White Hat-hackere frygter ny EU-lov gør dem til kriminelle

Illustration: leowolfert/Bigstock
Et opdateret EU-direktiv om it-kriminalitet vil gøre det ulovligt at lave værktøjer til hacking, men direktivet skal ikke ramme værktøjer som Metasploit, der også bruges af it-sikkerhedsfolk.

Et nyt direktiv, som skal skærpe medlemslandenes indsats mod it-kriminalitet, er netop blevet vedtaget af et udvalg under Europaparlamentet. Direktivet vil blandt andet gøre det ulovligt at udvikle og sælge værktøjer til hacking.

Den ordlyd har vakt opsigt blandt såkaldte 'White Hat'-hackere, som typisk er uafhængige sikkerhedseksperter, der anvender de samme teknikker som de ondsindede 'Black Hat'-hackere til eksempelvis at finde sikkerhedshuller i software og it-systemer.

På forummet intern0t.org påpeger en bruger netop den formulering i EU-direktivforslaget, som vil gøre det ulovligt at fremstille eller sælge værktøjer, der kan bruges til hacking.

Bliver brug af Metasploit kriminaliseret?

Det kunne i princippet gå ud over et værktøj som Metasploit, som i høj grad bruges af mange it-sikkerhedseksperter, ligesom det kunne gå ud over de værktøjer til analyse af password-sikkerhed, som også bruges til legitime formål.

Formuleringen, som den lød i det første offentliggjorte udkast fra Europa-Parlamentets komité for borgernes rettigheder og retlige og indre anliggender, var:

»Penalises the production, sale, procurement for use, import, distribution or otherwise making available of devices/tools used for committing the offences.«

Version2 har kontaktet Europa-Parlamentets komité for borgernes rettigheder og retlige og indre anliggender for at få klarlagt, hvorvidt parlamentarikerne vil tage hensyn til den legitime brug af hackerværktøjer.

Tilføjelser skal tage hensyn til White Hat-hackere

Den fulde tekst af direktivforslaget er endnu ikke tilgængelig, men pressekontakten for komitéen har fremsendt to centrale tilføjelser til forslaget, som netop skal tilgodese White Hat-hackere.

»Amendment 22: Member States shall take the necessary measures to ensure that the production, sale, procurement for use, import, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and without right for the clear purpose of committing any of the offences referred to in Articles 3 to 6:«

»Compromise amendment 16: (7a) There should be no mandatory requirement to impose a penalty in cases deemed to be ‘minor’. A case may be considered as ‘minor’, for example, when the damage caused by the offence, and/or the risk it carries to public or private interests, such as to the integrity of an information system or computer data, or to a person's integrity, rights and other interests, is insignificant or is of such a nature that the imposition of a criminal penalty within the legal threshold or the imposition of criminal liability is not necessary. Such a case may occur when the access to an information system was without right, but the only purpose was to inform the operator of the information system about serious security gaps and no damage was caused.«

Af tilføjelserne fremgår det altså, at fremstilling og salg af hackerværktøjer kun skal være strafbart, når det uden tvivl sker for at begå kriminalitet.

Det fremgår også, at der bør ses bort fra straf i sager, hvor indtrængen i et it-system udelukkende er sket med det formål at kunne orientere systemejeren om alvorlige sikkerhedshuller, og hvor der ikke er sket nogen skade, og det ikke har været til fare for offentligheden.

EU-parlamentariker: Frygt ikke fremtiden

Derfor mener Venstres EU-parlamentsmedlem Jens Rohde da også, at White Hat-hackerne ikke bør frygte fremtiden:

»Jeg mener, at de bekymringer er der taget hånd om, for selvfølgelig skal man kunne udføre et arbejde med de instrumenter, der er nødvendige,« siger Jens Rohde (V) til Version2.

Af resuméet til direktivudkastet fremgår det også, at medlemslandene generelt skal afveje, hvor alvorlige handlingerne er, og eksempelvis kan der ses mildere på sager, hvor hackingen er foretaget af mindreårige, som blot har villet demonstrere deres evner.

Opdateringen af EU-direktivet har til formål at harmonisere medlemslandenes lovgivning på området, så der fremover skal være en maksimal straf på to års fængsel i mindre alvorlige sager, men mindst fem års fængsel i alvorlige sager, hvor der er tale om omfattende angreb.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Finn Aarup Nielsen

"Penalises the production, sale, procurement for use, import, distribution or otherwise making available of devices/tools used for committing the offences."

Hvad med computere og operativsystemer? En black-hat benytter computere. Betyder det at Intel, AMD, NKT, Fona, Linus Torvalds og Gordon Lyon nu endelig kan sættes bag tremmer? De værktøjer de producerer, sælger og distribuerer bliver jo i vidt omfang benyttet af black-hat hackere (dog er jeg ikke sikker på det gælder for Fona).

  • 11
  • 0
#2 Deleted User

Manden blev set holdende et redskab lignende et der menes brugt til vandalisering af en havenisse sent fredag nat...

Dette er hvad der sker når man sætter folk uden teknisk forståelse eller indsigt, betalt af folk med en agenda, til at lovgive for os alle sammen.

  • 6
  • 0
#3 Per Laursen

»Jeg mener, at de bekymringer er der taget hånd om, for selvfølgelig skal man kunne udføre et arbejde med de instrumenter, der er nødvendige,« siger Jens Rohde (V) til Version2.

Det er jo rart når politikere sådan kan berolige os, især med effekten af eks. knivloven in mente.

  • 5
  • 0
Log ind eller Opret konto for at kommentere