Закон неправомерного использования компьютерных технологий 1990 является актом парламента Соединенного Королевства внесло частично в ответ на решение в R об Gold & Schifreen (1988) 1 AC 1063 (см . Ниже) Критики законопроекта [ кто? ] жаловался, что он был введен поспешно и плохо продуман. Намерение , они [ кто? ] , часто было трудно доказать, и что закон неадекватно отличал "веселых" хакеров, таких как Голд и Шифрин, от серьезных компьютерных преступников. Тем не менее Закон стал образцом, по которому несколько других стран, включая Канаду,и Республика Ирландия , черпали вдохновение при последующей разработке своих собственных законов об информационной безопасности, поскольку они рассматриваются «как надежный и гибкий законодательный акт с точки зрения борьбы с киберпреступностью». [1] Было принято несколько поправок, чтобы сохранить Действуйте в актуальном состоянии.
Длинное название | Закон о защите компьютерных материалов от несанкционированного доступа или модификации; и для связанных целей. |
---|---|
Цитата | 1990 (ок. 18) |
Представлен | Майкл Колвин |
Территориальная протяженность | Англия и Уэльс; Шотландия; Северная Ирландия |
Даты | |
Королевское согласие | 29 июня 1990 г. |
Начало | 29 августа 1990 г. |
Другое законодательство | |
С поправками | Закон об уголовном правосудии и общественном порядке 1994 года , Закон об уголовном правосудии (терроризм и сговор) 1998 года , Закон о полиции и правосудии 2006 года и Закон о серьезных преступлениях 2015 года. |
Статус: Изменен | |
Текст статута в первоначальной редакции | |
Пересмотренный текст устава с поправками |
R v Gold & Schifreen
Роберт Шифрин и Стивен золото , используя обычные домашние компьютеры и модемы в конце 1984 и начале 1985 года , получили несанкционированный доступ к British Telecom «s Prestel интерактивного ViewData сервису. На торговой выставке Шифрин, занимаясь тем, что позже стало известно как " плечевой серфинг" , обнаружил пароль инженера Prestel. [ необходима цитата ] Имя пользователя инженера было 22222222, а пароль - 1234. [2] [3] Это позже вызвало обвинения в том, что British Telecom (BT) не относился к безопасности всерьез. Вооружившись этой информацией, пара исследовала систему и даже получила доступ к личному ящику для сообщений принца Филиппа .
Престел установил мониторы на подозрительных аккаунтах и передал полученную таким образом информацию в полицию. Этой паре было предъявлено обвинение в соответствии с разделом 1 Закона о подделке и подделке документов 1981 года в мошенничестве с BT путем изготовления «фальшивого инструмента», а именно внутреннего состояния оборудования BT после того, как оно обработало перехваченный пароль Голда. В суде Короны Саутварка они были признаны виновными по образцам обвинений (пять против Шифрина, четыре против Голда) и оштрафованы, соответственно, на 750 и 600 фунтов стерлингов.
Хотя наложенные штрафы были скромными, они решили подать апелляцию в уголовную палату Апелляционного суда . Их адвокат сослался на отсутствие доказательств того, что эти двое пытались получить материальную выгоду от своих подвигов, и заявил, что к их поведению был неправильно применен Закон о подделке документов и фальсификации. Лорд-судья Лейн оправдал их, но обвинение подало апелляцию в Палату лордов . В 1988 году лорды подтвердили оправдательный приговор. [4] Лорд-судья Брэндон сказал:
- Соответственно, мы пришли к выводу, что формулировки Закона не предназначались для применения к ситуации, которая, как было доказано, существует в данном случае. Представления по окончании изложения версии обвинения должны были быть успешными. Это вывод, к которому мы приходим без сожаления. Попытка прокруста [5] навязать эти факты языком закона, не предназначенного для их соответствия, вызвала серьезные трудности как для судьи, так и для присяжных, которые мы не хотели бы повторять. Поведение заявителей по существу, как уже указывалось, сводилось к нечестному получению доступа к соответствующему банку данных Prestel с помощью уловки. Это не уголовное преступление. Если это считается желательным, это вопрос законодательной власти, а не судов.
