La Ley de Datos: Es hora de mejorar cibernéticamente

En las últimas deliberaciones sobre el proyecto de ley de acceso y uso de datos en la Cámara de los Lores, establecí dos enmiendas para ofrecer una actualización muy retrasada de la Ley de uso indebido de computadoras (CMA) de 1990. Al prepararme para la etapa de comité del proyecto de ley, sigo increíblemente agradecido. a todos los involucrados en la campaña CyberUp, sus análisis y comentarios siempre tan perfectamente acertados.

No creo que sea necesario ensayar el telón de fondo de la CMA, mucha gente estará muy consciente de la ley y sus deficiencias. Curiosamente, en los treinta y cuatro años y medio transcurridos, a pesar de los cambios sísmicos en nuestra sociedad y nuestras tecnologías (lo que es crucial, incluido el aumento de las amenazas a la seguridad cibernética), la ley sigue sin modificarse.

Dicho esto, me he tentado un poco, ya que la ley se redactó originalmente para proteger las centrales telefónicas en 1990, cuando sólo el 0,5% de la población tenía acceso a Internet.

La CMA fue la primera ley sobre delitos informáticos del Reino Unido y surgió tras un ataque a Prestel a mediados de los años 1980. Cualquier persona menor de 40 años probablemente se pregunte qué fue Prestel, un precursor de los servicios en línea basados ​​en Internet lanzados por Correos en 1979, lo cual sólo sirve para aclarar la cuestión.

Cambio significativo

Mis enmiendas al nuevo Proyecto de Ley de Datos buscan lograr un cambio muy claro y materialmente significativo, para permitir a los profesionales de la ciberseguridad hacer lo que les hemos pedido sin que la legislación les ate al menos una mano a la espalda.

Treinta y cuatro años después, la CMA todavía rige la forma en que abordamos a los ciberdelincuentes. Tal como está redactada actualmente, la ley criminaliza inadvertidamente la investigación legítima de seguridad cibernética. Esto incluye una gran proporción de actividades de investigación de vulnerabilidades y de inteligencia de amenazas que son fundamentales para proteger al Reino Unido de ataques cibernéticos cada vez más sofisticados.

Fundamentalmente, impide que los investigadores de seguridad cibernética realicen trabajos esenciales para proteger el Reino Unido, incluida la infraestructura nacional crítica. Si bien mejorar el acceso a los datos es una medida positiva, es igualmente crucial modernizar las leyes de seguridad cibernética para proteger no solo los datos sino también los sistemas que los sustentan.

El texto completo de mis enmiendas es el siguiente:

Uso de datos: definición de acceso no autorizado a programas o datos informáticos

En el artículo 17 de la Ley de uso indebido de computadoras de 1990, al final del inciso (5), insértese:

“c) no creen razonablemente que la persona con derecho a controlar el acceso del tipo en cuestión al programa o a los datos habría dado su consentimiento a ese acceso si hubiera conocido el acceso y las circunstancias del mismo, incluidos los motivos para solicitarlo , y

(d) no están facultados por una ley, por una norma legal o por orden de un tribunal para acceder del tipo en cuestión al programa o a los datos.

Uso de datos: defensas contra cargos en virtud de la Ley de uso indebido de computadoras de 1990

(1) La Ley de uso indebido de ordenadores de 1990 se modifica como sigue.

(2) En la sección 1, después de la subsección (3), insértese:

(4) Es una defensa a un cargo bajo la subsección (1) demostrar que:

(a) las acciones de la persona fueron necesarias para la detección o prevención del delito, o

(b) las acciones de la persona estaban justificadas por ser de interés público.

(3) En la sección 3, después de la subsección (6), insértese:

(7) Es una defensa a un cargo bajo el inciso (1) en relación con un acto llevado a cabo con la intención del inciso (2)(b) o (c) demostrar que:

(a) las acciones de la persona fueron necesarias para la detección o prevención

del delito, o

(b) las acciones de la persona estaban justificadas por ser de interés público.

Como dije en el debate, no confíen en mi palabra, el Centro Nacional de Seguridad Cibernética reconoció la brecha cada vez mayor entre los riesgos que enfrenta el Reino Unido y su capacidad para mitigarlos en su revisión anual de 2024, afirmando claramente que “actualizar esto Una legislación actualizada es un paso crucial para cerrar esta brecha”.

Defensa estatutaria

La introducción de una defensa legal proporcionaría claridad jurídica y protección a los profesionales éticos de la seguridad cibernética que llevan a cabo actividades legítimas de investigación de vulnerabilidades y de inteligencia de amenazas. Tal defensa alinearía al Reino Unido con las mejores prácticas a nivel internacional, asegurando que sigamos el ritmo de naciones como Estados Unidos y la UE, que están tomando medidas para salvaguardar el trabajo ético en seguridad cibernética.

Para poner algunas cifras, ha habido nueve millones de casos de delitos cibernéticos contra empresas y organizaciones benéficas del Reino Unido desde mayo de 2021, según la encuesta sobre infracciones cibernéticas de 2024 del Departamento de Ciencia, Innovación y Tecnología, publicada en abril de 2024. La mitad de las empresas y el 32% de organizaciones benéficas sufrieron una vulneración o un ataque cibernético el año pasado, con un aumento estimado de £2.400 millones de ingresos potenciales después de la actualización para el sector.

El análisis basado en el reciente informe de la industria de CyberUp sugiere que el 60% de los encuestados dijo que la CMA es una barrera para su trabajo en inteligencia de amenazas e investigación de vulnerabilidades, y el 80% creía que el Reino Unido estaba en desventaja competitiva debido a la CMA.

Para concluir mis comentarios, pregunté si el ministro podría proporcionar una actualización sobre el trabajo para reformar la Ley sobre el uso indebido de computadoras. También le pregunté si creía que mis enmiendas, tal como estaban redactadas, brindarían la protección legal que buscamos y, de ser así, por qué el gobierno no las pondría en vigor a través del Proyecto de Ley de Datos.

Las respuestas del ministro a ambas preguntas fueron en gran medida las mismas: debemos esperar, las enmiendas son “prematuras”, no hubo consenso entre quienes respondieron a la consulta del año pasado sobre el tema, por lo que el camino a seguir debe continuar sin cronograma ni idea de cuándo esta cuestión tan apremiante se resolverá.

Si el gobierno necesita algún apoyo público para acelerar el ritmo de este proyecto, ¿qué tal el hecho de que dos tercios de los adultos del Reino Unido se inclinan a apoyar un cambio en la ley para permitir que los profesionales de la seguridad cibernética realicen investigaciones para prevenir ataques cibernéticos?

También existe apoyo para tal cambio estatutario a partir del excelente informe del entonces asesor científico jefe, Patrick Vallance, a principios de este año, que concluyó que, “Modificar la CMA para incluir una defensa estatutaria del interés público que proporcionaría protecciones legales más sólidas para la seguridad cibernética”. investigadores y profesionales”.

Otras naciones ya han liderado en esta área, entre ellas Francia y los Países Bajos. Bélgica, Alemania y Malta están modificando actualmente sus marcos jurídicos con este fin. Como dije en el debate, es hora de aprobar estas enmiendas, es hora de brindarles a nuestros profesionales de seguridad cibernética la seguridad que necesitan para hacer lo mismo por nosotros, por todos nosotros. Como ha sido el caso durante demasiado tiempo, es hora de CyberUp.

Exit mobile version