Первый в мире закон о борьбе с шифрованием
Правительство Австралии приняло противоречивый законопроект, который позволяет правоохранительным органам заставлять технологические компании передавать зашифрованные данные сообщений. Законодательство было широко осуждено группами по защите конфиденциальности и технологическими компаниями с предположениями, что оно может не только нанести вред австралийской технологической отрасли, но и подорвать безопасность шифрования во всем мире.
Австралийское законодательство принимается уже более года, и правительства стран всего мира постоянно обращаются к ним с повторением опасений по поводу неспособности правоохранительных органов получить доступ к зашифрованным сообщениям. Законопроект под названием «Закон об оказании помощи и доступе 2018 года» может побудить частную компанию создать новые возможности перехвата, чтобы никакие коммуникационные данные не были полностью недоступны для правительства. Еще более спорным является тот факт, что эта уязвимость безопасности должна быть развернута в тайне, без ведома общественности.
Новый закон, несомненно, проблематичен, однако, австралийский Сенат поспешил принять законопроект в конце последнего дня заседаний года, в условиях вихря политических игр и перетрясок. Основная оппозиционная партия страны в конечном итоге капитулировала в поддержку законопроекта, несмотря на давние опасения, когда лидер оппозиции Билл Шортен согласился с аргументом, что откладывание законодательства до следующего года будет угрожать национальной безопасности страны.
«Я пойду домой и скажу:«Ну, я надеюсь, что ничего не произойдет, и я надеюсь, что политика правительства не будет иметь негативных последствий для безопасности австралийцев»? Я не готов сделать это», - сказал Шортен. Непонятно, как именно этот законопроект будет требовать от технологических компаний, поскольку комплексное сквозное шифрование является принципиально неприступным процессом.
После включения шифрования в приложении, таком как WhatsApp, у компании нет возможности получить доступ к этим данным. Таким образом, если бы он был юридически вынужден создать что-либо в соответствии с параметрами этого законодательства, ему пришлось бы задействовать какой-то бэкдор, позволяющий компании перехватывать сообщение либо в точке отправки, либо в точке получения.
Правительство категорически отрицает, что законопроект требует создания «бэкдоров», а сам закон предусматривает, что он не может требовать создания инструмента, который приводит к «системной слабости». Конечно, многие эксперты предполагают, что это игры семантики, так как невозможно создать функцию для доступа к зашифрованной связи, которая не приводит к созданию «системной слабости».
Какое значение имеет это для остального мира?
Из-за капризов в новом законодательстве неясно, что именно будет действовать в течение следующих шести-двенадцати месяцев. В чем мы можем быть уверены, так это в том, что эти австралийские правила будут иметь далеко идущие глобальные последствия. Тед Харди, председатель Совета по архитектуре Интернета, предположил, что законодательство может даже нарушать законы в других странах, если правительство Австралии попытается заставить компании передавать конфиденциальные данные. Закон о массовом ВВП, принятый в Европе в начале этого года, является ярким примером, поднятым Харди.
Ранее в этом году в представлении в австралийский парламент Apple осудила предложенный законопроект, назвав его «чрезвычайно широким» и «опасно амбициозным». Основная проблема, которая часто поднимается, заключается в том, что принуждение компаний к внедрению какого-либо закулисного доступа к зашифрованным данным существенно ослабляет безопасность для всех. «Мы обеспокоены тем, что предлагаемое законодательство может привести к тому, что поставщики услуг нарушат контракты или законы в других юрисдикциях, в зависимости от точного характера сделанных запросов», - пишет Харди.
«Например, компании с европейским присутствием обязаны обрабатывать конфиденциальные данные в соответствии с GDPR, и, выполняя австралийский заказ на данные, которые могут находиться в Европе, от этого поставщика может потребоваться нарушение GDPR для соблюдения австралийского законодательства». И так, почему такая крупная глобальная корпорация, как WhatsApp или Wickr, даже обратила внимание на такой навязчивый запрос, который потенциально требуется в соответствии с этим австралийским законодательством?
