Brytyjskie National Cyber Security Center (NCSC) potajemnie ocenzurowało szczegółowe wytyczne dotyczące bezpieczeństwa komputerowego publicznego dostarczone adwokatom, adwokatom i firmom prawniczym bez wyjaśnienia lub ogłoszenia.
Wytyczne, strona internetowa i siedmiostronicowy raport PDF zatytułowany „Wskazówki dotyczące bezpieczeństwa cybernetycznego dla adwokatów, adwokatów i prawników” zostały usunięte z publicznej strony internetowej Centrum dwa tygodnie temu 24 lutego.
NCSC odmówił odpowiedzi na pytania CW z pytaniem, czy wiedzieli, że usunięci Strona internetowa I broszura został automatycznie zarchiwizowany przez Archiwa narodowewiele razy, podobnie jak wszyscy byli nadal online.
Na stronie internetowej NCSC prośby o stronę internetową porady prawnej są teraz przekierowane na niepoprawną stronę na tej samej stronie. Usunięty link do broszury zwraca a „404” HTTP nie znaleziono strony błędu Stwierdzając „Przepraszam – strony, której szukasz, nie ma tutaj”. Niezwykle dla NCSC strona nie znalezionej błędu sugeruje, że archiwum narodowe mogło zarchiwizować wersje usuniętego pliku. Tak.
„Cyberprzestępcy nie są wybredni wobec tego, kogo atakują”, ostrzegła ocenzurowana broszura NCSC, „co oznacza, że praktyki prawne wszystkich rozmiarów są zagrożone”. W broszurze wymieniono 37 kroków prawników i firmy prawnicze powinny „pomóc im w zmniejszeniu prawdopodobieństwa zostania ofiarami cyberataku”.
Broszura została opublikowana 11 października 2024 r., Po specjalnym 2023 roku Raport NSCS cyberprzestępstwo dla brytyjskiego sektora prawnego. Raport Cyber Ground, opublikowany przy pomocy Rady Bar, zauważył, że do 2020 r. Trzy czwarte brytyjskich firm prawnych zgłosiły cyberataki.
Według rady adwokackiej: „Barrister w Anglii i Walii stają przed zagrożeniami, nękaniem i zastraszaniem z rąk państwowych i niepaństwowych aktorów z całego świata. Rada adwokacka jest zaniepokojona rosnącymi raportami członków, którzy mieli do czynienia z różnymi formami ataku i zagrożeń ze względu na ich międzynarodową pracę prawną. ”
Ukierunkowane ataki zgłoszone do rady adwokackiej obejmowały zarówno fizyczne, jak i cyberprzestępczości, nękanie cybernetyczne, w tym groźne lub podszywanie się pod e -maile, powtarzane i trwałe próby hakowania, groźby śmierci i zagrożenia o gwałcie, zagrożenia dla członków rodziny za pośrednictwem poczty elektronicznej lub mediów społecznościowych oraz „phishing uprzywilejowania”, które starają się przekonać tych, którzy mają na celu rozróżnienie wrażliwych informacji.
„Te zagrożenia nie są tylko atakiem na zawód prawnika, ale także mają mrożący wpływ na dostęp do wymiaru sprawiedliwości i praworządność” – powiedział.
„Cenzura polityczna”
Porada NCSC dla prawników została usunięta miesiąc po tych poważnych ostrzeżeniach z rady barowej, a w weekend po tym, jak Apple wskazał, że odmówi przestrzegania systemu „Ochrona technicznych w sprawie technicznej” (TCN), wymagającym, aby wyłączyła jego mocne zabezpieczenia enzryfrowane „zaawansowane ochronę danych” (ADP) stosowany w ICLoud. System ADP powoduje, że klucze szyfrowania plików iCloud są przechowywane tylko na urządzeniach, więc poprawa bezpieczeństwa danych prawnych od zewnętrznych atakujących.
„To wygląda jak niezdarna cenzura polityczna Home Office”, według eksperta ds. Cyberbezpieczeństwa dr Iana Browna. „Ten rodzaj upolitycznienia przez GCHQ [which runs NCSC] jest zagrożeniem dla bezpieczeństwa, ze względu na ryzyko podporządkowania bezpieczeństwa ochronnego dla nadzoru ” – powiedział. Brown i inni eksperci ds. Bezpieczeństwa ostrzegali, kiedy NCSC został ustawiony, powinien być prowadzony osobno od GCHQ, aby uniknąć konfliktu i zawstydzenia.
Cambridge University profesor systemów komunikacyjnych John Crowcroft, komentując przeprowadzkę przeciwko Apple, powiedział: „Wielka Brytania jest teraz w słabszym stanie ochrony. Przyciąganie dla złych jest tu znacznie zwiększone nad innymi krajami… Nasz rząd namalował na nas cel, a wyraźnie na wszystkich „USA”, które nie są zaangażowani w nic innego niż codzienne handel i dyskurs ”.
NCSC upuszcza odniesienia do szyfrowania
Osłabiona pozycja w Wielkiej Brytanii zalecana obecnie przez NCSC nie odnosi się do krytycznej potrzeby szyfrowania kompleksowego, z wyjątkiem jednego izolowanego i niejasnego dokumentu. Niepoprawna strona, z którą prawnicy są teraz powiązani, w ogóle nie odnosi się do szyfrowania.
