หลังจากตกเป็นประเด็นในวงกว้างของวันสุดท้ายของรัฐสภาในปี 2018 ร่างกฎหมายโทรคมนาคมและการแก้ไขกฎหมาย อื่นๆ ร่างกฎหมายนี้มีความยาวและซับซ้อน แต่เนื้อหาใหม่ที่สำคัญที่สุดคือความสามารถในการออก “ประกาศความสามารถทางเทคนิค” ของบริษัทหรือบุคคล ประกาศเหล่านี้บังคับให้บริษัทต่างๆ แก้ไขซอฟต์แวร์และบริการที่บริษัทจัดหาให้เพื่อให้สามารถเข้าถึงข้อมูลที่ไม่สามารถหาได้จากที่อื่น มีบทลงโทษทางการเงินจำนวนมากสำหรับบริษัทที่ไม่ปฏิบัติตาม
ประกาศเกี่ยวกับความสามารถทางเทคนิคสามารถออกได้ตามคำสั่ง
ของหน่วยงานบังคับใช้กฎหมาย รวมถึงรัฐ รัฐบาลกลาง ในบางกรณี หน่วยงานบังคับใช้กฎหมายต่างประเทศ (ผ่านอัยการสูงสุดของรัฐบาลกลาง) และองค์กรข่าวกรองความมั่นคงแห่งออสเตรเลีย (ASIO)
ความสามารถที่อนุญาตในร่างกฎหมายสามารถใช้ได้โดยหน่วยงานบังคับใช้กฎหมายเมื่อสืบสวนอาชญากรรมที่มีโทษสูงสุดคือจำคุกสามปีหรือมากกว่านั้น ซึ่งครอบคลุมความผิดที่กว้างกว่าการก่อการร้ายหรือการเผยแพร่สื่อการล่วงละเมิดเด็ก
ร่างกฎหมายนี้กว้างมากในประเภทของความช่วยเหลือที่สามารถร้องขอได้ สิ่งที่ดึงดูดความสนใจมากที่สุดคือความสามารถในการสกัดกั้นข้อความที่ส่งโดยใช้การเข้ารหัสแบบ end-to-endซึ่งใช้โดยเครื่องมือต่างๆ เช่น WhatsApp, iMessage และ Telegram
ข้อความใน ‘มืด’
มีการอ้างว่าหากไม่มีร่างกฎหมายนี้ หน่วยงานบังคับใช้กฎหมายจะเผชิญกับความเสี่ยงที่ “จะมืดมน” ซึ่งเป็นคำที่เอฟบีไอใช้เพื่ออธิบายเมื่อไม่สามารถดักฟังการสื่อสารได้
เราได้ยินมา … ว่าสมาชิกของคณะกรรมการร่วมด้านข่าวกรองและความมั่นคงของรัฐสภาเคยได้ยินหลักฐานจากหน่วยงานความมั่นคง หน่วยข่าวกรอง และหน่วยงานบังคับใช้กฎหมายเกี่ยวกับความเสี่ยงของสภาพแวดล้อมการเฝ้าระวังที่มืดมนเพราะเทคโนโลยีบางอย่างที่ผู้ก่อการร้าย อนาจาร องค์กรอาชญากรรม และ ผู้ค้ายาเสพติดล้วนใช้เทคโนโลยีและแอปพลิเคชันที่เข้ารหัสเพื่อการสื่อสารและการวางแผน กลุ่มบริษัท NSO ของอิสราเอลขายสปายแวร์ที่มีรายงาน ว่า สามารถเข้าถึงสมาร์ทโฟน iPhone และ Android ได้อย่างเต็มที่ เกือบจะแน่นอนว่าหน่วยสืบราชการลับของออสเตรเลียและหน่วยงานบังคับใช้กฎหมายบางแห่งมีซอฟต์แวร์ที่มีความสามารถคล้ายคลึงกัน
แต่สปายแวร์ประเภทนี้ต้องอาศัยข้อบกพร่องด้านความปลอดภัย
โดยไม่ได้ตั้งใจใน Android และ iOS ซึ่งอาจได้รับการแก้ไขโดยการอัปเดตจาก Google หรือ Apple ได้ทุกเมื่อ มีการถกเถียงกันอย่างมากว่าร่างกฎหมายนี้จะมีประสิทธิภาพเพียงใดในการเปิดใช้การเข้าถึงข้อความที่เข้ารหัสแบบ end-to-end ซึ่งเป็นสิ่งที่ต้องออกหมายจับ
ในความเห็นของฉัน หน่วยงานบังคับใช้กฎหมายสามารถใช้ความสามารถที่ได้รับจากการออกประกาศความสามารถทางเทคนิคเพื่อเข้าถึงอะไรก็ได้บนสมาร์ทโฟนหรือพีซีมาตรฐาน รวมถึงข้อความที่เข้ารหัสจากต้นทางถึงปลายทาง กรณีนี้จะเกิดขึ้นแม้ว่าระบบการส่งข้อความที่เข้ารหัสจะได้รับการพัฒนาโดยบริษัทต่างประเทศที่อยู่นอกเหนือการเข้าถึงโดยตรงของกฎหมายออสเตรเลีย
