Министерство юстиции США обещает не преследовать исследователей безопасности

Информационная безопасность Законодательство в IT
В пресс-релизе от 19 мая американское Министерство юстиции сообщает, что не будет привлекать к ответственности исследователей за обнаружение уязвимостей в системах безопасности или за создание поддельных профилей в социальных сетях. Регулятор решил последовать рекомендациям Верховного суда США, который настаивал на отказе от возбуждения федеральных дел из-за нарушений политики компании или ресурса. Новые правила Минюста не предусматривают судебное преследование из-за неправомерного использования компьютерных систем, к которым у пользователя есть авторизованный доступ. Ведомство разъяснило, что применение принятого в 1984 году и обновленного в 1986 году закона «О компьютерном мошенничестве и злоупотреблениях» (CFAA) должно быть ограничено, если субъект проводит добросовестное исследование в области безопасности. Минюст отмечает, что в данную категорию подпадает использование компьютера для тестирования, расследования или исправления неисправностей систем безопасности или поиска уязвимостей, если действия субъекта не допускают вреда отдельным лицам или общественности. В министерстве подчёркивают, что добытые сведения должны быть использованы для защиты устройств и онлайн-сервисов. В пресс-релизе регулятор сообщает о своей незаинтересованности в преследовании добросовестных исследователей, которые находят уязвимости для всеобщего блага. В соответствии со старой версией CFAA правоохранительные органы могли инициировать преследование любого, кто пытается получить доступ к файлам, компьютерам, вычислительным системам и сторонним сайтам при наличии законного доступа к данным системам. По мнению экспертов, в новом виде документа достаточно расплывчатых формулировка, однако его текущая форма имеет больше конкретики. Верховный суд ограничил применение термина «злоупотребление авторизованным доступом» в случаях несанкционированного использования систем, к которым у пользователей есть законный доступ. Ранее правоохранители могли обвинить пользователей в совершении федерального преступления за недостоверные сведения в сервисах онлайн-знакомств, использование псевдонима в соцсетях, правила которых запрещают это, оплату счетов с рабочего устройства и по другим причинам. Теперь субъектами преследования станут лица, не имеющие авторизованного доступа к компьютеру или отдельным элементам системы.)
Теги:
Хабы: