National Cyber Security Center (NCSC) Inggris secara diam -diam menyensor pedoman keamanan komputer publik terperinci yang diberikan kepada pengacara, pengacara dan perusahaan hukum tanpa penjelasan atau pengumuman.
Panduan, halaman web dan laporan PDF setebal tujuh halaman Kiat Keamanan Cyber untuk Pengacara, Pengacara, dan Profesional Hukumtelah dihapus dari situs web publik pusat dua minggu lalu, pada 24 Februari.
NCSC menolak untuk menanggapi pertanyaan dari komputer mingguan yang menanyakan apakah ia tahu bahwa itu dihapus halaman web Dan buku kecil secara otomatis diarsipkan oleh Arsip Nasionalberkali -kali, dan semua masih online.
Di situs web NCSC, permintaan untuk halaman web nasihat hukum sekarang dialihkan ke halaman yang salah di situs yang sama. Tautan buklet yang dihapus mengembalikan a “404” tidak ditemukan halaman kesalahan Menyatakan, “Maaf – halaman yang Anda cari tidak ada di sini”. Yang memalukan untuk NCSC, pesan halaman 404 kemudian menyarankan bahwa Arsip Nasional mungkin telah mengarsipkan versi file yang dihapus. Itu benar.
“Penjahat dunia maya tidak cerewet tentang siapa yang mereka serang,” buklet NCSC yang disensor telah memperingatkan, “yang berarti praktik hukum dari semua ukuran berisiko.” Buklet ini mencantumkan 37 langkah pengacara dan firma hukum harus mengambil “untuk membantu mereka mengurangi kemungkinan menjadi korban serangan cyber”.
Buklet ini diterbitkan pada 11 Oktober 2024, mengikuti 2023 khusus NCSC Laporan Ancaman Cyber untuk sektor hukum Inggris. Itu Laporan Ancaman Cyberditerbitkan dengan bantuan Dewan Bar, mencatat bahwa pada tahun 2020, tiga perempat perusahaan hukum Inggris telah melaporkan serangan cyber.
Dewan Bar mengatakan: “Pengacara di Inggris dan Wales menghadapi ancaman, pelecehan, dan intimidasi di tangan aktor negara bagian dan non-negara dari seluruh dunia. Dewan Bar prihatin dengan meningkatnya laporan dari anggota yang telah menghadapi berbagai bentuk serangan dan ancaman karena pekerjaan hukum internasional mereka. ”
Serangan yang ditargetkan dilaporkan ke dewan bar Telah termasuk fisik, serta pengawasan dunia maya, pelecehan dunia maya termasuk mengancam atau menyamar sebagai email, upaya peretasan yang berulang dan berkelanjutan, ancaman kematian dan ancaman pemerkosaan, ancaman terhadap anggota keluarga melalui email atau media sosial, dan “phishing hak istimewa”, yang berupaya berusaha untuk membujuk mereka yang ditargetkan untuk membocorkan informasi yang sensitif.
“Ancaman ini bukan hanya serangan terhadap profesi hukum, mereka juga memiliki efek mengerikan pada akses ke keadilan dan supremasi hukum,” katanya.
‘Sensor Politik’
Saran NCSC kepada pengacara dihapus satu bulan setelah peringatan besar ini dari dewan bar, dan pada akhir pekan setelahnya Apple telah mengindikasikan akan menolak untuk mematuhi Pemberitahuan Kemampuan Teknis Kantor Rumah Inggris (TCN) mengharuskannya untuk menonaktifkan sistem “Advanced Data Protection” (ADP) yang dienkripsi dengan keamanan tinggi yang digunakan pada iCloud. Sistem ADP menyebabkan kunci enkripsi untuk file iCloud pengguna hanya disimpan pada perangkat, sehingga meningkatkan keamanan untuk data hukum dari penyerang luar.
“Ini terlihat seperti sensor politik Home Office yang canggung,” klaim pakar keamanan dunia maya Ian Brown. “Politisasi semacam ini oleh GCHQ (yang menjalankan NCSC) adalah bahaya bagi keamanan, karena risiko subordinasi keamanan perlindungan terhadap pengawasan,” katanya. Brown dan pakar keamanan lainnya memperingatkan ketika NCSC diatur harus dijalankan secara terpisah dari GCHQ untuk menghindari konflik dan rasa malu.
Profesor Sistem Komunikasi Universitas Cambridge Jon Crowcroft, mengomentari langkah melawan Apple, mengatakan: “Inggris sekarang berada dalam keadaan perlindungan yang lebih lemah. Daya tarik kepada orang -orang jahat meningkat di sini secara besar -besaran di atas negara lain. … Pemerintah kita telah melukis target pada kita, dan secara eksplisit pada semua ‘kita’ yang tidak terlibat dalam hal lain selain perdagangan dan wacana sehari -hari. ”
NCSC menjatuhkan referensi untuk enkripsi
Posisi melemah Inggris yang sekarang direkomendasikan oleh NCSC gagal merujuk pada kebutuhan kritis untuk enkripsi ujung ke ujung, kecuali untuk satu dokumen yang terisolasi dan tidak jelas. Halaman yang salah yang sekarang dikaitkan dengan pengacara tidak merujuk pada enkripsi sama sekali.
