活动家说,有争议的边缘案件活动不是进一步延迟“太多”改革的借口。
《英国计算机滥用法》(CMA)的竞选者已经确定了在1990年法律的持续进行政府审查的情况下,应在法律上是可辩护的网络安全活动。
根据专家的“共识”观点,这些合法的黑客活动包括负责任的脆弱性研究和披露,比例威胁情报,最佳实践互联网扫描,枚举,使用开放目录清单和蜜罐。
该共识“将构成基于法定辩护的网络安全专业人员的新法律环境的核心基础,”报告(PDF)昨天(8月15日)由网络运动发表。
这样的防御远非释放“网络警惕性的野外西部”,这将使英国的网络安全部门能够更有效地保护英国,以作为整个社会努力的一部分,同时确保仍然可以被起诉网络犯罪分子”。
边缘案例
网络运动还制定了应该广泛认为是非法的行动,例如所谓的“ hack backs”和恶意软件部署,以及“积极的防御”技术,“仍然代表灰色区域”。
These “contentious edge cases”, which require “further consultation and discussion as the policy formation process develops”, include exploitation of vulnerabilities, verification of passive-detected vulnerabilities, infiltrating a bad actor’s network, credential stuffing, active intel gathering, forensic analysis, botnets, and neutralizing suspicious or nefarious assets.
网络坚持认为,边缘案件的存在并不是进一步延迟“太多逾期”改革的借口。
竞选者向国会议员签署的一封信,要求CMA改革给总理的住所
结果是基于15位网络安全研究人员,顾问和其他专家的投入,他们根据所产生的潜在危害和福利评估活动。
超过50%的专家同意的“共识”程度差异很大。
For instance, 100% agreed that use of sandboxes caused no or limited harm but delivered clear benefits, whereas 64% agreed that patching third-party networks or using remote desktop protocol (RDP) connections to obtain information from an attacker’s computers potentially ran the risk of causing harm but also provided worthwhile benefits.
意图的重要性
该报告说:“毫不奇怪,这项演习还揭示了CMA目前“跌倒”的任何努力,从演员意图中隔离技术,活动和行动的局限性”。
Cyberup建议法院建议法院使用广泛的原则来判断未经授权的访问实例。
一个国防框架(PDF)Cyberup于2021年出版,建立了一组此类原则。
网络活动表示,它不同意某些专家的建议,它咨询了某些活动应仅根据许可进行,或者更严格地进行,而演员“已获得认证并有法院逮捕令”。
“我们的观点是,随着时间的推移,随着时间的推移,理想情况下,在检察官的明确指导下,法律行为的界限将足够明确,以应对那些更加紧密地倾向于系统的人寻求高度监督的需求受法院的监管。”报告说。
对“未经授权访问”定为犯罪的老化CMA的审查是宣布2021年5月。