一份报告称，围绕科技公司如何处理警方数据的风险“已经显现”。文件的照片。

　　一份新发布的文件显示，新西兰警方收集的敏感视频证据在美国科技公司之间流转，而这些公司却不知情。

　　有关政府大力推动公共机构使用“云”计算的风险和成本的报告显示，根据云计算合同，警方有20多个系统由私营公司处理。

　　在他们与美国公司Appian的最新云协议中，警方坚持加强控制和三层检查。该云协议旨在处理一万名警察产生的日常数据。

　　但根据内审局发布的一份内部报告称，警方或任何其他客户不知道科技公司究竟在用他们的数据做什么，这种风险“已经成为现实”。

　　这种情况发生在美国泰瑟枪制造商Axon运营的evidence.com系统中，警方在澳大利亚的服务器上保存了泰瑟枪使用和家庭暴力访谈的录像。

　　报告称:“Evidence.com将警方的视频证据从一个托管提供商转移到另一个托管提供商(从亚马逊转移到微软)，这可能会导致证据无法在法庭上被采纳。”

　　根据内审局的回应，虽然这份报告的日期是2020年，但它仍然是警方最近收到的关于云计算风险的最实质性的报告。

　　警方告诉新西兰电台，证据错误是由于内部行政疏忽造成的。

　　“警方评估认为，警方数据安全和保护面临的风险没有改变。

　　一位发言人在一份声明中表示:“据我们所知，此举并未造成任何问题。”

　　他们还说，他们已经根据政府的云标准评估、认证并批准了evidence.com。

　　2020年的报告还揭示了另一个被广泛报道的云漏洞的重要细节，即科技公司SAP在2019年让未经授权的人在警方数据库中看到枪支所有者的详细信息。

　　该公司表示:“SAP的枪支泄露事件发生后，10个小时后，所有公民都无法访问该服务。”

　　警方是在一名毒贩提醒他们有漏洞后才发现的。

　　风险在于“云服务本质上为客户提供的对幕后发生的事情的可视性非常低”。

　　这样做的好处是，像警察这样的客户不必为不断增长的数据系统的技术运行而烦恼，而且它可能比运行他们自己的系统更安全。

　　该报告概述了云计算的六大风险，包括缺乏可见性;一家科技公司的员工不能像警察一样接受严格的审查;云服务托管多个客户导致的泄漏;而且被锁定在一个供应商身上，“使得以后转向另一个产品变得极其困难或昂贵”。

　　去年，政府下令所有王室机构在几乎所有情况下都选择“云优先”，而不是自己存储公共数据。在这种情况下，“云”由仓库中的数千台计算机服务器组成，其中大部分位于澳大利亚。

　　现在有100多家公共机构主要依赖微软(在其Azure系统中)或亚马逊网络服务(AWS)的数据安全和处理。

　　数月来，微软(Microsoft)在美国一直因安全漏洞而饱受抨击，黑客攻击被归咎于俄罗斯的外国情报机构。

　　被锁定在一个供应商身上会有成本上升的风险——这已经让环境保护局(Environmental Protection Authority)逮了个正着。

　　EPA自2017年以来一直处于赤字状态，并且“随着我们和所有政府部门从历史性的、一次性的、以资本为基础的信息技术基础设施过渡到基于云的解决方案，需要持续的软件即服务支出，情况已经恶化，”它最近警告其新任部长。

　　美国环保署告诉新西兰广播公司，其年度云成本已从2018年的210万美元上升至338万美元。

　　

　　警方的云计算成本尚不清楚，但警方目前有20个云系统。

　　自2017年首次与evidence.com/Axon签订合同以来，警方在与各种科技公司签订的一系列合同中，增加了枪支信息系统、可以跟踪车辆的车牌识别系统和“家庭安全系统”。

　　

　　内审局的文件显示，警方一直在边做边学，这加大了对敏感数据的保护力度。

　　对于他们的第21笔云交易——处理工作人员的日常数据——标准的保护措施还不够好。

　　中标者、总部位于弗吉尼亚州的Appian公司必须承诺采取特殊措施，以降低内部人员篡改和司法风险(美国法律允许其获取美国公司持有的数据)，从“高”级别降至“中等”级别。

　　“新西兰警方将获得额外的第三层审批，”阿皮安在10月份的风险缓解文件中告诉警方。

　　它还将最大限度地减少有关官员日常工作的数据的保存量和保存时间——这些数据“将是临时数据，不会在需要的时候保存”。

　　所有的维修服务都将在澳大利亚进行，而不是在美国或其他地方进行，尽管这样做的代价是支持减少，可能只有一名技术人员，而不是10名。

　　2020年风险报告称，在澳大利亚，依赖美国大公司处理警方数据的总体风险被评估为主权和控制权方面的“小风险”，数据被美国政府等合法获取或通过间谍活动非法获取的风险“非常低”。

　　来自“孤立”服务器的威胁更严重——如果人们不小心的话，系统最终会出现“大量孤立的开发和测试服务器”，这些服务器闲置在那里无人照管，这是“常见的”情况。

　　微软表示，俄罗斯通过一个不活跃的云测试账户https://www.reuters.com/technology/cybersecurity/microsoft-says-cyber-threat-actor-has-been-able-access-internal-systems-2024-03-08/对其进行了攻击。

　　“但它没有说明他们是如何从那里进入高管的电子邮件的……《华盛顿邮报》本月早些时候报道称:“这使得(俄罗斯情报机构)在微软的Azure云系统中发现了一个新的重大漏洞的可能性保持开放。”

　　分析人士之所以发出警告，是因为针对微软的攻击已经持续了好几个月，而且微软比任何人都拥有更多的美国政府合同。

　　警方的2020年风险报告特别提到了微软的目录服务AzureAD，建议进行修改，以免员工的敏感信息“无意中泄露给其他提供商和服务”。

　　该公司表示，警方需要为“关键云服务制定一个“退出战略”，因为我们对这些供应链的短期和长期控制可能会减弱”。

　　Appian在一个行业安全排名网站上得分很高。其亿万富翁创始人，世界桌游冠军，称该公司为“数据洗牌者”。

　　已联系Axon置评。