自30年前成立以来1990年计算机滥用法案(CMA)是英国主要的立法宝剑和盾牌,抵御日益增长的网络犯罪的威胁。那些利用一个组织的威胁载体的人,不再像媒体通常描述的那样,穿着连帽毛衣,躲在黑暗的地下室里,比如在流行的电视剧中机器人先生.根据最近的一项调查,网络依赖犯罪已经政府报告这个行业的年营业额高达270亿英镑,其中包括一些崭露头角的“剧本少年”,他们希望通过运转良好、涉嫌受到国家资助的犯罪企业来制造混乱。因此,网络钓鱼、勒索软件、DDoS攻击、数据盗窃和欺诈等组织面临的潜在威胁越来越普遍,也越来越令人担忧。

在许多情况下,CMA的远见性质,以及对此的许多修正案,做得很好,允许行动与时代跟上。但是,似乎可能不再是这种情况。这反映在本办事处承担的决定,最近结束a要求的证据该法案未能充分反映潜在犯罪行为和如今已成为日常生活一部分的数字景观的领域。英国内政部目前正在分析提供的证据,并将于今年晚些时候公布调查结果。

英国数字社会监管格局的演变

除了在立法中确定发展的关键领域,对证据的呼吁是政府承诺的一部分,以加强其在技术和计算领域的世界领先地位,以及更广泛地打击网络犯罪。作为这一承诺的一部分,政府将在今年晚些时候发布他们最新的英国网络战略,取代之前的迭代在2016年实现。

在新的战略下,政府的优先行动点将是:

  • 加强英国的网络生态系统,为网络犯罪和更广泛的数字经济提供了一系列社会方法,深化政府,学术界和工业之间的伙伴关系;
  • 建立一个有弹性和繁荣的数字英国,公民在线感到安全,并确信他们的数据受到保护;
  • 在必要的必要条件下,在展望数字经济的技术方面,并在必要时建立工业能力,并确保英国可以安全地采用新兴技术;
  • 通过与其他政府和行业合作,促进自由,开放,和平和安全的网络空间,并借鉴英国的网络安全领导;和
  • 检测,破坏和阻止其对手。

为了实现这些目标,政府及其各自的各部门必须继续制定立法机构,以便在有机会损害数字基础设施之前先发制人抢救新威胁。通过这样做,政府可以希望保护公民和组织从不断增长的刑事行业。

呼吁对计算机滥用法案的证据

内政部最近呼吁收集证据,试图发展战略的最后一个方面,允许当局通过以下手段来发现、破坏和阻止任何潜在的威胁:

  • 赋予针对罪犯的特定权力;和
  • 对那些继续引起关注的国家造成重大后果。

从工业和学术界的所有领域都要求投入,特别关注制定新的犯罪,保护,权力及其司法范围。有证据的呼吁还要求提供可能与制定实施其向前发展的网络策略的方法可能兼容的国际方法的明显例子。因此,在给出来自同等多数源所要求的各种信息,可以看到呼叫的结果将有趣。在这个过程中仍然是一个常量的是,CMA不再感到能够满足当代数字社会的需求。

'开发发展技术的定义'

也许最值得注意的一个领域是对“计算机”定义的澄清。CMA没有提供一个定义,因为技术的快速变化可能导致这个定义很快就会过时。相反,这个定义留给判例法来填补空白。这在某种程度上已经实现了DPP v McKeown, DPP v Jones [1997] UKHL 4它被定义为“一种用于存储、处理和检索信息的装置”。这种方法背后的逻辑很清楚,因为技术确实比立法修订进步得更快,但在此期间,它留下了潜在的差距和争议,比如首先应该由什么构成“设备”。

这是一个值得注意的问题,这是在法律中创造一个灰色区域,这可能特别有问题,应该诉讼,或者捍卫行动依赖于法官或陪审团的“计算机”的解释。这是因为当前的定义依赖于所涉及的人的主观解释。某些缔约方可以在房屋内认为智能设备作为计算机,尽管他们的互动能力与网络和过程命令和信息交互。其他可能将定义的范围限制为更复杂的系统,这些系统更传统地与计算机的定义相关联,尽管这两个设备都提供了类似的潜在攻击表面,用于那些寻求在连接到家庭或工作网络时利用漏洞的人。根据目前的立法,双方可以将定义适用于其特定的设备组。因此,该行为运行捕获通常不会被认为是智能灯泡的设备的捕获设备的风险,同时省略更多的新技术,更复杂的系统将无法包括,例如闪存血糖监测系统。

