- PVSM.RU - https://www.pvsm.ru -
Европейский парламент сейчас готовится принять Директиву об атаках на информационные системы (Directive on Attacks Against Information Systems [1], pdf), в связи с этим Фонд электронных рубежей выступил с обращением [2] к парламентариям — предусмотреть нормы для защиты исследователей в области компьютерной безопасности, которые публикуют информацию о новых уязвимостях, эксплойты и так далее. По мнению EFF, в Америке после принятия DMCA и CFAA (Computer Fraud and Abuse Act) сложилась неоднозначная ситуация относительно легальности работы таких специалистов, что в своё время привело даже к аресту российского программиста Дмитрия Склярова, который неудачно съездил в Америку [3].
Аналогичные юридические сложности для работы исследователей создаёт международная Конвенция о киберпреступности [4] (Convention on Cybercrime).
По мнению EFF, Европейской комиссии стоит ещё раз хорошо подумать о необходимости принятия новой директивы, поскольку она во много дублирует Конвенцию о киберпреступности, которая сама по себе создаёт проблемы. Но если же Европа не откажется от своих планов, то EFF просит улучшить новый проект в нескольких аспектах.
Отменить криминализацию инструментов. Одним из «новшеств» в директиве является введение уголовной ответственности за использование, производство, продажу или распространение инструментов для атаки на информационные системы. Но многие такие программы на самом деле имеют двойное предназначение: они могут использоваться как для атаки, так и для тестирования систем на предмет уязвимостей с целью усиления безопасности. Европарламент должен прописать в документе цель использования инструмента, а не просто факт «владения, использования или распространения» как таковой.
Защитить право программиста на несанкционированное проникновение в систему для тестирования безопасности. Данная возможность необходима для различных видов исследований, которые никогда не стали бы возможными, если исследователь должен получать разрешение у каждой компании.
В настоящее время черновик директивы Европарламента своими формулировками во многом повторяет американский Computer Fraud and Abuse Act (CFAA), который тоже просто запрещает «несанкционированный доступ» без всяких оговорок — такая формулировка неоднократно оспаривалась в американских судах. Ключевым недостатком является то, что в этом случае криминализация действий человека осуществляется с помощью частного договора — пользовательского соглашения (ToS), которое устанавливает, какой доступ является разрешённым для данной системы. Если изменить формулировки ToS, то владелец сайта может в один день превратить в преступников миллионы обычных пользователей на основании их рутинных повседневных действий.
Защитить право программистов на инновации и свободу самовыражения. EFF просит Европарламент гарантировать право на свободу слова для исследователей в области компьютерной безопасности. Возможность свободно публиковать отчёты об уязвимостях является критически важной для глобального интернет-сообщества. Публичное раскрытие информации о дырах способствует информированию пользователей, а также стимулирует вендоров говорить правду об уязвимостях в своих продуктах, закрывать уязвимости и улучшать их безопасность.
Как сказано выше, Еврокомиссия до сих пор не продемонстрировала действительную необходимость принятия новой директивы, и EFF не считает, что таковая необходимость существует. Если же документу дадут ход, то нужно внимательно следить, чтобы законодатели опять не наломали дров.
Автор: alizar
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/evroparlament/2545
Ссылки в тексте:
[1] Directive on Attacks Against Information Systems: http://ec.europa.eu/home-affairs/policies/crime/1_EN_ACT_part1_v101.pdf
[2] обращением: https://www.eff.org/deeplinks/2012/02/eff-european-parliament-protect-coders-rights
[3] неудачно съездил в Америку: http://offline.computerra.ru/2002/426/15144/
[4] Конвенция о киберпреступности: http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm
Нажмите здесь для печати.