Решение Law Lords заставило многих ученых-юристов поверить в то, что взлом не был незаконным в соответствии с действующим законодательством. Комиссия по английскому праву и ее коллега в Шотландии рассмотрели этот вопрос. Комиссия по законодательству Шотландии пришла к выводу, что вторжение в Шотландии надлежащим образом охвачено общим правом, связанным с обманом, но Комиссия по английскому праву считала необходимым принятие нового закона.
После этого дела оба обвиняемых много писали по вопросам ИТ. Голд, который подробно описал все дело в The Hacker's Handbook , выступал на конференциях вместе с офицерами, арестовавшими это дело. [6]
Закон о неправомерном использовании компьютеров
На основании рекомендаций ELC законопроект о частном членстве был внесен депутатом от консерваторов Майклом Колвином . Законопроект, поддержанный правительством, вступил в силу в 1990 году. Разделы 1-3 Закона вводят три уголовных преступления: [7]
- несанкционированный доступ к компьютерным материалам, карается тюремным заключением на срок до двенадцати месяцев (или шести месяцев в Шотландии) и / или штрафом «не выше 5-го уровня по стандартной шкале » (с 2015 года, без ограничения); [8]
- несанкционированный доступ с намерением совершить или способствовать совершению других правонарушений, наказывается двенадцатимесячным / максимальным штрафом (или шестью месяцами в Шотландии) в случае вынесения приговора без надлежащего судебного разбирательства и / или пятилетним / штрафом по обвинительному заключению ; [9]
- несанкционированное изменение компьютерных материалов, наказуемое штрафом до двенадцати месяцев / максимального размера (или шести месяцев в Шотландии) в случае вынесения приговора без надлежащего судебного разбирательства и / или десяти лет / штрафа по обвинительному акту; [10]
(В отношении других правонарушений см. § Поправки ниже)
Преступления, указанные в разделах 2 и 3, предназначены для удержания более серьезных преступников от использования компьютера для оказания помощи в совершении уголовного преступления или от создания помех или затруднения доступа к данным, хранящимся на компьютере. Основное нарушение, предусмотренное разделом 1, заключается в попытке или получении доступа к компьютеру или данным, которые он хранит, путем принуждения компьютера к выполнению любой функции с намерением обеспечить безопасный доступ. Таким образом, хакеры, которые программируют свои компьютеры на поиск перестановок паролей, несут ответственность, даже если их попытки войти в систему отклоняются целевым компьютером. Единственным предварительным условием ответственности является то, что хакер должен знать, что попытка доступа неавторизована. Таким образом, использование имени пользователя или идентификатора (ID) и пароля другого лица без надлежащих полномочий для доступа к данным или программе, или для изменения, удаления, копирования или перемещения программы или данных, или просто для вывода программы или данных на экран или принтер , или выдавать себя за другое лицо с помощью электронной почты , онлайн-чата , Интернета или других служб, является правонарушением. Даже если первоначальный доступ разрешен, последующее исследование, если в системе существует иерархия привилегий, может привести к входу в те части системы, для которых отсутствуют необходимые привилегии, и нарушение будет совершено. Взгляд через плечо пользователя или использование сложного электронного оборудования для отслеживания электромагнитного излучения, излучаемого дисплеями («электронное подслушивание»), не входит в сферу действия данного правонарушения.
