Десять агентств, включая правоохранительные органы Содружества и штатов, получили доступ к телекоммуникационным метаданным “без надлежащих полномочий” в 2018-19 финансовом году, выяснил омбудсмен Содружества.
Нарушения телекоммуникаций (Перехват и доступ) Об этом говорится в четвертой оценке омбудсмена соблюдения агентством законодательства [pdf], представленной на прошлой неделе.
“Мы выявили случаи во всех проверках в 2018-19 годах, когда агентства получали доступ к телекоммуникационным данным без надлежащих полномочий”, — сказал омбудсмен.
“Таким образом, раскрытие данных было несанкционированным.”
Оцениваемые агентства включали Министерство внутренних дел, Федеральную полицию и Австралийскую комиссию по уголовной разведке (ACIC), а также государственные полицейские агентства из Нового Южного Уэльса, Виктории, Квинсленда, Вашингтона и Тасмании.
В докладе говорилось, что нарушения в основном сводились к “дефектам в процессе авторизации”, то есть офицеры не имели “действительного разрешения” или “не были делегированы” для доступа к метаданным.
ACIC был одним из таких агентств, где это имело место, и было раскрыто 171 случай, когда “телекоммуникационные данные были доступны без разрешения собственности”.
В докладе говорилось, что нарушения были результатом того, что агентство не смогло официально оформить “действующие соглашения для соответствующих уполномоченных должностных лиц” для доступа к данным.
ACIC также раскрыл семь случаев, когда доступ к данным осуществлялся “без подписанного разрешения”, четыре случая, когда “одобрение не было задокументировано”, и девять случаев, когда “разрешение не было сделано ранее”.
Министерство внутренних дел раскрыло 74 случая, когда офицер давал разрешения на получение данных, когда они не были уполномочены делать это из-за нового документа, который увеличивал требуемый уровень старшинства.
“Департамент не сообщил об этом изменении эффективно своим сотрудникам, поэтому офицер продолжал давать разрешения, несмотря на то, что больше не был уполномочен делать это”, — говорится в докладе.
Австралийская комиссия по ценным бумагам и инвестициям (ASIC) аналогичным образом раскрыла 28 случаев, когда должностные лица давали разрешения на передачу данных, когда они “больше не были уполномочены делать это” из-за нового инструмента, который исключал те, которые были допущены ранее.
“Похоже, что эти изменения не были достаточно доведены до сведения ASIC, и ряд должностных лиц, которые не были включены в новый документ, продолжали давать разрешения”, — говорится в докладе.
“ASIC приняла соответствующие меры по исправлению положения, чтобы изолировать все телекоммуникационные данные, полученные в результате такого несанкционированного раскрытия.”
Административные ошибки также привели к тому, что некоторые агентства указали “неправильный служебный номер периода времени на авторизацию” или ввели “неправильный номер в интегрированную базу данных публичных номеров”.
В случае внутренних дел он раскрыл 54 случая, когда данные были получены “вне срока, указанного в разрешении” из-за ошибок в системе запроса данных telco департамента.
Омбудсмен также раскрыл еще семь случаев.
В отчетах за предыдущие годы также сообщалось о аналогичном несанкционированном доступе к телекоммуникационным метаданным.
Агентства изо всех сил пытаются избавиться от устных запросов
В отношении половины учреждений омбудсмен “не смог оценить, обладает ли уполномоченное должностное лицо достаточной информацией… в момент получения разрешения”.
“В некоторых случаях это могло быть связано с тем, что уполномоченное должностное лицо было устно проинформировано во время подачи заявления или непосредственно участвовало в расследовании”, — говорится в докладе.
“Однако без записей об этом мы не могли бы быть удовлетворены необходимыми соображениями.”
В докладе Австралийской федеральной полиции говорится, что “многие” запросы на метаданные, сделанные офицерами, “не содержат подробной справочной информации или касаются только операций с номерами дел”.
“Таким образом, мы не смогли оценить, какую информацию имел в виду уполномоченный сотрудник при выдаче разрешения”, — говорится в отчете.
Омбудсмен добавил, что непоследовательная практика, связанная с документацией, дает ему “общее отсутствие уверенности в том, что уполномоченные должностные лица обычно учитывают необходимые соображения”.
В случае полиции Нового Южного Уэльса устное управление по поиску интегрированной базы данных публичных номеров (IPND) было официально распущено в июне 2018 года, но омбудсмен заявил, что ему еще предстоит реализовать эту политику.
“Мы установили, что при определенных обстоятельствах [полиция Нового Южного Уэльса] проводила обыски IPND и получала телекоммуникационные данные абонентов без письменного или электронного разрешения”, — говорится в сообщении.
Полиция Тасмании также не имела “никаких записей, подтверждающих, какая информация была доступна уполномоченному должностному лицу в момент получения разрешения”, хотя, скорее всего, это было сделано устно.