Законопроект предусматривает, что компании, отказывающиеся выполнить запрос, могут быть оштрафованы на сумму до 7 миллионов долларов США или лишены свободы для лиц, связанных с отказом. Трудно представить себе, что дела доходят до того, что Австралия на самом деле пытается посадить представителя Facebook или Apple в тюрьму за невыполнение одного из этих запросов. Масштаб штрафа, с другой стороны, составляет чуть больше, чем пощечина для крупной корпорации, поэтому, пока все это не будет выдвинуто в суде, мы не будем знать, насколько далеко австралийское правительство готово принять меры.
Удар по австралийской технологической отрасли
Законодательство может быть неосуществимым с точки зрения реализации, но сектор технического бизнеса в Австралии выразил обеспокоенность тем, как это повлияет на местные фирмы, конкурирующие на международном рынке. Идея заключается в том, что на любой продукт, разработанный в Австралии, могут распространяться обязательства, которые требуют изменений, позволяющих государственным органам получать доступ к данным.
В условиях законопроекта эти модификации не могут быть раскрыты клиенту, что порождает недоверие к австралийским продуктам на мировом рынке. «Любая австралийская технологическая компания, пытающаяся взломать зарубежный рынок, неизбежно заставит своих местных конкурентов придерживаться этого законодательства в качестве Приложения А о том, почему к австралийским поставщикам теперь следует относиться с осторожностью, если не с подозрением», - говорит Джеймс Тернер, австралийский компьютерный агент по безопасности, эксперт.
«Это не очень хорошо для нашего экспортного рынка, и я подозреваю, что последствия этого будут весьма дорогостоящими. Будут сделки, которые мы не выиграем, когда наше законодательство может быть поднято как блок». Если идея правительства заставить частную компанию тайно установить бэкдор-доступ в частные коммуникации звучит знакомо, то это потому, что это по сути та же самая история, которая недавно разрушила международную репутацию китайского производителя Huawei. В течение многих лет компания обвинялась в сотрудничестве с правительством Китая по оказанию помощи в наблюдении и сборе данных.
Спор Huawei недавно достиг точки кипения после ареста генерального финансового директора компании в Канаде. Австралия также хорошо известна тем, что она выступает против Huawei, недавно запретив компании участвовать в развертывании мобильных сетей 5G в стране из-за проблем национальной безопасности. Основное беспокойство по иронии судьбы связано с китайским законом, согласно которому любой гражданин или компания должны поддерживать, помогать или сотрудничать с государственными разведывательными органами.
Австралия - глобальный черный ход
Несмотря на то, что другие крупные западные правительства выражают озабоченность по поводу преступного использования технологий шифрования, Австралия первой подтолкнула этот вопрос к своей законодательной конечной точке. И может быть причина, почему этот толчок происходит здесь, а не в Великобритании или США. Австралия является частью глобального разведывательного альянса под названием FiveEyes. Состоящий из Австралии, Великобритании, США, Канады и Новой Зеландии, альянс представляет собой всеобъемлющее соглашение о совместном использовании разведывательных и наблюдательных операций. В Австралии также самая слабая защита гражданских прав из всех стран «Пяти глаз».
Это единственная страна из пяти, у которой нет единого билля о правах, что означает, что такое законодательство легче протолкнуть. Из этих пяти крупнейших западных стран Австралия лучше всего может продвигать законопроект, требующий от технологических компаний вставлять бэкдор-доступ в зашифрованную информацию - требование, которое однажды будет реализовано, принесет пользу всем разведывательным агентствам в партнерстве, а не только Австралии. Таким образом, хотя этот закон может показаться небольшой и попыткой нанести удар по глобальным технологиям страны, он является идеальной стратегией закулисного бэкдора для создания бэкдора для шифрования для более крупных стран, таких как США и Великобритания.
Что теперь?
Если честно, никто не знает. Новое австралийское законодательство было в конечном итоге принято в спешке парламентом, и правительство указало, что в новом году оно пересмотрит законопроект, чтобы оценить большое количество рекомендованных поправок. Однако, в то же время, по сути, закон принят, что позволяет правоохранительным органам сыграть ряд новых полномочий в ближайшие месяцы.
Принимая во внимание горячую природу безопасности персональных данных в наши дни, маловероятно, что крупная частная компания может вставить бэкдор в свой протокол шифрования без какой-либо утечки информации, но теперь, когда законопроект принят, мы, возможно, никогда не узнаем. В любом случае, это австралийское законодательство является главной победой правительств в борьбе с шифрованием и большой потерей для сторонников глобальной конфиденциальности.