Законы Южного полушария: австралийские чиновники хотят получить доступ ко всем данным пользователей
Шестого декабря 2018 года парламент Австралии принял поправки к закону о телекоммуникациях (Telecommunications Act) 1997 года, согласно которым технологические компании обязаны по первому требованию сотрудничать с правоохранительными органами. В качестве форм сотрудничества предусмотрены расшифровка трафика, облегчение доступа к данным и оборудованию и даже внесение изменений в технологии таким образом, чтобы в случае необходимости можно было легко расшифровать сообщения пользователей и предоставить их для расследования преступления. Все это, безусловно, делается под флагом благих намерений — с целью борьбы с терроризмом и детской порнографией.
Интересно, что в законе открыто декларируется, на что не имеют право органы власти: указывается, что компанию нельзя заставить внедрить системную уязвимость или «слабость» в программное или аппаратное обеспечение для обеспечения государственных нужд. Вот только нигде не конкретизируется, что же подразумевается под этой «слабостью» и, в частности, является ли ею бэкдор (дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом).
Под действие закона попадают все ИТ-компании, работающие в Австралии, в том числе различные веб-ресурсы и интернет-сервисы. Новый законопроект еще не вступил в силу, для этого он должен получить одобрение верхней палаты парламента, но уже сейчас можно начинать делать выводы относительно сложившейся ситуации с безопасностью информации не только в Австралии, но и во всем мире.
К истокам
Австралия давно известна своими неортодоксальными подходами к информационной безопасности. В 2016 году правительство Австралии заказало у компании IBM защищенную информационную систему для проведения переписи населения. Система была реализована за 30 млн австралийских долларов (порядка 1,4 млрд рублей на тот момент), и в результате DDoS-атаки была недоступна гражданам в течение целых 43 часов переписи ввиду допущенных просчетов в проектировании и реализации.
В 2017 году в политических кругах Австралии начали циркулировать вопросы шифрования и приватности данных. Премьер-министр Австралии Малкольм Тернбулл стал знаменит на весь мир благодаря своему легендарному изречению: «Похвально, что математики вводят свои законы, однако я уверяю вас, что единственный закон, который действует в Австралии, — это закон Австралии». Сказано это было в контексте обсуждения предложенного законопроекта о предоставлении доступа к конфиденциальным сообщениям в ответ на вопрос журналиста: «Как правительство планирует вмешиваться в приватность частной информации, если все данные математически защищены от взлома шифрованием?»
Столь беспечное отношение к вопросам информационной безопасности в итоге привело к попытке установления жесткого контроля властей Австралии над электронными коммуникациями граждан. Безусловно, это отнюдь не первый аргумент в диалоге между правительствами стран и интернет-компаниями, и речь идет не только об Австралии. Достаточно вспомнить известные всем высказывания Эдварда Сноудена и постоянно ведущиеся обсуждения в Сенате и Конгрессе США вопросов раскрытия данных и прав суда и правоохранительных органов на доступ к мобильным устройствам потенциальных подозреваемых и информации о них, хранящейся в облаке.
Причина, по которой эта дискуссия достаточно успешно и продуктивно проходит в США, заключается в том, что в данной стране ИТ-индустрия имеет просто колоссальные масштабы, а интернет-компании обладают значительным лоббистским ресурсом. В Австралии индустрия программного обеспечения развита в гораздо меньшей степени, что в итоге ведет к отсутствию какого бы то ни было диалога с властями и полному авторитарному контролю государства над рынком.
To Peer or not to Peer
Сложившаяся ситуация может привести к тому, что ряд компаний, либо ставящих во главу своей рыночной стратегии защиту пользовательских данных, либо зарабатывающих на этих данных, скорее всего откажется раскрывать информацию австралийским властям, поскольку это может ослабить их политические позиции на более важных для них рынках. Например, компания Google долгое время не присутствовала на китайском рынке, где к интернет-компаниям предъявляются аналогичные требования, и лишь сейчас начала вести переговоры с китайским правительством по вопросу реализации отдельного поисковика, который будет раскрывать необходимые данные властям. Корпорация теперь готова сотрудничать с властями Китая в определенной мере, но по той причине, что китайский рынок намного больше австралийского. Соответственно, далее потенциальные потери на мировых рынках будут сравниваться с возможностью потери австралийской аудитории, и можно предположить, в какую именно сторону склонится чаша весов.
Что можно утверждать точно, так это то, что (редкие на сегодняшний день) Peer-2-Peer-шифрованные чаты Telegram для австралийских властей останутся недоступными так же, как и данные мессенджера WhatsApp, у которого абсолютно все чаты зашифрованы по технологии P2P. Реализовывать бэкдоры или принудительно ослаблять шифрованную защиту таких чатов компании WhatsApp и Telegram, по всей видимости, совершенно не собираются. Приведет ли это к открытому конфликту с австралийскими властями, учитывая, что ни одна из этих компаний не имеет офиса и сотрудников в Австралии, покажет время. Так или иначе, как и в России, технологий, позволяющих надежно заблокировать доступ к мессенджерам вроде Telegram, в Австралии нет и в обозримом будущем не появится.
Дурной пример заразителен?
Пример Австралии интересен тем, что это по большому счету первая из развитых стран, которая всерьез публично взялась за вопрос privacy с «государственнической» позиции, фактически игнорируя полное отсутствие доверия ряда граждан к тому, как государство распоряжается их персональными данными. Вероятность того, что правительства других стран будут в дальнейшем обращаться к примеру Австралии, чрезвычайно велика.
В первую очередь это могут быть англоговорящие страны, в которых подобные прецеденты уже происходили, такие как США, Новая Зеландия, Великобритания. Маловероятно, что подобные меры будут приняты в странах Евросоюза, однако здесь все зависит от успешности австралийского примера. Что же касается стран третьего мира, то аналогичные законы в ряде таких стран работают уже достаточно давно, и никакого публичного обсуждения с гражданами и интернет-сообществом, как правило, не ведется.
Введение подобных законов может привести к дальнейшему ослаблению рынка кибербезопасности в Австралии, снижению стандартов безопасности для хранения данных и защиты гражданских прав. На публичных форумах уже звучат призывы от профессионалов индустрии к австралийским ИТ-специалистам задуматься над возможностью эмиграции в более либерально настроенные страны. Поскольку в мире станут меньше доверять надежности австралийских программ, то и экспорт ИТ-решений страны окажется под угрозой. А хуже всего то, что из-за этой ситуации пострадают рядовые пользователи, чей уровень безопасности в интернет-пространстве существенно снизится.
Безусловно, длительная дискуссия о защите доступа к пользовательским данным на этом явно завершена не будет, но законопроект Австралии станет очередным кирпичиком в деле слежения за действиями граждан в киберпространстве за счет средств самих граждан и ИТ-бизнеса.