου ταυτότητας για την αποτροπή μη εξουσιοδοτημένης πρόσβασης. Δεδομένου του πόσο πολύτιμο θα ήταν το κύριο κλειδί, υπάρχει τεράστιος κίνδυνος είτε τα συστήματα είτε το προσωπικό που το έλεγχε να παραβιαστούν σε επιθέσεις.
Η κατασκευή ενός τέτοιου συστήματος θα ήταν επίσης μια τεράστια τεχνική πρόκληση. Θα πρέπει να είναι αρκετά ευέλικτο ώστε να εξυπηρετεί κάθε μεμονωμένο τύπο συσκευής και υπολογιστή και θα απαιτείται μια τεράστια ομάδα εργασίας μηχανικής για να διατηρεί το σύστημα σε λειτουργία κάθε φορά που αυτές οι συσκευές ενημερώνονται. Θα υπήρχαν απλώς πάρα πολλές ευκαιρίες για τις ευπάθειες να γλιστρήσουν μέσα από τις ρωγμές .
Έμμεσα αποδυνάμωση της ασφάλειας
Όταν αναπτύσσεται λογισμικό, είναι σύνηθες να παραδώστε το σε έναν εξωτερικό ελεγκτή διείσδυσης. Αυτοί είναι ουσιαστικά τα καλά παιδιά του hacking, που πληρώνονται για να διερευνήσουν τον κώδικα και να δουν αν μπορούν να βρουν κάποια τρωτά σημεία.
Η σύναψη συμβάσεων με εξωτερικούς συνεργάτες είναι μια εξαιρετική προσέγγιση για την ασφάλεια, επειδή μπορεί να βρουν ζητήματα που δεν έχουν παρατηρήσει όσοι βρίσκονται κοντά στο έργο. Αλλά το νομοσχέδιο για τη βοήθεια και την πρόσβαση έχει τη δυνατότητα να σταματήσει αυτή τη διαδικασία .
Εφόσον δεν έχουμε τον κατάλληλο ορισμό για το ποιες είναι οι συστημικές αδυναμίες και τρωτά σημεία στο πλαίσιο του νόμου, πρέπει να υποθέσουμε το χειρότερο εάν θέλουμε να είμαστε προετοιμασμένοι για όλα τα ενδεχόμενα.
Ας πούμε ότι οι αρχές κάνουν μασάζ με κάποιον τρόπο τον ορισμό της συστημικής αδυναμίας και καταφέρνουν να αναγκάσουν μια εταιρεία να γλιστρήσει μια κερκόπορτα στο λογισμικό της. Εάν η εταιρεία σας βρισκόταν σε αυτή τη θέση, θα θέλατε να στείλετε τον κωδικό σε έναν εξωτερικό ελεγκτή που πιθανότατα θα τον βρει;
Πώς θα το εξηγούσατε στον ελεγκτή διείσδυσης; Ανάλογα με την κατάσταση, ο οργανισμός σας ενδέχεται να μην είναι σε θέση να αποκαλύψει την κερκόπορτα που έχει ζητήσει η κυβέρνηση.
Εάν ο ελεγκτής διείσδυσης βρήκε την κερκόπορτα και η εταιρεία σας αγνόησε τις συστάσεις της για να τη διορθώσει, ο ελεγκτής διείσδυσης μπορεί τελικά να καταλήξει να δημοσιοποιηθεί με την ευπάθεια και να κατηγορήσει την εταιρεία σας ότι θέτει σε κίνδυνο τους χρήστες της . Αυτό θα μπορούσε να καταλήξει να είναι απίστευτα επιζήμιο για τη φήμη του οργανισμού σας.
Ακολουθώντας αυτή τη λογική, οι οργανισμοί που αναγκάστηκαν να εισάγουν κερκόπορτες μπορεί να καταλήξουν να αποφεύγουν εντελώς τους εξωτερικούς ελέγχους, για να αποφύγουν να καταλήξουν σε μια τέτοια δύσκολη κατάσταση. Αυτό θα ήταν επικίνδυνο, γιατί αυτό σημαίνει πολλά άλλα τρωτά σημεία δεν θα εντοπιστούν σε αυτούς τους συνήθεις ελέγχους .