Преступления, указанные в §§2–3, являются преступлениями с отягчающими обстоятельствами, требующими конкретного намерения совершить другое преступление (для этих целей другие преступления подлежат аресту и, таким образом, включают все основные правонарушения, связанные с общим правом и установленными законом преступлениями в виде мошенничества и нечестности ). Таким образом, хакер, который получает доступ к системе с целью перевода денег или акций, намеревается совершить кражу или получить конфиденциальную информацию для шантажа или вымогательства . Таким образом, нарушение §1 совершается, как только предпринимается попытка несанкционированного доступа, а нарушение §2 влечет за собой ответственность, как только конкретный доступ осуществляется с преступной целью. Правонарушение §3 специально нацелено на тех, кто пишет и распространяет компьютерный вирус или червь как в локальной сети, так и в других сетях . Аналогичным образом, использование методов фишинга или троянского коня для получения идентификационных данных или любых других данных из неавторизованного источника, или изменение файлов операционной системы или некоторых аспектов функций компьютера, чтобы помешать его работе или предотвратить доступ к любым данным, включая уничтожение файлов или преднамеренное создание кода, вызывающего полную неисправность системы, являются преступными «модификациями». В 2004 году Джон Торнли признал себя виновным в четырех преступлениях в соответствии с §3, организовав атаку на конкурирующий сайт и несколько раз вводил троянский конь, чтобы сбивать его, но было признано, что формулировка преступления нуждается в уточнении. чтобы подтвердить, что включены все формы атаки типа «отказ в обслуживании» . [ необходима цитата ]
Последствия для отраслевой практики
Хотя закон якобы нацелен на тех, кто желает получить несанкционированный доступ к компьютерным системам для различных целей, его последствия для относительно широко распространенных или хорошо известных отраслевых практик, таких как «временная синхронизация» программного обеспечения, были описаны в различных публикациях компьютерной индустрии. [11] Блокировка по времени - это практика отключения функций или целых программ, чтобы гарантировать, что программное обеспечение, которое может быть доставлено при условии дальнейшей оплаты, «истечет» и, следовательно, больше не будет работать.
Последняя ситуация
Часть II Приложения 1 Закона об уголовном правосудии (терроризм и сговор) 1998 г. («Заговор») внесла поправки в Раздел 8 (применимость внешнего права), Раздел 9 (2) (b) (Британское гражданство несущественно: сговор) и Раздел 16 (применение в Северную Ирландию). [12]
В 2004 году Всепартийная Интернет-группа опубликовала свой обзор закона и выделила направления для развития. Их рекомендации привели к разработке законопроекта 1990 г. (поправка) к Закону о неправомерном использовании компьютеров, целью которого было внести поправки в CMA в соответствии с Европейской конвенцией о киберпреступности. [13] Согласно его условиям, максимальный срок тюремного заключения за нарушение Закона изменен с шести месяцев до двух лет. Он также стремился прямо криминализировать атаки типа «отказ в обслуживании» и другие преступления, которым способствовал отказ в обслуживании. Законопроект не получил одобрения королевской власти, поскольку парламент был приостановлен .
Разделы 35–38 Закона о полиции и правосудии 2006 года содержат поправки к Закону о неправомерном использовании компьютеров 1990 года.
Раздел 37 ( Изготовление, поставка или получение предметов для использования в преступлениях против неправомерного использования компьютеров ) включает новый раздел 3A в Закон 1990 г. и вызвал значительную критику со стороны ИТ-специалистов, поскольку многие из их инструментов могут использоваться преступниками в дополнение к их законным целям. , и, таким образом, подпадают под действие раздела 3A.
После скандала со взломом телефонов News International в 2011 году велись дискуссии о внесении поправок в закон, определяющих «умные» телефоны (то есть с интернет-браузерами и другими функциями подключения) как компьютеры в соответствии с Законом. [ Требуется цитата ] Такая поправка может также ввести новое преступление, заключающееся в предоставлении доступа к информации умышленно , то есть публичное раскрытие пароля для чьего-либо телефона или компьютера, чтобы другие могли получить к нему доступ незаконно. [14] [ неудачная проверка ]
В 2015 году в Закон были внесены дополнительные поправки в соответствии с разделами 41–44 части 2 (плюс другие) Закона о тяжких преступлениях 2015 года . [15]
Поправки
Поправки к Закону о неправомерном использовании компьютеров 1990 года, содержащиеся в части 5 Закона о полиции и правосудии 2006 года [16], включают:
- Раздел 35. Несанкционированный доступ к компьютерным материалам, наказывается лишением свободы на срок до двух лет или штрафом, или и тем, и другим. [17]
- Статья 36. Несанкционированные действия с намерением нарушить работу компьютера и т. Д. Наказываются тюремным заключением на срок до десяти лет или штрафом или и тем, и другим. [18]
- Раздел 37. Изготовление, поставка или получение предметов для использования в преступлениях, связанных с использованием компьютеров, наказывается тюремным заключением на срок до двух лет или штрафом или и тем, и другим. [19]
- Раздел 38. Переходное и спасительное положение. [20]
Поправки к Закону о неправомерном использовании компьютеров 1990 года, внесенные частью 2 Закона о серьезных преступлениях 2015 года . [15] являются
- Раздел 41 (новый раздел 3ZA Закона о неправомерном использовании компьютеров 1990 г.). Несанкционированные действия, причиняющие или создающие риск серьезного ущерба, - наказываются лишением свободы на срок до 14 лет или штрафом или и тем, и другим, возможно пожизненным заключением в случае угрозы благополучию человека или национальной безопасности. [21]
- Раздел 42. Получение статей для целей, связанных с неправомерным использованием компьютера - поправки к Разделу 3A . [22]
- Раздел 43. Территориальные рамки неправомерного использования компьютеров - поправки к Разделам 4, 5 и 10 делают основной территориальной сферой действия Соединенное Королевство, но могут быть и во всем мире, особенно если преступник (или заговорщики) является британцем и нарушил местное законодательство. [23]
- Раздел 44. Сбережения - касается внесения ареста и вступления в силу поправок к Разделам 10 и 16 . [24]
- Раздел 47. Приказы о предотвращении серьезных преступлений: означает «серьезное преступление» - добавляет неправомерное использование компьютеров в список серьезных преступлений в Законе о серьезных преступлениях 2007 года, в том числе является основанием для принудительного закрытия компании. [25]
- Раздел 86. Переходные положения и положения о сбережениях - требует, чтобы разделы 42 и 43 вступили в силу, прежде чем их можно будет использовать. [26]
- Приложение 1. Поправки к Закону о тяжких преступлениях 2007 года: Шотландия - аналогичные изменения в шотландском законодательстве. [27]
- Приложение 4. Незначительные и косвенные поправки - изменения Закона о неправомерном использовании компьютеров 1990 года и Закона о вооруженных силах 2006 года . [28]
Заявление в NHS
В апреле 2020 года Мэтт Хэнкок издал распоряжения, дающие GCHQ временные полномочия в отношении информационных систем NHS до конца 2020 года для целей Закона для поддержки и поддержания безопасности любой сети и информационной системы, которые прямо или косвенно поддерживают предоставление NHS. службы или службы общественного здравоохранения, предназначенные для борьбы с COVID-19 . [29]
Реформа
В мае 2021 года министр внутренних дел Великобритании Прити Патель объявила об официальном пересмотре Закона о неправомерном использовании компьютеров [30] . Она также обратилась с призывом к информации о Законе, в котором запрашиваются мнения о том, существует ли деятельность, причиняющая вред в области, охватываемой Законом, которая недостаточно охвачена правонарушениями, в том числе пригодно ли законодательство для использования после технологических достижений с момента Был представлен CMA и любые другие предложения о том, как можно усилить законодательный ответ на киберпреступность. [31]
Пересмотр Закона последовал за растущими в последнее время призывами правительства к полному пересмотру Закона о неправомерном использовании компьютеров с целью проведения новых реформ.
В ноябре 2019 года Дейм Линн Оуэнс, генеральный директор Национального агентства по борьбе с преступностью (NCA), предупредила, что «Закон о неправомерном использовании компьютеров прошел через парламент в то время, когда киберпространство не было тем инструментом, которым он является сейчас, чтобы совершать все виды преступлений. как мошенничество »и рассказал о планах проведения реформ, чтобы убедиться, что закон« соответствует целям современной эпохи ». [ необходима цитата ]
В январе 2020 года сеть «Реформа уголовного законодательства» (CLRNN) опубликовала подробный отчет, в котором освещены недостатки Закона и даны подробные рекомендации по реформе. [32]
В том же месяце была учреждена кампания CyberUp с намерением лоббировать правительство Великобритании с целью «обновить и усовершенствовать» Закон. Начало кампании было освещено The Guardian в статье, в которой прозвучал призыв к «срочным реформам». [33] Кампания CyberUp состоит из широкой коалиции организаций, оказывающих поддержку в сфере кибербезопасности, включая крупные консалтинговые компании NCC Group и F-Secure, а также торговую организацию в сфере киберпространства techUK . В ноябре 2020 года кампания получила поддержку Конфедерации британской промышленности .
