英国政府が国の主要なサイバー犯罪法を大幅に改正する計画は、極めて限定的な法的保護しか提供せず、ほとんどのセキュリティ研究者は今と同じ立場に置かれることになると、提案について説明を受けた複数の関係者がRecorded Future Newsに語った。
1990年のコンピュータ不正使用法を修正する計画は、業界が普通のサイバーセキュリティ活動を禁止していると批判している法律を近代化するため何年もの間キャンペーンを行った後、先週の国王のスピーチで発表された。
昨年12月、セキュリティ大臣ダン・ジャービスは、政府が「特定のセーフガードを満たす限り」研究者を裁判所での有罪判決から保護する法定防御(法律に明記された正式な法的保護)を導入することを約束した。しかし、これまで報告されていない計画について説明を受けた情報源によると、これらのセーフガードは非常に限定的であるという。
政府は、法定防御をインターネットに接続されたシステムのスキャンで起訴されている研究者の場合のみに制限する計画である。スキャンはサイバーディフェンス活動のサブセットであり、その大部分はすでにShodanやCensysなどの商用プラットフォームによって英国の管轄権の外から継続的に実行されている。
提案では、脆弱性が特定された瞬間に研究者は活動をやめることが求められ、それが実在するものであることを確認したり、その重大度を評価したり、その悪用可能性を判断することができなくなる。業界の専門家は、システム所有者が脆弱性に対処する前に真正性の証拠を定期的に求めるため、これは開示をほぼ無価値にすると述べている。
認定された研究者は個人的にテストを実施することが求められ、他の者に彼らに代わって活動を実行するよう指示することができなくなる。この規定は、上級専門家が下級スタッフまたは自動化ツールを監督する標準的な商業モデルと矛盾する。
提案はまた、法定防御の対象を英国サイバーセキュリティ評議会の認定を取得している英国市民のみに限定する。英国サイバーセキュリティ評議会は、チャーターされた会計士やエンジニアに付与されるステータスと同様に、サイバーセキュリティ専門家にチャーター資格を付与することができる唯一の機関である。
政府当局者は、Recorded Future Newsの情報源に対し、現在約300人のみがそのような認定を保有していると述べた。これは、公式な政府統計によると業界に従事している「ほぼ70,000人の高度な技能を持つ人材」の約0.4%である。
認定要件はRecorded Future Newsが相談した専門家から広く批判され、彼らはそれをバグバウンティハンター、学術研究者、趣味人、小さなビジネスの専門家を除外する可能性のある「ペイ・トゥ・プレイ」モデルと説明した。これらの者たちは世界的に脆弱性開示の相当な割合を占めている。
情報源によると、改革は助成することを意図している業界のニーズというより、政府自身の法的露出に対処するために主に設計されたようだと述べた。彼らは、政府自体がコンピュータ不正使用法が法執行機関と国立サイバーセキュリティセンター(NCSC)の両方の活動を制限していることを認めた会議を引用した。
NCSCのスポークスパーソンは、「ご想像の通り、NCSCの活動は法に準拠しており、英国をオンラインで生活して働く最も安全な場所にするというミッションを実現する堅牢な監視フレームワークによって管理されている」と述べた。同機関は、スタッフのうち何人がチャーター資格を保有しているかについては明かすことを拒否した。
サイバーポリシーコンサルタントであり英国政府の独立した顧問であるジェン・エリスは、セキュリティコミュニティと関わった当局者を称賛したが、「期待と現実のミスマッチがある」と警告した。
彼女は、研究者たちはコンピュータ不正使用法の提案された改革が誠実なセキュリティ研究に対する「法定防御または法的安全港」を提供することを望んでいたが、現在の提案は「はるかに狭い」範囲であり、既知の脆弱性のスキャンにのみ焦点を当てていると主張した。
エリスはまた、専門的な役割や認定に関連する除外規定を批判し、セキュリティ研究は独立して、大規模組織の外で行われることが多いと述べた。彼女は、そのような要件は研究とスキル開発を「阻害」し、大企業を優遇し、最終的には「行為ではなく個人を犯罪化」すると主張した。
進行中のキャンペーンを理解するために攻撃者のインフラストラクチャにアクセスすることを含む、グローバルなサイバーセキュリティ業界の標準的な慣行は、英国で犯罪化されたままである。政府は、これらの活動をカバーする広範な法定防御が悪意のある行為者に法的保護を提供することを懸念していると理解されている。
業界は、現在の立場がドイツ、フランス、オランダ、ベルギー、米国のライバルに対して英国企業に競争上の不利をもたらすと述べている。これらすべての国は、より制限の少ない法的枠組みの下で運営されており、その結果としてサイバー犯罪者を起訴することの困難さを報告していない。
業界団体は、一部の英国企業は既にセンシティブな研究業務をより明確な法的枠組みを持つ管轄地域を通じてルーティングしていると述べている。内務省は、この問題に対する彼らのアプローチを理解するために国際的なカウンターパートと話をしていると述べた。
コンピュータ不正使用法の欠点は、英国の法執行機関の専門家の間で広く知られている。警察と協力する企業の研究者は、調査中に犯罪者のネットワークにアクセスした後、上級幹部に懸念を提起したとRecorded Future Newsに述べた。彼らによると、幹部の対応は心配する必要はないというものだった。王立検察庁は法定防御がなくても公益を考慮に入れるだろう。研究者と業界グループは、そのような非公式な保証はビジネスを構築したり、専門的保険を取得したり、同僚に指示するための基礎ではないと述べている。
研究者はまた、提案が脆弱性の発見とセキュリティテストを自律的に実行するために業界全体で益々使用されているエージェント型AIツールをまったく考慮に入れていないことに注意を促した。
人間の研究者ではなくAIシステムによって実行された活動が、認定された個人が個人的にテストを実施することを要求する防御に該当するかどうかは対処されておらず、法的枠組みが法律集に到達する前に既に時代遅れである可能性を提起している。
内務省のスポークスパーソンは、「本政府は、サイバーセキュリティ専門家が英国のセキュリティを向上・保護する上で果たす重要な役割を認識している。彼らを支援することが不可欠である。わが国の国家安全保障法案は、正当な研究の支援と国家安全保障の保護のバランスを取る。わが国はサイバーセキュリティ業界の意見を重視し、提案を改善する際に彼らと継続して協力する」と述べた。
翻訳元: https://therecord.media/uk-plans-for-cybercrime-law-reform-limited-protections
