Търсене
Close this search box.

Какво представлява Законът за злоупотреба с компютри?

Ако компютърните ви системи бъдат атакувани, достатъчно ефективен ли е Законът за компютърните злоупотреби, за да вкара престъпниците зад решетките?

Тъй като през последните няколко десетилетия употребата и разпространението на персонални компютри се увеличиха, законодателите се стремят да създадат закони, които да регламентират начина на защита на цифрово съхраняваната информация.

Законът за злоупотреба с компютри (Computer Misuse Act – CMA) е въведен във Великобритания през далечната 1990 г., за да установи различни правила за това какво означава законен достъп до данни в компютърна система. Основната цел на закона беше да криминализира неразрешения достъп до данни, както и промяната на информация без съгласието на собственика. Това е и първият закон в тази сфера в света.

Делото от 1978 г. Regina v Gold and Schifreen, което формира голяма част от мотивите и основанията за закона, е свързано с двама хакери, които получават неоторизиран достъп до системи, собственост на британския телекомуникационен гигант BT, като използват откраднати идентификационни данни на служители.

В крайна сметка двете лица са признати за виновни по силата на тогавашния Закон за фалшифициране и подправяне от 1981 г., но по-късно това решение е отменено при обжалване на основание, че хакерската атака не е била извършена с цел извличане на печалба, което е разпоредба на закона. Случаят в крайна сметка разкрива недостатъците на съществуващото законодателство, което предизвиква призиви за нещо ново.

Законът за компютърните злоупотреби се появява девет години по-късно и оттогава е актуализиран няколко пъти, за да отрази промените в начина на обработка и съхранение на цифровата информация и напредъка в технологиите. Най-значителната от тези актуализации е от 2015 г., като са добавени разпоредби за атаки, които причиняват имуществени вреди, както и по-добро съгласуване със законите на ЕС.

Въпреки това сега мнозина смятат, че Законът за компютърните злоупотреби е значително остарял и че е необходимо или значително преразглеждане, или изцяло нов закон, за да се отговори на настоящите заплахи, пред които са изправени предприятията и гражданите.

Наказания по Закона за компютърните злоупотреби

Съществуват три степени на наказание, ако сте преследвани по Закона за компютърните злоупотреби, които се прилагат пропорционално на тежестта на деянието.

Съгласно Закона за компютърните злоупотреби е незаконно да получите достъп до компютър без разрешение (официално известен като „неоторизиран достъп до компютър“). За това ви грози наказание до две години лишаване от свобода и глоба в размер на 5 000 GBP.

Ако получите достъп до компютър без разрешение, за да откраднете данни или да участвате в друго престъпление, като например да използвате тези данни за извършване на измама, ще бъдете съдени по второто ниво на наказание. За това ви заплашва присъда до 10 години затвор и може да получите неограничена глоба. Размерът на наказанието зависи от тежестта на конкретния случай, а прокуратурата трябва да докаже, че сте имали намерение да извършите друго престъпление с незаконния достъп, което може да е трудно.

На трето място, ако промените съдържанието на компютър или предоставите инструментите, за да могат други да го направят, например ако продавате софтуер за откуп с намерението други да променят или унищожат съдържанието на компютър, може да ви бъде наложено наказание лишаване от свобода до десет години, както и неограничена глоба.

Ако потенциалните вреди се разпростират до причиняване на вреда на човешкото благосъстояние или застрашават националната сигурност, присъдата може да достигне до доживотен затвор.

Закон за компютърните злоупотреби – обобщение, разширяване и противоречия

От само себе си се разбира, че през десетилетията след 1990 г. цифровият пейзаж се е променил до неузнаваемост. За разлика от него, Законът за компютърните престъпления е останал повече или по-малко същият, с изключение на отделни разпоредби, които са направени в него.

