Европейский парламент сейчас готовится принять Директиву об атаках на информационные системы (Directive on Attacks Against Information Systems, pdf), в связи с этим Фонд электронных рубежей выступил с обращением к парламентариям — предусмотреть нормы для защиты исследователей в области компьютерной безопасности, которые публикуют информацию о новых уязвимостях, эксплойты и так далее. По мнению EFF, в Америке после принятия DMCA и CFAA (Computer Fraud and Abuse Act) сложилась неоднозначная ситуация относительно легальности работы таких специалистов, что в своё время привело даже к аресту российского программиста Дмитрия Склярова, который неудачно съездил в Америку.
Аналогичные юридические сложности для работы исследователей создаёт международная Конвенция о киберпреступности (Convention on Cybercrime).
По мнению EFF, Европейской комиссии стоит ещё раз хорошо подумать о необходимости принятия новой директивы, поскольку она во много дублирует Конвенцию о киберпреступности, которая сама по себе создаёт проблемы. Но если же Европа не откажется от своих планов, то EFF просит улучшить новый проект в нескольких аспектах.
Отменить криминализацию инструментов. Одним из «новшеств» в директиве является введение уголовной ответственности за использование, производство, продажу или распространение инструментов для атаки на информационные системы. Но многие такие программы на самом деле имеют двойное предназначение: они могут использоваться как для атаки, так и для тестирования систем на предмет уязвимостей с целью усиления безопасности. Европарламент должен прописать в документе цель использования инструмента, а не просто факт «владения, использования или распространения» как таковой.
Защитить право программиста на несанкционированное проникновение в систему для тестирования безопасности. Данная возможность необходима для различных видов исследований, которые никогда не стали бы возможными, если исследователь должен получать разрешение у каждой компании.
В настоящее время черновик директивы Европарламента своими формулировками во многом повторяет американский Computer Fraud and Abuse Act (CFAA), который тоже просто запрещает «несанкционированный доступ» без всяких оговорок — такая формулировка неоднократно оспаривалась в американских судах. Ключевым недостатком является то, что в этом случае криминализация действий человека осуществляется с помощью частного договора — пользовательского соглашения (ToS), которое устанавливает, какой доступ является разрешённым для данной системы. Если изменить формулировки ToS, то владелец сайта может в один день превратить в преступников миллионы обычных пользователей на основании их рутинных повседневных действий.
Защитить право программистов на инновации и свободу самовыражения. EFF просит Европарламент гарантировать право на свободу слова для исследователей в области компьютерной безопасности. Возможность свободно публиковать отчёты об уязвимостях является критически важной для глобального интернет-сообщества. Публичное раскрытие информации о дырах способствует информированию пользователей, а также стимулирует вендоров говорить правду об уязвимостях в своих продуктах, закрывать уязвимости и улучшать их безопасность.
Как сказано выше, Еврокомиссия до сих пор не продемонстрировала действительную необходимость принятия новой директивы, и EFF не считает, что таковая необходимость существует. Если же документу дадут ход, то нужно внимательно следить, чтобы законодатели опять не наломали дров.
Аналогичные юридические сложности для работы исследователей создаёт международная Конвенция о киберпреступности (Convention on Cybercrime).
По мнению EFF, Европейской комиссии стоит ещё раз хорошо подумать о необходимости принятия новой директивы, поскольку она во много дублирует Конвенцию о киберпреступности, которая сама по себе создаёт проблемы. Но если же Европа не откажется от своих планов, то EFF просит улучшить новый проект в нескольких аспектах.
Отменить криминализацию инструментов. Одним из «новшеств» в директиве является введение уголовной ответственности за использование, производство, продажу или распространение инструментов для атаки на информационные системы. Но многие такие программы на самом деле имеют двойное предназначение: они могут использоваться как для атаки, так и для тестирования систем на предмет уязвимостей с целью усиления безопасности. Европарламент должен прописать в документе цель использования инструмента, а не просто факт «владения, использования или распространения» как таковой.
Защитить право программиста на несанкционированное проникновение в систему для тестирования безопасности. Данная возможность необходима для различных видов исследований, которые никогда не стали бы возможными, если исследователь должен получать разрешение у каждой компании.
В настоящее время черновик директивы Европарламента своими формулировками во многом повторяет американский Computer Fraud and Abuse Act (CFAA), который тоже просто запрещает «несанкционированный доступ» без всяких оговорок — такая формулировка неоднократно оспаривалась в американских судах. Ключевым недостатком является то, что в этом случае криминализация действий человека осуществляется с помощью частного договора — пользовательского соглашения (ToS), которое устанавливает, какой доступ является разрешённым для данной системы. Если изменить формулировки ToS, то владелец сайта может в один день превратить в преступников миллионы обычных пользователей на основании их рутинных повседневных действий.
Защитить право программистов на инновации и свободу самовыражения. EFF просит Европарламент гарантировать право на свободу слова для исследователей в области компьютерной безопасности. Возможность свободно публиковать отчёты об уязвимостях является критически важной для глобального интернет-сообщества. Публичное раскрытие информации о дырах способствует информированию пользователей, а также стимулирует вендоров говорить правду об уязвимостях в своих продуктах, закрывать уязвимости и улучшать их безопасность.
Как сказано выше, Еврокомиссия до сих пор не продемонстрировала действительную необходимость принятия новой директивы, и EFF не считает, что таковая необходимость существует. Если же документу дадут ход, то нужно внимательно следить, чтобы законодатели опять не наломали дров.