Natomiast, w obliczu ataku podejrzanych chińskich ataków na wiele celów o wysokiej wartości, równoważna Agencja Obrony Cybernetycznej USA, CISA, ma Niedawno zastrzeżony że „wysoce ukierunkowane osoby [should] Natychmiast przejrzyj i zastosuj najlepsze praktyki, w tym spójne stosowanie szyfrowania kompleksowego do końca. ”
„Osoby wysoce ukierunkowane powinny założyć, że cała komunikacja między urządzeniami mobilnymi – w tym urządzeniami rządowymi i osobistymi – a usługi internetowe są zagrożone przechwyceniem lub manipulacją”, stwierdza porada CISA.
NCSC odmówił w tym tygodniu odpowiedzi na wszelkie pytania od CW i skierował zapytania do Ministerstwa Spraw Wewnętrznych, które również odmawiają odpowiedzi. Wciąż bez odpowiedzi obejmowały, kto nakazał usunięcie, dlaczego i dlaczego partnerskie organizacje prawne nie zostały powiadomione ani konsultowane przed manipulacją. NCSC odmówiło również stwierdzenia, czy teraz starałoby się, aby rządowe kopie archiwum usunięte i wysyłane do „dziury pamięci” – odniesienie do techniki przyjętych przez Ministerstwo Prawdy w 1984 r.; lub czy odłożyliby zebrane strony ocenzurowane.
Aż do tajnego usunięcia broszura NCSC zawierała instrukcję dla prawników o „włączeniu szyfrowania”.
Doradza: „Włącz bezpłatne produkty szyfrowania dołączone do urządzeń systemu Windows lub Apple, więc cyberatakowie nie mogą uzyskać dostępu do twoich wrażliwych danych, jeśli urządzenie zostanie utracone lub skradzione. Upewnij się, że szyfrowanie jest włączone na urządzeniu mobilnym (odbywa się to automatycznie na nowoczesnych urządzeniach z Androidem/Apple) ”.
W przypadku urządzeń iOS użytkownikom powiedziano, aby włączyli Zaawansowana ochrona danych dla iCloud. Ta rada stała się niemożliwa dla użytkowników Wielkiej Brytanii ze względu na reakcję Apple na zawiadomienie Home Office. Wszystkie inne wytyczne dotyczące bezpieczeństwa cybernetycznego w broszurze pozostały ważne
Nowe obawy dotyczące zawiadomień o bezpieczeństwie narodowym
Eskalacyjny rząd między Apple a Ministerstwem Spraw Wewnętrznych również wyczyścił poważniejsze obawy dotyczące wykorzystania dalekosiężnych uprawnień do narzucania kontroli w spółkach telekomunikacyjnych poprzez wydanie „powiadomień o bezpieczeństwie narodowym”.
Niejasne warunki powiadomień o bezpieczeństwie narodowym wymagają od operatorów telekomunikacyjnych „podjęcia konkretnych kroków, które sekretarz stanu uważa za niezbędny w interesie bezpieczeństwa narodowego.
Parlament został przekonany, że ta moc dotyczyła tylko obiektów technicznych, takich jak ustalenia przechwytywania. Wiele źródeł branżowych twierdzi, że od 2016 r. NSN są wykorzystywane do wymagania zarządu firmy telekomunikacyjnej, w tym Apple, do przekazania organu zarządu do tajnej kontroli Home Office i wybranych wewnętrznych komitetów ds. Bezpieczeństwa narodowego, których członkowie i personel oraz wszelkich zatrudnionych prawników muszą zostać zatwierdzone Opracowane kontrole weryfikacji (DV). Uzgodnienie oznacza, że firmy mogą zostać nakazane wdrożenie naruszeń bezpieczeństwa, o których wiedzą teraz dyrektorzy i pracownicy inżynierii.
Niewłaściwe użycie rozwiniętego weryfikacji
Notorycznie, po wejściu w życie ustawy o uprawnieniach śledczych w 2016 r., Biuro domowe i agencje wywiadowcze wykorzystały rozwinięty proces weryfikacji Zablokuj nowo mianowanego komisarza ds. Uprawnień, Lord Justice Adrian Fulford, od mianowania komisji wybranych przez szefa dochodzeńwykładowca prawa nadzoru Eric Kind.
Chociaż początkowo zatwierdzone przez biura weryfikacyjne, Kind został powiedziany, że odrzucenie bezpieczeństwa DV zostało odrzucone Po interwencji służby bezpieczeństwa, MI5.
Jak donosi wcześniej, Apple odwołało się teraz od instrukcji ADP do Trybunału Powłoków Śledczych. Wszystko Jedenaście członków IPT są starszymi adwokatami, którzy służyli jako sędziowie.
Po sprawdzeniu rada adwokacka powiedziała Computer Weekly, że „nie został powiadomiony o usunięciu tego dokumentu przez NCSC. Skontaktujemy się z NCSC i zapytajemy o status dokumentu i jego usunięcie. ”
Rzecznik adwokata adwokata dodał, że rada rozważy połączenie z krajową kopią archiwum usuniętej strony i dokument „po rozmowie z naszym panelem IT i podniesieniu go z NCSC”.