„Oddělení se nikdy nezajímalo o stíhání výzkumu počítačové bezpečnosti v dobré víře jako zločinu a dnešní oznámení podporuje kybernetickou bezpečnost tím, že poskytuje jasnou představu pro výzkumníky v oblasti bezpečnosti v dobré víře, kteří odstraňují zranitelnosti pro obecné dobro,“ náměstek V prohlášení to uvedla generální prokurátorka Lisa Monaco.
Přihlášení k odběru zpravodaje
WSJ Pro Cybersecurity
Novinky, analýzy a postřehy o kybernetické bezpečnosti od globálního týmu reportérů a editorů WSJ.
PŘIHLÁSIT SE k odběruRevidované zásady nařizují federálním žalobcům, aby se vyhnuli podávání případů, pokud jednotlivci přistupovali k počítačům za účelem testování, vyšetřování nebo nápravy zranitelnosti „způsobem navrženým tak, aby nedošlo k poškození jednotlivců nebo veřejnosti“.
Zákon o počítačovém podvodu, který byl přijat v roce 1986, zakazuje přístup k počítači „bez oprávnění“ nebo způsobem, který „překračuje povolený přístup“. Lidé, kteří poruší zákon, mohou být odsouzeni až k 10 letům vězení.
Kritici v odvětví kybernetické bezpečnosti tvrdí, že tento jazyk je nejednoznačný a mohl by být použit ke stíhání rutinní činnosti lidmi, včetně bílých hackerů, technologických výzkumníků nebo uživatelů, kteří neúmyslně porušují podmínky služby online platforem. Někteří varují, že právní hrozba by mohla mít mrazivý dopad i na výzkumníky, kteří najdou a vývojářům nahlásí softwarové chyby.
V posledních letech se federální představitelé snažili posílit své kybernetické schopnosti uprostřed prudkého nárůstu kybernetických hrozeb ve veřejném i soukromém sektoru, jako je ransomware. Ministerstvo spravedlnosti ve čtvrtek uvedlo, že změna politiky toto úsilí posílí tím, že poskytne bezpečnostním výzkumníkům právní jasnost.
"Nová politika však uznává, že tvrzení, že provádíte bezpečnostní výzkum, není volný průchod pro ty, kteří jednají ve zlé víře," uvedlo ministerstvo spravedlnosti.
Změna agentury nebrání společnostem podávat občanskoprávní žaloby na výzkumníky ani nebrání jednotlivcům čelit stíhání podle státního práva. Zatímco Kongres se těmito aspekty zákona nezabýval, federální soudy začaly znovu zkoumat jeho aplikaci.
Nejvyšší soud loni zúžil působnost zákona a rozhodl, že se nevztahuje na případy, kdy lidé používají svůj autorizovaný přístup k počítači k nesprávným účelům. Rozhodnutí 6-3 rozhodlo, že policista v Georgii porušil politiku svého oddělení – ale neporušil zákon proti hackerům – tím, že provedl kontrolu SPZ s databází donucovacích orgánů výměnou za hotovost.
Soudkyně Amy Coney Barrettová, která v tomto případě napsala většinový názor, uvedla, že přečtení zákona zeširoka „by uložilo trestní postihy za dechberoucí množství běžné počítačové činnosti“.
Více od WSJ Pro Cybersecurity
Napište Davidu Ubertimu na david.uberti@wsj.com