Ausztrália: jönnek a hátsó kapuk?
Az ausztrál törvényhozók a legújabb telekommunikációs törvénymódosítási javaslatban három szintet határoznak meg, hogy a hatóságok és nyomozati szervek hogyan igényelhetnék a hozzáférést a titkosított kommunikációs szolgáltatások adataihoz.
Megjelent egy új törvénymódosítási javaslat Ausztráliában, amely az okostelefonok korszaka előtti telekommunikációs és felügyeleti szabályozást váltaná. A javaslat alapján a kormány a jövőben kényszeríteni akarja a technológiai vállalatokat, hogy a hatóságok számára hozzáférést biztosítsanak a titkosított kommunikációhoz a rendszereikben. A törvényhozók arra hivatkoznak, hogy a szabályozás a terrorizmus, a csalás és a gyermekbántalmazás elleni védelmet segítené, mivel így nem lehetne rejtegetni a bűncselekményeket. Az elmúlt 12 hónapban ugyanis 200 olyan bűncselekmény történt, amelyben a nyomozók nem tudtak végül továbblépni a titkosított kommunikációs csatornák és a hatályos jogszabályok miatt - idézi az ABC Angus Taylor kiberbiztonsági minisztert. Ha pedig a vállalatok nem akarnak engedni a hatóság követelésének, akkor a törvénymódosítási javaslat szerint 7,3 millió amerikai dollárnak megfelelő 10 millió ausztrál dolláros bírsággal is nézhetnek majd szembe.
Az adatgyűjtést a törvénytervezet szerint a megszokott igénylési folyamat előzné meg, azaz maradna célzott, és nem tenné lehetővé a felhasználói adatok tömeges gyűjtését, viszont az igényelt adatokhoz a hatóságok könnyebben hozzáférhetnének a felvázolt három szint szerint. A nyomozó szervek először kérhetnék a vállalatok önkéntes segítségét (technical assistance request), amely csak az "ésszerű" és "technikailag kivitelezhető hozzáféréseket tartalmaznák, mint például egy titkosítókulcs használatát vagy egyszerű hozzáférést az eszközökhöz és szolgáltatásokhoz - magyarázza a The Guardian. Eggyel komolyabb szinten már a technikai segítségnyújtásról szóló értesítés (technical assistance notice) utasítja a cégeket a közreműködésre - ha ellenállnak, akkor 10-50 millió dollár büntetést kaphatnak. A kiemelkedően fontos esetekben pedig csak a főügyész adhatja ki a "technical capability notice" utasítást, amely már arról szól, hogy a vállalat vagy biztosítja az igényelt adatokat, akár a rendszer módosítása árán, vagy készítheti a legmagasabb pénzbírság összegét.
xEA meglepetést leginkább a harmadik szint okozta szakmai körökben, amellyel a kormányzat megfogalmazása szerint nem egy hátsó kaput szeretne az adatokhoz, és nem szeretné gyengíteni a szolgáltatások titkosítását, de lényegében mégis erről van szó. A törvényalkotók elképzelése szerint a telekommunikációs szolgáltatóknak (beleértve a Facebookot, a WhatsAppot és más csevegőalkalmazásokat is) olyan szoftvereket vagy berendezéseket kell telepíteniük a rendszereikbe vagy hálózatukba, hogy ezáltal segítsék a nyomozásban az adathozzáférést. Továbbá a szervek megkérhetik a szolgáltatókat, hogy segítsenek olyan rendszereket és funkciókat fejleszteni, amellyel hozzáférhetnek az adatokhoz, és a szolgáltatóknak értesíteni kell a hatóságot, ha változott valami a rendszerükben. A nyomozó szervek bármikor hozzáférést kérhetnek a felhasználói adatokhoz, akár hogy módosítsák vagy töröljék őket. Végül pedig a hatóságok tevékenységéről a szolgáltatóknak hallgatni kell a felhasználók előtt - összegzi a problémákat a The Register.
A tervezet egyébként a titkosított kommunikációs csatornák integritását elvben nem bontja le, a tervezet szerint a pont-pont titkosított csatornákhoz nem férne hozzá senki. A végpontokon azonban, ahol a titkosítást az alkalmazások amúgy is visszafejtik, hozzáférést nyerne a hatóság, a kliensalkalmazás (vagy operációs rendszer) megfelelő módosításával. A gyakorlatban ez azt jelentené, hogy nem a kommunikációt, hanem a végponti védelmet kell backdoor-hozzáféréssel ellátni, e hátsó ajtóhoz pedig a hatóságoknak kérésre hozzáférést kell biztosítani.
Mindez pedig az ausztrál kormány értelmezésében minden kommunikációs szolgáltatót érint, beleértve a hazai és külföldi szolgáltatókat, a készülékgyártókat, az alkatrészgyártókat, az alkalmazásszolgáltatókat és a mobilszolgáltatókat is. Azaz a szabályozásban bármely cég érintett, amely kommunikációs szolgáltatást biztosít játékokhoz, közösségi médiához, felhős szolgáltatásokhoz, vagy akár hardveres beszállító ezen a területen.
A törvénymódosítási javaslattal kapcsolatban nagyon sok aggály és kritikai merült fel, mivel a dokumentum nem tisztázza, hogy mi alapján adható ki a legmagasabb szintű utasítás a felhasználói adatok megosztására, vagy milyen szakértő tudja mérlegelni a technológiai lehetőségeket. Az pedig eleve gondot jelent, ha a bűnüldöző szervek hozzáférhetnek a szolgáltatások forráskódjához. Amennyiben a törvénymódosítást a törvényhozás megszavazza, akkor a szakértők szerint a tevékenység mellé komoly felügyeletre lesz szükség.
Ausztrál adatkérések a Facebooktól 2013-2017 között
Nem lehet biztosan tudni, hogy az ausztrál törvényhozók miért szeretnék biztosítani a sajátos hozzáférést a rendszerekhez. Esetleg a korábbinál sokkal több adatra lenne szüksége a kormánynak, vagy csak szeretné bebiztosítani a hozzáférést későbbi esetekre. 2013 óta az ausztrál hatóság közel 7 ezer adatot kért a Facebooktól a cég átláthatósági jelentése szerint, amelynek a vállalat a 67 százalékát teljesítette, vagyis ítélte jogos kérésnek. A kilátásba helyezett törvény gyakorlatilag azt célozná, hogy a hatóságok a kért adatok maradék 33 százalékához is hozzáférjenek. Ez természetesen csak egy példa, de ugyanezt szeretnék elérni a törvényhozók más nagyvállalatok, például a Google vagy az Apple esetében is.
Egyelőre még csak egy törvénytervezetről van szó, tehát a hatályba lépése nem mostanában várható. Jelenleg egy hónapos konzultációs időszak indult, amely még változtathat a törvény szövegezésén.