Crest brinda apoyo a la campaña de reforma de CyberUp CMA

Los activistas que quieren reformar la Ley de Uso Indebido de Computadoras (CMA, por sus siglas en inglés) del Reino Unido de 1990 para proteger a los investigadores y analistas de seguridad cibernética de la amenaza de ser procesados ​​por hacer su trabajo tienen un nuevo patrocinador importante en la forma del organismo de aseguramiento y acreditación profesional cibernética Crest International.

La campaña CyberUp argumenta que la CMA, que cumple 33 años este año, está ridículamente desactualizada y no refleja adecuadamente la evolución de la profesión de ciberseguridad en las últimas tres décadas.

La principal preocupación del grupo es que la redacción de la ley, en particular, el concepto de “acceso no autorizado” a un programa o datos almacenados en una computadora.

Dado que la actividad de seguridad defensiva con frecuencia implica escanear, interrogar y acceder a sistemas informáticos, la campaña dice que un fiscal podría argumentar con éxito que un ciberprofesional infringe la ley cuando utiliza técnicas defensivas comunes y aceptadas en su trabajo.

Se prometió una reforma en 2021, pero el proceso se ha estancado a pesar de que ahora existe un consenso ampliamente aceptado de que se debe cambiar la ley.

“Crest ha apoyado y admirado los esfuerzos de la Campaña CyberUp desde sus inicios, por lo que es fantástico hacer oficial este apoyo”, dijo Rob Dartnall, presidente del Consejo del Reino Unido de Crest.

“La Ley de Uso Indebido de Computadoras está desactualizada y su visión de las pruebas de seguridad y la inteligencia de amenazas no es adecuada para el mundo cada vez más digitalizado de hoy con amenazas cibernéticas cada vez más sofisticadas y en constante crecimiento.

“En 2021, CyberUp aseguró una revisión exhaustiva de la ley, por lo que ahora es importante que la industria en el Reino Unido colabore para garantizar que se lleve a cabo una reforma sustancial. Trabajaremos con la campaña para ayudar a involucrar a la industria e impulsar una reforma exitosa”.

Un portavoz de la campaña CyberUp dijo: “La campaña CyberUp está encantada de tener a Crest International como patrocinador.

“Tenemos muchas ganas de trabajar con Crest y sus miembros en el Reino Unido para garantizar la reforma de la Ley de uso indebido de computadoras. El Reino Unido está al borde de un cambio histórico en nuestras leyes sobre delitos cibernéticos. La ayuda de organizaciones como Crest es esencial si queremos asegurarnos de que esta oportunidad única en una generación no se desperdicie”.

Un informe de agosto de 2022 producido por la campaña CyberUp se propuso asegurar a los legisladores que la reforma no abriría un “Salvaje Oeste” de vigilancia cibernética.

El informe clasifica las actividades cibernéticas en actos que no causan daño o lo hacen de forma limitada pero brindan beneficios, actos que causan daño y brindan beneficios, actos que no causan daño y no brindan beneficios, y actos que causan daño y no brindan beneficios.

En la primera categoría, CyberUp propuso al gobierno hacer un total de 13 actividades defendibles por ley: el uso de claves de interfaz de programación de aplicaciones (API), captura de pancartas, el uso de balizas, la implementación de firewalls y controles de acceso a la red, el uso de honeypots, el uso de listados de directorios abiertos, la recopilación de inteligencia pasiva, el escaneo de puertos, el uso de sandboxes o tarpits, el desmantelamiento de servidores o botnets, el hundimiento, el web scraping y el análisis de malware.

Las actividades que probablemente encajen en la última categoría, que seguirían siendo indefendibles por ley, podrían incluir piratería, realizar ataques de denegación de servicio distribuidos, el uso de malware y ransomware, actos maliciosos “socialmente indeseables”, la validación de exploits o prueba de un límite de seguridad fallido, e irrumpir en sistemas considerados parte de la infraestructura nacional crítica.

El informe también destacó algunas áreas grises, particularmente en torno a la actividad descrita como defensa activa, que puede incluir acciones como infiltrarse en las redes o sistemas de los actores de amenazas, verificar vulnerabilidades detectadas pasivamente, explotar vulnerabilidades, relleno de credenciales, neutralizar activos sospechosos o maliciosos, activos recopilación de información, uso de botnets e investigación activa y análisis forense.

El trabajo de la campaña continúa.

Exit mobile version