Коалиция была сформирована на основе общего мнения о том, что обновление британского законодательства о киберпреступности необходимо для защиты национальной безопасности и увеличения экономического роста британской индустрии кибербезопасности. Кампания ссылается на Раздел 1 Закона, «запрещающий несанкционированный доступ к компьютерам», заявляя, что он непреднамеренно криминализирует большой объем исследований и расследований кибербезопасности и разведки угроз, которые часто проводятся британскими специалистами по кибербезопасности.
Кампания призвала к двум ключевым поправкам:
1. Поправить закон, чтобы позволить исследователям кибербезопасности и разведки угроз, действующим в общественных интересах, объяснять и оправдывать свои действия, а также позволять обнаруживать или предотвращать преступления.
2. Создайте набор четких юридических определений, чтобы гарантировать, что исследователи кибербезопасности и разведки угроз, которые обоснованно полагают, что у них есть полномочия действовать, могли делать это на законных основаниях.
29 июня 2020 года, чтобы отпраздновать 30-летие Закона, кампания CyberUp от имени ряда деятелей индустрии кибербезопасности написала открытое письмо премьер-министру, чтобы подчеркнуть устаревание Закона во время быстрого развития цифровых технологий. Это было опубликовано в The Daily Telegraph под заголовком «Эксперты по кибербезопасности говорят, что им не дают остановить компьютерное мошенничество». [34]
В июле 2020 года парламентский комитет по разведке и безопасности , отвечающий за надзор за разведывательными службами Великобритании, опубликовал отчет Комитета по разведке и безопасности России и рекомендовал обновить «Закон о неправомерном использовании компьютеров, чтобы отразить современное использование персональных электронных устройств». В то время как реакция правительства на доклад , сказал , что этот закон был регулярно пересматриваются , чтобы определить преимущества законодательных изменений, теневого министра иностранных дел , Лиза Нанди , подчеркивается в январе 2021 года, что никакого прогресса не было сделано в целях осуществления этой рекомендации.
В ноябре 2020 года CyberUp Campaign и techUK опубликовали новый отчет [35] о Законе о неправомерном использовании компьютеров, который стал первой работой по количественной оценке и анализу взглядов более широкого сообщества специалистов по безопасности Великобритании. В отчете говорится, что 80 процентов профессионалов в области кибербезопасности беспокоятся о нарушении закона при исследовании уязвимостей или расследовании киберугроз. Более того, 91 процент предприятий, ответивших на опрос, проведенный в отчете, предположили, что Закон поставил их в невыгодное конкурентное положение и что реформа позволит их организациям добиться значительного повышения производительности, роста и устойчивости. В отчете правительству рекомендуется рассмотреть возможность реализации двух вышеуказанных поправок.
Смотрите также
- Компьютерное преступление
- Интернет-мошенничество
- Закон о защите данных 1998 г.
Рекомендации
- Нил МакЭван, «Закон 1990 г. о неправомерном использовании компьютеров: уроки прошлого и прогнозы на будущее» (2008 г.), Обзор уголовного права 955 .
- Стефан Фафински, Неправильное использование компьютеров: ответ, регулирование и закон (Cullomption, Willan 2009)
- Яман Акдениз, Раздел 3 Закона 1990 года о неправомерном использовании компьютеров: противоядие от компьютерных вирусов! (1996) 3 Web JCLI [2], включая ссылку на дело Кристофера Пайла (также известного как «Черный барон») в ноябре 1995 года.
- Дерек Вятт, выступление по Закону о неправомерном использовании компьютеров (поправка)
- Правление лордов закона
Заметки
- ^ Глобальные перспективы IISS - Власть в киберпространстве. Вопросы и ответы с Найджелом Инкстером, директором отдела транснациональных угроз и политических рисков IISS. 18 января 2011 г.
- ^ Ли, Марк (осень 2014). «Лекция 2: Правовые перспективы» (PDF) . Школа компьютерных наук. Профессиональные вычисления. Бирмингемский университет . п. 13 . Дата обращения 19 мая 2017 .
- ^ Мюррей, Эндрю (2016). Закон об информационных технологиях: Закон и общество (3-е изд.). Издательство Оксфордского университета . п. 358. ISBN 978-0-19-873246-4. Дата обращения 19 мая 2017 .