Αυτό το ανατριχιαστικό αποτέλεσμα μπορεί να φαίνεται τραβηγμένο, αλλά έχουν συμβεί πιο τρελά πράγματα, επομένως αυτοί οι νόμοι πρέπει να είναι όσο το δυνατόν πιο αυστηροί για να αποφευχθούν τέτοια σενάρια χειρότερων περιπτώσεων.
Πιθανές επιπτώσεις στον κλάδο της πληροφορικής
Όχι μόνο οι νόμοι έχουν τη δυνατότητα να αποδυναμώσουν την ασφάλεια, αλλά η ασάφειά τους μπορεί επίσης να επηρεάσει τις επιχειρήσεις και το εργατικό δυναμικό. Στην πραγματικότητα, ορισμένες αυστραλιανές εταιρείες έχουν ήδη πληγεί οικονομικά, επειδή οι πελάτες φοβούνται ότι τα προϊόντα και οι υπηρεσίες τους θα μπορούσαν να τεθούν σε κίνδυνο.
Επιπτώσεις σε μεγαλύτερες επιχειρήσεις
Σε αυτό το στάδιο, το καλύτερο που μπορούμε να κάνουμε είναι να κάνουμε εικασίες, γιατί δεν ξέρουμε πόσο επιθετικά θα εφαρμοστούν αυτοί οι νόμοι. Μπορεί να μην το μάθουμε ποτέ λόγω της αυστηρής εμπιστευτικότητας που περιβάλλει την έκδοσή τους.
Εάν υποβληθεί ένα παράλογο αίτημα σε έναν από τους τεχνολογικούς γίγαντες, είναι πιθανό ότι θα έχουν τη δύναμη και τους πόρους να το καταπολεμήσουν και να εργαστούν γύρω από το νόμο. Μπορεί να αρνηθούν να συμμορφωθούν, όπως έκανε η Apple υπόθεση κατά του FBI σχετικά με το iPhone ενός από τους δράστες του πυροβολισμού στο San Bernardino το 2015
Εάν αυτές οι τεράστιες εταιρείες ανησυχούσαν μήπως επηρεαστούν από το νόμο, μπορεί να προσπαθήσουν να προστατεύσουν τον εαυτό τους διασφαλίζοντας ότι δεν γίνεται καμία ανάπτυξη στην Αυστραλία, αποφεύγοντας την αποθήκευση δεδομένων εντός των συνόρων της χώρας ή αρνούμενοι να προσλάβουν Αυστραλούς εάν οι νόμοι επεκτείνονται και στους Αυστραλούς που εδρεύουν στο εξωτερικό. Εάν συνέβαινε αυτό, θα μπορούσε να έχει εξαιρετικά αρνητικό αντίκτυπο στο εργατικό δυναμικό της Αυστραλιανής πληροφορικής.
Σε ένα ακραίο σενάριο, οι εταιρείες θα μπορούσαν να καταλήξουν να αρνούνται να δραστηριοποιηθούν στην Αυστραλία και να αφαιρέσουν τα προϊόντα και τις υπηρεσίες τους από την αγορά. Αυτό φαίνεται πολύ απίθανο, γιατί θα είχε τεράστιες επιπτώσεις. Παρόλα αυτά, δεν είναι εντελώς απρόβλεπτο, δεδομένου ότι η Google κάποτε τράβηξε τη μηχανή αναζήτησής του εκτός της κινεζικής αγοράς λόγω ζητημάτων με την κινεζική κυβέρνηση.
Επιπτώσεις σε μικρότερες επιχειρήσεις
Ενώ οι μεγάλες εταιρείες μπορεί να είναι σε θέση να χρησιμοποιήσουν τη δύναμή τους και τους πόρους τους για να παρακάμψουν τυχόν αιτήματα από την κυβέρνηση, αυτή η διαδρομή μπορεί να μην είναι βιώσιμη για μικρότερους οργανισμούς. Αυτές οι επιχειρήσεις ενδέχεται να μην διαθέτουν τα κεφάλαια για να διεξαγάγουν δικαστική μάχη και θα μπορούσε να εκφοβιστεί να υποχωρήσει από την αυστραλιανή κυβέρνηση .
