Министерство юстиции США опубликовало документ, разъясняющий, что деяния, подпадающие под действие закона «О компьютерном мошенничестве и злоупотреблениях» (Computer Fraud and Abuse Act, CFAA), принятого ещё в 1984 году и обновлённого в 1986-м, не должны повлечь за собой уголовное преследование, если они совершены для «добросовестных исследований в области IT-безопасности».
Источник изображения: Pexels/pixabay.com
На момент принятия и корректировки закона специалистов по кибербезопасности просто не существовало. Кроме того, старые определения допускали такое широкое толкование, что уголовному преследованию мог подвергнуться любой, включая офисных сотрудников, проверяющих личную почту на рабочем месте.
Согласно документу министерства, добросовестными исследованиями в сфере IT-безопасности считаются факты использования компьютера «исключительно для тестирования, расследования и/или исправления проблем систем безопасности или поиска уязвимостей, если подобная деятельность проводится в форме, не допускающей вреда отдельным лицам или общественности», а полученная информация используется для защиты «устройств, машин или онлайн-сервисов». В документе упоминается, что министерство не заинтересовано в преследовании добросовестных исследователей, так называемых «белых» хакеров, выявляющих уязвимости ради всеобщего блага.
До недавних пор, согласно CFAA, любой, пытавшийся получить доступ к файлам, компьютерам, вычислительным системам и даже чужим сайтам, мог стать объектом для преследования правоохранительными органами США даже при наличии законного доступа к системе. Впрочем, «добросовестное исследование в сфере безопасности» — тоже довольно расплывчатый термин, хотя эксперты признают, что он несколько лучше старых определений, предусмотренных законом.
Верховный суд США постановил большинством голосов, что указанный в законе термин «злоупотребление авторизованным доступом» — слишком расплывчатое определение, и оно не должно касаться случаев несанкционированного использования систем, к которым граждане имеют легальный доступ, поскольку из-за этого уголовная ответственность предусмотрена для огромного количества ежедневных действий пользователей с компьютерами.
Источник изображения: ernestoeslava/pixabay.com
В качестве примера были приведены случаи «приукрашивания» профилей пользователей в приложениях для знакомств, создание недостоверных аккаунтов при устройстве на работу или поиске жилья для аренды, использование псевдонимов на сайтах, политика которых запрещает их использование, проверка результатов спортивных матчей на работе или, например, оплата счетов с рабочего компьютера — формально все эти действия могут расцениваться законом как федеральное преступление.
Согласно заявлению Министерства юстиции, теперь его ресурсы будут концентрироваться на случаях, когда подсудимый не был авторизован для использования компьютера вообще или имел легальный доступ лишь к одному из его сервисов, например, электронной почте, а вместо этого разыскивал в памяти машины материалы, не имеющие к пользователю никакого отношения, например, письма других пользователей. С текстом документа можно ознакомиться на сайте Министерства юстиции США.
Источник: 3DNews