您的位置: 首頁(yè) >要聞 >

澳大利亞經(jīng)營(yíng)的公司破解其自身的安全性

2019-04-12 15:20:03 編輯: 來(lái)源:
導(dǎo)讀 2018年12月6日,澳大利亞議會(huì)通過(guò)了2018年電信和其他立法修正案(援助和獲取)法案。簡(jiǎn)而言之,這使得澳大利亞檢察長(zhǎng)有權(quán)強(qiáng)迫任何在澳大利亞

2018年12月6日,澳大利亞議會(huì)通過(guò)了“2018年電信和其他立法修正案(援助和獲取)法案”。

簡(jiǎn)而言之,這使得澳大利亞檢察長(zhǎng)有權(quán)強(qiáng)迫任何在澳大利亞經(jīng)營(yíng)的公司破解其自身的安全性,允許代表其客戶(hù)訪問(wèn)其持有的信息。

要求獲得這種準(zhǔn)入的原因包括國(guó)家安全(廣泛的綜合目的),起訴澳大利亞境內(nèi)的犯罪以及起訴在其他國(guó)家犯下的罪行。

未能提供訪問(wèn)權(quán)或通知客戶(hù)入侵本身就是刑事犯罪。

這是對(duì)法律巨大變化的快速解釋。需要進(jìn)一步調(diào)查,我們?cè)噲D在下面提供。該法案長(zhǎng)達(dá)224頁(yè),因此我們不會(huì)對(duì)每一項(xiàng)變更發(fā)表評(píng)論。但是,我們會(huì)考慮其對(duì)新西蘭政府,公司和居民的實(shí)際影響。

雖然一些技術(shù)出版物已經(jīng)意識(shí)到變化的程度,但它們誤解了它的應(yīng)用。同樣,我在法案上看到的法律評(píng)論似乎也錯(cuò)過(guò)了法律變革的廣泛影響。我們希望澄清它可能被解釋的方式,以及它對(duì)新西蘭人民和企業(yè)的影響。

第一頁(yè)包含以下聲明:

修訂有關(guān)電信,計(jì)算機(jī)訪問(wèn)權(quán)證和搜查令以及其他目的的法律的法案。

美國(guó)云計(jì)劃規(guī)定,美國(guó)政府可以向美國(guó)政府(以及其他司法管轄區(qū))提供類(lèi)似的訪問(wèn)權(quán)限。

從這一點(diǎn)來(lái)看,它似乎也涵蓋了與我們的“2012年搜索和監(jiān)視法案”相同的領(lǐng)域。但它的應(yīng)用更進(jìn)一步。

其他司法管轄區(qū)要求訪問(wèn),但不一定要求公司違反自己的安全。該法案迫使公司破壞可能構(gòu)成其向客戶(hù)提供服務(wù)的基礎(chǔ)的安全性,同時(shí)可能損害這些公司持有的其他信息的安全性。

為此,該法案修訂了13項(xiàng)單獨(dú)的法案,其中許多法案已經(jīng)到位。我們?cè)诒疚闹锌紤]的主要變化是1997年的電信法案。

根據(jù)新法律,我們尚未看到任何法庭案件。由于總檢察長(zhǎng)的請(qǐng)求本身是保密的,我們想象任何有關(guān)此類(lèi)請(qǐng)求的爭(zhēng)議都會(huì)得到一些小心處理,并且很可能會(huì)受到壓制,至少在做出有利于DCP(指定通信提供商)的決定之前。

由于DCP被限制通知其客戶(hù),我們可能不會(huì)看到根據(jù)這項(xiàng)新法律的任何案件,直到有資格進(jìn)行戰(zhàn)斗的公司(如Google或亞馬遜)收到請(qǐng)求。

運(yùn)輸,服務(wù)和電磁能量

根據(jù)該法案提出的請(qǐng)求是針對(duì)DCP的。這在s317C中被定義為控制網(wǎng)絡(luò)的運(yùn)營(yíng)商,運(yùn)營(yíng)商,通過(guò)這些網(wǎng)絡(luò)提供通信服務(wù)的運(yùn)營(yíng)商,運(yùn)輸服務(wù)提供商,以及提供允許通過(guò)運(yùn)輸服務(wù)和電子服務(wù)訪問(wèn)信息的服務(wù)的運(yùn)營(yíng)商。

運(yùn)輸服務(wù)的實(shí)際定義很難寫(xiě)

