Perusahaan Internet mana pun harus secara diam-diam mengubah kode program atas permintaan pihak berwenang
Pada 6 Desember 2018, Parlemen Australia mengadopsi Undang-Undang
Bantuan dan Akses 2018 - amandemen Undang-Undang Telekomunikasi 1997 tentang aturan-aturan untuk penyediaan layanan telekomunikasi.
Dalam istilah hukum, amandemen ini "menetapkan standar untuk bantuan sukarela dan wajib dari perusahaan telekomunikasi kepada lembaga penegak hukum dan layanan khusus mengenai teknologi enkripsi setelah menerima permintaan bantuan teknis."
Bahkan, ini adalah analog dari "Undang-Undang Musim Semi" Rusia, yang mengharuskan perusahaan Internet untuk mendekripsi lalu lintas atas permintaan lembaga penegak hukum. Dalam beberapa kasus, hukum Australia bahkan lebih parah daripada hukum Rusia. Beberapa ahli bingung bagaimana undang-undang seperti itu umumnya dapat diadopsi di negara demokratis dan
menyebutnya "preseden berbahaya" .
Sabotase Hukum
Perkembangan undang-undang baru berlangsung lebih dari satu tahun, sangat kompleks dan produktif. Pada awalnya, "aturan emas" dinyatakan, dimana lembaga penegak
hukum tidak memiliki hak untuk: mereka tidak memiliki hak untuk meminta perusahaan IT untuk memperkenalkan "kerentanan sistem" ke dalam produk mereka. Namun, teks tidak mendefinisikan apa yang dianggap sebagai kerentanan sistem.
Lebih lanjut dikatakan bahwa perusahaan IT diharuskan untuk membantu menguraikan pesan-pesan pengguna yang sedang dalam pengembangan oleh lembaga penegak hukum. Daftar "bantuan" wajib mencakup hal-hal berikut:
- penghapusan satu atau lebih bentuk perlindungan elektronik;
- penyediaan informasi teknis;
- memfasilitasi akses ke layanan dan peralatan;
- instalasi perangkat lunak;
- perubahan teknologi;
- penyembunyian fakta bahwa salah satu di atas dibuat.
Poin terakhir sangat penting. Ini bukan hanya tentang menyembunyikan informasi dari pengguna sehingga mereka tidak memblokir instalasi "pembaruan keamanan" baru di perangkat mereka. Semuanya jauh lebih menarik.
Jika Anda melihat definisi "penyedia komunikasi yang ditunjuk" dalam paragraf 317C (paragraf 6), maka
bahkan pengembang individu , jika ia adalah warga negara Australia, harus mematuhi persyaratan penegakan hukum, menerapkan pintu belakang dalam program dan
harus menyembunyikan informasi ini dari majikannya , jika tidak ia akan menghadapi hukuman penjara. .
Penyedia komunikasi yang ditunjuk Pertanyaannya tetap berapa banyak hukum berlaku untuk programmer Australia yang bekerja untuk perusahaan asing.
Menurut amandemen yang diadopsi, misalnya, polisi memiliki hak untuk mengirim "permintaan bantuan teknis" ke cabang Facebook Australia dengan permintaan untuk memperbarui Facebook Messenger atau perangkat lunak lain sehingga polisi dapat mengakses pesan dari orang yang bersangkutan.
Jika Anda benar-benar mengikuti definisi dalam paragraf 317C , maka permintaan ini dapat dikirim tidak hanya ke perusahaan, tetapi juga ke pengembang individu dan administrator sistem layanan Internet. Bahkan, ini disabotase sistem komputer.
Ini adalah perbedaan utama antara hukum Australia dan hukum serupa di negara demokrasi lain yang mengharuskan perusahaan IT untuk membantu lembaga penegak hukum. Misalnya, kerentanan
undang -
undang Inggris yang serupa adalah jika perusahaan secara teknis tidak dapat mendekripsi pesan pengguna (misalnya, jika enkripsi ujung-ke-ujung diterapkan dengan benar di sana), maka pihak berwenang tidak akan mendapatkan apa pun darinya.
Tetapi di bawah hukum Australia, pihak berwenang mungkin memerlukan "pembaruan perangkat lunak." Mereka bahkan mungkin mengharuskan Anda untuk sepenuhnya menonaktifkan enkripsi dalam program, jika perlu. Ini adalah preseden yang berbahaya, kata para ahli.
Opsi "bantuan" lainnya yang mungkin diperlukan perusahaan IT untuk menyediakan:
- Memodifikasi perangkat perangkat keras, seperti Apple Home atau Amazon Alexa, untuk perekaman audio berkelanjutan
- persyaratan untuk penyedia layanan situs web palsu;
- Persyaratan bagi perusahaan untuk menyediakan data geolokasi telepon yang lebih akurat
“Sekarang perusahaan juga diwajibkan, atas permintaan pertama dari lembaga penegak hukum, untuk sepenuhnya menonaktifkan semua enkripsi dan membantu memecahkan perangkat lunak mereka sendiri. Semua perusahaan IT yang beroperasi di Australia berada di bawah hukum ini. Termasuk berbagai situs dan layanan internet.
