Федеральное министерство юстиции Германии разрабатывает законопроект о модернизации компьютерного уголовного права, который выведет этичный хакинг из-под уголовного преследования. Новая инициатива направлена на снижение юридических рисков для специалистов по кибербезопасности.
Законопроект предполагает защиту как отдельных исследователей, так и IT-компаний, специализирующихся на безопасности, которые тестируют компьютерные системы с целью поиска уязвимостей для последующего укрепления безопасности. Согласно позиции министерства, специалисты, действующие в интересах безопасности (“белые хакеры”), не должны подвергаться риску уголовного преследования.
Министр юстиции Германии Марко Бушман подчеркнул важность выявления пробелов в информационной безопасности для всего общества. В настоящее время законодательство страны квалифицирует любой “несанкционированный” доступ к данным как уголовное преступление. Поправки затронут три статьи уголовного кодекса: о получении доступа к данным (§202a), перехвате данных (§202b) и изменении данных (§303a). Новые параграфы уточнят, что действия исследователей в сфере информационной безопасности не являются “несанкционированными” и, следовательно, не подлежат наказанию.
Параллельно с послаблениями для этичных хакеров законопроект предусматривает ужесточение наказаний за злонамеренный взлом. За серьезные нарушения предусмотрено тюремное заключение на срок от трех месяцев до пяти лет. К особо тяжким случаям относятся: действия, приводящие к крупным финансовым потерям; действия, совершенные из корыстных побуждений, в составе преступной группы или в коммерческих целях; действия, влияющие на доступность, функционирование, целостность, подлинность или конфиденциальность критической инфраструктуры; а также действия, угрожающие безопасности Федеративной Республики Германии или её земель, в том числе совершенные из-за границы.
По словам министра, уязвимости в IT-системах могут иметь драматические последствия в современном взаимосвязанном мире. Киберпреступники и иностранные силы способны использовать бреши в безопасности для атак на больницы, транспортные компании, электростанции, похищения персональных данных и нанесения ущерба предприятиям.
Министерство также отметило, что владение хакерскими инструментами не считается уголовным преступлением. Законопроект находится на рассмотрении до 13 декабря 2024 года, после чего будет передан на утверждение парламента.