Dos enmiendas al proyecto de ley de datos (acceso y uso) que habría establecido una defensa legal legal para los profesionales de la seguridad y los piratas informáticos éticos para protegerlos del procesamiento bajo la Ley de uso indebido de computadoras (CMA) de 1990 no lograron pasar más allá de un comité de la Cámara de los Lores. audiencia después de haber sido retirado.
La CMA, de 34 años, define ampliamente el delito de “acceso no autorizado a una computadora” que se utiliza con frecuencia en el Reino Unido cuando se procesa a los ciberdelincuentes, pero dado que se convirtió en ley cuando Margaret Thatcher era primera ministra, no se ha actualizado para reflejan el surgimiento y las prácticas de la profesión legítima de seguridad cibernética.
Los activistas dicen que esto está poniendo al Reino Unido en desventaja competitiva porque los profesionales de la seguridad temen ser procesados simplemente por hacer su trabajo (por ejemplo, al acceder a un sistema durante el curso de una investigación de incidente), mientras que sus empleadores salen perdiendo frente a empresas ubicadas en más lugares. jurisdicciones permisivas.
Introducidos por Lord Chris Holmes y Lord Tim Clement-Jones, los cambios habrían introducido dos enmiendas en el Proyecto de Ley de Datos para enmendar la CMA de modo que los profesionales de seguridad pudieran demostrar que sus acciones eran “necesarias para la detección o prevención de delitos” o “justificadas como siendo de interés público”.
Hablando en apoyo de la enmienda el 18 de diciembre de 2024, Holmes habló sobre cómo se introdujo la CMA para defender los intercambios telefónicos en una era en la que el 0,5% de la población estaba en línea, y si ese fuera el único propósito de la ley, eso por sí solo indicaría que necesita actualización dados los profundos avances tecnológicos realizados en las últimas tres décadas y media.
“La Ley de Uso Indebido de Computadoras de 1990 no sólo está desactualizada sino que, sin darse cuenta, criminaliza a los profesionales de la seguridad cibernética a quienes encargamos la tarea de mantenernos a todos seguros. A menudo trabajan, comprensiblemente, bajo el radar, no sólo detrás de puertas cerradas sino también con llave, realizando un trabajo tan importante. Sin embargo, a falta de estas enmiendas, con demasiada frecuencia hacen ese trabajo con al menos una mano atada a la espalda”, dijo Holmes.
La Ley de uso indebido de computadoras de 1990 no solo está desactualizada sino que, sin darse cuenta, criminaliza a los profesionales de la seguridad cibernética a quienes encargamos la tarea de mantenernos a todos seguros.
Señor Chris Holmes
“Tomemos sólo dos ejemplos: investigación de vulnerabilidades y evaluación y análisis de inteligencia de amenazas. Ambos podrían descubrir que el profesional de la seguridad cibernética incumple las disposiciones de la CMA 1990. No confíen en mi palabra: miren el informe anual de 2024 del Centro Nacional de Seguridad Cibernética, que, de manera correcta y comprensible, destaca la brecha cada vez mayor entre las amenazas que enfrentamos. enfrenta y su capacidad, y la capacidad de la comunidad de profesionales de la seguridad cibernética, para hacer frente a esas amenazas.
“Estas enmiendas, en esencia, realizan una tarea simple pero crítica: brindar una defensa legal para actividades legítimas de seguridad cibernética”, dijo. “Eso es todo, pero tendría un impacto muy profundo para aquellos a quienes hemos pedido que nos mantengan seguros y para la seguridad que así pueden brindar a todos los ciudadanos de nuestra sociedad.
“No es el momento, ya es tiempo de que estas enmiendas se conviertan en parte de nuestra ley. Si no es ahora, ¿cuándo? Si no son estas enmiendas, ¿qué enmienda? Y si no son estas enmiendas, ¿qué dirá el gobierno a todas aquellas personas que seguirán en peligro por falta de estas disposiciones protectoras?” añadió Holmes.
El gobierno responde
Durante la audiencia en Westminster, otros parlamentarios, incluido el copatrocinador de la enmienda Lord Clement-Jones y Lord James Arbuthnot, más conocido por su trabajo de campaña en el escándalo Post Office Horizon, hablaron a favor de la reforma, pero fue en vano.
Lord Timothy Kirkhope dijo: “Esto simplemente demuestra, una vez más, que a menos que nos recompongamos, con una legislación mejor e inteligente que avance más rápido, nunca jamás nos pondremos al día con los avances en tecnología e inteligencia artificial. [artificial intelligence]. Esto ha quedado demostrado dramáticamente con estas enmiendas. Expreso mi preocupación de que el gobierno avance al ritmo que siempre lo hace, pero en este campo en particular no va a funcionar”.
