Ако компютърните ви системи бъдат атакувани, достатъчно ефективен ли е Законът за компютърните злоупотреби, за да вкара престъпниците зад решетките?
Тъй като през последните няколко десетилетия употребата и разпространението на персонални компютри се увеличиха, законодателите се стремят да създадат закони, които да регламентират начина на защита на цифрово съхраняваната информация.
Законът за злоупотреба с компютри (Computer Misuse Act – CMA) е въведен във Великобритания през далечната 1990 г., за да установи различни правила за това какво означава законен достъп до данни в компютърна система. Основната цел на закона беше да криминализира неразрешения достъп до данни, както и промяната на информация без съгласието на собственика. Това е и първият закон в тази сфера в света.
Делото от 1978 г. Regina v Gold and Schifreen, което формира голяма част от мотивите и основанията за закона, е свързано с двама хакери, които получават неоторизиран достъп до системи, собственост на британския телекомуникационен гигант BT, като използват откраднати идентификационни данни на служители.
В крайна сметка двете лица са признати за виновни по силата на тогавашния Закон за фалшифициране и подправяне от 1981 г., но по-късно това решение е отменено при обжалване на основание, че хакерската атака не е била извършена с цел извличане на печалба, което е разпоредба на закона. Случаят в крайна сметка разкрива недостатъците на съществуващото законодателство, което предизвиква призиви за нещо ново.
Законът за компютърните злоупотреби се появява девет години по-късно и оттогава е актуализиран няколко пъти, за да отрази промените в начина на обработка и съхранение на цифровата информация и напредъка в технологиите. Най-значителната от тези актуализации е от 2015 г., като са добавени разпоредби за атаки, които причиняват имуществени вреди, както и по-добро съгласуване със законите на ЕС.
Въпреки това сега мнозина смятат, че Законът за компютърните злоупотреби е значително остарял и че е необходимо или значително преразглеждане, или изцяло нов закон, за да се отговори на настоящите заплахи, пред които са изправени предприятията и гражданите.
Съществуват три степени на наказание, ако сте преследвани по Закона за компютърните злоупотреби, които се прилагат пропорционално на тежестта на деянието.
Съгласно Закона за компютърните злоупотреби е незаконно да получите достъп до компютър без разрешение (официално известен като „неоторизиран достъп до компютър“). За това ви грози наказание до две години лишаване от свобода и глоба в размер на 5 000 GBP.
Ако получите достъп до компютър без разрешение, за да откраднете данни или да участвате в друго престъпление, като например да използвате тези данни за извършване на измама, ще бъдете съдени по второто ниво на наказание. За това ви заплашва присъда до 10 години затвор и може да получите неограничена глоба. Размерът на наказанието зависи от тежестта на конкретния случай, а прокуратурата трябва да докаже, че сте имали намерение да извършите друго престъпление с незаконния достъп, което може да е трудно.
На трето място, ако промените съдържанието на компютър или предоставите инструментите, за да могат други да го направят, например ако продавате софтуер за откуп с намерението други да променят или унищожат съдържанието на компютър, може да ви бъде наложено наказание лишаване от свобода до десет години, както и неограничена глоба.
Ако потенциалните вреди се разпростират до причиняване на вреда на човешкото благосъстояние или застрашават националната сигурност, присъдата може да достигне до доживотен затвор.
От само себе си се разбира, че през десетилетията след 1990 г. цифровият пейзаж се е променил до неузнаваемост. За разлика от него, Законът за компютърните престъпления е останал повече или по-малко същият, с изключение на отделни разпоредби, които са направени в него.
Това обяснява защо законодателството е силно критикувано за това, че е остаряло. През 1990 г., когато е приет като закон, достъпът до компютри далеч не е бил обичаен. Ако сте имали достъп до такъв, то той обикновено е бил по работа; уебсайтове все още не са съществували.
В днешно време повечето потребители жонглират с устройства като смартфони, лаптопи и таблети както на работното място, така и в личния си живот. Технологиите проникват в структурата на живота ни по начин, който е бил немислим за повечето хора през 1990 г., и формулировката на Закона не може да отчете разпространението на тези основни устройства.
С развитието на технологиите се променя и пейзажът на заплахите. През 1990 г. методите, чрез които потребителите можеха да причинят вреда, използвайки компютри, бяха изключително ограничени и следователно законът имаше доста опростено тълкуване на това какво представлява злонамерено действие. От 1990 г. насам обаче потребителите на компютри станаха много по-грамотни в цифрово отношение, а цели поколения израснаха с компютри.
Въпреки че увеличаването на новите технологични умения е положителен знак, то означава също, че има повече хакери от всякога и че киберпрестъпленията могат да бъдат извършени по все повече начини. Законодателите многократно са били принудени да променят закона, за да се адаптират към новите онлайн заплахи. Например, в актуализациите на закона бяха добавени определения за методите за кибератаки, които престъпниците могат да извършват, както и разглеждането на подготовката, необходима за извършване на атака, като злонамерено действие само по себе си.