ประกาศเกี่ยวกับความสามารถทางเทคนิคสามารถใช้เพื่อบังคับผู้จำหน่ายซอฟต์แวร์ระบบสำหรับสมาร์ทโฟนหรือพีซี (เช่น Google, Apple, Microsoft, ผู้ผลิตฮาร์ดแวร์สมาร์ทโฟน หรือแม้แต่บริษัทโทรคมนาคมของออสเตรเลียที่จำหน่ายเฟิร์มแวร์แบบกำหนดเองสำหรับโทรศัพท์ที่จำหน่าย) เพื่อซ่อนสปายแวร์ในการอัปเดตที่กำหนดเป้าหมายไปที่ผู้ใช้สมาร์ทโฟนหรือคอมพิวเตอร์รายใดรายหนึ่งซึ่งอยู่ภายใต้หมายบังคับของกฎหมายหรือการสืบสวนของ ASIO
สปายแวร์จะสามารถเห็นทุกอย่างที่ทำบนอุปกรณ์ ซึ่งรวมถึงเนื้อหาของข้อความที่เข้ารหัสจากต้นทางถึงปลายทางหลังจากถอดรหัสแล้ว หรือเนื้อหาที่ถอดรหัสของฮาร์ดดิสก์ที่เข้ารหัสโดยใช้การเข้ารหัสทั้งดิสก์
แต่ในขณะที่การกระทำเป็นเครื่องมือที่ทรงพลังอย่างยิ่งสำหรับการบังคับใช้กฎหมายเพื่อขอความช่วยเหลือในการเข้าถึงข้อมูลที่เข้ารหัส แต่ก็มีบางสถานการณ์ที่จะไม่มีผลบังคับใช้
ไม่ใช่ทุกระบบที่สามารถใช้เพื่อเรียกใช้ระบบการส่งข้อความที่เข้ารหัสแบบ end-to-end จะมีการแสดงตนขององค์กรหรือบุคคลในออสเตรเลียที่สามารถให้บริการพร้อมกับประกาศความสามารถทางเทคนิค
ดังนั้นความเสี่ยงคืออะไร?
ตามทฤษฎีแล้ว หน่วยงานบังคับใช้กฎหมายและหน่วยข่าวกรองเท่านั้นที่จะสามารถเข้าถึงเนื้อหาผ่านกลไกที่มีรายละเอียดอยู่ในกฎหมายใหม่
กฎหมายห้ามการสร้าง “ช่องโหว่ของระบบ” เป็นการเฉพาะ ซึ่งรวมถึงการเปลี่ยนแปลงระบบที่อาจทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลจากผู้ใช้รายอื่นของระบบได้
แต่เป็นเรื่องยากมากที่จะสร้างกลไกที่อนุญาตให้หน่วยงานบังคับใช้กฎหมายเข้าถึงข้อมูลเกี่ยวกับบุคคลที่เฉพาะเจาะจงจากระบบเฉพาะ ในขณะที่ไม่มีความเสี่ยงที่บุคคลอื่นสามารถใช้กลไกเดียวกันนี้เพื่อเข้าถึงข้อมูลอื่นโดยไม่ได้รับอนุญาต กล่าวอีกนัยหนึ่ง “ความสามารถที่กำหนดเป้าหมาย” อาจกลายเป็น “ช่องโหว่ของระบบ” ได้อย่างง่ายดาย
เครื่องมือการเข้าถึงที่ใช้โดยหน่วยข่าวกรองถูกขโมยและนำไปใช้ในทางเสียหายอย่างมากในอดีต เป็นไปไม่ได้ที่จะรับประกันว่าจะไม่เกิดขึ้นกับกลไกการเข้าถึงที่สร้างขึ้นภายใต้กฎหมายนี้
เกิดอะไรขึ้น?
ข้อกังวลหลักประการหนึ่งของร่างกฎหมายนี้คือผลกระทบที่อาจเกิดขึ้นกับบางส่วนของอุตสาหกรรมไอทีของออสเตรเลีย เนื่องจากลูกค้าต่างชาติอาจกังวลว่าความลับของตนเองอาจไม่ได้รับการปกป้องจากรัฐบาลออสเตรเลีย
นี่อาจเป็นปัญหาเฉพาะสำหรับบริษัทที่ขายในสหภาพยุโรป ซึ่งบังคับใช้ กฎหมายความเป็นส่วนตัวของข้อมูลที่เข้มงวดที่เรียกว่า ระเบียบการคุ้มครองข้อมูลทั่วไป
Senetas ผู้ให้บริการระบบเข้ารหัสเป็นหนึ่งในหลายบริษัทที่แสดงความกังวลเกี่ยวกับร่างกฎหมายดังกล่าว มันเตือนถึงการสูญเสียความไว้วางใจในความปลอดภัยทางไซเบอร์และผลิตภัณฑ์ของออสเตรเลียที่อาจเกิดขึ้น และนั่นอาจนำไปสู่การสูญเสียในการส่งออก งานและความเชี่ยวชาญทางเทคนิคต้องย้ายไปต่างประเทศ
เว็บแท้ / ดัมมี่ออนไลน์