Οι νόμοι είναι τόσο ασαφείς που οι επιχειρήσεις δεν γνωρίζουν τα δικαιώματά τους ή αν μπορούν να κάνουν έφεση. Αυτό μπορεί να οδηγήσει στην κυβέρνηση κατάχρηση της εξουσίας του εναντίον μικρότερων επιχειρήσεων ή αναγκάζοντας τες να εφαρμόσουν μη ασφαλείς και παράλογες αλλαγές στο λογισμικό τους . Οι αυστηρές απαιτήσεις εμπιστευτικότητας θα εμπόδιζαν επίσης αυτές τις επιχειρήσεις να δημοσιοποιήσουν τις απαιτήσεις.
Επιπτώσεις στις αυστραλιανές επιχειρήσεις
Αρκετές αυστραλιανές επιχειρήσεις πληροφορικής έχουν ήδη πληγεί από τους κανονισμούς. Μπρον Γκοντβάνα , ο Διευθύνων Σύμβουλος του αυστραλιανού παρόχου φιλοξενίας email FastMail είπε, «Έχουμε δει υπάρχοντες πελάτες να φεύγουν και δυνητικούς πελάτες να πηγαίνουν αλλού, αναφέροντας αυτόν τον λογαριασμό ως λόγο για την επιλογή τους. Μας ρωτούν [επίσης] τακτικά πελάτες εάν σκοπεύουμε να μετακομίσουμε».
Η Atlassian, η μεγαλύτερη εταιρεία τεχνολογίας της Αυστραλίας, το είδε τιμή μετοχής πέφτουν περίπου κατά την ψήφιση του νομοσχεδίου, αν και δεν μπορεί να επιβεβαιωθεί εάν τα δύο γεγονότα είχαν σχέση. «Πρέπει να αναγνωρίσουμε ότι αυτός ο νόμος απειλεί τις θέσεις εργασίας», δήλωσε ο συν-CEO της Atlassian, Σκοτ Φαρκουάρ .
Η Senetas, μια αυστραλιανή εταιρεία κρυπτογράφησης, αναμένεται επίσης να επηρεαστεί αρνητικά από το νόμο. «Με τη μορφή που έχει αυτή τη στιγμή και αν δεν αλλάξει, αυτή η νομοθεσία θα αναγκάσει την εταιρεία μας να βγει offshore», δήλωσε ο μη εκτελεστικός πρόεδρός της. Φράνσις Γκάλμπαλι .
Άλλοι κίνδυνοι του Νομοσχεδίου Βοήθειας και Πρόσβασης
Ο λογαριασμός βοήθειας και πρόσβασης καλύπτει περισσότερα από όσα μπορούν να απαιτήσουν οι αρχές από τις εταιρείες. Περιλαμβάνει επίσης μια σειρά αλλαγών στο σύστημα εντολών. Ορισμένες από αυτές φαίνονται λογικές, σύμφωνα με την αλλαγή της τεχνολογίας και τις μεταβαλλόμενες απαιτήσεις για τις υπηρεσίες επιβολής του νόμου ώστε να είναι αποτελεσματικές στις εργασίες τους. Άλλες πτυχές είναι περιττές υπερβάσεις που έχουν τη δυνατότητα να παραβιάσουν το απόρρητο των ανθρώπων.
Θα μπορούσε να παραβιάσει το απόρρητο τρίτων
Μια τέτοια κίνηση είναι η διάταξη που επιτρέπει στις αρχές επιβολής του νόμου να εισέρχονται σε χώρους τρίτων ή να έχουν πρόσβαση σε ψηφιακά συστήματα τρίτων κατά τη διάρκεια της εκτέλεσης εντάλματος. Σίγουρα υπάρχουν περιπτώσεις όπου αυτό θα ήταν μια λογική πορεία δράσης. Ας πούμε ότι μια τρομοκρατική επίθεση είναι σε εξέλιξη και ο ασφαλέστερος τρόπος με τον οποίο μπορούν να τερματιστούν οι αξιωματούχοι είναι να μπουν μέσα από άλλο κτίριο.
Ένα άλλο παράδειγμα θα μπορούσε να αφορά ένα παιδί που βρίσκεται σε ακραίο κίνδυνο να τραυματιστεί και η πρόσβαση στο δίκτυο ή στον υπολογιστή ενός τρίτου μπορεί να είναι ο καλύτερος τρόπος για να σωθεί το παιδί.