Salah satu perusahaan IT terbesar di Australia adalah Atlassian - penulis BitBucket, JIRA, HipChat, Zephyr, Bamboo dan layanan terkenal lainnya. Baginya, konsekuensi dari keputusan seperti itu oleh anggota parlemen bisa sangat besar, kemungkinan perusahaan dapat mengubah yurisdiksi di bawah tekanan seperti itu dari negaranya sendiri.
"Pembuat hukum" seperti itu, yang menyamar sebagai niat baik seperti perang melawan terorisme, dll., Tidak membantu pertarungan semacam itu. Teroris akan selalu menemukan cara untuk berkomunikasi, tidak peduli apa tindakan yang diambil negara. Satu-satunya pihak yang terkena dampak dalam situasi ini adalah pengguna biasa, yang tingkat keamanannya di dunia maya akan berkurang secara signifikan karena ruang belakang dikerahkan atas permintaan pasukan keamanan.
Tidak mungkin untuk membuat pintu rahasia di abad ke-21, hanya orang baik yang akan memiliki kunci untuk itu. Kehadiran kerentanan dalam perangkat lunak yang dimaksudkan untuk digunakan oleh lembaga penegak hukum memberikan kesempatan yang sama bagi penyerang untuk menggunakannya. Dan dalam perang melawan terorisme dan pornografi anak, mereka hanya menghasilkan nol, jika bukan knalpot negatif. - menulis Alexander Litreev, pakar keamanan TI Rusia dan penulis saluran telegram populer Cybersecurity & Co.
Satu-satunya mitigasi yang dicapai oleh para penentang RUU tersebut adalah bahwa pemerintah Australia berjanji untuk menggunakan undang-undang ini hanya dalam penyelidikan kejahatan serius yang melibatkan hukuman penjara
tiga tahun .
Namun, bahkan pembatasan ini mencakup daftar pelanggaran yang sangat besar, misalnya, panggilan darurat palsu. Australia baru-baru ini meloloskan
Undang-Undang Spionase dan Interferensi Asing 2018 yang meragukan, yang menghukum pejabat saat ini atau sebelumnya hingga lima tahun karena membocorkan "informasi yang dapat membahayakan kepentingan nasional." Aktivis hak asasi manusia percaya bahwa undang-undang ini ditujukan terhadap informan dan jurnalis.
Lima Mata
Seseorang biasanya berpikir bahwa undang-undang semacam itu terhadap "agen asing" dan "mata-mata" yang membutuhkan dekripsi lalu lintas wajib dapat disahkan hanya di negara-negara di mana hak asasi manusia tidak dihormati terlalu banyak. Tetapi praktik menunjukkan bahwa pihak berwenang Inggris Raya dan Australia juga berusaha membangun kontrol ketat atas komunikasi elektronik warga. Situasi semakin memburuk di mana-mana, dan tidak hanya di Rusia.
Australia adalah anggota aliansi
Five Eyes bersama Kanada, Amerika Serikat, Selandia Baru, dan Inggris. Negara-negara ini setuju untuk berbagi intelijen, dan pada bulan September 2018, mereka mengeluarkan pernyataan bersama yang mengumumkan bahwa perusahaan IT akan memfasilitasi akses mereka ke informasi ini: “Jika pemerintah terus menghadapi hambatan untuk akses yang sah ke informasi yang diperlukan untuk melindungi warga negara kita, "
pernyataan lima negara mengatakan," kita dapat mengambil teknologi, penegakan hukum, legislatif atau tindakan lain untuk mencapai keputusan akses yang sah. "
Mengingat hal tersebut di atas, ada kemungkinan bahwa negara-negara lain dari aliansi dapat mengadopsi tagihan tersebut.
Banyak ahli setuju bahwa undang-undang semacam itu lebih merusak daripada kebaikan dan justru melemahkan keamanan, daripada memperkuatnya: “Undang-undang ini memiliki kekurangan serius dan cenderung melemahkan keamanan siber umum di Australia, mengurangi kepercayaan pada elektronik perdagangan, menurunkan standar keamanan untuk penyimpanan data dan menurunkan perlindungan hak-hak sipil, ”kata Digital Rights Watch dalam sebuah
pernyataan .
Kemungkinan besar, hukum akan mulai diterapkan tidak hanya terhadap teroris, tetapi juga terhadap individu, kata Mark Gregory, seorang spesialis dalam rekayasa jaringan dan keamanan Internet di RMIT University of Melbourne: "Ini terlalu terburu-buru, banyak dan samar-samar kata dan pada akhirnya akan digunakan secara tidak benar . Ini dapat digunakan tidak hanya dalam masalah pidana, tetapi juga dalam hukum perusahaan. "
“Ada masalah dengan transparansi, akuntabilitas, pengawasan, dan potensi penyalahgunaan,” tambah Monique Mann, seorang peneliti teknologi, hukum, dan regulator di Queensland University of Technology.
Perwakilan industri TI mengatakan bahwa undang-undang tersebut mengancam ekspor layanan TI dari negara tersebut, karena dunia akan kurang mempercayai keandalan program Australia.
