Белите хакери в САЩ вече могат по-спокойно да изследват сигурността на системите
(снимка: CC0 Public Domain)
Министерството на правосъдието на САЩ публикува документ, съгласно който действията, попадащи под Закона за компютърни измами и злоупотреби (CFAA), приет през 1984 г. и актуализиран през 1986 г., не трябва да водят до наказателно преследване, ако са извършени за „добросъвестни изследвания в областта на ИТ сигурността”.
Към момента на приемане и изменение на закона специалисти по киберсигурност просто не съществуваха. Освен това старите дефиниции бяха толкова широки, че всеки можеше да бъде преследван, включително офис служители, които проверяваха личната поща на работното място, коментира TechSpot.
Според документа на министерството, доброто изследване на ИТ сигурността е, когато компютърът се използва „само за тестване, разследване и/или коригиране на проблеми със сигурността или откриване на уязвимости, ако такава дейност се извършва по начин, който не причинява вреда на физически лица или обществото”, а получената информация се използва за защита на „устройства, машини или онлайн услуги”.
В документа се споменава, че министерството не се интересува от преследване на съвестни изследователи на сигурността, т.нар. „бели хакери”, които идентифицират уязвимостите за благото на обществото.
Доскоро, според CAFA, всеки, който се опитва да получи достъп до файлове, компютри, компютърни системи и дори уебсайтове на други хора, можеше да бъде обект на наказателно преследване от правоприлагащите органи на САЩ, дори ако имаше законен достъп до системата. „Добросъвестно изследване на сигурността” обаче също е доста неясен термин, въпреки че според експертите е малко по-добър от старите определения, предвидени в закона.
Върховният съд на САЩ постанови с мнозинство, че законоустановеният термин „злоупотреба с оторизиран достъп” е твърде неясен и не трябва да се прилага за случаи на неоторизирано използване на системи, до които гражданите имат законен достъп, тъй като по този начин на наказателна отговорност подлежат огромен брой ежедневни дейности на потребителите с компютри.
Примерите включват разкрасяване на потребителски профили в приложения за запознанства, създаване на неавтентични акаунти при кандидатстване за работа или търсене на запознанства, използване на псевдоними на уебсайтове, чиито правила забраняват използването им, проверка на спортни резултати в работа или плащане на сметки от служебен компютър – формално всички тези действия могат да се разглеждат по закон като федерално престъпление.
Ресурсите на Министерството на правосъдието вече ще бъдат съсредоточени върху случаи, при които ответникът изобщо не е бил упълномощен да използва компютъра или е имал законен достъп само до една от услугите му, като електронна поща, а вместо това е търсил в паметта на машината материали, за които няма оторизиран достъп – например писма от други потребители.