Datum och tid: 2025-02-26 21:47 CET
Introduktion
Det brittiska inrikesdepartementet (Home Office) har nyligen infört en mekanism för att rapportera sårbarheter i sina system. Denna åtgärd syftar till att engagera etiska hackare i att förbättra säkerheten. Dock har experter uttryckt oro över att forskare som rapporterar sårbarheter kan riskera åtal enligt den nuvarande lagstiftningen (The Record).
Bakgrund
Den 24 februari 2025 publicerade Home Office nya riktlinjer för sårbarhetsrapportering via plattformen HackerOne. Dessa riktlinjer förbjuder forskare från att störa system eller ändra data och betonar att inga lagar eller regler får brytas under forskningen (gov.uk).
Detta har väckt frågor om huruvida forskare kan åtalas enligt Storbritanniens Computer Misuse Actfrån 1990, även om de agerar i god tro. Lagen, som skrevs när endast 0,5 % av befolkningen hade internet, kriminaliserar all obehörig åtkomst till datasystem, oavsett motiv (The Record).
Oro från säkerhetscommunityn
CyberUp Campaign, en koalition av branschpartners, akademiker och cybersäkerhetsexperter, varnar för att Computer Misuse Act kriminaliserar legitima cybersäkerhetsaktiviteter. De påpekar att medan det brittiska försvarsministeriet (MoD) ger garantier för att forskare inte ska åtalas, erbjuder Home Office inga sådana skydd. Detta lämnar forskare öppna för rättsliga åtgärder från tredje part (The Record).
En talesperson för CyberUp uttryckte oro över situationen:
“Trots att brittiska offentliga organ gör framsteg med att utveckla och publicera sårbarhetsrapporteringspolicyer, kvarstår allvarliga juridiska risker för forskare som rapporterar sårbarheter i Storbritannien.”
Säkerhetsforskare som agerar i allmänhetens intresse riskerar alltså att drabbas av samma lagar som cyberkriminella, vilket kan få en avskräckande effekt på etisk säkerhetsforskning (Digital Watch).
Jämförelse med andra länder
Flera europeiska länder, däribland Malta, Portugal och Belgien, har redan uppdaterat sina lagar för att skydda etiska hackare. CyberUp varnar för att Storbritanniens förseningar med att reformera sin lagstiftning skadar landets ekonomi och motståndskraft mot cyberattacker. Detta gör att säkerhetsforskare i Storbritannien ligger efter sina internationella kollegor i rättsligt skydd (Digital Watch).
Sammanfattning
Även om Home Office:s initiativ att involvera etiska hackare i att säkra sina system är ett steg i rätt riktning, belyser avsaknaden av rättsligt skydd för forskare behovet av en uppdatering av Storbritanniens lagstiftning. Utan dessa förändringar kan landets cybersäkerhet och innovationsklimat påverkas negativt.
Källförteckning
1. UK Home Office Vulnerability Disclosure Policy – gov.uk
2. The Record – UK Home Office vulnerability disclosure policy may put ethical hackers at legal risk