Το πρόβλημα είναι ότι αυτές οι εξουσίες δεν περιορίζονται σε τέτοια συγκεκριμένα σενάρια και μπορούν να χρησιμοποιηθούν όποτε ο δικαστής το κρίνει «κατάλληλο». Δεδομένου ότι ο νόμος καλύπτει ακόμη και πτυχές όπως η προσθήκη, η αντιγραφή, η διαγραφή ή η τροποποίηση δεδομένων σε υπολογιστές τρίτων, η χρήση του θα μπορούσε εύκολα να οδηγήσει σε περιττές παραβιάσεις του απορρήτου.
Σχεδόν όλοι θα συμφωνούσαν ότι υπό ορισμένες συνθήκες, όπως οι παραπάνω περιπτώσεις, είναι λογικό να παρακάμπτονται τα δικαιώματα απορρήτου τρίτων. Ωστόσο, η χρήση θα πρέπει να περιορίζεται μόνο σε εκείνες τις περιπτώσεις όπου οι εξουσίες είναι απολύτως απαραίτητες για την πρόληψη σοβαρών ζημιών.
Υποχρέωση ατόμων να εγκαταλείψουν τους κωδικούς πρόσβασής τους
Το νομοσχέδιο περιλάμβανε ενημερώσεις στο Νόμος για τις συσκευές επιτήρησης (SD). και το ASIO Act . Οι αλλαγές στο SD Act επιτρέπουν στις υπηρεσίες επιβολής του νόμου να υποβάλουν αίτηση βοήθεια παραγγελίες από δικαστή. Αυτές οι παραγγελίες μπορούν να χρησιμοποιηθούν για αναγκάζουν τα άτομα να παραδώσουν οποιαδήποτε πληροφορία είναι «εύλογη και απαραίτητη» ώστε οι αρχές να μπορούν «να έχουν πρόσβαση, να αντιγράφουν, να μετατρέπουν ή να κάνουν κατανοητά» οποιαδήποτε δεδομένα καλύπτονται από ένταλμα.
Αυτές οι εντολές μπορούν να αναγκάσουν τους ανθρώπους να παραδίδουν τους κωδικούς πρόσβασής τους, τα βιομετρικά τους δεδομένα ή τη γνώση τυχόν σχετικών συστημάτων και συσκευών . Δεν στοχεύουν μόνο το άτομο που είναι ύποπτο για έγκλημα, αλλά μπορεί επίσης να καλύψει τους συνεργάτες τους, τους κατόχους των εν λόγω συσκευών, τους διαχειριστές συστημάτων και όσους έχουν χρησιμοποιήσει τις συσκευές.
Η μη συμμόρφωση με αυτά τα αιτήματα βάσει του νόμου SD μπορεί να οδηγήσει σε φυλάκιση έως και 10 χρόνια και πρόστιμο 126.000 δολαρίων Αυστραλίας (88.212 δολάρια ΗΠΑ) .
Με παρόμοιο τρόπο, οι αλλαγές στον νόμο ASIO επιτρέπουν στον Γενικό Διευθυντή να ζητήσει από τον Γενικό Εισαγγελέα να αναγκάσει τα άτομα να παρέχουν το ίδιο είδος δεδομένων. Η άρνηση συμμόρφωσης μπορεί να οδηγήσει σε έως 5 χρόνια φυλάκιση ή ποινή 63.000 δολαρίων Αυστραλίας (44.106 δολάρια ΗΠΑ) . Ένα από τα μεγαλύτερα ζητήματα με τις νέες εξουσίες βάσει του νόμου ASIO είναι ότι δεν υπάρχει δικαστική εποπτεία – οι αρχές δεν χρειάζεται ποτέ να πάνε ενώπιον δικαστή για να λάβουν άδεια.
Αξίζει να σημειωθεί ότι αυτές οι εξουσίες μπορούν να χρησιμοποιηθούν για τη διερεύνηση οποιουδήποτε εγκλήματος με μέγιστη ποινή τριών ετών ή περισσότερο. Φαίνεται βαρύ το ότι κάποιος που αρνείται να συμμορφωθεί θα μπορούσε ενδεχομένως να καταλήξει με ποινή που υπερβαίνει την ποινή για το αρχικό έγκλημα .
