في أحدث المداولات بشأن مشروع قانون استخدام البيانات والوصول إليها في مجلس اللوردات، قمت بوضع تعديلين لتقديم التحديث الذي طال انتظاره لقانون إساءة استخدام الكمبيوتر (CMA) لعام 1990. وأثناء التحضير لمرحلة اللجنة من مشروع القانون، ما زلت ممتنًا للغاية لجميع المشاركين في حملة CyberUp، تحليلاتهم وتعليقاتهم دائمًا ما تكون في محلها تمامًا.
لا أعتقد أنني بحاجة إلى التدرب خلفية لهيئة أسواق المال، سيكون الكثير من الناس على دراية بهذا الفعل وأوجه القصور فيه. ومن الغريب أنه خلال الأعوام الأربعة والثلاثين والنصف الماضية، وعلى الرغم من التغيرات الزلزالية التي طرأت على مجتمعنا وتقنياتنا ــ وبشكل حاسم، بما في ذلك صعود تهديدات الأمن السيبراني ــ ظل القانون دون تعديل.
ومع ذلك، فقد أغرت نفسي قليلاً حيث أن القانون تمت صياغته في الأصل لحماية مقسمات الهاتف في عام 1990، عندما كان 0.5٪ فقط من السكان لديهم إمكانية الوصول إلى الإنترنت.
كان قانون CMA هو أول قانون لجرائم الكمبيوتر في المملكة المتحدة، وقد صدر في أعقاب الهجوم على شركة Prestel في منتصف الثمانينات. ربما يتساءل أي شخص يقل عمره عن 40 عامًا عن ماهية شركة Prestel – الشركة الرائدة في تقديم الخدمات عبر الإنترنت التي تعتمد على الإنترنت والتي أطلقها مكتب البريد في عام 1979 – وهو ما لا يؤدي إلا إلى توضيح هذه النقطة.
تغيير كبير
تعديلاتي على مشروع قانون البيانات الجديد نسعى إلى تحقيق تغيير واضح جدًا وذو أهمية مادية، لتمكين المتخصصين في مجال الأمن السيبراني من القيام بما طلبناه منهم دون أن يقيد التشريع يدًا واحدة على الأقل خلف ظهورهم.
وبعد مرور أربعة وثلاثين عامًا، لا تزال هيئة أسواق المال تحكم كيفية تعاملنا مع مجرمي الإنترنت. وكما هو مكتوب حاليًا، فإن القانون يجرم عن غير قصد الأبحاث المشروعة في مجال الأمن السيبراني. يتضمن ذلك نسبة كبيرة من أبحاث الثغرات الأمنية وأنشطة استخبارات التهديدات التي تعتبر حاسمة في حماية المملكة المتحدة من الهجمات السيبرانية المتطورة بشكل متزايد.
في الأساس، فهو يقيد الباحثين في مجال الأمن السيبراني من القيام بالأعمال الأساسية لحماية المملكة المتحدة، بما في ذلك البنية التحتية الوطنية الحيوية. وفي حين أن تحسين الوصول إلى البيانات يعد خطوة إيجابية، فمن المهم بنفس القدر تحديث قوانين الأمن السيبراني لحماية ليس فقط البيانات ولكن أيضًا الأنظمة التي تدعمها.
ونص تعديلاتي بالكامل هو:
استخدام البيانات: تعريف الوصول غير المصرح به إلى برامج الكمبيوتر أو البيانات
في المادة 17 من قانون إساءة استخدام الكمبيوتر لعام 1990، في نهاية القسم الفرعي (5) أدخل –
“ج) لا يعتقدون بشكل معقول أن الشخص الذي يحق له التحكم في الوصول من النوع المعني إلى البرنامج أو البيانات كان سيوافق على هذا الوصول إذا كان على علم بالوصول وظروفه، بما في ذلك أسباب السعي إليه ، و
(د) لا يتم تمكينهم بموجب تشريع، أو بموجب حكم القانون، أو بأمر من محكمة للوصول من النوع المعني إلى البرنامج أو البيانات.
استخدام البيانات: الدفاعات ضد الاتهامات بموجب قانون إساءة استخدام الكمبيوتر لعام 1990
(1) يتم تعديل قانون إساءة استخدام الكمبيوتر لعام 1990 على النحو التالي.
(2) في القسم 1، بعد القسم الفرعي (3) يضاف:
(4) يعتبر دفاعًا عن التهمة بموجب المادة الفرعية (1) إثبات ما يلي:
(أ) كانت تصرفات الشخص ضرورية للكشف عن الجريمة أو منعها، أو
(ب) كانت تصرفات الشخص مبررة على أنها تخدم المصلحة العامة.
