Bør cyber-embedsmænd være forpligtet til at fortælle ofre for cyberforbrydelser, at de er blevet hacket?

I Tyskland i denne uge det juridiske limbo, der definerer cyberspace rundt om i verden, var på fuld skærm.

Landets forbundskontor for it-sikkerhed (BSI for dets tyske initialer) havde sporet et cyberangreb rettet mod nogle af landets parlamentarikere siden begyndelsen af ​​december. Det førte i sidste ende til den offentlige frigivelse af mobiltelefonnumre, kreditkortoplysninger og ID-kortoplysninger for hundredvis af medlemmer af parlamentet, og andre offentlige personer.

Kun nogle parlamentsmedlemmer blev informeret af BSI om angrebene, mens andre først lærte om dem, efter detaljerne blev offentliggjort i medierne. Parlamentsmedlemmer var forargede over, at BSI havde undladt at underrette dem om, at deres personlige data blev målrettet, på trods af at have kendt til elementer af angrebet i op til fire uger.

En dybere bekymring, rejst af nogle parlamentsmedlemmer, var det i samme periode, BSI (som ikke er et retshåndhævende organ) informerede ikke det tyske politi om, at en politisk forbrydelse af denne alvorlighed muligvis var blevet begået. Når først forlovet, politiet fandt hurtigt en mistænkt, der angiveligt tilstod.

hacking, om data er offentligt kompromitteret, er en forbrydelse i de fleste lande. Forbrydelsen består blot af ulovlig adgang til data eller maskiner. Men få lande har love, der kræver, at deres cyberbureauer, der overvåger hacking, rapporterer de kriminelle handlinger – enten til tredjepartsofre eller til politiet.

Dette juridiske tomrum skal løses omgående.

Er hacking en 'alvorlig forbrydelse'?

Udfordringen for cyberbureauer eller virksomheder i den private sektor, der opdager et hack, er, at disse begivenheder er meget almindelige. Millioner finder sted hver dag, og komplekse retsmedicinske oplysninger skal samles for at vurdere, hvilke hændelser der er alvorlige nok til at kræve anmeldelse. Dette sætter en defacto op, men dårligt defineret, skelnen mellem "småkriminalitet" (de fleste hacks) og "seriøs kriminalitet".

Hvad dette betyder i virkeligheden, kan illustreres ved praksis i den australske stat New South Wales. I NSW, der er pligt efter kriminalitetsloven til at anmelde alvorlig kriminalitet. Disse er defineret som dem, der medfører juridiske straffe på fem års fængsel eller mere. Men når det kommer til cyberhacking, det er ofte ikke umiddelbart klart, om omfanget af et hack ville udløse en sådan straftærskel.

Denne usikkerhed var på spil i det tyske hack, med BSI, der begrundede sin manglende meddelelse med påstanden, som den stadig forsøgte at analysere den, og kendte ikke det fulde omfang af det.

Selv efter at have anholdt den mistænkte og kendt omfanget af angrebet, chefen for cybersikkerhed hos Federal Police Office (BKA) sagde, at det stadig var uklart, om hacket var en alvorlig forbrydelse inspireret af politiske motiver. Mistanken om, at det kan have været politisk motiveret, skyldes, at det eneste politiske parti, hvis parlamentsmedlemmer ikke var målrettet, var det ekstreme højre parti. AfD.

Hvad betyder "obligatorisk rapportering" i Australien

I 2018, efter en lang offentlig debat, Australien indførte ordningen med anmeldelsespligtige databrud (NDB) som en ændring af Privacy Act. NDB kræver, at virksomheder underretter Informationskommissærens kontor (ikke politiet). samt eventuelle ofre, hvis personlige data, de har, kompromitteres på en måde, der udgør en alvorlig krænkelse af privatlivets fred.

Denne civillovbestemmelse er meget svag pga. delvis, til, at det giver den involverede virksomhed eller agentur mulighed for selv at vurdere bruddets alvor over en 30-dages periode, før underretningspligten træder i kraft.

Den er også svag, fordi der er en generel undtagelse for retshåndhævelsesaktiviteter, og af hensyn til regeringens hemmeligholdelsesbehov. australske cyberbureauer, såsom Australian Signals Directorate og Australian Center for Cyber ​​Security, synes ikke at have nogen forpligtelse til at fortælle enten politiet eller ofrene, at der har været et hack eller et databrud.

Det betyder, hvis australske cyberbureauer erfarede, at en udenlandsk regering havde hacket en australsk statsborger, offeret får aldrig at vide. Eller hvis familiebilleder af et upåklædt barn blev hacket fra en familiecomputer af en pædofil, ofrets familie ved det måske aldrig.

En ret til at vide?

I mange lande, cyberbureauer underretter store virksomheder om bestemte hackangreb, uanset art eller omfang. Der er flere motiver for denne for det meste frivillige praksis. Den ene er at hjælpe virksomheder med at indse alvoren af ​​statsstøttet spionage mod dem. En anden er at hjælpe cyberbureauet selv med at koordinere en undersøgelse af hacket, og finde ud af, hvad der kan være gået tabt.

Det er ikke det samme som, at politiet efterforsker forbrydelsen.

I de fleste lande, kun politimyndigheder er bemyndiget til at efterforske forbrydelser med henblik på retsforfølgning. Få jurisdiktioner, hvis nogen, har formelt afklaret de måder, hvorpå politi og domstole kan stole på oplysninger om cyberhak indsamlet af cyberbureauer eller sikkerhedsfirmaer.

Australien har endnu ikke haft en seriøs debat om rapportering af cyberkriminalitet, og dets retsmedicinske kompleksiteter:hvem er ansvarlig for hvad, og hvor prioriteterne skal ligge. Det er mindst et årti forsinket.

Mens vi erkender, at der skal skelnes mellem smålig og alvorlig cyberkriminalitet, en sådan debat bør anerkende borgernes ret til at blive informeret af vores cyberbureauer, når de er blevet overfaldet i cyberspace og, hvis det er muligt, af hvem.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.