Nul
Software-udviklere frygt for, at Australiens nye kryptering love, der kan tvinge dem til hemmeligt at tilføje malware og bagdøre til deres arbejdsgivere’ produkter og ydelser. Denne frygt er stort set ubegrundet, siger eksperter.
Afsnit 317C(b)(6) siger, at den ene slags er udpeget kommunikation udbyder er en “person”, der “udvikler sig, leverancer eller opdateringer af software, der anvendes til brug, eller som sandsynligvis vil blive anvendt i forbindelse med: (a) en anført transport; eller (b) en elektronisk service, der har en eller flere slutbrugere i Australien”.
Afsnit 317D(1)(a) og derefter forklarer, at “elektronisk service” indeholder “en tjeneste, der leverer materiale til personer, der har udstyr, der er relevant for at modtage dette materiale, når leveringen af tjenesten, er ved hjælp af en transport service”, og i henhold til afsnit 317D(2), “service omfatter en hjemmeside”.
Se: Alle vil bruge kryptering, Australien skulle komme over det
Men ifølge en Afdeling af Indre Anliggender medarbejder, der har udarbejdet de nye love, en obligatorisk Teknisk Kapacitet Varsel (TCN) kan ikke være forkyndt for personer i et selskab.
“Corporate enhed, der er slutpunktet der. Så vi kan ikke forlange, siger en medarbejder til at være i drift under en hemmelig meddelelse om, at [arbejdsgiveren] er uvidende om,” Adam Ingle fortalte Crypto-2018 Workshop om Kryptering og Overvågning i August.
“Det har evnen til at være forkyndt for personer og selskaber, men kun når disse personer er deres egen separat enhed.”
Ingle også skubbet tilbage mod den frygt, der er udpeget kommunikation udbydere kan være tvunget til at udvikle, hvad malware eller bagdøre agenturer ønskede.
“Hvis industrien og regeringen ville nå frem til en løsning, der ville give adgang til, og som ikke går med til at fjerne elektronisk beskyttelse, og tiltrække ikke, at forbud mod systemiske svagheder og sårbarheder, hvis industrien spiller var klar til udfordringen, at der er en meget robust domstolskontrol proces i Australien,” Ingle sagde.
“De kan meget vel gå til domstolene og fastslå, at nok denne meddelelse er ikke rimeligt, forholdsmæssige, det er teknisk muligt, [eller] praktiske, eller sige, at den vil indføre en systemisk sårbarhed, og er derfor ulovlig.
I modsætning til STORBRITANNIEN-ækvivalenter, og en Australsk TJÆRE eller TAN kan ikke tvinge den til fjernelse af elektronisk beskyttelse såsom kryptering og autentificering mekanismer, aflytning evner til at blive lavet, eller opbevaring af data kapaciteter, der skal foretages.
“De, der faktisk er af en mere begrænset effekt, og hvad de kan gøre, er udtrykkeligt fastlagt i den primære lovgivning, snarere end at love sig selv, så parlamentet vil behovet for at foretage yderligere ting,” Ingle sagde.
Udviklere har også smækket op på ordlyden af § 114, i Skema 2 af Bistand og Adgang Handling, som er ledet af: “Person, [s], der har kendskab til en computer eller et edb-system til at hjælpe adgang osv.”.
Også i: Australien ‘ s kryptering love, der vil komme i konflikt for forskellige definitioner
Denne liste refererer til bistand fra personer som “en medarbejder af ejeren eller lejeren af den computer eller enhed”, “en person, der er eller var en systemadministrator for systemet, herunder den computer eller enhed”, og endda “en person, der bruger eller har brugt computer eller enhed”.
Men dette skema er om ændringer til de regler, der gælder for udstyr, der er omfattet adgang til en computer warrants, noget, der er helt adskilt fra TJÆRE/TAN/TCN regime.