(3) في القسم 3، بعد القسم الفرعي (6) يضاف:
(7) يعتبر دفاعًا عن التهمة بموجب القسم الفرعي (1) فيما يتعلق بفعل تم تنفيذه للقصد المنصوص عليه في القسم الفرعي (2) (ب) أو (ج) إثبات أن –
(أ) كانت تصرفات الشخص ضرورية للكشف أو المنع
بالجريمة، أو
(ب) كانت تصرفات الشخص مبررة على أنها تخدم المصلحة العامة.
وكما قلت في المناقشة، لا تصدقوا كلامي، فقد أقر المركز الوطني للأمن السيبراني بالفجوة الآخذة في الاتساع بين المخاطر التي تواجه المملكة المتحدة وقدرتها على التخفيف منها المراجعة السنوية لعام 2024مشيرًا بوضوح إلى أن “تحديث هذا التشريع الذي عفا عليه الزمن يعد خطوة حاسمة في سد هذه الفجوة”.
الدفاع القانوني
إن تقديم دفاع قانوني من شأنه أن يوفر الوضوح القانوني والحماية لمحترفي الأمن السيبراني الأخلاقي الذين يقومون بأبحاث مشروعة حول نقاط الضعف وأنشطة استخبارات التهديدات. ومثل هذا الدفاع من شأنه أن يجعل المملكة المتحدة تلتزم بأفضل الممارسات على المستوى الدولي، مما يضمن مواكبة دول مثل الولايات المتحدة والاتحاد الأوروبي، التي تتحرك لحماية العمل الأخلاقي في مجال الأمن السيبراني.
ولتوضيح بعض الأرقام، كانت هناك تسعة ملايين حالة من الجرائم الإلكترونية ضد الشركات والجمعيات الخيرية في المملكة المتحدة منذ مايو 2021، وفقًا لـ مسح الخروقات السيبرانية لعام 2024 الذي أجرته وزارة العلوم والابتكار والتكنولوجيا، نُشر في أبريل 2024. عانت نصف الشركات و32% من المؤسسات الخيرية من اختراق أو هجوم إلكتروني في العام الماضي، مع زيادة محتملة في الإيرادات تقدر بنحو 2.4 مليار جنيه إسترليني بعد التحديث للقطاع.
التحليل على أساس تقرير الصناعة الأخير لـ CyberUp يشير إلى أن 60% من المشاركين قالوا إن CMA يمثل عائقًا أمام عملهم في مجال استخبارات التهديدات وأبحاث نقاط الضعف، ويعتقد 80% منهم أن المملكة المتحدة كانت في وضع تنافسي غير مؤاتٍ بسبب CMA.
وفي ختام كلامي، تساءلت عما إذا كان الوزير سيتمكن من تقديم تحديث حول العمل على إصلاح قانون إساءة استخدام الكمبيوتر؟ وسألتها أيضًا ما إذا كانت تعتقد أن تعديلاتي بصيغتها الحالية من شأنها أن توفر الحماية القانونية التي نسعى إليها، وإذا كان الأمر كذلك، فلماذا لا تدخلها الحكومة حيز التنفيذ من خلال مشروع قانون البيانات.
كانت إجابات الوزير على كلا السؤالين متماثلة إلى حد كبير – يجب أن ننتظر، فالتعديلات “سابقة لأوانها”، ولم يكن هناك إجماع بين أولئك الذين استجابوا لمشاورة العام الماضي حول هذه المسألة، لذا يجب أن يستمر المسار إلى الأمام دون جدول زمني أو إحساس بموعد محدد. سيتم حل هذه القضايا الأكثر إلحاحا.
إذا كانت الحكومة بحاجة إلى بعض الدعم العام لزيادة وتيرتها في هذا المشروع، فماذا عن حقيقة أن ثلثي البالغين في المملكة المتحدة يميلون إلى دعم تغيير القانون للسماح لمحترفي الأمن السيبراني بإجراء البحوث لمنع الهجمات السيبرانية؟
هناك أيضًا دعم لمثل هذا التغيير القانوني من التقرير الممتاز الذي قدمه كبير المستشارين العلميين آنذاك، باتريك فالانس، في وقت سابق من هذا العام والذي خلص إلى أن “تعديل CMA ليشمل الدفاع القانوني عن المصلحة العامة الذي من شأنه أن يوفر حماية قانونية أقوى للأمن السيبراني”. الباحثين والمهنيين”.
وقد قادت دول أخرى بالفعل في هذا المجال، وليس أقلها فرنسا وهولندا. وتقوم بلجيكا وألمانيا ومالطا حاليا بتعديل أطرها القانونية لتحقيق هذه الغاية. وكما ذكرت في المناقشة، فقد حان الوقت لتمرير هذه التعديلات، وحان الوقت لمنح متخصصي الأمن السيبراني لدينا السلامة التي يحتاجون إليها للقيام بنفس الشيء بالنسبة لنا جميعًا. كما كان الحال لفترة طويلة جدًا، فقد حان وقت CyberUp.