通過(guò)引導(dǎo)和/或非引導(dǎo)電磁能量進(jìn)行通信的服務(wù)。

由此我們假設(shè)通過(guò)互聯(lián)網(wǎng)提供通信服務(wù)的任何服務(wù)都是運(yùn)輸服務(wù)提供商。

與提供電子服務(wù)的那些相結(jié)合,它似乎包括幾乎所有基于互聯(lián)網(wǎng)的,甚至是現(xiàn)在的公司。

有一些例外,特別是傳統(tǒng)上只在一個(gè)方向上流動(dòng)的信息,例如廣播服務(wù)。1992年廣播服務(wù)法案(定義廣播服務(wù))如何跟上在線(xiàn)提供的新媒體的爆炸式增長(zhǎng),仍有待觀察。

請(qǐng)求和通知

該法案以獲取信息為基礎(chǔ)。有三種類(lèi)型的可能請(qǐng)求:技術(shù)協(xié)助請(qǐng)求(TAR),技術(shù)協(xié)助通知(TAN)和技術(shù)能力通知(TCN)。

這三者之間存在幾個(gè)基本差異,基于誰(shuí)可以發(fā)布它們,所需的閾值和可以請(qǐng)求的內(nèi)容。

安全總監(jiān),澳大利亞秘密情報(bào)局,澳大利亞信號(hào)局或攔截機(jī)構(gòu)的首席執(zhí)行官可能會(huì)要求提供TAR。初始機(jī)構(gòu)是澳大利亞聯(lián)邦警察局,澳大利亞犯罪委員會(huì)或州或北領(lǐng)地的警察部隊(duì)。

TAN可由安全總監(jiān)或任何攔截機(jī)構(gòu)的首席執(zhí)行官提供。只有總檢察長(zhǎng)或安全總監(jiān)或攔截機(jī)構(gòu)的首席官員才能提供TCN。

TAR的基礎(chǔ)相對(duì)開(kāi)放,并在該法案的第317G(5)條中概述。它包括為了澳大利亞的對(duì)外關(guān)系以及信息的安全性和完整性而提及維護(hù)國(guó)家安全。

這些信息如何幫助,或閾值可能是什么,沒(méi)有明確定義。由于這是一項(xiàng)自愿性請(qǐng)求,它似乎主要將決定權(quán)交給DCP,如果DCP遵循TAR,DCP將受到保護(hù),免受民事訴訟。

TAR是一項(xiàng)自愿請(qǐng)求,要求DCP采取某些行動(dòng)。雖然沒(méi)有理由不能提出這樣的自愿請(qǐng)求,但是s317G(1)(c)為DCP提供了免于履行TAR的民事責(zé)任的保護(hù)。

因此,如果要遵循TAR請(qǐng)求,則提供其信息的一方將被限制采取行動(dòng)。然后可能更有可能遵循自愿請(qǐng)求。

TAN和TCN在其可用目的方面更具限制性。

他們必須具有執(zhí)行澳大利亞刑法,協(xié)助在國(guó)外執(zhí)行刑法或維護(hù)國(guó)家安全的相關(guān)目標(biāo)。無(wú)論是在澳大利亞還是在外國(guó),該罪行的最高刑期必須至少為三年。

外國(guó)也可以要求對(duì)在該國(guó)持有死刑的犯罪提供援助。根據(jù)“2004年監(jiān)視設(shè)備法”第27A條,可以向外國(guó)提供援助。

DCP必須遵循TAN和TCN。TAN是使用DCP已有的功能提供幫助,例如使用對(duì)其系統(tǒng)中存儲(chǔ)的信息的訪問(wèn)。TCN要求DCP創(chuàng)建對(duì)當(dāng)前可能不存在此類(lèi)訪問(wèn)的信息的訪問(wèn)。這是漏洞參數(shù)開(kāi)始的地方。

漏洞

TCN設(shè)置DCP的要求以創(chuàng)建訪問(wèn)所需信息的方法。通常,這些信息可以被加密,或者DCP的系統(tǒng)已被設(shè)置為使這種訪問(wèn)變得困難。這樣做是為了讓DCP的客戶(hù)在保密方面獲得一些安慰。TCN需要DCP來(lái)破壞該安全性。

