Португалия стала последней страной, предоставившей защиту исследователям в области кибербезопасности в рамках своего законодательства.
Этот шаг усиливает давление на Великобританию после того, как правительственный министр на прошлой неделе признал, что 35-летний Закон о компьютерных злоупотреблениях нуждается в обновлении для защиты специалистов по кибербезопасности от судебного преследования.
Министр по вопросам безопасности Дэн Джарвис заявил на конференции Financial Times, что правительство “услышало критику” и рассматривает возможность создания “законной защиты” для исследователей, позволяющей выявлять и сообщать об уязвимостях при соблюдении определенных мер предосторожности.
На это ушли десятилетия. Закон о компьютерных злоупотреблениях 1990 года (CMA) был создан после того, как журналист по IT Стив Голд и хакер Роберт Шифрин были обвинены во взломе учетной записи электронной почты герцога Эдинбургского в системе BT Prestel.
Голд и Шифрин были привлечены к ответственности по законодательству о подделке и фальсификации, но освобождены по апелляции. В ответ правительство приняло CMA в 1990 году – до появления современных исследований в области кибербезопасности, электронной коммерции, киберпреступности, отчетности об уязвимостях и даже The Register.
Изменения в Португалии были отмечены Дэниелом Катбертом, который сам был осужден по CMA в октябре 2005 года, что иллюстрирует негибкость закона.
В декабре 2004 года он сделал пожертвование на сайт, собирающий средства для жертв цунами в День подарков. Когда он не получил благодарственное письмо или страницу подтверждения, Катберт провел два теста, чтобы убедиться, что это не мошенническая страница, что привело к срабатыванию “системы обнаружения вторжений”.
Окружной судья заявил, что дело доказано, но “с большим сожалением”.
В пятницу Катберт описал действия Португалии в Twitter X как “четко определенные”, требующие, чтобы действия в области безопасности были “строго пропорциональны”. Он сказал, что это “позитивная поправка, и, надеюсь, другие страны последуют этому примеру и предоставят исследователям в области безопасности безопасную гавань для поиска ошибок и сообщения о них… Отличная работа”.
Проверка законодательства Португалии через Google Translate показывает, что действия “не будут подлежать наказанию в интересах общественной безопасности в области кибербезопасности”, когда “действующее лицо действует исключительно с целью выявления уязвимостей” и их устранения для повышения безопасности.
Аналогично, исследователи не действуют “с целью получения экономической выгоды… без ущерба для вознаграждения, которое они получают в качестве компенсации за свою профессиональную деятельность”.
Об уязвимостях необходимо сообщать оперативно, а работа не должна быть деструктивной или наносить ущерб данным.
Широкий спектр методов, включая отказ в обслуживании, социальную инженерию и фишинг и т. д., по-прежнему запрещен. Действия, совершаемые с согласия владельца системы, разрешены.
Эд Парсонс, операционный директор бельгийской платформы bug bounty Intigriti, заявил, что необходимость реформы CMA была актуальна 20 лет назад и стала еще более важной сейчас.
“В 2016 году правительство Великобритании взяло на себя обязательство сделать Великобританию самым безопасным местом для жизни и ведения бизнеса в Интернете. Мы не можем продолжать говорить об этом, но через десять лет все еще пытаться достичь этого, связав себе руки”.
Джеймс Моррис, генеральный директор группы по киберполитике CSBR, заявил, что последовательные правительства Великобритании затягивали реформу закона.
“Как и законопроект о кибербезопасности и устойчивости, который начинает свой путь через парламент, Великобритании необходимо срочно обновить все соответствующее законодательство, чтобы оно соответствовало требованиям поддержки жизненно важных национальных усилий, необходимых для повышения нашей кибербезопасности и устойчивости.” ®
Автор – Joe Fay
