Högsta domstolen dömde mot regeringen i ett ärende centrerat kring lagen om datorbedrägeri och missbruk (CFAA) på torsdag och skrev att justitieministeriets tolkning av lagen var för vid och effektivt bifogad. ” straffrättsliga påföljder mot en hisnande mängd vanlig datoraktivitet. “
6-3-beslutet satte en gräns för hur den federala regeringen kan använda lagen för att lagföra dem som olagligen har tillgång till ett system. I sin majoritetsuppfattning skrev rättvisa Amy Coney Barrett att Nathan Van Buren – en polis från Cummings, Georgia som dömdes för att ha tagit mutor för att leta upp en registreringsskylt – inte bryter mot CFAA eftersom han som tjänsteman fick full åtkomst till registreringsskyltdatabasen.
Barrett fick sällskap av justices Sotomayor, Gorsuch, Kagan, Kavanaugh och Breyer, medan Thomas, Alito och Chief Justice Roberts var oeniga. CFAA är uppdelad i två klausuler, vilket kriminaliserar inte bara den olagliga inträdet i ett system utan den specifikt olagliga åtkomsten till vissa system eller mappar.
Barrett hävdade att genom att säga att Van Buren överskred sin “auktoriserade åtkomst” som polis, kriminaliserade regeringen “varje brott mot en datoranvändningspolitik.” Om så var fallet sa Barrett att det skulle betyda att “miljoner annars laglydiga medborgare är brottslingar.”
“Ta arbetsplatsen. Arbetsgivare säger vanligtvis att datorer och elektroniska enheter endast kan användas för affärsändamål”, skrev Barrett. “Så när regeringens läsning av stadgan har en anställd som skickar ett personligt e-postmeddelande eller läser nyheterna med sin arbetsdator bryter mot CFAA.”
Mycket av beslutet fokuserade på de språkliga tvisterna mellan Van Burens advokater och justitieministeriet, som ursprungligen övertygade en jury att döma Van Buren. En tingsrätt dömde honom till 18 månaders fängelse men han överklagade beslutet till 11: e kretsdomstolen, som också var sida vid regeringens läsning av lagen.
Men Högsta domstolens avgörande stödde Van Burens inställning, som sade att ansvar enligt båda klausulerna i CFAA härrör från en “grind upp-eller-ned” -undersökning.
“Man kan antingen ha eller inte komma åt ett datorsystem, och man kan antingen få eller inte komma åt vissa områden i systemet. Om klausulen” överstiger auktoriserad åtkomst “omfattar överträdelser av omständighetsbaserade åtkomstbegränsningar på arbetsgivarnas datorer är det svårt att se varför det inte också skulle omfatta överträdelser av sådana begränsningar på webbplatsleverantörernas datorer, “framgår av beslutet.
“Och faktiskt, många amici förklarar varför regeringens läsning av underavsnitt (a) (2) skulle göra just det – kriminalisera allt från att pryda en online-dating profil till att använda en pseudonym på Facebook. Regeringens läsning lämnar obesvarade varför stadgan förbjuda åtkomst till datorinformation, men inte själva datorn, för ett olämpligt syfte. “
Advokater och juridiska experter hade ett brett spektrum av svar på beslutet beroende på kundbasen. ACLU berömde beslutet och listade specifika fall där den utökade läsningen av lagen kriminaliserade vardaglig aktivitet och forskning.
Esha Bhandari, biträdande chef för ACLU: s tal-, integritets- och teknikprojekt, kallade det en “viktig seger för medborgerliga friheter och medborgerliga rättigheter i den digitala tidsåldern”, och tillade att det “kommer att göra det möjligt för forskare och journalister att använda vanliga utredningstekniker online utan rädsla för CFAA-ansvar. ”
Erez Liebermann, en partner på Linklaters, sade att företag och myndigheter nu måste ta extra steg för att placera tekniska hinder kring data i sina företag om de vill begränsa tillgången till anställda.
Även om detta kommer att tillföra kostnader, sa Liebermann att det kan göra data säkrare, både från interna användare och hackare som strövar genom ett företags system.
