Komisja Europejska pracuje nad „nową ACTA”

Wszyscy pewnie jeszcze pamiętamy wielką batalię jaka odbyła się ostatnio w internecie w sprawie tzw. „ustawy ACTA”. Ostatecznie walkę internautów można uznać za całkiem udaną, premier Donald Tusk przyznał się do błędu i wycofał z poparcia dla ustawy. Nie ucichły jednak jeszcze ostatnie echa tej bitwy, a okazuje się, że Komisja Europejska może nam niedługo zgotować kolejną niespodziankę. Od niecałych dwóch lat trwają w niej pracę nad dyrektywą dotyczącą ataków na systemy informatyczne mającą zastąpić podobną dyrektywę z roku 2005. Niby mogłoby się to wydawać nieistotne skoro KE pracuje nad tym już drugi rok. Jeśli jednak spojrzymy na tę dyrektywę dokładnie, to okazuje się, że jeśli zostanie ona ratyfikowana to niektóre jej zapisy okażą się wyjątkowo nieprzyjemne. W szczególności po ewentualnej porażce ACTA Komisja może chcieć pójść w tę stronę aby wymusić niektóre przepisy.
W szczególności bolesny może być jeden przepis, którego nie ma w starej wersji dyrektywy penalizujący posiadanie i rozprowadzanie programów służących do dokonywania ataków. Powoduje to automatycznie, że nie będziemy mogli używać, ani nawet posiadać programów typu nmap, wireshark, aircrack itd. które przecież mają masę legalnych zastosowań, nie mówiąc o tym, że mogą służyć do np. testów penetracyjnych.
Pentesty to zresztą kolejna bolączka tej dyrektywy. Niby w recitalu autorzy zabezpieczają się klauzulą „Dyrektywa nie służy ustanowieniu odpowiedzialności karnej za czyny popełniane w celach nieprzestępczych, takie jak dozwolone testowanie lub zabezpieczanie systemów informatycznych „, jednak recital niekoniecznie musi być zaimplementowany jako część samej dyrektywy. Ponadto w zasadniczej części dyrektywy nie ma już takiego rozdziału. Skoro pomocnictwo przy popełnianiu ataków ma być traktowane jako przestępstwo, to jak rozgraniczyć kiedy wymieniane informacje na temat ataków są jedynie pomocą przy pentestach, a kiedy już pomocą w atakach? Co jeśli ktoś naszych, udzielonych w dobrej wierze informacji użyje do ataku? Według nowej dyrektywy czyni nas to również przestępcą.
Pamiętajmy, że póki co jest to jedynie wniosek legislacyjny nad którym pracuje Komisja Europejska, ciągle może się on zmienić (na lepsze bądź na gorsze) bądź w ogóle nie wejść w życie. Jeśli jednak dyrektywa ta zostałaby ratyfikowana w obecnym kształcie to niestety jest to kolejny przykład nieudolnej walki Unii Europejskiej z przestępczością internetową. Po wejściu dyrektywy w życie praktycznie nic nie zmieni się w ściganiu i karaniu przestępców internetowych, utrudnia się natomiast wybitnie życie ludziom odpowiadającym za bezpieczeństwo systemów, czy to pentesterom czy zwykłym administratorom co w efekcie wprowadza niepewność i obniża bezpieczeństwo zamiast je zwiększać.
 

Źródło: 7thguard.net, strona Europarlamentu