Skulle cybertjänstemän vara skyldiga att berätta offer för cyberbrott har de hackats?

Anonim

I Tyskland denna vecka var den juridiska limbo som definierar cyberspace runt om i världen på fullskärm.

Landets federala kontor för IT-säkerhet (BSI för dess tyska initialer) hade spårat en cyberattack riktade mot några av landets parlamentariker sedan början av december. Det ledde slutligen till offentliggörandet av mobilnummer, kreditkortsuppgifter och ID-kortuppgifter om hundratals parlamentsledamöter och andra offentliga uppgifter.

Bara några parlamentsmedlemmar informerades av BSI om attackerna, medan andra lärde sig om dem först efter att uppgifterna publicerades i media. Parlamentsmedlemmar var upprörda för att BSI inte hade underrättat dem om att deras personuppgifter skulle riktas, trots att man vet om element i attacken i upp till fyra veckor.


Läs mer: Nya riktlinjer för att svara på cyberattacker går inte tillräckligt långt


En djupare oro som uppstod av några parlamentsmedlemmar var att BSI (som inte är en brottsbekämpande myndighet) under samma tid inte informerade den tyska polisen om att en politisk brottslighet av denna allvar hade möjliggjorts. När de var förlovade fann polisen snabbt en misstänkt som rapporterade.

Hacking, oavsett om data är offentligt komprometterade, är ett brott i de flesta länder. Brottet utgörs helt enkelt av olaglig tillgång till data eller maskiner. Men få länder har lagar som kräver sina cyberbyråer som övervakar hacking för att rapportera brottsliga handlingar - antingen till offer för tredje part eller till polisen.

Det här juridiska vakuumet måste hanteras brådskande.

Är hacking en "allvarlig brottslighet"?

Utmaningen för cyberbyråer eller privata företag som upptäcker ett hack är att dessa händelser är mycket vanliga. Miljoner sker varje dag, och komplexa rättsmedicinska uppgifter måste samlas för att bedöma vilka incidenter som är allvarliga för att kräva anmälan. Detta skapar en defacto men odefinierad distinktion mellan "småbrottslighet" (de flesta hacks) och "allvarlig brottslighet".

Vad detta betyder i verkligheten kan illustreras av övningen i den australiensiska staten New South Wales. I NSW finns skyldighet enligt brottlagen att anmäla allvarliga brott. Dessa definieras som de som lockar rättsliga påföljder om fem år eller mer av fängelse. Men när det gäller cyberhackning är det ofta inte omedelbart klart huruvida omfattningen av ett hack skulle utlösa en sådan straffgräns.

Denna osäkerhet var på spel i det tyska hacket, med BSI rättfärdigande att det inte kunde anmälas med påståendet att det fortfarande var att försöka analysera det och inte visste sin fulla skala.

Även efter att ha arresterat den misstänkte och kände till omfattningen av attacken, sa chefen för nätverkssäkerhet vid Federal Police Office (BKA) att det fortfarande var oklart om hacken var ett allvarligt brott som inspirerades av politiska motiv. Misstanken att det kan ha varit politiskt motiverat härrör från det faktum att det enda politiska partiet, vars parlamentsledamöter inte var riktade, var den yttersta rätten, AfD.


Läs mer: Ryssarna hackar hem internetanslutningar - här skyddar du dig själv


Vilken "obligatorisk rapportering" betyder i Australien

I 2018 introducerade Australien efter en lång offentlig debatt systemet med anmälningspliktiga dataöverträdelser (NDB) som ett ändringsförslag till sekretesslagen. NDB kräver att företagen informerar kommissionsledamoten (inte polisen), liksom eventuella offer, om personuppgifter som de innehar äventyras på ett sätt som utgör ett allvarligt brott mot privatlivet.

Denna bestämmelse om civila bestämmelser är väldigt svag, delvis beroende på att den tillåter det berörda företaget eller byrået att självbedöma överträdelsens allvar över en 30-dagarsperiod innan skyldigheten att anmäla sparkar in.

Det är också svagt eftersom det finns ett täckningsbefrielse för brottsbekämpande aktiviteter och för regeringens hemliga behov. Australiska cyberbyråer, till exempel Australian Signals Directorate och Australian Center for Cyber ​​Security, verkar ha nollplikt att säga till polisen eller offren att det har varit ett hack eller en dataöverträdelse.

Det betyder att om australiensiska cyberbyråer lärde sig att en utländsk regering hackat en australiensisk medborgare, får offret aldrig berättas. Eller om familjen bilder av ett unclothed barn hackades från en familjedator av en pedofil, kanske offrets familj aldrig vet.

En rätt att veta?

I många länder informerar cyberbyråer stora företag om vissa hackattacker, oavsett typ eller skala. Det finns flera motiv för denna mestadels frivilliga övning. En är att hjälpa företag att inse allvaret av statssponsored spionage mot dem. En annan är att hjälpa cyberbyrån själv att samordna en undersökning av hacken och ta reda på vad som kan ha gått vilse.

Det är inte detsamma som polisen som undersöker brottet.

I de flesta länder är endast polisbyråer behöriga att utreda brott med anledning av domstolsförfarande. Några jurisdiktioner, om några, har formellt klargjort hur polis och domstolar kan förlita sig på information om cyberhack som samlas in av cybebyråer eller säkerhetsföretag.


Läs mer: För 30 år sedan satte världens första cyberattack scenen för moderna cybersäkerhetsutmaningar


Australien är ännu inte en seriös debatt om rapportering av kriminalbrottslighet och dess rättsmedicinska komplexiteter: vem ansvarar för vad och var prioriteringarna borde ligga. Det är minst ett decennium förfallet.

Medan man erkänner att någon åtskillnad måste göras mellan små och allvarliga cyberbrott, bör en sådan debatt erkänna medborgarnas rätt att informeras av våra cyberbyråer när de har blivit överfallna i cyberspace och, om möjligt, av vem.