En respuesta a la reunión, la subsecretaria de Estado del Departamento de Ciencia, Innovación y Tecnología (DSIT), la baronesa Margaret Jones, dijo que el gobierno estuvo de acuerdo en que el Reino Unido necesitaba un marco legislativo revisado para permitir a las autoridades abordar los daños planteados por los ciberdelincuentes, y que se comprometió a garantizar que la CMA se mantenga actualizada y sea eficaz en este sentido.
Sin embargo, dijo Jones, la reforma es una cuestión “compleja y continua” que se está considerando como parte de una revisión de la propia CMA por parte del Ministerio del Interior.
“Estamos considerando mejorar las defensas mediante una amplia colaboración con la industria de la seguridad cibernética, los organismos encargados de hacer cumplir la ley, los fiscales y los propietarios de sistemas. Sin embargo, el compromiso hasta la fecha no ha producido un consenso sobre el tema, ni siquiera dentro de la industria, y eso nos está frenando en este momento, pero estamos absolutamente decididos a seguir adelante y alcanzar un consenso sobre el camino a seguir”. ella dijo.
“Las enmiendas específicas… son prematuras, porque necesitamos un consenso más fuerte sobre el camino a seguir, a pesar de todas las buenas razones… dadas por las que es importante que tengamos legislación actualizada. Con estas preocupaciones y razones en mente, espero que el noble Señor [Holmes] “Me sentiré capaz de retirar su enmienda”, dijo Jones.
Katharina Sommer, jefa de asuntos gubernamentales de la empresa cibernética NCC Group, dijo que estaba encantada de ver llamados tan apasionados a la reforma y que la sesión había resaltado acertadamente la naturaleza obsoleta de la CMA y cómo frena a los profesionales de la seguridad cibernética.
“Necesitamos una defensa legal, como la propuesta por la bienvenida enmienda de Lord Holmes, para permitir que este trabajo vital avance sin obstáculos, en un momento en el que la amenaza cibernética aumenta sin cesar. Reformar la CMA desbloquearía enormes oportunidades, fortalecería nuestras defensas y ayudaría al Reino Unido a competir en el escenario mundial”, dijo.
“Es alentador ver a la ministra reconocer la necesidad de brindar protección legal para las actividades legítimas de seguridad cibernética y escuchar su determinación de alcanzar un consenso sobre el camino a seguir, particularmente porque esto sigue al reciente compromiso de su colega el ministro de seguridad de revisar la CMA. dijo Sommer.
“Esperamos sinceramente que todos los involucrados en mantener al Reino Unido seguro en el ciberespacio estén preparados para trabajar juntos y encontrar un compromiso en lugar de correr el riesgo de llegar a un punto muerto. Esperamos trabajar con el gobierno y todos los socios para garantizar que las leyes cibernéticas del Reino Unido reflejen las amenazas del siglo XXI”.
Decepción
Andrew Jones, director de estrategia de The Cyber Scheme, partidario de la campaña CyberUp para la reforma legal, dijo: “Aunque estamos un poco decepcionados por la decisión del gobierno de no aprovechar esta oportunidad para llevar la Ley de Uso Indebido de Computadoras al siglo XXI, estamos alentados por sus recientes comentarios que sugieren que se está considerando una revisión de la ley. Hasta entonces, la CMA seguirá siendo una legislación obsoleta, que impedirá que nuestros profesionales de ciberseguridad defiendan a las organizaciones de manera efectiva y nos dejará rezagados respecto de naciones pares, mientras Estados Unidos y la UE avanzan para salvaguardar el trabajo ético en ciberseguridad como piedra angular de la resiliencia nacional.
“Dado que el director ejecutivo del Centro Nacional de Seguridad Cibernética reconoció recientemente que la actividad hostil en el ciberespacio del Reino Unido ha aumentado en ‘frecuencia, sofisticación e intensidad’, es vital que el Reino Unido tome medidas para mejorar su resiliencia cibernética.
Añadió: “La defensa legal que proponemos, redactada en consulta con expertos legales y de la industria, protegería a los profesionales legítimos de la seguridad cibernética, fortalecería las defensas cibernéticas del Reino Unido y reforzaría su lugar como líder en seguridad cibernética. Estamos totalmente preparados para trabajar con el gobierno para ayudar a implementar este cambio necesario en el futuro, tan pronto como esté listo para actuar”.