Αυτό είναι ιδιαίτερα ανησυχητικό όταν υπάρχουν νόμιμοι λόγοι απορρήτου για να μην θέλετε να εγκαταλείψετε κωδικούς πρόσβασης ή βιομετρικά δεδομένα. Επειδή οι νόμοι μπορούν επίσης να χρησιμοποιηθούν εναντίον διαχειριστών συστημάτων και άλλων, άτομα που δεν έχουν διαπράξει άλλο έγκλημα θα μπορούσαν να καταλήξουν να υποστούν σοβαρές τιμωρίες.
Αξίζει επίσης να ληφθεί υπόψη ότι αυτοί οι νόμοι θα μπορούσαν να είναι σε σύγκρουση με το προνόμιο κατά της αυτοενοχοποίησης . Σε αυτό το στάδιο, τα δικαιώματα του ατόμου όσον αφορά την κρυπτογράφηση δεν έχουν δοκιμαστεί σύμφωνα με την αυστραλιανή νομοθεσία, επομένως δεν είμαστε βέβαιοι εάν ο εξαναγκασμός κάποιου να παραδώσει τον κωδικό πρόσβασής του μπορεί να θεωρηθεί ως αυτοενοχοποίηση.
Για άλλη μια φορά, αυτοί οι νόμοι είναι εξαιρετικά ευρείες και πολλές πτυχές δεν ορίζονται ελάχιστα. Λόγω της έλλειψης κατάλληλων ορισμών και επίβλεψης, δεν μπορούμε να είμαστε σίγουροι πώς θα παίξουν στον πραγματικό κόσμο.
Το νομοσχέδιο Βοήθειας και Πρόσβασης εκδόθηκε εσπευσμένα χωρίς την κατάλληλη αναθεώρηση
Δεν είναι μόνο οι ίδιοι οι νόμοι που είναι αμφιλεγόμενοι, αλλά και ο τρόπος με τον οποίο ψηφίστηκαν. Ένα προσχέδιο του νομοσχεδίου δημοσιεύτηκε για πρώτη φορά τον Αύγουστο του 2018. Μετά την κυκλοφορία του, προσέλκυσε τεράστια κριτική από τον κλάδο της τεχνολογίας, τις ομάδες προστασίας της ιδιωτικής ζωής και τους πολίτες. Το προσχέδιο ήταν ανοιχτό σε δημόσιο σχολιασμό και 343 υποβολές φτιαχτηκαν.
Από αυτούς μόνο ένας ήταν υπέρ των κανονισμών. Οι υπόλοιποι είτε ζήτησαν αναθεωρήσεις, είτε ήταν εντελώς κατά του νομοσχεδίου. Παρά τον καταρράκτη αποδοκιμασίας, το τελικό σχέδιο νόμου μετά βίας υποβλήθηκε σε έλεγχο.
Την τελευταία ημέρα της συνεδρίασης πριν από την περίοδο των Χριστουγέννων κατατέθηκε στη Βουλή αναθεωρημένη έκδοση του νομοσχεδίου. Περιείχε 173 τροπολογίες, αλλά τα μέλη δεν είχαν σχεδόν καθόλου χρόνο να τις εξετάσουν.
Ενώ αυτές περιλάμβαναν ορισμένες θετικές αλλαγές, το νέο σχέδιο νόμου εξακολουθεί να παραμελεί όλα τα ζητήματα που αναφέρονται σε αυτό το άρθρο. Παρά αυτά τα σοβαρά προβλήματα, το νομοσχέδιο για τη Βοήθεια και την Πρόσβαση εισήχθη βιαστικά τόσο από τη Βουλή όσο και από τη Γερουσία αφού το κόμμα της αντιπολίτευσης υπέκυψε.
Ο επίσημος λόγος ήταν ότι οι νόμοι έπρεπε να εφαρμοστούν βιαστικά για να αποφευχθούν πιθανές τρομοκρατικές επιθέσεις κατά τη διάρκεια των εορτών. Αυτός ήταν ένας ιδιαίτερα αμφίβολος ισχυρισμός, καθώς η Αυστραλία έχει ήδη πλήθος αντιτρομοκρατικών νόμων.