Ifølge Elizabeth O ‘ Shea, en advokat og bestyrelsesmedlem i Digital Rights Watch, en TAN eller TCN kan gives til en person, hvis de passer til definitionen i Loven, og det omfatter “fysiske personer”, det juridiske begreb for personer, som i modsætning til corporate personer kan lide indarbejde en virksomhed, men hun bagatelliserer frygt.
“Det er meget usandsynligt, er imidlertid, at den enkelte medarbejder vil være en modtager af en meddelelse (andet end som en officer for virksomheden), og selv om medarbejderen blev modtageren, som han eller hun vil være forbudt fra at videregive oplysninger om meddelelse til andre i virksomheden,” fortalte hun ZDNet.
O ‘ Shea i tvivl om, at et agentur vil udnytte meddelelser på denne måde, af to grunde.
For det første, at den ordning, der kun kræver, at nogen er i overensstemmelse, i det omfang de er i stand til at gøre det, som beskrevet i afsnit 317ZA og 317ZB.
“Det vil formentlig være vanskeligt for en person til at gøre handling eller ting, der kræves af bekendtgørelsen alene,” sagde hun.
For det andet, den ordning giver mulighed for offentliggørelse af oplysninger om den meddelelse til administrationen eller udførelse af bekendtgørelsen.
“Det synes meget usandsynligt derfor, at den enkelte medarbejder vil der blive givet en meddelelse i tilfælde, hvor selskabet ikke har kendskab til bekendtgørelsen,” O ‘ Shea sagde.
“Det er stadig teknisk muligt, men selv hvis dette ikke var hensigten af forfatterne. I betragtning af den brede definition af handlinger eller ting, der kan være forpligtet til at ske ved en bekendtgørelse, og det er ikke umuligt at forestille sig noget som dette sker på et tidspunkt, så hvis forfatterne havde ikke til hensigt, at det skulle de have gjort det anderledes.”
Australien ‘ s kryptering love ikke brud GDPR
Nogle udviklere har også været bekymret for, at de ville være tvunget til at udføre handlinger, der ville være i strid med Europa ‘ s strenge Generel Forordning om databeskyttelse (GDPR), men det er ikke tilfældet ifølge Anna Johnston, direktør for Sallinger Privatlivets fred.
I hjælp GDPR terminologi, der er seks grunde, som kan personlige data kan blive lovligt “behandles”, som defineret i Artikel 6. En af dem, Artikel 6.1(c), at “i det omfang, at … behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den registeransvarlige [den enhed, som kontrollerer personlige data] er underlagt”.
Skal læs: Hvad er GDPR? Alt, hvad du behøver at vide om den nye generelle regler om databeskyttelse
Også i Artikel 2.1(d) siger, at GDPR ikke gælder ved alle at “behandling af personlige oplysninger … af kompetente myndigheder med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser,…, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed”.
De enkelte Eu-nation har sin egen definition af “kompetente myndigheder”, men grundlæggende er de lovmæssigt autoriserede retshåndhævelse og national sikkerhed organer under den temmelig komplicerede begrænsninger, der er fastsat i Direktiv (EU) 2016/680.
“Uanset om du taler om den GDPR eller den Australske Privacy Act, love om privatlivets fred sat begrænsninger på, når personlige oplysninger kan blive brugt eller offentliggjort af en organisation. Men disse begrænsninger vil blive tilsidesat, hvis en anvendelse og videregivelse er nødvendigt for at overholde anden lovgivning,” og han fortalte ZDNet.
Relaterede Dækning
Hvad er egentlig i Australien ‘ s kryptering love? Alt, hvad du behøver at vide ASD generaldirektør hits ud på kryptering Bill falske nyheder Glædelig Jul, Arbejdskraft: Dutton baulks ved kryptering Bill ændringer Australiens kryptering love, der vil komme i konflikt for forskellige definitioner Sikkerhed vil være meningsløs under kryptering-busting love: Senetas Her går vi igen: PJCIS åbner gennemgang af Australiens kryptering love Forhastede PJCIS undersøgelse af kryptering Bill producerer styrtede og hånlig rapport
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre
0