Промени в португалския закон за киберпрестъпления създават правна защита за етичните хакери и ясно разграничават добросъвестното изследване от незаконните атаки.
Законова революция в полза на добросъвестната киберсигурност
Португалия официално промени своя закон за киберпрестъпления, като въведе правна защита („safe harbor“) за етичните изследователи на сигурността, работещи добросъвестно. Новият член 8.o-A, озаглавен „Действия, ненаказуеми поради обществен интерес в киберсигурността“, представлява значителна стъпка към легитимирането на отговорното изследване на уязвимости.
Промяната е забелязана за първи път от експерта по сигурност Даниел Кътбърт, който подчертава, че тази разпоредба премахва риска от наказателно преследване при определени условия – условия, които целят да защитят обществения интерес, без да се толерира злоупотреба.
Какво допуска новият закон?
Новите правила освобождават от наказателна отговорност действия, които иначе биха се квалифицирали като незаконен достъп или незаконно прихващане на данни – но само ако са извършени добросъвестно, с цел защита, а не атака.
Условията за ненаказуемо изследване включват:
-
Единствена цел: изследване за откриване на уязвимости (не създадени от изследователя) и принос към общата киберсигурност.
-
Без финансово облагодетелстване: никаква икономическа изгода извън стандартно трудово възнаграждение.
-
Незабавно уведомяване: изследователят трябва да докладва уязвимостта едновременно на:
-
собственика на системата,
-
съответния администратор/администратор на лични данни,
-
националния център за киберсигурност на Португалия (CNCS).
-
-
Минимално въздействие: действията трябва да бъдат строго ограничени до необходимото за откриване на проблема, без прекъсване на услуги, промяна или изтриване на данни.
-
GDPR съвместимост: изследването не може да включва неправомерна обработка на лични данни.
-
Категорично забранени техники: DoS/DDoS, социално инженерство, фишинг, кражба на пароли, умишлено изменение на данни, щети по системи или използване на зловреден софтуер.
-
Конфиденциалност: всякакви придобити данни трябва да останат секретни и да бъдат изтрити до 10 дни след отстраняване на уязвимостта.
-
Доброволно съгласие: ако собственикът на системата даде разрешение за тестове, действията също са ненаказуеми – но откритите уязвимости пак трябва да бъдат докладвани на CNCS.
Така Португалия ясно разделя отговорното изследване от криминалните действия, като същевременно въвежда силни гаранции срещу злоупотреби.
Европейска и глобална тенденция към защита на етичните изследователи
Новите правила не са изолирана инициатива, а част от нарастващ международен модел.
Германия – ноември 2024
Федералното министерство на правосъдието представи законопроект, който дава защита на изследователи, докладващи отговорно за уязвимости. Това беше значима промяна, тъй като германските закони традиционно се тълкуваха строго срещу „неоторизиран достъп“.
САЩ – май 2022
Министерството на правосъдието (DOJ) ревизира насоките си за преследване по CFAA, като въведе изключение за „добросъвестно изследване“. То защити т.нар. white-hat практики, когато целта е повишаване на сигурността, а не експлоатация.
Какво означава това за екосистемата на киберсигурността?
Въвеждането на подобни правни рамки носи няколко ключови ефекта:
-
По-малко правна несигурност за специалистите по сигурност.
-
Повече докладвани уязвимости, тъй като страхът от арести намалява.
-
По-добра защита на инфраструктурата, включително критични системи и публични услуги.
-
Стимул за създаване на програми за отговорно разкриване (VDP/Bug Bounty).
-
Избягване на „ефекта Мосила“, при който изследователите избягват докладване заради страх от правни последствия.
Организациите и държавите започват все по-ясно да осъзнават, че добросъвестното етично хакване е неразделна част от модерната киберзащита.