Εάν οι αρχές απαίτησαν τις νέες δυνατότητες για να αναγκάσουν τις εταιρείες να δημιουργήσουν κερκόπορτες, τότε αυτό θα πρέπει επίσης να αντιμετωπιστεί με σκεπτικισμό. Δεδομένου ότι οι νόμοι ψηφίστηκαν στις 6 Δεκεμβρίου, είναι απίθανο κάποια εταιρεία να μπορούσε να παράσχει τα απαραίτητα εργαλεία πριν από τα Χριστούγεννα.
Επιπλέον, η ASIO, η αυστραλιανή υπηρεσία κατασκοπείας, αναγνώρισε ότι υπήρχε καμία συγκεκριμένη απειλή κατά τη διάρκεια της περιόδου, και δεν ανέβασε το επίπεδο προειδοποίησης.
Το αποτέλεσμα αυτής της διαδικασίας είναι ότι το νομοσχέδιο δεν έλαβε υπόψη τις συστάσεις από το μεγαλύτερο μέρος των υποβολών, ούτε υπέκειτο σε κατάλληλο επίπεδο κοινοβουλευτικής αναθεώρησης και συζήτησης. Το αποτέλεσμα είναι ένα χάος νόμου που θα μπορούσε να έχει σοβαρές επιπτώσεις στην Αυστραλία, στις εταιρείες πληροφορικής της και στην παγκόσμια ασφάλεια.
Το νομοσχέδιο παραπέμφθηκε στην Κοινοβουλευτική Μικτή Επιτροπή Πληροφοριών και Ασφάλειας, η οποία το εξέτασε και στη συνέχεια το έστειλε στο Ανεξάρτητο Παρατηρητήριο Νομοθεσίας Εθνικής Ασφάλειας (INSLM), Δρ Τζέιμς Ρένγουικ, για εξέταση. Σε αυτό το στάδιο, δεν είναι γνωστό εάν η αναθεώρηση θα οδηγήσει σε αλλαγές.
Πώς θα επηρεάσει η Αυστραλία και τον κόσμο ο λογαριασμός βοήθειας και πρόσβασης;
Το νομοσχέδιο για τη βοήθεια και την πρόσβαση είναι ένα μακροσκελές νομοσχέδιο με πολλές γκρίζες ζώνες. Επειδή οι βασικές πτυχές του κειμένου δεν είναι σαφείς, είναι δύσκολο να γνωρίζουμε πώς θα εφαρμοστούν αυτοί οι νόμοι και ποια θα είναι τα αποτελέσματά τους . Υπάρχει επίσης μεγάλη εμπιστευτικότητα στα βασικά στοιχεία, επομένως ενδέχεται να μην γνωρίζουμε ποτέ πώς ακριβώς εφαρμόζονται.
Το κύριο ζήτημα με το νομοσχέδιο είναι το έλλειψη σαφήνειας, διαφάνειας και εποπτείας . Δεδομένου ότι ορισμένα μέρη του νόμου είναι τόσο ανεπαρκώς καθορισμένα, πολλοί από εκείνους που θα επηρεαστούν από το νομοσχέδιο έχουν υποθέσει τα χειρότερα σενάρια, τα οποία έχουμε περάσει μεγάλο μέρος αυτού του άρθρου συζητώντας.
Σε αυτό το στάδιο, φαίνεται ότι μόνο οι πιο ακραίες περιστάσεις θα μπορούσαν να οδηγήσουν σε διακυβεύσεις των νόμων για την ασφάλεια σε παγκόσμια κλίμακα. Παρά το γεγονός αυτό, έχουν ήδη προκαλέσει σημαντικές εντάσεις μεταξύ των εταιρειών τεχνολογίας και της αυστραλιανής κυβέρνησης. Οι εταιρείες τεχνολογίας της Αυστραλίας έχουν ήδη επηρεαστεί, και όσο για τους εργαζόμενους της αυστραλιανής βιομηχανίας πληροφορικής; Είναι δύσκολο να γνωρίζουμε τι θα τους συμβεί.
Υπάρχει πιθανότητα οι νόμοι να καταργηθούν ή να τροποποιηθούν, αλλά όπως πολλά πράγματα που σχετίζονται με αυτήν τη νομοθεσία, απλά δεν γνωρίζουμε.