您的位置: 首頁 >要聞 >

澳大利亞經(jīng)營的公司破解其自身的安全性

2019-04-12 15:20:03 編輯: 來源:
導(dǎo)讀 2018年12月6日,澳大利亞議會通過了2018年電信和其他立法修正案(援助和獲取)法案。簡而言之,這使得澳大利亞檢察長有權(quán)強(qiáng)迫任何在澳大利亞

2018年12月6日,澳大利亞議會通過了“2018年電信和其他立法修正案(援助和獲取)法案”。

簡而言之,這使得澳大利亞檢察長有權(quán)強(qiáng)迫任何在澳大利亞經(jīng)營的公司破解其自身的安全性,允許代表其客戶訪問其持有的信息。

要求獲得這種準(zhǔn)入的原因包括國家安全(廣泛的綜合目的),起訴澳大利亞境內(nèi)的犯罪以及起訴在其他國家犯下的罪行。

未能提供訪問權(quán)或通知客戶入侵本身就是刑事犯罪。

這是對法律巨大變化的快速解釋。需要進(jìn)一步調(diào)查,我們試圖在下面提供。該法案長達(dá)224頁,因此我們不會對每一項(xiàng)變更發(fā)表評論。但是,我們會考慮其對新西蘭政府,公司和居民的實(shí)際影響。

雖然一些技術(shù)出版物已經(jīng)意識到變化的程度,但它們誤解了它的應(yīng)用。同樣,我在法案上看到的法律評論似乎也錯(cuò)過了法律變革的廣泛影響。我們希望澄清它可能被解釋的方式,以及它對新西蘭人民和企業(yè)的影響。

第一頁包含以下聲明:

修訂有關(guān)電信,計(jì)算機(jī)訪問權(quán)證和搜查令以及其他目的的法律的法案。

美國云計(jì)劃規(guī)定,美國政府可以向美國政府(以及其他司法管轄區(qū))提供類似的訪問權(quán)限。

從這一點(diǎn)來看,它似乎也涵蓋了與我們的“2012年搜索和監(jiān)視法案”相同的領(lǐng)域。但它的應(yīng)用更進(jìn)一步。

其他司法管轄區(qū)要求訪問,但不一定要求公司違反自己的安全。該法案迫使公司破壞可能構(gòu)成其向客戶提供服務(wù)的基礎(chǔ)的安全性,同時(shí)可能損害這些公司持有的其他信息的安全性。

為此,該法案修訂了13項(xiàng)單獨(dú)的法案,其中許多法案已經(jīng)到位。我們在本文中考慮的主要變化是1997年的電信法案。

根據(jù)新法律,我們尚未看到任何法庭案件。由于總檢察長的請求本身是保密的,我們想象任何有關(guān)此類請求的爭議都會得到一些小心處理,并且很可能會受到壓制,至少在做出有利于DCP(指定通信提供商)的決定之前。

由于DCP被限制通知其客戶,我們可能不會看到根據(jù)這項(xiàng)新法律的任何案件,直到有資格進(jìn)行戰(zhàn)斗的公司(如Google或亞馬遜)收到請求。

運(yùn)輸,服務(wù)和電磁能量

根據(jù)該法案提出的請求是針對DCP的。這在s317C中被定義為控制網(wǎng)絡(luò)的運(yùn)營商,運(yùn)營商,通過這些網(wǎng)絡(luò)提供通信服務(wù)的運(yùn)營商,運(yùn)輸服務(wù)提供商,以及提供允許通過運(yùn)輸服務(wù)和電子服務(wù)訪問信息的服務(wù)的運(yùn)營商。

運(yùn)輸服務(wù)的實(shí)際定義很難寫

通過引導(dǎo)和/或非引導(dǎo)電磁能量進(jìn)行通信的服務(wù)。

由此我們假設(shè)通過互聯(lián)網(wǎng)提供通信服務(wù)的任何服務(wù)都是運(yùn)輸服務(wù)提供商。

與提供電子服務(wù)的那些相結(jié)合,它似乎包括幾乎所有基于互聯(lián)網(wǎng)的,甚至是現(xiàn)在的公司。

有一些例外,特別是傳統(tǒng)上只在一個(gè)方向上流動(dòng)的信息,例如廣播服務(wù)。1992年廣播服務(wù)法案(定義廣播服務(wù))如何跟上在線提供的新媒體的爆炸式增長,仍有待觀察。

請求和通知

該法案以獲取信息為基礎(chǔ)。有三種類型的可能請求:技術(shù)協(xié)助請求(TAR),技術(shù)協(xié)助通知(TAN)和技術(shù)能力通知(TCN)。

這三者之間存在幾個(gè)基本差異,基于誰可以發(fā)布它們,所需的閾值和可以請求的內(nèi)容。

安全總監(jiān),澳大利亞秘密情報(bào)局,澳大利亞信號局或攔截機(jī)構(gòu)的首席執(zhí)行官可能會要求提供TAR。初始機(jī)構(gòu)是澳大利亞聯(lián)邦警察局,澳大利亞犯罪委員會或州或北領(lǐng)地的警察部隊(duì)。

TAN可由安全總監(jiān)或任何攔截機(jī)構(gòu)的首席執(zhí)行官提供。只有總檢察長或安全總監(jiān)或攔截機(jī)構(gòu)的首席官員才能提供TCN。

TAR的基礎(chǔ)相對開放,并在該法案的第317G(5)條中概述。它包括為了澳大利亞的對外關(guān)系以及信息的安全性和完整性而提及維護(hù)國家安全。