Това обяснява защо законодателството е силно критикувано за това, че е остаряло. През 1990 г., когато е приет  като закон, достъпът до компютри далеч не е бил обичаен. Ако сте имали достъп до такъв, то той обикновено е бил по работа; уебсайтове все още не са съществували.

В днешно време повечето потребители жонглират с устройства като смартфони, лаптопи и таблети както на работното място, така и в личния си живот. Технологиите проникват в структурата на живота ни по начин, който е бил немислим за повечето хора през 1990 г., и формулировката на Закона не може да отчете разпространението на тези основни устройства.

С развитието на технологиите се променя и пейзажът на заплахите. През 1990 г. методите, чрез които потребителите можеха да причинят вреда, използвайки компютри, бяха изключително ограничени и следователно законът имаше доста опростено тълкуване на това какво представлява злонамерено действие. От 1990 г. насам обаче потребителите на компютри станаха много по-грамотни в цифрово отношение, а цели поколения израснаха с компютри.

Въпреки че увеличаването на новите технологични умения е положителен знак, то означава също, че има повече хакери от всякога и че киберпрестъпленията могат да бъдат извършени по все повече начини. Законодателите многократно са били принудени да променят закона, за да се адаптират към новите онлайн заплахи. Например, в актуализациите на закона бяха добавени определения за методите за кибератаки, които престъпниците могат да извършват, както и разглеждането на подготовката, необходима за извършване на атака, като злонамерено действие само по себе си.

Тези допълнения обаче далеч не са панацея, а в много случаи просто усложняват правния пейзаж, в който трябва да се ориентират законните потребители на компютри. Раздел 37 от Закона за полицията и правосъдието от 2006 г. например е една от многото разпоредби, които са подложени на критики заради недобре замисления си обхват. В раздел 3А се посочва, че изработването, доставката или придобиването на предмети, предназначени за злонамерено действие с помощта на компютър, се категоризира като престъпна дейност. Съгласно това законодателство притежаването на хакерски софтуер или инструменти за експлоатиране е престъпление, дори ако сте хакер с „бяла шапка“, който ги използва за етично хакерство или за проучване на заплахи за сигурността.

В тези случаи е незаконно да притежавате инструментите, необходими за изпълнение на работата ви, и много представители на индустрията обвиняват закона, че ги ограничава неоправдано. Ако се стигне дотам, съдията вероятно ще прояви разбиране към начина, по който се използват тези инструменти. Но кой иска да отиде в съда за това, че не е направил нищо нередно?

Законодателството беше допълнително изменено през 2015 г. благодарение на Закона за тежката престъпност, който включваше конкретни пасажи за злоупотребата с компютри и въведе три изменения в първоначалния закон. Измененията в раздел 3ZA определиха неразрешените действия, причиняващи сериозни щети, като престъпления и въведоха Директивата на ЕС относно атаките срещу информационни системи в законодателството на Обединеното кралство. Той също така имаше за цел да изясни „спестяващата“ разпоредба, която защитава правоприлагащите органи от наказателно преследване за действия, извършени с компютри в рамките на правомощия за инспекция или проверка.

В информационен бюлетин правителството заяви, че новото престъпление за неразрешени действия, причиняващи сериозни щети, „е насочено към най-сериозните кибератаки, например тези срещу основни системи, контролиращи електроснабдяването, комуникациите, разпределението на храни или горива“. Атаките срещу критичната инфраструктура се увеличават, като нахлуването на Русия в Украйна доведе до безпрецедентно ниво на кибератаки срещу критичната национална инфраструктура (КНИ) на обсадената страна.

До приемането на тази разпоредба най-тежкото престъпление, обхванато от закона, беше престъплението по член 3 за неразрешен достъп с цел влошаване на работата на компютър, за което, както вече беше посочено, се предвижда максимална санкция от 10 години. Правителството твърди, че това „не отразява в достатъчна степен степен личните и икономическите вреди, които може да причини една голяма кибератака срещу критични системи“. Поради това осъждането по новото престъпление може да доведе до по-тежка присъда – до 14 години лишаване от свобода.

