Информационная безопасность / EFF просит Европарламент защитить права программистов

Европейский парламент сейчас готовится принять Директиву об атаках на информационные системы (Directive on Attacks Against Information Systems ^[1], pdf), в связи с этим Фонд электронных рубежей выступил с обращением ^[2] к парламентариям — предусмотреть нормы для защиты исследователей в области компьютерной безопасности, которые публикуют информацию о новых уязвимостях, эксплойты и так далее. По мнению EFF, в Америке после принятия DMCA и CFAA (Computer Fraud and Abuse Act) сложилась неоднозначная ситуация относительно легальности работы таких специалистов, что в своё время привело даже к аресту российского программиста Дмитрия Склярова, который неудачно съездил в Америку ^[3].

Аналогичные юридические сложности для работы исследователей создаёт международная Конвенция о киберпреступности ^[4] (Convention on Cybercrime).

По мнению EFF, Европейской комиссии стоит ещё раз хорошо подумать о необходимости принятия новой директивы, поскольку она во много дублирует Конвенцию о киберпреступности, которая сама по себе создаёт проблемы. Но если же Европа не откажется от своих планов, то EFF просит улучшить новый проект в нескольких аспектах.

Отменить криминализацию инструментов. Одним из «новшеств» в директиве является введение уголовной ответственности за использование, производство, продажу или распространение инструментов для атаки на информационные системы. Но многие такие программы на самом деле имеют двойное предназначение: они могут использоваться как для атаки, так и для тестирования систем на предмет уязвимостей с целью усиления безопасности. Европарламент должен прописать в документе цель использования инструмента, а не просто факт «владения, использования или распространения» как таковой.

Защитить право программиста на несанкционированное проникновение в систему для тестирования безопасности. Данная возможность необходима для различных видов исследований, которые никогда не стали бы возможными, если исследователь должен получать разрешение у каждой компании.

В настоящее время черновик директивы Европарламента своими формулировками во многом повторяет американский Computer Fraud and Abuse Act (CFAA), который тоже просто запрещает «несанкционированный доступ» без всяких оговорок — такая формулировка неоднократно оспаривалась в американских судах. Ключевым недостатком является то, что в этом случае криминализация действий человека осуществляется с помощью частного договора — пользовательского соглашения (ToS), которое устанавливает, какой доступ является разрешённым для данной системы. Если изменить формулировки ToS, то владелец сайта может в один день превратить в преступников миллионы обычных пользователей на основании их рутинных повседневных действий.

Защитить право программистов на инновации и свободу самовыражения. EFF просит Европарламент гарантировать право на свободу слова для исследователей в области компьютерной безопасности. Возможность свободно публиковать отчёты об уязвимостях является критически важной для глобального интернет-сообщества. Публичное раскрытие информации о дырах способствует информированию пользователей, а также стимулирует вендоров говорить правду об уязвимостях в своих продуктах, закрывать уязвимости и улучшать их безопасность.

Как сказано выше, Еврокомиссия до сих пор не продемонстрировала действительную необходимость принятия новой директивы, и EFF не считает, что таковая необходимость существует. Если же документу дадут ход, то нужно внимательно следить, чтобы законодатели опять не наломали дров.

Автор: alizar