解决这一目标的潜在途径可能是签发政府指导,以补充更稳健的监管实施。这意味着,虽然主题仍然是灰色,但是,人员和组织对可能落入定义的范围内的进一步清晰。这是指导的事实也意味着它可以在出现的情况下更新,可以更新技术和司法发展。因此,它不会是一种详尽的定义,但也许可以澄清人们关注的大多数情况,这些情况是在法律的眼中与“计算机”互动,以及他们的使用是否可能会在此方面造成责任行为。然而,人们可以同样地理解争议的潜力,以适应这种指导的重量,因此其潜在的整体效率是不确定的。

“狼衣服的绵羊”

另一个值得改变的领域是,为那些出于非恶意目的而实施犯罪行为的人提供的保护,这些行为通常属于CMA罪行的管辖范围。CMA目前的形式并不能充分区分犯罪行为和合乎道德的黑客行为。道德黑客(包括白帽和灰帽)和其他渗透和安全专家专门从事对计算机系统的蓄意攻击和测试,以发现可能被犯罪分子和黑帽利用的安全漏洞。

在黑客从事并明确同意的情况下,这不太可能导致任何问题。这是因为CMA中的许多违法行为依赖于未经授权的犯罪犯罪的要素。对于通常在未经许可的情况下,通常对灰色黑客黑客或安全研究人员进行的各方令人担忧,以便分析整个产业的潜在威胁或监测在线目前的潜在威胁向量的责任组织。尽管有良好的意图,但这些方在技术上正在犯罪,因为他们已经透过了第三方制度而没有授权。

对证据的呼吁似乎至少在一定程度上承认了这一点,并质疑那些回应是否有足够的保护措施涵盖“合法”网络活动的人。一些人会辩称,考虑将保护范围扩大到那些更属于灰色范畴的企业将是明智的,这些企业的意图是好的,但它们的行动没有得到授权。全面豁免不太可能起作用,因为许多当事人可以简单地声称,他们一直在以这种方式行事,同时隐瞒犯罪行为。相反,一个潜在的警告,通过学术地位/认证或严格的专业标准,一个特定的合格方可以实施这种保护。目前还不清楚内政部将如何处理这一问题,但如果不这样做,可能会阻止那些寻求为社会做得更好的人参与到更广泛的保护与电脑和数字环境互动的人的行动中来。

“双刃剑”

另一个,但绝不是唯一的其他区域,值得改变来自我们对网络犯罪的理解和潜在危险软件的发展。根据目前的立法,CMA使其犯有提供或提议的罪行,以供应可能用于在该法案下犯下犯罪委员会的任何计划或数据。在表面上,这似乎是一个完全合理的要求,因为它限制了分享危险软件的人们,例如赎金软件,特洛伊木马或网络钓鱼计划。然而,它无意中还减少了研究人员和安全专家(业余和专业人士)的机会,从广泛分享了他们的软件,希望人们可以利用他们的工具来加强自己的在线保护,因此减少犯罪分子未来袭击的机会。这是因为,通过开源和共享平台的本质,如GitHub,所有方式都可以访问其存储库。因此,这包括良好和坏的演员。因此,难以争辩说,将该软件提供给用户,因此不知道它可以用来犯罪。

源代码公开共享是一种非常宝贵的方式,可以增加社区发现和解决缺陷的可能性,从而创建更加健壮的平台。因此,不采取适当措施保护那些出于学术、分享知识和整体利他主义目的而这样做的人,似乎是违反直觉的。为了这些目的而共享软件或数据的条款的发展可能有利于推动英国数字环境的战略目标,即扰乱对手。一劳无功的做法同样是无效的,因为它可能会让许多坏人声称他们这样做是出于善意的目的。解决这一问题的一种潜在方法是使用经过授权和审查的门户,在这些门户中,共享的目的显然是为了使他人的安全受益。因此,通过要求帐户授权访问这些方案,可能会限制这些方案的总体使用,并将有助于建立一个可核实的审计线索,以了解谁拥有这些方案以及这些方案的分布情况。然而,如果认为这样做可以阻止不那么无私的用户访问,那就太愚蠢了。因此,这给立法者提出了一个有趣的难题,即如何鼓励知识共享,同时又不让不良行为者太容易利用这些项目。

结论思考

虽然CMA在处理网络犯罪时,CMA做得很好地充当政府的剑和盾牌,但它似乎现在已经变得迟钝和削减,需要改变。有明确的发展领域现在需要留住人们如何使用计算机,以及我们现在对网络犯罪的危险更大欣赏。结束了这项要求进行证据,现在开始考虑如何将英国立法提出迄今为止并适合在我们迅速发展的数字世界中才能生存。