Høyesterett avsto mot regjeringen i en sak sentrert rundt lov om datamisbruk og misbruk (CFAA) torsdag og skrev at justisdepartementets tolkning av loven var for bred og effektivt knyttet til ” strafferettslige straffer for en fantastisk mengde vanlig PC-aktivitet. “
6-3-avgjørelsen satte en grense for hvordan den føderale regjeringen kan bruke loven til å straffeforfølge de som ulovlig får tilgang til et system. I hennes flertalsuttalelse skrev justis Amy Coney Barrett at Nathan Van Buren – en politibetjent fra Cummings, Georgia som ble dømt for å ta bestikkelse for å slå opp en lisensplate – ikke brøt CFAA fordi han som betjent ble gitt full tilgang til bilskiltdatabasen.
Barrett fikk selskap av justices Sotomayor, Gorsuch, Kagan, Kavanaugh og Breyer, mens Thomas, Alito og Chief Justice Roberts var uenige. CFAA er delt inn i to klausuler, og kriminaliserer ikke bare ulovlig oppføring i et system, men spesielt ulovlig tilgang til visse systemer eller mapper.
Barrett hevdet at ved å si at Van Buren overskred sin “autoriserte tilgang” som politibetjent, kriminaliserte regjeringen “ethvert brudd på databruk.” Hvis det var tilfelle, sa Barrett at det ville bety at “millioner av ellers lovlydige borgere er kriminelle.”
“Ta arbeidsplassen. Arbeidsgivere oppgir ofte at datamaskiner og elektroniske enheter bare kan brukes til forretningsformål,” skrev Barrett. “Så når regjeringen leser vedtektene, har en ansatt som sender en personlig e-post eller leser nyhetene ved hjelp av arbeidsdatamaskinen, brutt CFAA.”
Mye av avgjørelsen fokuserte på de språklige tvister mellom Van Burens advokater og justisdepartementet, som opprinnelig overbeviste en jury om å dømme Van Buren. En tingrett dømte ham til 18 måneders fengsel, men han anket avgjørelsen til 11. rettsdomstol, som også fulgte myndighetens lesing av loven.
Men høyesterettsdommen støttet Van Burens holdning, som sa at ansvar under begge paragrafene i CFAA stammer fra en “porter opp-eller-ned” -henvendelse.
“Man kan enten eller ikke få tilgang til et datasystem, og man kan enten eller ikke få tilgang til bestemte områder i systemet. Hvis” overstiger autorisert tilgang “-klausulen omfatter brudd på omstendighetsbaserte tilgangsbegrensninger på arbeidsgivers datamaskiner, er det vanskelig å se hvorfor det ikke også vil omfatte brudd på slike begrensninger på nettleverandørens datamaskiner, “heter det i kjennelsen.
“Og faktisk, mange amici forklarer hvorfor regjeringens lesing av underavsnitt (a) (2) ville gjøre nettopp det – kriminalisere alt fra å pynte på en online-dating-profil til å bruke et pseudonym på Facebook. Regjeringens lesing etterlater ubesvart hvorfor vedtekten ville forbyr tilgang til datamaskininformasjon, men ikke selve datamaskinen, for et upassende formål. “
Advokater og juridiske eksperter hadde et bredt spekter av svar på kjennelsen, avhengig av klientbasen. ACLU berømmet avgjørelsen og oppførte spesifikke tilfeller der den utvidede lesingen av loven kriminaliserte hverdagsaktivitet og forskning.
Esha Bhandari, viseadministrerende direktør for ACLUs tale-, personvern- og teknologiprosjekt, kalte det en “viktig seier for sivile friheter og håndhevelse av sivile rettigheter i den digitale tidsalderen,” og la til at det vil “tillate forskere og journalister å bruke vanlige etterforskningsteknikker online uten frykt for CFAA-ansvar. ”
Erez Liebermann, en partner i Linklaters, sa at selskaper og offentlige enheter nå må ta ekstra skritt for å plassere teknologiske barrierer rundt data i selskapene sine hvis de vil begrense tilgangen til ansatte.
Selv om dette vil legge til kostnader, sa Liebermann at det kan gjøre data sikrere, både fra interne brukere og hackere som streifer gjennom selskapets system.
