Ustawa o danych: czas na cyberprzemoc

cyberfeed.pl 5 dni temu


w ostatnie obrady nad ustawą o wykorzystaniu i dostępie do danych w Izbie Lordów przedstawiłem dwie poprawki, aby zapewnić znacznie spóźnioną aktualizację ustawy Computer Misuse Act (CMA) z 1990 r. Przygotowując projekt ustawy do etapu komisji, jestem niezmiernie wdzięczny wszystkim osobom zaangażowanym w prace nad tą ustawą Kampania CyberUpich analizy i komentarze są zawsze idealnie trafne.

Chyba nie muszę robić prób tło dla CMAwiele osób będzie doskonale świadomych tej ustawy i jej niedociągnięć. Co ciekawe, w ciągu trzydziestu czterech i pół roku, pomimo wstrząsających zmian w naszym społeczeństwie i technologiach – przede wszystkim wzrostu zagrożeń cyberbezpieczeństwa – ustawa pozostaje niezmieniona.

Powiedziawszy to, trochę się pokusiłem, gdyż tak się składa, iż ​​ustawa została pierwotnie opracowana w celu ochrony central telefonicznych w 1990 r., kiedy zaledwie 0,5% społeczeństwa miało dostęp do Internetu.

CMA była pierwszą brytyjską ustawą dotyczącą przestępczości komputerowej, wprowadzoną w następstwie ataku na Prestel w połowie lat 80. Każdy, kto nie ukończył 40. roku życia, prawdopodobnie zastanawia się, kim był Prestel – prekursor internetowych usług internetowych uruchomionych przez Pocztę w 1979 r. – co tylko potwierdza tę kwestię.

Znacząca zmiana

Moje poprawki do nowej ustawy o danych dążyć do osiągnięcia bardzo wyraźnej i materialnie istotnej zmiany, aby umożliwić specjalistom ds. bezpieczeństwa cybernetycznego wykonanie tego, o co ich poprosiliśmy, bez konieczności wiązania im przez przepisy co najmniej jednej ręki za plecami.

Trzydzieści cztery lata później CMA przez cały czas reguluje sposób, w jaki zwalczamy cyberprzestępców. W obecnym brzmieniu ustawa w sposób niezamierzony kryminalizuje uzasadnione badania nad bezpieczeństwem cybernetycznym. Obejmuje to dużą część badań podatności na zagrożenia i działań związanych z analizą zagrożeń, które mają najważniejsze znaczenie dla ochrony Wielkiej Brytanii przed coraz bardziej wyrafinowanymi cyberatakami.

Zasadniczo uniemożliwia badaczom zajmującym się bezpieczeństwem cybernetycznym prowadzenie niezbędnych prac mających na celu ochronę Wielkiej Brytanii, w tym krytycznej infrastruktury krajowej. Chociaż poprawa dostępu do danych jest pozytywnym posunięciem, równie ważna jest modernizacja przepisów dotyczących bezpieczeństwa cybernetycznego, aby chronić nie tylko dane, ale także systemy, które się na nich opierają.

Pełna treść moich poprawek jest następująca:

Wykorzystywanie danych: definicja nieuprawnionego dostępu do programów komputerowych lub danych

W art. 17 ustawy o nadużyciach komputerowych z 1990 r. na końcu podsekcji (5) wstaw:

„c) nie ma uzasadnionego przekonania, iż ​​osoba uprawniona do kontroli tego rodzaju dostępu do programu lub danych wyraziłaby zgodę na ten dostęp, gdyby wiedziała o tym dostępie i jego okolicznościach, w tym o powodach ubiegania się o niego , I

d) nie są upoważnieni na mocy ustawy, przepisu prawa lub postanowienia sądu lub trybunału do dostępu tego rodzaju do programu lub danych.

Wykorzystywanie danych: obrona przed oskarżeniami na podstawie ustawy o nadużyciach komputerowych z 1990 r

(1) W ustawie Computer Misuse Act z 1990 r. wprowadza się następujące zmiany.

(2) W ust. 1 po podpunkcie (3) dodaje się:

(4) Obroną przed zarzutem określonym w podpunkcie (1) jest udowodnienie, że:

a) działania danej osoby były niezbędne do wykrycia przestępstwa lub zapobieżenia przestępstwu, lub

b) działania danej osoby były uzasadnione względami interesu publicznego.