這些信息如何幫助,或閾值可能是什么,沒有明確定義。由于這是一項(xiàng)自愿性請求,它似乎主要將決定權(quán)交給DCP,如果DCP遵循TAR,DCP將受到保護(hù),免受民事訴訟。

TAR是一項(xiàng)自愿請求,要求DCP采取某些行動(dòng)。雖然沒有理由不能提出這樣的自愿請求,但是s317G(1)(c)為DCP提供了免于履行TAR的民事責(zé)任的保護(hù)。

因此,如果要遵循TAR請求,則提供其信息的一方將被限制采取行動(dòng)。然后可能更有可能遵循自愿請求。

TAN和TCN在其可用目的方面更具限制性。

他們必須具有執(zhí)行澳大利亞刑法,協(xié)助在國外執(zhí)行刑法或維護(hù)國家安全的相關(guān)目標(biāo)。無論是在澳大利亞還是在外國,該罪行的最高刑期必須至少為三年。

外國也可以要求對在該國持有死刑的犯罪提供援助。根據(jù)“2004年監(jiān)視設(shè)備法”第27A條,可以向外國提供援助。

DCP必須遵循TAN和TCN。TAN是使用DCP已有的功能提供幫助,例如使用對其系統(tǒng)中存儲的信息的訪問。TCN要求DCP創(chuàng)建對當(dāng)前可能不存在此類訪問的信息的訪問。這是漏洞參數(shù)開始的地方。

漏洞

TCN設(shè)置DCP的要求以創(chuàng)建訪問所需信息的方法。通常,這些信息可以被加密,或者DCP的系統(tǒng)已被設(shè)置為使這種訪問變得困難。這樣做是為了讓DCP的客戶在保密方面獲得一些安慰。TCN需要DCP來破壞該安全性。

這一要求受到了IT社區(qū)的廣泛攻擊。主流媒體在很大程度上將其描述為對消息傳遞服務(wù)的攻擊。但是,它擴(kuò)展到任何DCP保留信息,因此它將涵蓋任何加密的電子郵件服務(wù),任何云服務(wù)以及澳大利亞存儲中心中保存的任何其他信息。

這包括亞馬遜云服務(wù)和Office 365中的任何內(nèi)容(盡管此信息可能在TAR / TAN下可檢索)。

它還包括大量新西蘭政府文件,現(xiàn)在存儲在澳大利亞的云存儲中。

該法確實(shí)包括一項(xiàng)補(bǔ)貼,即如果需要引入系統(tǒng)性脆弱性或系統(tǒng)性弱點(diǎn),則不需要遵循TAR / TAN / TCN。

無益,這兩個(gè)術(shù)語都沒有正確定義。許多評論員建議,訪問加密服務(wù)的唯一方法是引入一種“后門”或漏洞,然后允許訪問。

這是必需的,因?yàn)镈CP故意創(chuàng)建了一個(gè)安全的系統(tǒng),并且很可能在此基礎(chǔ)上出售其服務(wù)。因此,IT社區(qū)的論點(diǎn)是,破壞這種安全性的任何訪問都將成為系統(tǒng)性漏洞或弱點(diǎn)。從邏輯上講,這將是一個(gè)有效的論點(diǎn)。

但是,應(yīng)從法律解釋的角度來看待它。

新西蘭和澳大利亞之間的法律解釋相對類似,都基于相同的來源法律制度(并且一方的決策通常在另一方面被引用)。法院通常會以賦予其意義和目的的方式解釋立法。

雖然IT社區(qū)將安全性視為系統(tǒng)漏洞,但這會使法律失去作用。因此,法院需要設(shè)定更高的門檻,并考慮實(shí)施議會的意圖。

由于任何要求TCN必須經(jīng)過總檢察長的請求,議會都提供了自己的保障,因此使用此類法律只有經(jīng)總檢察長批準(zhǔn)后才可能根據(jù)行政部門的意見。

然后,法院可以將大多數(shù)此類請求視為在法律允許范圍內(nèi),僅在通知限制通知的情況下才會創(chuàng)建易于訪問的漏洞。

我們認(rèn)為,法院可能會認(rèn)為漏洞可以得到充分保護(hù),因此無法達(dá)到閾值。在此基礎(chǔ)上,大多數(shù)TCN可能是可執(zhí)行的。

然而,至少在新西蘭,有些情況下,法院故意采取非常狹隘的觀點(diǎn)。

在這些極少數(shù)情況下,已經(jīng)采取措施限制可能被視為違反其他權(quán)利的行為,允許法院有效地超越議會制定法律的權(quán)利。這種情況可能存在于此,因?yàn)樾路纱_實(shí)試圖破壞隱私權(quán)。

授予TCN不僅僅是尋求信息的一方的問題。創(chuàng)建此類漏洞可能會降低DCP存儲的任何其他信息的安全性。律師事務(wù)所,我們的客戶和新西蘭政府可能是私人和商業(yè)敏感信息。

保護(hù)客戶

我們尚未看到法院將如何處理此類爭議以及如何解釋系統(tǒng)性漏洞或弱點(diǎn)。

這些定義可能無法公開獲得,直到富裕到足以承擔(dān)澳大利亞政府的公司(例如亞馬遜及其AWS服務(wù))收到此類請求。

希望至少對新西蘭來說,政府文件可以同時(shí)轉(zhuǎn)移到陸上設(shè)施。

如果您在澳大利亞使用DCP,請考慮以DCP難以訪問的方式親自加密信息。或者將其存放在新西蘭的非美國公司。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。