“Domstolens oppfatning fjerner en sterk kriminell avskrekkende virkning. Ansatte som kan ha skuffet seg fra tyveri av interne data på grunn av frykt for tiltale eller sivile handlinger, har fått en pause,” forklarte Liebermann. “Vilkår for bruk og retningslinjer for autorisert bruk, som allerede hadde små tenner gitt at folk flest ikke leste dem, hadde bare noen få tenner slått ut. Det er tvilsomt at de kunne danne grunnlaget for en straffeforfølgelse eller sivile handlinger.”
Mark Langer, en personvernforbindelse med Aleada, sa at kritikere og aktivister har kjempet mot loven i årevis fordi CFAAs nåværende struktur gir regjeringen bred myndighet til å straffeforfølge og deretter stole på påtalemessig skjønn for å sikre at denne myndigheten ikke blir misbrukt.
“Å få Høyesterett til å presse tilbake på denne omfattende fortolkningen av CFAA er et stort skritt for å bli gjenopptatt i CFAAs omfang. Å løse dette problemet går langt utenfor omfanget og fakta i en sak, og det er jobben for en lovgiver, ikke en dommer. Forhåpentligvis vil denne saken gi fart i Kongressens innsats for å bringe disse lovene inn i det 21. århundre, “sa Langer.
Epstein Becker Green-advokat Aime Dempsey forklarte at siden loven ble vedtatt på 1980-tallet, ble den brukt til å tiltale hackere og som en måte for bedrifter å saksøke visse ansatte for erstatning og andre straffer.
Dempsey takket til Liebermanns følelser og fortalte ZDNet at arbeidsgivere måtte sette strengere grenser for ansattes tilgang nå som Høyesterett har bestemt at selv om ulovlig tilgang kan bryte selskapets policy, vil det ikke bryte CFAA.
“Hvis et selskap har en policy om at noen vil få sparken hvis de misbruker informasjon, vil denne beslutningen ikke endre det i det hele tatt. Det vil bare endre tilgangen til denne CFAA-loven kriminelt eller sivil , “Sa Dempsey.
Alan Brill, administrerende direktør i advokatfirmaet Kroll, Cyber Risk, sa at kjennelsen “ikke gir folk et frikort for å stjele eller misbruke data fordi det er andre lover å bruke i visse tilfeller.” p> Bedrifter må se på hvordan systemene deres er bygd og om de gir for mange ansatte tilgang til for mye informasjon, sa han.
“Jeg vil sannsynligvis kalle sammen generaladvokaten, HR-sjefen, IT-sjefen og compliance officer, og jeg vil se på hva organisasjonens regler er for bruk og misbruk av data. Jeg ønsker å forsikre meg om at de er veldig tydelig stavet ut, og jeg ønsker å forsikre meg om at de ble stavet riktig i lys av de andre lovene og arbeidslovene, “forklarte Brill.
Regler og sanksjoner bør forklares og skisseres i samsvar med tariffavtaler, la Brill til og bemerket at noen selskaper bør vurdere å få ansatte til å undertegne oppdaterte taushetsavtaler eller databrukavtaler.
“Dette er et flerdimensjonalt problem som trenger et gjennomtenkt, flerdimensjonalt svar,” sa Brill.
“Men hvis vi holder oss til det grunnleggende, gir folk tilgang til det de trenger og ikke gir dem tilgang til det de ikke trenger, går vi langt med å immunisere oss mot effekten av denne avgjørelsen. “
Se denne
Hackingsårbarhet med tingenes internett: Risikoer og sikkerhetssmutthull
Tingenes internett åpner en verden av muligheter for våre tilknyttede liv. Men hva om en hacker kunne få kontroll over de tingene som betyr mest for oss. Her undersøker vi noen mulige hackingscenarier som bare kan skje.
Les mer
Relaterte emner:
Dataadministrasjon CXO Security Innovation Smart Cities < img src = "https://www.zdnet.com/a/hub/i/r/2019/10/28/e1751fe3-e83c-4bc5-b425-4f3cfa6f6748/thumbnail/40x40/78c098d179dea31321b940b2645d1b4e/headshot-2.jpg" class = "" height = "40" width = "40" alt = "Jonathan Greig" height = "40" width = "40" title = "Høyesteretts dom begrenser bruken av hackingsloven" />