En los últimos meses, el gobierno ha demostrado que comprende que necesitamos una acción urgente para hacer que el mundo en línea sea más seguro. En el discurso de la reina de este año, el gobierno anunció su plan para presentar un proyecto de ley de seguridad en línea, una nueva frontera para la legislación cibernética que promete proteger a los usuarios en línea de la explotación criminal como nunca antes.
Pero cuando se trata de seguridad cibernética, proteger a los usuarios en línea es solo la mitad de la batalla. A lo largo de la pandemia mundial de Covid-19, las empresas se han visto sometidas a un aluvión de ataques cibernéticos, con delincuentes y estados nacionales hostiles que buscan explotar nuestras debilidades cuando hemos sido más vulnerables.
Muchos CISO han alertado a sus empleadores sobre el inmenso estrés de sus funciones durante el año pasado. No son solo los datos confidenciales de los clientes en riesgo: los ciberdelincuentes se dirigen cada vez más a la infraestructura nacional, con ataques el año pasado a las autoridades locales, los servicios de salud y las escuelas.
A medida que los profesionales cibernéticos se ven presionados para combatir la amenaza, es de esperar que nuestra legislación actual los respalde. Desafortunadamente, nuestros equipos de seguridad han sido paralizados por las mismas leyes diseñadas para protegerlos.
La Ley de Uso Indebido de Computadoras (CMA) de 1990 se introdujo cuando todavía nos enviábamos faxes desde las oficinas con módems chirriantes. Si bien la ley es ciertamente flexible para su edad, los profesionales de la seguridad cibernética ya no pueden garantizar que pueda protegerlos en su línea de trabajo. Un estudio producido por la campaña CyberUp encontró que el 80% de los profesionales de la seguridad cibernética que operan en el Reino Unido temían incumplir accidentalmente la ley.
El principal problema del CMA 1990 es la autorización. La autorización, o la falta de ella, es el núcleo de la ley, que penaliza el acceso no autorizado a los sistemas informáticos. Esto a menudo implica ataques cibernéticos, como ataques de malware o ransomware, que buscan interrumpir los servicios, obtener información ilegalmente o extorsionar a personas o empresas.
Según la CMA 1990, un acto realizado en relación con una computadora no está autorizado si la persona que realiza el acto (o que lo provoca):
- No es él mismo una persona que tiene la responsabilidad de la computadora y tiene derecho a determinar si el acto se puede realizar.
- No tiene el consentimiento para el acto de ninguna de esas personas.
Sin embargo, con el mundo digital evolucionando a una velocidad vertiginosa, nuestros legisladores se han centrado en cómo los delincuentes se han ido adaptando sin pensar en cómo se ha adaptado también la industria de la seguridad cibernética. La CMA no ofrece ningún medio para considerar los motivos de las personas o reconocer circunstancias en las que dicho acceso podría considerarse legítimo, como las pruebas de penetración con permiso.
Esto puede dejar a quienes creen que sus investigaciones y actividades relacionadas con las computadoras mejoran la seguridad cibernética y son éticas, a merced de las decisiones tomadas por el Crown Prosecution Service.
La ley compromete la resiliencia cibernética del Reino Unido al impedir que los profesionales de la seguridad cibernética lleven a cabo investigaciones de inteligencia de amenazas contra los delincuentes cibernéticos y los actores de amenazas geopolíticas sin temor a ser enjuiciados.
Esto deja a la infraestructura nacional crítica del Reino Unido en mayor riesgo, incapaz de adelantarse a las amenazas planteadas por ciberatactores hostiles. Es hora de aprovechar la oportunidad para desarrollar leyes del siglo XXI, haciendo que el país, nuestros organismos públicos e infraestructura, sea más seguro y protegido.
A principios de 2021, el gobierno anunció que planea revisar la CMA 1990. Se centra en cómo podríamos desarrollar nuevas sanciones penales para los ciberdelincuentes. Sin embargo, la importancia de apoyar y habilitar un nuevo régimen de protección para la seguridad cibernética no parece haberse registrado todavía.
En SASIG, hemos alentado a nuestros miembros de la industria de la seguridad cibernética a participar lo más plenamente posible en la revisión. Tenemos la esperanza de que, si el gobierno se toma en serio la seguridad cibernética nacional, también considere la posibilidad de apoyar a quienes se encuentran en la primera línea cibernética.