Обзор законов о взломе шифров, прошедший через парламент в конце 2018 года, говорит о том, что односторонние полномочия, предоставленные властям для утверждения уведомлений, должны быть лишены и переданы вместо этого судебному органу.
Отчет Independent National Security Legislation Monitor (INSLM) в Законе о помощи и доступе занимает 316 страниц [pdf] и поддерживает давний спрос промышленности на судебный надзор.
Рекомендации касаются INSLM полномочия, чтобы предоставить уведомление технической помощи (загар) или уведомление технической возможности (ТКС) — по сути, обязательные для исполнения предписания — в отношении места коммуникаций поставщика или DCP.
TAN используется, когда у провайдера уже есть технические средства для обеспечения доступа к правоохранительным органам, в то время как TCP используется там, где эти средства не существуют и должны быть созданы на заказ.
В докладе INSLM говорится, что закон “является или, скорее всего, будет необходим”, но требует изменений для того, чтобы считаться соразмерным и защищающим права людей (и компаний).
Он рекомендует “лишить руководителей агентств полномочий выдавать TANS и Генерального прокурора утверждать TCNS”, а также “передать эти полномочия по выдаче и утверждению в Административный апелляционный трибунал (AAT) таким образом, чтобы сохранить и защитить как секретные, так и коммерческие конфиденциальные материалы и позволить принимать независимые решения по техническим вопросам.”
Он также рекомендует создать “новый уставной орган – Уполномоченный по следственным полномочиям (МПК)”, который будет курироваться вышедшим в отставку судьей, который “будет оказывать помощь в утверждении вопроса о ТАН и ТСН.”
Судя по самым последним данным об использовании, TANS и TCNS используются мало; вместо этого власти полагаются на запросы о технической помощи (TARS), которые обращаются за “добровольной” помощью.
Критики ТАРС рассматривают их как инструменты принуждения, подталкивающие к сотрудничеству под угрозой более навязчивых, принудительных приказов.
Однако обзор INSLM не рекомендовал никаких изменений в работе TARs, за исключением использования “предписанной формы” запроса.
В обзоре была принята предпосылка о том, что усиление шифрования создает проблемы для правоохранительных органов, которым поручено защищать интересы национальной безопасности Австралии.
“Чтобы противостоять тому, что называется” потемнением «из-за шифрования, агентства должны адаптировать свои методы, а законы должны быть обновлены», — говорится в обзоре.
“Я удовлетворен доказательствами, которые я получил от разведки, полиции и агентств по обеспечению честности, что шифрование контента и, в меньшей степени, метаданных сделало их основные задачи значительно более трудными, а в некоторых случаях и невозможными.
“Я принимаю необходимость законодательного ответа на » темнеющее’.”
Однако в обзоре отмечается, что “любое законодательное реагирование на угрозы должно быть адаптировано и соразмерно риску их возникновения.”
В частности, он “отвергает представление о том, что существует бинарный выбор, который должен быть сделан между эффективностью надзорных полномочий агентств в цифровую эпоху, с одной стороны, и безопасностью Интернета — с другой.”
“Скорее, я прихожу к выводу, что необходим закон, который позволяет агентствам решать технологические проблемы, такие как проблемы, вызванные шифрованием, но пропорционально и с надлежащей защитой прав”, — говорится в обзоре.
По этой причине INSLM предлагает добавить дополнительные гарантии, включая судебный пересмотр и разъяснение расплывчатых формулировок в законах, которые могут привести к чрезмерному превышению полномочий.
Это означало бы правильные определения того, что представляет собой системную слабость или уязвимость — давно спорную терминологию, которая влияет на степень, в которой функция безопасности может быть скомпрометирована или нарушена.
В обзоре говорилось, что отсутствие судебного надзора поднимает «реальный вопрос(ы) … независимости и ее видимости.»
«Надлежащая оценка воздействия интрузивной власти TOLA зависит от того, является ли эмитент независимым от соответствующего агентства и, что немаловажно, обладает техническими знаниями», — говорится в обзоре.
«Полномочия в рамках ТОЛА не могут быть осуществлены, не говоря уже об их воздействии, в отсутствие независимой технической экспертизы.»
Обзор INSLM был проведен по просьбе Парламентского Объединенного комитета по разведке и безопасности и будет использоваться комитетом в качестве ключевого вклада в его собственный обзор законов.
Еще больше впереди