這一要求受到了IT社區(qū)的廣泛攻擊。主流媒體在很大程度上將其描述為對(duì)消息傳遞服務(wù)的攻擊。但是,它擴(kuò)展到任何DCP保留信息,因此它將涵蓋任何加密的電子郵件服務(wù),任何云服務(wù)以及澳大利亞存儲(chǔ)中心中保存的任何其他信息。

這包括亞馬遜云服務(wù)和Office 365中的任何內(nèi)容(盡管此信息可能在TAR / TAN下可檢索)。

它還包括大量新西蘭政府文件,現(xiàn)在存儲(chǔ)在澳大利亞的云存儲(chǔ)中。

該法確實(shí)包括一項(xiàng)補(bǔ)貼,即如果需要引入系統(tǒng)性脆弱性或系統(tǒng)性弱點(diǎn),則不需要遵循TAR / TAN / TCN。

無(wú)益,這兩個(gè)術(shù)語(yǔ)都沒(méi)有正確定義。許多評(píng)論員建議,訪問(wèn)加密服務(wù)的唯一方法是引入一種“后門(mén)”或漏洞,然后允許訪問(wèn)。

這是必需的,因?yàn)镈CP故意創(chuàng)建了一個(gè)安全的系統(tǒng),并且很可能在此基礎(chǔ)上出售其服務(wù)。因此,IT社區(qū)的論點(diǎn)是,破壞這種安全性的任何訪問(wèn)都將成為系統(tǒng)性漏洞或弱點(diǎn)。從邏輯上講,這將是一個(gè)有效的論點(diǎn)。

但是,應(yīng)從法律解釋的角度來(lái)看待它。

新西蘭和澳大利亞之間的法律解釋相對(duì)類(lèi)似,都基于相同的來(lái)源法律制度(并且一方的決策通常在另一方面被引用)。法院通常會(huì)以賦予其意義和目的的方式解釋立法。

雖然IT社區(qū)將安全性視為系統(tǒng)漏洞,但這會(huì)使法律失去作用。因此,法院需要設(shè)定更高的門(mén)檻,并考慮實(shí)施議會(huì)的意圖。

由于任何要求TCN必須經(jīng)過(guò)總檢察長(zhǎng)的請(qǐng)求,議會(huì)都提供了自己的保障,因此使用此類(lèi)法律只有經(jīng)總檢察長(zhǎng)批準(zhǔn)后才可能根據(jù)行政部門(mén)的意見(jiàn)。

然后,法院可以將大多數(shù)此類(lèi)請(qǐng)求視為在法律允許范圍內(nèi),僅在通知限制通知的情況下才會(huì)創(chuàng)建易于訪問(wèn)的漏洞。

我們認(rèn)為,法院可能會(huì)認(rèn)為漏洞可以得到充分保護(hù),因此無(wú)法達(dá)到閾值。在此基礎(chǔ)上,大多數(shù)TCN可能是可執(zhí)行的。

然而,至少在新西蘭,有些情況下,法院故意采取非常狹隘的觀點(diǎn)。

在這些極少數(shù)情況下,已經(jīng)采取措施限制可能被視為違反其他權(quán)利的行為,允許法院有效地超越議會(huì)制定法律的權(quán)利。這種情況可能存在于此,因?yàn)樾路纱_實(shí)試圖破壞隱私權(quán)。

授予TCN不僅僅是尋求信息的一方的問(wèn)題。創(chuàng)建此類(lèi)漏洞可能會(huì)降低DCP存儲(chǔ)的任何其他信息的安全性。律師事務(wù)所,我們的客戶(hù)和新西蘭政府可能是私人和商業(yè)敏感信息。

保護(hù)客戶(hù)

我們尚未看到法院將如何處理此類(lèi)爭(zhēng)議以及如何解釋系統(tǒng)性漏洞或弱點(diǎn)。

這些定義可能無(wú)法公開(kāi)獲得,直到富裕到足以承擔(dān)澳大利亞政府的公司(例如亞馬遜及其AWS服務(wù))收到此類(lèi)請(qǐng)求。

希望至少對(duì)新西蘭來(lái)說(shuō),政府文件可以同時(shí)轉(zhuǎn)移到陸上設(shè)施。

如果您在澳大利亞使用DCP,請(qǐng)考慮以DCP難以訪問(wèn)的方式親自加密信息。或者將其存放在新西蘭的非美國(guó)公司。


免責(zé)聲明:本文由用戶(hù)上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。