Το Ομοσπονδιακό Υπουργείο Δικαιοσύνης στη Γερμανία έχει συντάξει νόμο για την παροχή νομικής προστασίας σε ερευνητές ασφάλειας που ανακαλύπτουν και αναφέρουν υπεύθυνα τρωτά σημεία ασφαλείας στους προμηθευτές.
Όταν η έρευνα για την ασφάλεια διεξάγεται εντός των καθορισμένων ορίων, οι υπεύθυνοι θα αποκλείονται από την ποινική ευθύνη και τον κίνδυνο δίωξης.
“Αυτοί που θέλουν να καλύψουν τα κενά ασφάλειας πληροφορικής αξίζουν αναγνώριση – όχι μια επιστολή από τον εισαγγελέα.” δήλωσε ο ομοσπονδιακός υπουργός Δικαιοσύνης Dr. Marco Buschmann.
«Με αυτό το σχέδιο νόμου θα εξαλείψουμε τον κίνδυνο ποινικής ευθύνης για άτομα που αναλαμβάνουν αυτό το σημαντικό έργο», αναφέρει στην ίδια δήλωση ο υπουργός.
Επιπλέον, η προτεινόμενη τροποποίηση του ποινικού νόμου εισάγει αυστηρότερες κυρώσεις για σοβαρές περιπτώσεις κατασκοπείας και υποκλοπής δεδομένων, ιδίως όταν στοχεύουν υποδομές ζωτικής σημασίας.
Προστασία ερευνητών ασφάλειας
Το νέο σχέδιο νόμου τροποποιεί το άρθρο 202a του Ποινικού Κώδικα (StGB) για να προστατεύσει τους ερευνητές ασφάλειας πληροφορικής, τις εταιρείες και τους λεγόμενους «χάκερ» από τιμωρία σύμφωνα με το ποινικό δίκαιο των υπολογιστών.
Αυτό ισχύει όταν οι ενέργειές τους εκτελούνται για τον εντοπισμό και το κλείσιμο μιας ευπάθειας ασφαλείας, εφόσον δεν θεωρούνται “μη εξουσιοδοτημένες”.
Τα κριτήρια που πρέπει να πληρούνται για την έρευνα ασφάλειας είναι τα ακόλουθα:
- Η ενέργεια πρέπει να εκτελείται με στόχο τον εντοπισμό ευπάθειας ή άλλου κινδύνου ασφάλειας σε ένα σύστημα πληροφορικής.
- Ο ερευνητής πρέπει να σκοπεύει να αναφέρει την ευπάθεια ασφαλείας που έχει εντοπιστεί σε μια υπεύθυνη οντότητα ικανή να αντιμετωπίσει το ζήτημα, όπως ο χειριστής συστήματος, ο κατασκευαστής λογισμικού ή η Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών (BSI).
- Η πράξη πρόσβασης στο σύστημα πρέπει να είναι απαραίτητη για τον εντοπισμό της ευπάθειας. Αυτό διασφαλίζει ότι η εξαίρεση ισχύει μόνο στο βαθμό που απαιτείται για δοκιμές ασφαλείας, χωρίς περιττή ή υπερβολική πρόσβαση.
Η ίδια εξαίρεση από την ποινική ευθύνη εφαρμόζεται επίσης σε αδικήματα που αφορούν υποκλοπή δεδομένων (§ 202b StGB) και τροποποίηση δεδομένων (§ 303a StGB) εφόσον οι σχετικές ενέργειες θεωρούνται επιτρεπόμενες.
Ταυτόχρονα, το προσχέδιο εισάγει μια ποινή που κυμαίνεται από τρεις μήνες έως πέντε χρόνια φυλάκισης για σοβαρές περιπτώσεις κακόβουλης κατασκοπείας και υποκλοπής δεδομένων (§ 202a StGB).
Όσον αφορά το τι συνιστά σοβαρό κρούσμα, το νομοσχέδιο αναφέρει τις ακόλουθες περιπτώσεις:
- Η παράβαση έχει ως αποτέλεσμα σημαντική οικονομική ζημία.
- Η πράξη έγινε με σκοπό το κέρδος, σε εμπορική κλίμακα ή ως μέρος εγκληματικής οργάνωσης.
- Περιπτώσεις που θέτουν σε κίνδυνο υποδομές ζωτικής σημασίας—όπως νοσοκομεία, προμηθευτές ενέργειας ή δίκτυα μεταφορών—ή επηρεάζουν την ασφάλεια της Γερμανίας ή ενός από τα κράτη της, συμπεριλαμβανομένων επιθέσεων που προέρχονται από το εξωτερικό.
Περισσότερες λεπτομέρειες για το σχέδιο νόμου και τις προτεινόμενες τροπολογίες είναι διαθέσιμο εδώ.
Οι ομοσπονδιακές πολιτείες και οι ενδιαφερόμενες ενώσεις το έχουν λάβει για επανεξέταση και τους δίνεται προθεσμία έως τις 13 Δεκεμβρίου 2024, για να υποβάλουν τα σχόλιά τους προτού παρουσιαστούν στην Bundestag για κοινοβουλευτική συζήτηση.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε μια παρόμοια αναθεώρηση με τον νόμο περί απάτης και κατάχρησης υπολογιστών (CFAA) τον Μάιο του 2022, εισάγοντας εξαιρέσεις δίωξης για «καλόπιστους» ερευνητές ασφαλείας.
VIA: bleepingcomputer.com