- ^ HL 21 апреля 1988, [1988] Резюме AC 1063 на [1]
- ↑ Здесь лорд Брэндон ссылается на классический миф о Прокрусте , который растягивал своих жертв (или отрезал им ноги), чтобы подогнать под кровать, для которой они плохо подходили.
- ^ Джон Лейден (13 января 2015 г.). « Хакер 80 - х превратился в журнал, ас ИТ-преступлений Стив Голд уходит из системы» . Реестр . Проверено 14 января 2015 года .
- ^ Закон о неправомерном использовании компьютеров 1990 г. , s1 - s3
- ^ «Закон 1990 года о неправомерном использовании компьютеров; 1990 c. 18 Раздел 1 правонарушений, связанных с неправильным использованием компьютеров» . законодательство.gov.uk . Дата обращения 2 мая 2019 .
- ^ http://www.legislation.gov.uk/ukpga/1990/18/section/2
- ^ http://www.legislation.gov.uk/ukpga/1990/18/section/3
- ^ Нейлор, Крис (июль 1994). "Взаперти". Мир персональных компьютеров .
- ^ Приложение 1 Закона 1998 года об уголовном правосудии (терроризм и сговор) . законодательство.gov.uk . Национальный архив . Проверено 24 марта 2015 года .
- ^ http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm
- ^ https: //publications.par Parliament.uk/pa/cm201011/cmselect/cmstnprv/628/62805.htm
- ^ а б «Закон о тяжких преступлениях 2015 года» (PDF) . Правительство Великобритании . Проверено 30 декабря 2015 года .
- ^ Закон о полиции и правосудии 2006 г.
- ^ Закон о полиции и правосудии 2006 г. , раздел 35
- ^ Закон о полиции и правосудии 2006 г. , раздел 36
- ^ Закон о полиции и правосудии 2006 г. , раздел 37
- ^ Закон о полиции и правосудии 2006 г. , раздел 38
- ^ Закон о серьезных преступлениях 2015 г. , раздел 41
- ^ Закон о серьезных преступлениях 2015 г. , раздел 42
- ^ Закон о серьезных преступлениях 2015 г. , раздел 43
- ^ Закон о серьезных преступлениях 2015 г. , раздел 44
- ^ Закон о серьезных преступлениях 2015 г. , раздел 47
- ^ Закон о серьезных преступлениях 2015 г. , раздел 86
- ^ Закон о серьезных преступлениях 2015 , Приложение 1
- ^ Закон о серьезных преступлениях 2015 г. , Приложение 4
- ^ «Хэнкок предоставляет GCHQ полномочия над ИТ-системами NHS» . Журнал службы здравоохранения . 29 апреля 2020 . Проверено 8 июня 2020 .
- ^ https://www.gov.uk/government/speeches/home-secretary-priti-patel-speech-to-cyberuk-conference
- ^ https://www.gov.uk/government/consultations/computer-misuse-act-1990-call-for-information
- ^ «Реформа Закона о неправомерном использовании компьютеров 1990 года» . CLRNN.
- ^ Оуэн Боукотт (22 января 2020 г.). «Законы о киберпреступности нуждаются в срочной реформе для защиты Великобритании, - говорится в отчете» . Хранитель . Проверено 22 января 2021 года .
- ^ Оуэн Боукотт (29 июня 2020 г.). «Эксперты по кибербезопасности говорят, что им не позволяют остановить компьютерное мошенничество, потому что преступники должны позволить им получить доступ к машинам» . Дейли телеграф . Проверено 22 января 2021 года .
- ^ «4 из 5 профессионалов в области кибербезопасности беспокоятся о нарушении закона, защищая Великобританию, - говорится в отчете» . Кампания CyberUp . Проверено 23 января 2021 года .[ ненадежный источник? ]
Внешние ссылки
- Интернет-преступный форум
- EURIM - Исследование IPPR по электронной преступности
- Формулировка несостоявшегося законопроекта о поправках 2004 г.
- Поправки к Закону о неправомерном использовании компьютеров 1990 г., внесенные Open Rights Group
- Список дел по Закону о неправомерном использовании компьютеров, составленный Майклом Дж. Л. Тернером