Dwie poprawki do ust Rachunek za dane (dostęp i użytkowanie). które ustanowiłoby ustawową obronę prawną dla specjalistów ds. bezpieczeństwa i etycznych hakerów w celu ochrony ich przed ściganiem na mocy ustawy z 1990 r Ustawa o niewłaściwym użytkowaniu komputera (CMA) po wycofaniu nie udało im się przetrwać przesłuchania w komisji Izby Lordów.
34-letnia CMA szeroko definiuje przestępstwo „nieuprawnionego dostępu do komputera”, na które w Wielkiej Brytanii często powoływano się podczas ścigania cyberprzestępców, ale biorąc pod uwagę, iż weszło ono w życie, gdy premierem była Margaret Thatcher, nie zostało zaktualizowane do odzwierciedlają pojawienie się i praktyki legalnego zawodu związanego z bezpieczeństwem cybernetycznym.
Działacze twierdzą, iż stawia to Wielką Brytanię w niekorzystnej sytuacji konkurencyjnej, ponieważ specjaliści ds. bezpieczeństwa obawiają się, iż mogą zostać pociągnięci do odpowiedzialności karnej za zwykłe wykonywanie swojej pracy – na przykład poprzez uzyskanie dostępu do systemu w trakcie dochodzenia w sprawie incydentu – podczas gdy ich pracodawcy przegrywają z firmami zlokalizowanymi w bardziej liberalnych krajach jurysdykcje.
Zmiany wprowadzone przez Lorda Chrisa Holmesa i Lorda Tima Clementa-Jonesa miały miejsce wprowadził dwie poprawki do ustawy o danych zmieniającej CMA w taki sposób, aby specjaliści ds. bezpieczeństwa mogli udowodnić, iż ich działania były „niezbędne do wykrywania przestępczości lub zapobiegania jej” lub „uzasadnione jako leżące w interesie publicznym”.
Wypowiadając się na poparcie poprawki w dniu 18 grudnia 2024 r., Holmes opowiedział, jak wprowadzono CMA w celu ochrony central telefonicznych w czasach, gdy 0,5% populacji korzystało z Internetu, a o ile taki był jedyny cel tej ustawy, już samo to wskazywałoby, iż potrzebuje aktualizacji, biorąc pod uwagę ogromny postęp technologiczny, jaki nastąpił w ciągu ostatnich trzech i pół dekady.
„Ustawa o nadużyciach komputerowych z 1990 r. jest nie tylko nieaktualna, ale także w sposób niezamierzony uznaje za przestępstwo specjalistów ds. bezpieczeństwa cybernetycznego, którym powierzamy zadanie zapewnienia nam wszystkim bezpieczeństwa. Często, co zrozumiałe, pracują niezauważeni, nie tylko za zamkniętymi, ale także zamkniętymi drzwiami, wykonując tak istotną pracę. Jednak z powodu braku tych poprawek wykonują tę pracę zbyt często, mając co najmniej jedną rękę związaną za plecami” – stwierdził Holmes.
Lorda Chrisa Holmesa„Weźmy tylko dwa przykłady: badanie podatności na zagrożenia oraz ocenę i analizę zagrożeń. Obydwa mogą uznać, iż specjalista ds. bezpieczeństwa cybernetycznego narusza postanowienia CMA 1990. Nie wierz mi na słowo: spójrz na raport roczny Narodowego Centrum Cyberbezpieczeństwa za 2024 rokco słusznie i zrozumiale podkreśla rosnącą lukę między zagrożeniami, przed którymi stoimy, a jej zdolnością, a zdolnością społeczności specjalistów ds. bezpieczeństwa cybernetycznego do sprostania tym zagrożeniom.
„W istocie te poprawki realizują jedno proste, ale najważniejsze zadanie: zapewniają obronę prawną legalnym działaniom w zakresie bezpieczeństwa cybernetycznego” – stwierdził. „To wszystko, ale miałoby to ogromny wpływ na tych, których poprosiliśmy o zapewnienie nam bezpieczeństwa i bezpieczeństwo, które w ten sposób mogą zapewnić każdemu obywatelowi w naszym społeczeństwie.
„To nie czas, to już dużo czasu, aby te poprawki stały się częścią naszego prawa. jeżeli nie teraz, to kiedy? jeżeli nie te poprawki, to jakie? A jeżeli nie te poprawki, co rząd powie wszystkim osobom, które w dalszym ciągu będą narażane na niebezpieczeństwo z powodu braku tych przepisów ochronnych?” dodał Holmes.
Rząd odpowiada
Podczas przesłuchania w Westminster inni parlamentarzyści, w tym współautorzy poprawki Lord Clement-Jones i lord James Arbuthnot, bardziej znani ze swojej działalności agitacyjnej w aferze Post Office Horizonopowiadał się za reformami, ale bezskutecznie.
Lord Timothy Kirkhope powiedział: „To po raz kolejny pokazuje, iż jeżeli się nie zjednoczymy i nie stworzymy lepszego, inteligentnego prawodawstwa, które będzie działać szybciej, nigdy, przenigdy nie dogonimy rozwoju technologii i sztucznej inteligencji [artificial intelligence]. Zostało to w dramatyczny sposób wykazane przez te poprawki. Wyrażam obawy, iż rząd będzie działać w tempie, w jakim zawsze się porusza, ale w tej konkretnej dziedzinie to nie zadziała”.
