Az EU betiltaná a hackereszközök fejlesztését
Az uniós igazságügyi miniszterek találkozóján született meg a legújabb tervezet, amely szerint EU-szinten büntethetővé válik a számítógépes betöréshez használt szoftverek készítése. A kritikusok szerint a szabályozás súlyos hiányossága, hogy nem tesz explicit különbséget a felhasználási módok között, így a szakértői eszközök is illegálissá válhatnak.
Könnyen ellehetetleníthetné az IT-biztonsági szakma egy részét az EU-s igazságügyi miniszterek által benyújtott szabályozástervezet. Az Európai Bizottság hackerellenes törvénytervezetének legújabb verziója is tartalmazza azt a kitételt, amely büntethetővé tenné a "számítógépes bűncselekmények elkövetéséhez felhasználható eszközök készítését és elérhetővé tételét". Ugyan a tervezethez mellékelt indoklás kifejezetten a rosszindulatú felhasználásra készült eszközöket említi, ez a kitétel a direktíva szövegében nincs benne.
A pokol felé vezető út
A kritikusok szerint a szövegrészlet nem részletezi elegendő mélységben, hogy mi számít tiltott eszköznek. Ugyan a tervezet indoklásában megemlíti a botnetek alkotásához vagy jelszavak megszerzéséhez használt alkalmazásokat, ezek csak például szolgálnak, a jogi szöveg pedig pontos definícióval nem szolgál arra vonatkozóan, hogy mi számít kártékonynak. Ennek megfelelően az idézett részlet hatálya alá esik minden jelszótörő alkalmazás, függetlenül attól, hogy csupán elvesztett jelszavunkat visszaszerzésére szolgálnak, vagy mások titkos fájljaihoz lehet-e hozzáférni velük.
Ugyan a szöveg feltehető célja a Zeushoz hasonló, feketepiacon beszerezhető kártevők elleni védelmet erősíteni, megvan a veszélye, hogy a fürdővízzel együtt a babát is kiöntik a jogalkotók. A tervezett szabályozás ugyanis különösen kényes helyzetbe hozhatja a professzionális felhasználásra szánt biztonsági eszközöket, amelyek rossz kezekben nyilván károkozásra is alkalmasak - viszont lehetővé teszik a biztonsággal foglalkozó szakemberek munkáját. A kritikusok szerint az "eszközök" kifejezés ugyanakkor nem csak a célszoftverekre, hanem az azok működését lehetővé tevő egyéb szoftverekre, vagy akár az operációs rendszerekre is érhető (például a biztonsági eszközökkel csomagolt Linux-disztribúciókra).
Túl sok homály
A tervezet bővítése különösen annak fényében meglepő, hogy az EU-s szabályozás már ma is tiltja a rendszerekhez történő illegális hozzáférést és a működésükbe történő beavatkozást, valamint az ilyen cselekedetekre történő felbujtást, bűnpártolást és segédkezést. Az igazságügyi miniszterek azonban nem csak a számítógépes bűncselekmények definícióját, hanem a kiszabható büntetéseket is harmonizálni akarják - a tervezet szerint a legsúlyosabb cselekményekért minimum 2 év börtön járna. A miniszterek tanácsa arra is kötelezné a tagállamokat, hogy elkezdjenek statisztikákat gyűjteni az internetes bűncselekményekről - a való életben elkövetett bűnözéshez hasonlóan.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A számítógépes bűncselekményre felhasználható eszközök készítése már egy ideje büntethető az Egyesült Királyságban és Németországban, és része a Budapesti Cyberbűnözési Konvenciónak is. A német és brit törvények bevezetését rengetek kritika előzte meg, a nemzeti parlamentek azonban végül módosítás nélkül, a most tervezett EU-s szabályozáshoz hasonlóan homályos formában fogadták azt el. Ennek hatására számtalan, biztonsággal foglalkozó cég és weboldal áthelyezte működését olyan országokba, ahol működésük biztosan nem ütközik törvényekbe.
Ugyan mindkét kormány jelezte, hogy például a legális behatolási tesztet végző szakembereket nem fogják eljárás alá vonni, a törvény szövegében semmilyen erre vonatkozó megengedő kitétel nem szerepel - ahogyan a tervezett uniós szintű szabályozásban sem. A tervezet Európai Parlament által történő elfogadása után emelkedik kötelező erőre, vagyis minden tagállamnak záros határidőn belül be kell azt emelnie nemzeti jogrendjébe.