Сообщить об уязвимости в Британии — значит попасть в тюрьму

Исследователи кибербезопасности в Великобритании, которые добровольно сообщают о найденных уязвимостях в системах МВД, могут столкнуться с уголовным преследованием.

МВД последовало примеру Министерства обороны (MoD), запустив платформу для раскрытия уязвимостей на HackerOne, однако в отличие от других программ Bug Bounty, денежные вознаграждения за обнаруженные ошибки не предусмотрены. Согласно опубликованным требованиям, исследователям запрещается вмешиваться в работу систем, изменять или получать доступ к данным.

Однако при поиске уязвимостей необходимо соблюдать действующее законодательство, что ставит под угрозу саму возможность легитимного исследования киберугроз. Дело в том, что британский Закон о неправомерном использовании компьютеров (CMA) 1990 года криминализирует любой несанкционированный доступ к компьютерным системам, вне зависимости от мотивации исследователя.

CyberUp заявляет , что отсутствие четких правовых рамок ставит британских специалистов под угрозу юридического преследования. В отличие от Министерства обороны, которое заверило исследователей в защите от уголовных дел, МВД таких гарантий не дало.

CyberUp приветствует развитие политики раскрытия уязвимостей в госорганах, но указывает, что в текущем виде такие меры недостаточны. По мнению организации, отсутствие юридической защиты ставит под удар как безопасность самих исследователей, так и цифровую устойчивость страны в целом.

Однако попытки реформировать законодательство предпринимались. В частности, Лейбористская партия предлагала ввести норму о защите действий, совершенных в общественных интересах, однако законопроект не был принят. Представители партии признают важность работы ИБ-специалистов и заявляют о необходимости обновления CMA, но на данный момент никаких законопроектов на данную тему в парламент внесено не было.

Между тем, другие европейские страны, такие как Португалия, Бельгия и Мальта, уже адаптировали свое законодательство к современным реалиям и предоставляют защиту этичным хакерам . По мнению CyberUp, Великобритания рискует отстать в области киберустойчивости, если не предпримет шагов по модернизации устаревших законов.