“Revisionsrättens åsikt avlägsnar ett starkt kriminellt avskräckande arbete. Anställda som kan ha undanhållit sig från stöld av interna uppgifter på grund av rädslan för åtal eller civilt agerande har fått en paus”, förklarade Liebermann. “Användarvillkor och regler för auktoriserad användning, som redan hade små tänder med tanke på att de flesta inte läste dem, fick bara några fler tänder utslagna. Det är tveksamt om de kunde ligga till grund för ett straffrättsligt åtal eller civilt agerande.”
Mark Langer, en integritetsassistent med Aleada, sa att kritiker och aktivister har kämpat mot lagen i flera år eftersom CFAA: s nuvarande struktur ger regeringen bred befogenhet att åtala och sedan förlita sig på åklagars diskretion för att säkerställa att denna myndighet inte missbrukas.
“Att låta högsta domstolen driva tillbaka den här omfattande tolkningen av CFAA är ett stort steg för att komma tillbaka till CFAA: s räckvidd. Att lösa detta problem går långt utöver räckvidden och fakta i ett fall, och det är uppgiften för en lagstiftare, inte en domare. Förhoppningsvis kommer detta fall att ge fart på kongressens ansträngningar att föra dessa lagar in i 2000-talet, “sa Langer.
Epstein Becker Green-advokat Aime Dempsey förklarade att sedan lagen antogs på 1980-talet användes den för att lagföra hackare och som ett sätt för företag att stämma vissa anställda för skadestånd och andra påföljder.
Dempsey upprepade Liebermanns uppfattning och sa till ZDNet att arbetsgivare måste sätta strängare gränser för anställdas tillgång nu när högsta domstolen har beslutat att även om olaglig tillgång kan strida mot företagspolitiken skulle det inte bryta mot CFAA.
“Om ett företag har en policy att någon kommer att få sparken om de missbrukar information, skulle detta beslut inte förändra det alls. Det skulle bara ändra tillgången till denna särskilda stadga för CFAA straffrättsligt eller civilrättsligt , Sa Dempsey.
Alan Brill, chef för advokatbyrån Kroll, Cyber Risk-praxis, sade att beslutet “inte ger människor ett frikort för att stjäla eller missbruka data eftersom det finns andra lagar att använda i vissa fall.”
< p> Företagen kommer att behöva titta på hur deras system är byggda och om de ger för många anställda tillgång till för mycket information, sa han.
“Jag skulle antagligen kalla samman chefen, HR-chefen, IT-chefen och efterlevnadsansvarig och jag skulle titta på vad vår organisations regler är för användning och missbruk av data. Jag skulle vilja se till att de var mycket tydligt stavade ut och jag skulle vilja se till att de stavades ut på lämpligt sätt mot bakgrund av andra lagar och arbetslagar, ”förklarade Brill.
Regler och påföljder bör förklaras och skisseras i enlighet med kollektivavtalen, tillade Brill och noterade att vissa företag bör överväga att anställda undertecknar uppdaterade informationsavtal eller datoranvändningsavtal.
“Detta är ett flerdimensionellt problem som behöver ett väl genomtänkt, flerdimensionellt svar”, säger Brill.
“Men om vi håller fast vid grunderna, ger människor tillgång till vad de behöver och inte ger dem tillgång till vad de inte behöver, går vi långt för att immunisera oss från effekterna av detta beslut. “
Se detta
Hackningssårbarheter med sakernas internet: risker och säkerhetshål
Sakernas internet öppnar en värld av möjligheter för våra anslutna liv. Men tänk om en hackare kan få kontroll över de saker som betyder mest för oss. Här undersöker vi några möjliga hackningsscenarier som bara kan hända.
Läs mer
Relaterade ämnen:
Datahantering CXO Security Innovation Smart Cities < img src = "https://www.zdnet.com/a/hub/i/r/2019/10/28/e1751fe3-e83c-4bc5-b425-4f3cfa6f6748/thumbnail/40x40/78c098d179dea31321b940b2645d1b4e/headshot-2.jpg" class = "" height = "40" width = "40" alt = "Jonathan Greig" height = "40" width = "40" title = "Högsta domstolens dom begränsar användningen av hackelag" />