Sebaliknya, dan di hadapan serangan dugaan serangan yang dipimpin China terhadap beberapa target bernilai tinggi, Badan Pertahanan Cyber yang setara AS, CISA, baru -baru ini ditentukan bahwa “individu yang sangat ditargetkan (harus) segera meninjau dan menerapkan praktik terbaik yang disediakan … termasuk penggunaan enkripsi ujung ke ujung yang konsisten”.
“Individu yang sangat bertarget harus berasumsi bahwa semua komunikasi antara perangkat seluler – termasuk perangkat pemerintah dan pribadi – dan layanan internet berisiko terhadap intersepsi atau manipulasi,” nasihat CISA menyatakan.
NCSC menolak minggu ini untuk menjawab pertanyaan dari komputer setiap minggu, dan sebaliknya merujuk pertanyaan ke kantor pusat, yang juga menolak untuk merespons. Pertanyaan yang masih belum terjawab termasuk siapa yang memerintahkan pencopotan, mengapa, dan mengapa organisasi hukum mitra tidak diberitahu atau dikonsultasikan sebelum gangguan? NCSC juga menolak untuk mengatakan apakah sekarang akan berusaha agar salinan arsip pemerintah terhapus dan dikirim ke “lubang memori” – referensi ke teknik yang diadopsi oleh Kementerian Kebenaran di Orwell’s 1984 – atau apakah mereka akan mengembalikan halaman yang disensor.
Sampai pencopotan rahasia, buklet NCSC menyertakan instruksi kepada pengacara untuk “mengaktifkan enkripsi”.
Disarankan: “Nyalakan produk enkripsi gratis yang disertakan dengan perangkat Windows atau Apple Anda, sehingga penyerang cyber tidak dapat mengakses data sensitif Anda jika perangkat Anda hilang atau dicuri. Pastikan enkripsi diaktifkan di perangkat seluler Anda (ini dilakukan secara otomatis pada perangkat Android/Apple modern). “
Untuk perangkat iOS, pengguna disuruh mengaktifkan Perlindungan data lanjutan untuk iCloud. Saran ini menjadi tidak mungkin bagi pengguna Inggris karena reaksi Apple terhadap pemberitahuan kantor rumah. Semua panduan keamanan cyber lainnya dalam buklet tetap valid
Kekhawatiran baru atas pemberitahuan keamanan nasional
Itu Meningkatkan baris antara Apple dan Home Office juga telah memerah kekhawatiran yang lebih serius tentang penggunaan kekuatan yang luas untuk memaksakan kontrol pada perusahaan telekomunikasi, dengan menerbitkan pemberitahuan keamanan nasional.
Ketentuan pemberitahuan keamanan nasional yang tidak jelas mengharuskan operator telekomunikasi untuk mengambil langkah -langkah spesifik yang dianggap oleh Sekretaris Negara yang diperlukan untuk kepentingan keamanan nasional.
Parlemen dituntun untuk percaya bahwa kekuatan ini hanya berlaku untuk fasilitas teknis, seperti pengaturan intersepsi. Beberapa sumber industri mengatakan bahwa sejak 2016, NSN telah digunakan untuk mewajibkan dewan perusahaan telekomunikasi, termasuk Apple, untuk mendelegasikan otoritas dewan untuk mengira dikendalikan dan dipilih oleh komite keamanan nasional internal, semuanya yang anggota dan stafnya, dan pengacara mana pun yang mereka pekerjakan, harus disetujui untuk disetujui Check vetting (DV) yang dikembangkan. Pengaturan ini berarti bahwa perusahaan dapat diperintahkan untuk menerapkan pelanggaran keamanan yang tidak diketahui oleh direktur dan staf teknik.
Penyalahgunaan pemeriksaan yang dikembangkan
Terkenal, setelah Undang -Undang Powers Investigasi 2016 mulai berlaku, kantor pusat dan lembaga intelijen menggunakan proses pemeriksaan yang dikembangkan untuk Blokir Komisaris Kekuatan Investigasi yang baru ditunjuk, Lord Justice Adrian Fulford, dari menunjuk kepala investigasi yang dipilih Komisi Powers InvestigasiDosen dalam hukum pengawasan Eric Kind.
Meskipun awalnya disetujui oleh petugas pemeriksaan, Jenis diberitahu bahwa izin keamanan pemeriksaan yang dikembangkan telah ditolak Setelah intervensi Layanan Keamanan MI5.
Seperti yang dilaporkan sebelumnya, Apple sekarang telah mengajukan banding terhadap instruksi ADP ke Pengadilan Kekuatan Investigasi (IPT). Semua 11 anggota IPT adalah pengacara senior yang telah melayani sebagai hakim.
Setelah memeriksa, Dewan Bar mengatakan kepada Computer Weekly bahwa “tidak diberitahu tentang pencopotan dokumen ini oleh NCSC”, menambahkan bahwa ia akan “menghubungi NCSC dan membuat pertanyaan tentang status dokumen dan penghapusannya”.
Seorang juru bicara Bar Counsel menambahkan bahwa mereka akan mempertimbangkan menautkan ke salinan arsip nasional dari halaman yang dihapus dan dokumen “Setelah berbicara dengan panel TI kami dan mengangkatnya dengan NCSC”.