Промените, направени във връзка с Директивата на ЕС относно атаките срещу информационни системи, разшириха екстериториалната юрисдикция, като увеличиха лекотата, с която киберпрестъпниците, използващи Обединеното кралство като база за операции, могат да бъдат преследвани. Тя се прилага, дори ако те не се намират физически на територията на Обединеното кралство, и също така позволява на полицията и Кралската прокуратура (Crown Prosecution Service – CPS) да преследват  жители на Обединеното кралство за киберпрестъпления, извършени в чужбина.

Разпоредбата, отнасяща се до защитата на правоприлагащите органи, които имат достъп до компютри в процеса на разследване, предизвика много спорове. Правителството твърди, че промените са направени, „за да се премахне всякакво двусмислие за законосъобразното използване на правомощията за разследване на престъпления (например съгласно част 3 от Закона за полицията от 1997 г.) и взаимодействието на тези правомощия с престъпленията в Закона от 1990 г.“.

„Промените не разширяват правомощията на правоприлагащите органи, а само изясняват използването на съществуващите правомощия (произтичащи от други нормативни актове, където и да са упражнявани) в контекста на престъпленията в Закона от 1990 г.“, допълва той.

Групи за защита на гражданските права, сред които и Международната организация за защита на личните данни, обаче твърдят, че промените са твърде широки и че пълното законово освобождаване на полицията и шпионските агенции като MI5 е прекомерно и неоправдано. Privacy International изрази загриженост в дело пред Европейския съд по правата на човека заедно с още пет жалбоподатели.

Подходящ ли е Законът за компютърните злоупотреби?

През последните години многократно са отправяни призиви за реформиране или премахване на CMA, като много изследователи в областта на сигурността и специалисти в областта на правоприлагането се позовават на неговата способност да се справи със сложността на съвременните компютри.

Мнозина ще подчертаят лошите резултати на закона в подкрепа на наказателните разследвания, като по-малко от 1 % от разследваните през 2019 г. в Обединеното кралство престъпления, свързани с компютърно хакерство, са довели до наказателно преследване. Голяма част от критиките обаче падат върху ограниченията, наложени от определенията на закона, и неспособността му да прави разлика между криминално и етично хакерство.

ОПРЕДЕЛЕНИЕТО ЗА „КОМПЮТЪР“ Е ОСТАРЯЛО

Може би най-очевидната критика е, че законът представя времето, когато компютърът се е наричал предимно настолен компютър. В това отношение той не отчита голяма част от иновациите на 21-ви век, което го поставя в значително изоставане от състоянието на съвременния свят.

„Законът за злоупотреба с компютри от 1990 г. съдържа няколко въпроса, които прилагат субективност, когато тестът трябва да бъде обективност“, твърди Тим Маки, главен стратег по сигурността в Изследователския център за киберсигурност на Synopsys. „Терминът „компютър“ не е дефиниран, а съвременното определение за „компютър“ вероятно се е променило през изминалите тридесет години.“

Тази липса на ясно определение създава „сива зона“, добавя Маки, в която прокурорите са принудени да прилагат закона въз основа на субективно тълкуване, а не на обективна информация.

„Това може да доведе до интересни сценарии, които да поставят под въпрос дали смартфонът, камерата за детегледачки, свързаната с Wi-Fi съдомиялна машина или системата за видеонаблюдение са всъщност компютри – въпреки реалността, че всяко от тези устройства често работи с операционна система с общо предназначение, свързано е с мрежа и изпълнява софтуер по нареждане на своя потребител.“

РАЗБИРАНЕТО ЗА КИБЕРПРЕСТЪПЛЕНИЯТА Е ОСТАРЯЛО.

Друга област, по която повечето хора изглежда са съгласни, е, че киберпрестъпността се е развила извън обхвата на ЗКП.