Тези допълнения обаче далеч не са панацея, а в много случаи просто усложняват правния пейзаж, в който трябва да се ориентират законните потребители на компютри. Раздел 37 от Закона за полицията и правосъдието от 2006 г. например е една от многото разпоредби, които са подложени на критики заради недобре замисления си обхват. В раздел 3А се посочва, че изработването, доставката или придобиването на предмети, предназначени за злонамерено действие с помощта на компютър, се категоризира като престъпна дейност. Съгласно това законодателство притежаването на хакерски софтуер или инструменти за експлоатиране е престъпление, дори ако сте хакер с „бяла шапка“, който ги използва за етично хакерство или за проучване на заплахи за сигурността.
В тези случаи е незаконно да притежавате инструментите, необходими за изпълнение на работата ви, и много представители на индустрията обвиняват закона, че ги ограничава неоправдано. Ако се стигне дотам, съдията вероятно ще прояви разбиране към начина, по който се използват тези инструменти. Но кой иска да отиде в съда за това, че не е направил нищо нередно?
Законодателството беше допълнително изменено през 2015 г. благодарение на Закона за тежката престъпност, който включваше конкретни пасажи за злоупотребата с компютри и въведе три изменения в първоначалния закон. Измененията в раздел 3ZA определиха неразрешените действия, причиняващи сериозни щети, като престъпления и въведоха Директивата на ЕС относно атаките срещу информационни системи в законодателството на Обединеното кралство. Той също така имаше за цел да изясни „спестяващата“ разпоредба, която защитава правоприлагащите органи от наказателно преследване за действия, извършени с компютри в рамките на правомощия за инспекция или проверка.
В информационен бюлетин правителството заяви, че новото престъпление за неразрешени действия, причиняващи сериозни щети, „е насочено към най-сериозните кибератаки, например тези срещу основни системи, контролиращи електроснабдяването, комуникациите, разпределението на храни или горива“. Атаките срещу критичната инфраструктура се увеличават, като нахлуването на Русия в Украйна доведе до безпрецедентно ниво на кибератаки срещу критичната национална инфраструктура (КНИ) на обсадената страна.
До приемането на тази разпоредба най-тежкото престъпление, обхванато от закона, беше престъплението по член 3 за неразрешен достъп с цел влошаване на работата на компютър, за което, както вече беше посочено, се предвижда максимална санкция от 10 години. Правителството твърди, че това „не отразява в достатъчна степен степен личните и икономическите вреди, които може да причини една голяма кибератака срещу критични системи“. Поради това осъждането по новото престъпление може да доведе до по-тежка присъда – до 14 години лишаване от свобода.
Промените, направени във връзка с Директивата на ЕС относно атаките срещу информационни системи, разшириха екстериториалната юрисдикция, като увеличиха лекотата, с която киберпрестъпниците, използващи Обединеното кралство като база за операции, могат да бъдат преследвани. Тя се прилага, дори ако те не се намират физически на територията на Обединеното кралство, и също така позволява на полицията и Кралската прокуратура (Crown Prosecution Service – CPS) да преследват жители на Обединеното кралство за киберпрестъпления, извършени в чужбина.
Разпоредбата, отнасяща се до защитата на правоприлагащите органи, които имат достъп до компютри в процеса на разследване, предизвика много спорове. Правителството твърди, че промените са направени, „за да се премахне всякакво двусмислие за законосъобразното използване на правомощията за разследване на престъпления (например съгласно част 3 от Закона за полицията от 1997 г.) и взаимодействието на тези правомощия с престъпленията в Закона от 1990 г.“.
„Промените не разширяват правомощията на правоприлагащите органи, а само изясняват използването на съществуващите правомощия (произтичащи от други нормативни актове, където и да са упражнявани) в контекста на престъпленията в Закона от 1990 г.“, допълва той.
Групи за защита на гражданските права, сред които и Международната организация за защита на личните данни, обаче твърдят, че промените са твърде широки и че пълното законово освобождаване на полицията и шпионските агенции като MI5 е прекомерно и неоправдано. Privacy International изрази загриженост в дело пред Европейския съд по правата на човека заедно с още пет жалбоподатели.
През последните години многократно са отправяни призиви за реформиране или премахване на CMA, като много изследователи в областта на сигурността и специалисти в областта на правоприлагането се позовават на неговата способност да се справи със сложността на съвременните компютри.
Мнозина ще подчертаят лошите резултати на закона в подкрепа на наказателните разследвания, като по-малко от 1 % от разследваните през 2019 г. в Обединеното кралство престъпления, свързани с компютърно хакерство, са довели до наказателно преследване. Голяма част от критиките обаче падат върху ограниченията, наложени от определенията на закона, и неспособността му да прави разлика между криминално и етично хакерство.
ОПРЕДЕЛЕНИЕТО ЗА „КОМПЮТЪР“ Е ОСТАРЯЛО
Може би най-очевидната критика е, че законът представя времето, когато компютърът се е наричал предимно настолен компютър. В това отношение той не отчита голяма част от иновациите на 21-ви век, което го поставя в значително изоставане от състоянието на съвременния свят.