W odpowiedzi na spotkanie podsekretarz stanu w Departamencie Nauki, Innowacji i Technologii (DSIT) baronowa Margaret Jones stwierdziła, iż rząd zgodził się, iż Wielka Brytania potrzebuje zmienionych ram prawnych, aby umożliwić władzom zajęcie się szkodami wyrządzanymi przez cyberprzestępców oraz iż zobowiązała się do zapewnienia aktualności i skuteczności CMA w tym zakresie.
Jednakże, powiedział Jones, reforma jest „złożoną i trwającą” kwestią, która jest rozważana w ramach przeglądu samego CMA przez Ministerstwo Spraw Wewnętrznych.
„Rozważamy ulepszenie zabezpieczeń, intensywnie współpracując z branżą bezpieczeństwa cybernetycznego, organami ścigania, prokuratorami i właścicielami systemów. Jednak dotychczasowe zaangażowanie nie doprowadziło do konsensusu w tej kwestii, choćby w branży, i to nas w tej chwili powstrzymuje – jesteśmy jednak absolutnie zdeterminowani, aby kontynuować tę sprawę i osiągnąć konsensus w sprawie dalszych działań.” powiedziała.
„Konkretne poprawki… są przedwczesne, ponieważ potrzebujemy silniejszego konsensusu w sprawie dalszych działań, pomimo wszystkich dobrych powodów… podanych jako ważne, abyśmy zaktualizowali prawodawstwo. Mając na uwadze te obawy i powody, mam nadzieję, iż szlachetny Pan [Holmes] będzie mógł wycofać swoją poprawkę” – powiedział Jones.
Katharina Sommer, szefowa grupy ds. rządowych w firmie cybernetycznej Grupa NCKstwierdziła, iż jest zachwycona tak żarliwymi wezwaniami do reform oraz iż sesja słusznie uwypukliła przestarzały charakter CMA i sposób, w jaki powstrzymuje ona specjalistów ds. bezpieczeństwa cybernetycznego.
„Potrzebujemy obrony prawnej, takiej jak ta zaproponowana w mile widzianej poprawce lorda Holmesa, aby umożliwić niezakłócone kontynuowanie tej istotnej pracy w czasie, gdy zagrożenie cybernetyczne stale rośnie. Reforma CMA otworzy ogromne możliwości, wzmocni naszą obronę i pomoże Wielkiej Brytanii konkurować na arenie światowej” – powiedziała.
„Pocieszające jest to, iż minister uznaje potrzebę zapewnienia ochrony prawnej legalnych działań związanych z bezpieczeństwem cybernetycznym i słyszy o jej determinacji w osiągnięciu konsensusu w sprawie dalszych działań, szczególnie w związku z niedawnym zaangażowaniem jej kolegi, ministra bezpieczeństwa, w dokonanie przeglądu CMA, – powiedział Sommer.
„Mamy szczerą nadzieję, iż wszystkie osoby zaangażowane w zapewnienie bezpieczeństwa Wielkiej Brytanii w cyberprzestrzeni są przygotowane do współpracy i znalezienia kompromisu, zamiast ryzykować impas. Z niecierpliwością czekamy na współpracę z rządem i wszystkimi partnerami, aby zapewnić, iż brytyjskie przepisy dotyczące cyberbezpieczeństwa odzwierciedlają zagrożenia XXI wieku”.
Rozczarowanie
Andrew Jones, dyrektor ds. strategii w Schemat cybernetycznyzwolennik Kampania CyberUp reformy prawa, powiedział: „Chociaż jesteśmy nieco rozczarowani decyzją rządu o niewykorzystaniu okazji do wprowadzenia ustawy o nadużyciach komputerowych w XXI wieku, ośmielają nas ich niedawne komentarze sugerujące, iż rozważana jest rewizja tej ustawy. Do tego czasu CMA pozostanie przestarzałym aktem prawnym, uniemożliwiającym naszym specjalistom ds. bezpieczeństwa cybernetycznego skuteczną obronę organizacji i pozostawiającym nas w tyle za innymi krajami, w miarę jak Stany Zjednoczone i UE będą dążyć do zapewnienia etycznej pracy w zakresie bezpieczeństwa cybernetycznego jako kamienia węgielnego odporności narodowej.
„Ponieważ dyrektor generalny Narodowego Centrum Bezpieczeństwa Cybernetycznego przyznał niedawno, iż wroga aktywność w brytyjskiej cyberprzestrzeni wzrosła pod względem „częstotliwości, wyrafinowania i intensywności”, niezwykle ważne jest, aby Wielka Brytania podjęła działania w celu zwiększenia swojej odporności cybernetycznej.
Dodał: „Proponowana przez nas ustawowa obrona – opracowana po konsultacjach z ekspertami branżowymi i prawnymi – chroniłaby legalnych specjalistów ds. bezpieczeństwa cybernetycznego, wzmacniałaby brytyjską obronę cybernetyczną i wzmacniała jej pozycję jako lidera bezpieczeństwa cybernetycznego. Jesteśmy w pełni przygotowani do współpracy z rządem, aby pomóc we wprowadzeniu tej niezbędnej zmiany w przyszłości, gdy tylko będzie on gotowy do działania.”