Hack Back Bill

A Lei de Certeza de Defesa Cibernética Ativa (ACDC), também conhecida como projeto de lei "Hack Back", foi apresentada pela primeira vez na Câmara dos Representantes dos EUA em 2017. O projeto de lei vem sendo trabalhado desde então e, se aprovado, alteraria a Lei de Fraude e Abuso de Computadores. O projeto de lei proposto protegeria empresas vítimas de fraude caso implementassem medidas de resposta mais agressivas em caso de incidente, em comparação com a estratégia tradicional de "detectar e reportar", amplamente utilizada hoje.

Que tipos de hacking back estão sendo debatidos neste projeto de lei?

Há três atividades descritas neste projeto de lei que definem o que uma empresa pode e deve fazer quando está sendo atacada. São elas, especificamente: 

1. Para estabelecer a atribuição de atividade criminosa, que então seria compartilhada com as autoridades policiais e outras agências governamentais relevantes;
2. Para interromper a atividade não autorizada contínua contra a rede do defensor; e
3. Monitorar o comportamento de um invasor para auxiliar no desenvolvimento de futuras técnicas de prevenção de intrusão ou de defesa cibernética.

Quais ações são proibidas no Projeto de Lei do ACDC proposto?

Existem muitas ações proibidas descritas no ACDC, incluindo:

1. destruir dados de outra pessoa;
2. causando perdas físicas ou financeiras;
3. criando ameaças à saúde pública; e
4. realizar reconhecimento desnecessário no sistema de hacking, pois ele pode não pertencer ao hacker, mas ser um intermediário, e muito mais.

Desafios com qualquer legislação sobre hacking back

O maior problema com esse projeto de lei, da perspectiva da CyberHoot, é a dificuldade de atribuir um ataque a uma única entidade, grupo de hackers ou estado-nação.  Sinalizadores Falsos abundam no mundo do hacking, levando a atribuição Erros. O potencial para a escalada prejudicial de ataques cibernéticos, devido a atribuições imperfeitas, é ainda maior online do que no mundo físico. Esta legislação certamente será debatida por muito tempo, sem uma resolução clara.

O que isso significa para as empresas?

As empresas devem estar cientes deste projeto de lei e de suas implicações. É improvável que seja aprovado, portanto, não há muito o que se preparar para ele. O melhor conselho que uma empresa pode seguir é ter políticas, programas, treinamento e ferramentas adequados para proteger seus dados. A linguagem ambígua na lei ACDC tem um potencial significativo para que as empresas "se prejudiquem" ao ultrapassar acidentalmente seus limites legais ao hackear. Exceder seus direitos legais neste caso pode resultar em acusações de fraude, ações judiciais e processos judiciais custosos.

A opinião da CyberHoot sobre esta legislação:

Considerando que essa legislação vem sendo debatida há muitos anos e os argumentos a favor e contra ela são numerosos e convincentes, é improvável que ela seja aprovada em breve. 

Para mais informações, assista Tom Graves (R-GA) discutir o projeto de lei que ele propôs:

Você está fazendo o suficiente para proteger seu negócio?

Cadastre-se no CyberHoot hoje e durma melhor sabendo que seu

Os funcionários são treinados cibernéticos e estão em alerta!

Inscreva-se hoje!