(3) W ust. 3 po podpunkcie (6) dodaje się:

(7) Jest to obrona przed zarzutem, o którym mowa w ust. (1) w związku z czynem dokonanym w zamiarze określonym w ust. (2) (b) lub (c), aby udowodnić, że:

a) działania danej osoby były niezbędne do wykrycia lub zapobieżenia

przestępstwa lub

b) działania danej osoby były uzasadnione względami interesu publicznego.

Jak powiedziałem podczas debaty, nie wierzcie mi na słowo, Narodowe Centrum Cyberbezpieczeństwa przyznało, iż istnieje coraz większa rozbieżność między zagrożeniami, przed którymi stoi Wielka Brytania, a jej zdolnością do ich złagodzenia w w swoim rocznym przeglądzie za 2024 rwyraźnie stwierdzając, iż „aktualizacja tego przestarzałego prawodawstwa jest kluczowym krokiem w kierunku wypełnienia tej luki”.

Obrona ustawowa

Wprowadzenie ustawowej obrony zapewniłoby jasność prawa i ochronę etycznych specjalistów ds. bezpieczeństwa cybernetycznego podejmujących legalne badania podatności na zagrożenia i działania związane z analizą zagrożeń. Taka obrona dostosowałaby Wielką Brytanię do najlepszych praktyk na arenie międzynarodowej, zapewniając dotrzymanie kroku krajom takim jak USA i UE, które dążą do zapewnienia etycznej pracy w zakresie bezpieczeństwa cybernetycznego.

Dla porównania, od maja 2021 r. odnotowano dziewięć milionów przypadków cyberprzestępczości wobec brytyjskich przedsiębiorstw i organizacji charytatywnych. Badanie Departamentu Nauki, Innowacji i Technologii dotyczące naruszeń cybernetycznych w 2024 ropublikowany w kwietniu 2024 r. Połowa firm i 32% organizacji charytatywnych ucierpiała w zeszłym roku w wyniku naruszenia bezpieczeństwa cybernetycznego lub ataku, a szacowany potencjał wzrostu przychodów dla sektora po aktualizacji wynosi 2,4 miliarda funtów.

Analiza oparta na Najnowszy raport branżowy CyberUp sugeruje, iż 60% respondentów stwierdziło, iż CMA stanowi przeszkodę w ich pracy w zakresie analizy zagrożeń i badań podatności na zagrożenia, a 80% uważa, iż ​​ze względu na CMA Wielka Brytania znajduje się w niekorzystnej sytuacji konkurencyjnej.

Kończąc swoje wystąpienie zapytałem, czy minister mógłby przedstawić aktualne informacje na temat prac nad reformą ustawy o nadużyciach komputerowych? Zapytałem ją również, czy wierzy, iż moje poprawki w brzmieniu zapewnią ochronę prawną, o którą zabiegamy, a jeżeli tak, to dlaczego rząd nie wprowadzi ich w życie dzięki ustawy o danych.

Odpowiedzi ministra na oba pytania były w dużej mierze takie same – musimy poczekać, poprawki są „przedwczesne”, wśród osób, które odpowiedziały na ubiegłoroczne konsultacje w tej sprawie, nie było konsensusu, zatem należy podążać naprzód bez harmonogramu i przewidywania, kiedy ta najpilniejsza kwestia zostanie rozwiązana.

Jeśli rząd potrzebuje wsparcia publicznego, aby przyspieszyć realizację tego projektu, co powiesz na fakt, iż dwie trzecie dorosłych Wielkiej Brytanii jest skłonnych poprzeć zmianę prawa, która umożliwi specjalistom ds. bezpieczeństwa cybernetycznego prowadzenie badań w celu zapobiegania cyberatakom?

Za taką ustawową zmianą przemawia również doskonały raport ówczesnego głównego doradcy naukowego Patricka Vallance’a z początku tego roku, w którym stwierdzono, iż „Zmiana CMA w celu uwzględnienia ustawowej obrony interesu publicznego, która zapewniłaby silniejszą ochronę prawną bezpieczeństwa cybernetycznego badaczy i specjalistów”.

Inne kraje już przodują w tej dziedzinie, zwłaszcza Francja i Holandia. W tym celu Belgia, Niemcy i Malta zmieniają w tej chwili swoje ramy prawne. Jak stwierdziłem podczas debaty, nadszedł czas, aby przyjąć te poprawki, czas zapewnić naszym specjalistom ds. bezpieczeństwa cybernetycznego bezpieczeństwo, którego potrzebują, aby mogli zrobić to samo dla nas, nas wszystkich. Jak to miało miejsce już zbyt długo – przyszedł czas na CyberUp.



Source link

Idź do oryginalnego materiału