Федералното министерство на правосъдието в Германия е изготвило закон, който осигурява правна защита на изследователите в областта на сигурността, които откриват и отговорно съобщават на доставчиците за уязвимости в сигурността.

Когато изследванията в областта на сигурността се извършват в определените граници, отговорните лица ще бъдат изключени от наказателна отговорност и риск от съдебно преследване.

„Тези, които искат да отстранят пропуските в ИТ сигурността, заслужават признание – а не писмо от прокурора“, заяви федералният министър на правосъдието д-р Марко Бушман.

„С този проектозакон ще елиминираме риска от наказателна отговорност за хората, които се заемат с тази важна задача“, споменава министърът в същото изявление.

Освен това с предложеното изменение на наказателното право се въвеждат по-строги наказания за сериозни случаи на шпиониране и прихващане на данни, особено когато целта е критична инфраструктура.

Защита на изследователите в областта на сигурността

Новият проектозакон изменя член 202а от Наказателния кодекс (StGB), за да защити изследователите в областта на информационната сигурност, дружествата и така наречените „хакери“ от наказание по компютърното наказателно право.

Това важи, когато действията им се извършват с цел откриване и отстраняване на уязвимост в сигурността, стига да не се считат за „неразрешени“.

Критериите, на които трябва да отговарят изследванията в областта на сигурността, са следните:

• Действието трябва да бъде извършено с цел идентифициране на уязвимост или друг риск за сигурността на дадена ИТ система.
• Изследователят трябва да възнамерява да докладва за установената уязвимост на сигурността на отговорна структура, която може да се справи с проблема, като например системния оператор, производителя на софтуер или Федералната служба за информационна сигурност (BSI).
• Актът на достъп до системата трябва да е необходим за идентифициране на уязвимостта. Това гарантира, че освобождаването се прилага само до степента, необходима за тестване на сигурността, без ненужен или прекомерен достъп.

Същото изключване от наказателна отговорност се прилага и за престъпления, свързани с прихващане на данни (§ 202b StGB) и промяна на данни (§ 303a StGB), стига съответните действия да се считат за разрешени.

В същото време проектът за допълнение въвежда наказание от три месеца до пет години лишаване от свобода за тежки случаи на злонамерено шпиониране и прихващане на данни (§ 202а StGB).

Що се отнася до това какво представлява тежък случай, проектозаконът споменава следните случаи:

• Престъплението води до значителни финансови щети.
• Деянието е мотивирано от стремеж към печалба, извършено е в търговски мащаб или е извършено като част от престъпна организация.
  Случаи, които компрометират критична инфраструктура – като болници, доставчици на енергия или транспортни мрежи – или засягат сигурността на Германия или на някоя от нейните провинции, включително атаки с произход от чужбина.

Повече информация за проектозакона и предложените изменения можете да намерите тук (немски език)

Федералните провинции и заинтересованите асоциации са го получили за преглед и имат срок до 13 декември 2024 г. да представят своите становища, преди той да бъде представен на Бундестага за обсъждане в парламента.

През май 2022 г. Министерството на правосъдието на САЩ обяви подобна ревизия на Закона за компютърните измами и злоупотреби (Computer Fraud and Abuse Act – CFAA), с която се въвеждат изключения от наказателно преследване за „добросъвестни“ изследователи в областта на сигурността.