Una abrumadora mayoría del 80% de los profesionales de la seguridad cibernética actualmente activos en el Reino Unido temen que puedan estar infringiendo la ley simplemente al realizar su trabajo de defensa contra los ataques cibernéticos gracias a las leyes obsoletas del Reino Unido, según un nuevo informe elaborado por la campaña CyberUp y techUK.
CyberUp, un grupo formado por varias asociaciones de la industria y proveedores de seguridad cibernética, quiere que se reforma la Ley de uso indebido de computadoras (CMA) de 1990 porque inadvertidamente criminalizó las técnicas defensivas comunes utilizadas por los profesionales de la seguridad y ya no es adecuada para su propósito.
Por ejemplo, la sección uno de la CMA prohíbe el acceso no autorizado a cualquier programa o datos almacenados en cualquier computadora. Debido a que las actividades de seguridad defensiva a menudo implican el escaneo e interrogación de sistemas comprometidos, y no se puede buscar el consentimiento de un delincuente cibernético para autorizar el acceso, un fiscal podría argumentar con éxito que los defensores violaron la ley.
La diputada Ruth Edwards, quien anteriormente dirigió la política de seguridad cibernética para techUK, dijo: “La Ley de uso indebido de computadoras, aunque líder en el mundo en el momento de su introducción, se incluyó en el libro de estatutos cuando el 0,5% de la población usaba Internet. El mundo digital ha cambiado más allá del reconocimiento, y esta encuesta muestra claramente que es hora de que se adapte la Ley de uso indebido de computadoras.
“Este año ha estado dominado por una emergencia de salud pública: la pandemia del coronavirus, pero también ha puesto de relieve nuestra dependencia de la seguridad cibernética. Hemos visto intentos de piratear ensayos de vacunas, campañas de desinformación que vinculan 5G con el coronavirus, una gran variedad de estafas relacionadas con el coronavirus, un aumento en el trabajo remoto y más servicios en línea.
“Nuestra confianza en tecnologías digitales seguras y resistentes nunca ha sido mayor. Si alguna vez iba a haber un momento para priorizar la rápida modernización de nuestra legislación cibernética y revisar la Ley de Uso Indebido de Computadoras, es ahora ”, dijo.
El estudio es el primer trabajo para cuantificar y analizar las opiniones de la comunidad de seguridad en general en el Reino Unido sobre este tema, y los activistas dicen que han encontrado preocupaciones y confusión sustanciales sobre la CMA que están obstaculizando las defensas cibernéticas del Reino Unido. Encontraron evidencia de que en el apogeo de los ataques cibernéticos relacionados con la pandemia Covid-19 en la primavera de 2020, algunos investigadores no pudieron prevenir daños a empresas y ciudadanos debido a la falta de certeza sobre su posición legal.
En términos más generales, descubrió que el 91% de las empresas consideraban que la CMA las dejaba en desventaja competitiva en relación con los países con mejores, o más permisivos, regímenes legales en torno a la seguridad cibernética. Un número similar creía que un cambio en la ley aumentaría el crecimiento y la productividad. La campaña estimó que si se promediaran las últimas cifras de ingresos y empleo en el sector de la seguridad, cambiar la ley podría beneficiar a las empresas del Reino Unido por una suma de £ 1.6 mil millones e incluso crear nuevos empleos.
Ed Parsons, director gerente de F-Secure Consulting y portavoz de la campaña CyberUp, dijo: “Los hallazgos de la encuesta destacan que muchos profesionales de la seguridad cibernética, en la actualidad, tienen que realizar su trabajo con una mano atada a la espalda para poder permanecer dentro de la ley. La reforma de la CMA hará que la industria de la seguridad cibernética del Reino Unido sea más competitiva y más atractiva para trabajar en un momento en que las habilidades cibernéticas escasean y tienen una gran demanda.
“Mientras tanto, la pandemia actual no solo ha subrayado nuestra dependencia de la tecnología digital, sino que también ha acelerado los cambios en la arquitectura empresarial, aumentando la complejidad de los entornos que debemos proteger. Ahora más que nunca, necesitamos definiciones legales claras para garantizar que los profesionales de la seguridad cibernética que crean razonablemente que tienen autorización para actuar puedan hacerlo de manera legítima «.
Julian David, director ejecutivo de techUK, dijo que los hallazgos del estudio corroboraron lo que sus miembros le decían: que está frenando el negocio.
“A medida que el gobierno desarrolla su próxima Estrategia Nacional de Seguridad Cibernética y continúa invirtiendo fuertemente en el sector, garantizar que desarrollamos el marco legal adecuado para las empresas de seguridad cibernética es un componente esencial de nuestro éxito futuro”, dijo.