Un grupo de varios bancos en la Cámara de los Lores está tratando de insertar una enmienda al próximo proyecto de ley de infraestructura de telecomunicaciones y seguridad de productos (PSTI) que proporcionará a los investigadores de seguridad cibernética, probadores de penetración y piratas informáticos éticos una defensa de la Ley de uso indebido de computadoras para llevar a cabo vulnerabilidad y la investigación de seguridad.
El grupo incluye al ex ministro digital Lord Vaizey y Lord Arbuthnot, una figura clave en la revelación del escándalo Post Office Horizon durante muchos años. Dicen que esta será la primera vez en los 32 años de historia de la Ley de uso indebido de computadoras que ha habido un intento de suavizar el delito de acceso no autorizado a material informático, que la comunidad de seguridad ha sostenido durante mucho tiempo que pone en riesgo su trabajo de buena fe. al no distinguirlo de la actividad delictiva cibernética.
La enmienda también aumenta la presión sobre el gobierno para que haga públicos los resultados de su Convocatoria de información sobre la efectividad y la posible reforma de la Ley de uso indebido de computadoras, que cerró hace más de 12 meses y parece haber sido silenciosamente olvidada.
La campaña CyberUp, que ha estado abogando por la reforma de la Ley de uso indebido de computadoras durante años, dijo que dado que el proyecto de ley PSTI contiene disposiciones para obligar a los fabricantes de productos a implementar políticas de divulgación de vulnerabilidades, sin una defensa legal en la Ley de uso indebido de computadoras, los investigadores pueden enfrentar “acción legal espuria” por informar una vulnerabilidad a una empresa que puede decidir “por capricho” ignorar la política; esto se conoce como dumping de responsabilidad.
La enmienda propuesta proporcionaría una defensa legal por infracciones de la Ley de uso indebido de computadoras si el investigador creyera razonablemente que el propietario del sistema que hackeó hubiera dado su consentimiento para la investigación, o si tal acto fuera necesario para la detección del delito.
La portavoz de CyberUp, Kat Sommer, quien también es directora de asuntos públicos en NCC Group, dijo que si la enmienda se inserta con éxito, sería un momento histórico para la legislación cibernética no solo en el Reino Unido, sino en todo el mundo. “Estamos agradecidos con sus señorías por asumir esta importante causa, donde me temo que el gobierno se ha demorado”, dijo.
“Por supuesto, la situación ideal es que el gobierno presente reformas a la Ley de uso indebido de computadoras que brinden una defensa más allá del caso de solo productos conectados: después de una espera de un año, uno pensaría que probablemente escucharíamos algo de ministros sobre esto pronto”, dijo Sommer.
Las preocupaciones de la comunidad de seguridad sobre el enjuiciamiento de investigaciones legítimas no carecen de fundamento. El año pasado, el investigador de seguridad Rob Dyke pasó por una larga prueba después de revelar una vulnerabilidad a la Fundación Apperta, una organización sin fines de lucro de atención médica respaldada por NHS Digital y NHS England.
Dyke encontró datos confidenciales, incluido el código fuente de la aplicación, los nombres de usuario, las contraseñas y las claves de API, que quedaron expuestos en Internet, pero después de revelarlo, Apperta contrató a un bufete de abogados para que le escribiera a Dyke advirtiéndole que podría haber cometido un delito penal. En última instancia, Dyke se vio obligado a recaudar £ 25,000 para evitar facturas legales, antes de que Apperta retrocediera.
“Estoy muy contento de que parezca que los legisladores están comenzando a tomarse en serio la necesidad de que los investigadores de seguridad cibernética como yo cuenten con la protección de la ley”, dijo.
“No está bien que la gente tenga que pasar por lo que yo tengo simplemente por hacer su trabajo. Esperemos que el gobierno se dé cuenta y rápido”.
La enmienda, que también está patrocinada por Lord Clement-Jones y Lord Holmes, se presentará en la sala el 21 de junio.