„Видовете престъпления, с които законът първоначално е бил предназначен да се бори, всъщност намаляват – но нови заплахи се появяват сякаш всеки месец“, казва Питър Яп, съдружник в адвокатската кантора Schillings и бивш заместник-директор на Националния център за киберсигурност (NCSC) на Обединеното кралство. „Например, хакерските атаки с цел изнудване са се увеличили почти двойно през последната година, докато съобщенията за вируси/зловреден софтуер са намалели. Това подчертава един от основните недостатъци на Закона – еволюцията от използване на компютри за извършване на измами до превръщането на компютъра в основен канал за измама.“

Субективното тълкуване на закона в крайна сметка вбива клин между правната система и изследователите в областта на сигурността, а някои твърдят, че съдиите често изглежда не разбират по-широките проблеми, пред които е изправена индустрията.

„По същество Законът не работи в полза на специалистите по киберсигурност, служителите на правоприлагащите органи, Кралската прокуратура и съдилищата“, добавя Яп. „Още по-тревожно е, че съдиите изглежда не разбират проблемите. Например се предполага, че Кралският съд в Саутуърк е специализиран център за измами, който разглежда по-голямата част от сериозните и големи дела за измами в Англия и Уелс, но нивото му на разбиране на компютърните престъпления не е достатъчно, за да улесни значителен брой успешни съдебни преследвания. През последните пет години полицията отдели много повече ресурси за тази област, но докато всеки полицейски служител не разбере киберпрестъпленията, ние ще си играем на догонващи.“

Ричард Милет, мениджър развитие на обучението във Firebrand Training и редовен съветник по киберсигурност за полицейските сили в Обединеното кралство, обяснява, че много случаи на киберпрестъпления вместо това се разглеждат по друго законодателство, като например измама и кражба, не само поради липсата на дефиниции, но и защото то позволява да се налагат по-строги наказания.

„Ако погледнете тарифите за различните раздели по Закона [за компютърните злоупотреби], ще видите, че определените наказания не съответстват на тежестта на някои от извършените престъпления“, казва Милет. „Едва когато погледнете раздел 3за, който обхваща „причиняване или създаване на риск от сериозни щети“, виждате неща като „доживотен затвор“. Финансовите и икономическите щети, които са нанесени от някои лица, не са отразени в наложените наказания, които в много случаи достигат милиони.“

ЕТИЧНОТО ХАКЕРСТВО Е ТЕХНИЧЕСКИ НЕЗАКОННО 

Най-голямото предизвикателство пред изследователите в областта на киберсигурността, които се опитват да работят в рамките на закона, е липсата на разграничение между криминално и етично хакерство.

Както обяснява Роб Шутър, управляващ партньор на адвокатската кантора Fieldfisher, пред IT Pro, много представители на бранша твърдят, че престъпленията за хакерство съгласно ЗКЗ са твърде „широкообхватни“, което оставя на изследователите на киберсигурността малко правни възможности за извършване на етично хакерство срещу киберпрестъпници.

Законът определя недоброволния достъп до компютърна система като престъпление, независимо от намеренията или ползите, които могат да възникнат в резултат на действието. От техническа гледна точка това означава, че функциите, извършвани от изследователите с цел анализиране на потенциални заплахи, от сканиране, претърсване на файлове или сондиране на компрометирани системи, са незаконни, освен ако не е дадено съгласие както от жертвата, така и от извършителя на престъплението.

„Като пример мога да посоча, че в САЩ има множество компании, които предлагат услуги за сканиране на уязвимостите на разширената верига на доставки, докато в Обединеното кралство има малко, ако изобщо има такива, компании, които предлагат същата услуга“, обяснява Яп.

Въпреки че тази формалност може да ограничи действията на етичното хакерство или да накара някои да се опасяват от потенциално съдебно преследване, Яп добавя, че не знае за случаи, в които изследователи от Обединеното кралство да са били санкционирани от правоприлагащите органи като пряк резултат от работата им.

Източник: itpro.co.uk

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!