„Законът за злоупотреба с компютри от 1990 г. съдържа няколко въпроса, които прилагат субективност, когато тестът трябва да бъде обективност“, твърди Тим Маки, главен стратег по сигурността в Изследователския център за киберсигурност на Synopsys. „Терминът „компютър“ не е дефиниран, а съвременното определение за „компютър“ вероятно се е променило през изминалите тридесет години.“
Тази липса на ясно определение създава „сива зона“, добавя Маки, в която прокурорите са принудени да прилагат закона въз основа на субективно тълкуване, а не на обективна информация.
„Това може да доведе до интересни сценарии, които да поставят под въпрос дали смартфонът, камерата за детегледачки, свързаната с Wi-Fi съдомиялна машина или системата за видеонаблюдение са всъщност компютри – въпреки реалността, че всяко от тези устройства често работи с операционна система с общо предназначение, свързано е с мрежа и изпълнява софтуер по нареждане на своя потребител.“
РАЗБИРАНЕТО ЗА КИБЕРПРЕСТЪПЛЕНИЯТА Е ОСТАРЯЛО.
Друга област, по която повечето хора изглежда са съгласни, е, че киберпрестъпността се е развила извън обхвата на ЗКП.
„Видовете престъпления, с които законът първоначално е бил предназначен да се бори, всъщност намаляват – но нови заплахи се появяват сякаш всеки месец“, казва Питър Яп, съдружник в адвокатската кантора Schillings и бивш заместник-директор на Националния център за киберсигурност (NCSC) на Обединеното кралство. „Например, хакерските атаки с цел изнудване са се увеличили почти двойно през последната година, докато съобщенията за вируси/зловреден софтуер са намалели. Това подчертава един от основните недостатъци на Закона – еволюцията от използване на компютри за извършване на измами до превръщането на компютъра в основен канал за измама.“
Субективното тълкуване на закона в крайна сметка вбива клин между правната система и изследователите в областта на сигурността, а някои твърдят, че съдиите често изглежда не разбират по-широките проблеми, пред които е изправена индустрията.
„По същество Законът не работи в полза на специалистите по киберсигурност, служителите на правоприлагащите органи, Кралската прокуратура и съдилищата“, добавя Яп. „Още по-тревожно е, че съдиите изглежда не разбират проблемите. Например се предполага, че Кралският съд в Саутуърк е специализиран център за измами, който разглежда по-голямата част от сериозните и големи дела за измами в Англия и Уелс, но нивото му на разбиране на компютърните престъпления не е достатъчно, за да улесни значителен брой успешни съдебни преследвания. През последните пет години полицията отдели много повече ресурси за тази област, но докато всеки полицейски служител не разбере киберпрестъпленията, ние ще си играем на догонващи.“
Ричард Милет, мениджър развитие на обучението във Firebrand Training и редовен съветник по киберсигурност за полицейските сили в Обединеното кралство, обяснява, че много случаи на киберпрестъпления вместо това се разглеждат по друго законодателство, като например измама и кражба, не само поради липсата на дефиниции, но и защото то позволява да се налагат по-строги наказания.
„Ако погледнете тарифите за различните раздели по Закона [за компютърните злоупотреби], ще видите, че определените наказания не съответстват на тежестта на някои от извършените престъпления“, казва Милет. „Едва когато погледнете раздел 3за, който обхваща „причиняване или създаване на риск от сериозни щети“, виждате неща като „доживотен затвор“. Финансовите и икономическите щети, които са нанесени от някои лица, не са отразени в наложените наказания, които в много случаи достигат милиони.“
ЕТИЧНОТО ХАКЕРСТВО Е ТЕХНИЧЕСКИ НЕЗАКОННО
Най-голямото предизвикателство пред изследователите в областта на киберсигурността, които се опитват да работят в рамките на закона, е липсата на разграничение между криминално и етично хакерство.
Както обяснява Роб Шутър, управляващ партньор на адвокатската кантора Fieldfisher, пред IT Pro, много представители на бранша твърдят, че престъпленията за хакерство съгласно ЗКЗ са твърде „широкообхватни“, което оставя на изследователите на киберсигурността малко правни възможности за извършване на етично хакерство срещу киберпрестъпници.
Законът определя недоброволния достъп до компютърна система като престъпление, независимо от намеренията или ползите, които могат да възникнат в резултат на действието. От техническа гледна точка това означава, че функциите, извършвани от изследователите с цел анализиране на потенциални заплахи, от сканиране, претърсване на файлове или сондиране на компрометирани системи, са незаконни, освен ако не е дадено съгласие както от жертвата, така и от извършителя на престъплението.
„Като пример мога да посоча, че в САЩ има множество компании, които предлагат услуги за сканиране на уязвимостите на разширената верига на доставки, докато в Обединеното кралство има малко, ако изобщо има такива, компании, които предлагат същата услуга“, обяснява Яп.
Въпреки че тази формалност може да ограничи действията на етичното хакерство или да накара някои да се опасяват от потенциално съдебно преследване, Яп добавя, че не знае за случаи, в които изследователи от Обединеното кралство да са били санкционирани от правоприлагащите органи като пряк резултат от работата им.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.