英国将在计算机滥用法改革中保护安全研究人员

执行摘要

英国政府于周三宣布将重写1990年的《计算机滥用法》（CMA），这标志着对为善意网络安全研究和渗透测试创建法定辩护的最明确承诺。这些提议的改革，概述在国王演讲开启新议会会议时发布的简报文件中，是更广泛的国家安全法案的一部分，该法案重点关注网络犯罪和数字威胁，据Recorded Future News报道。

技术分析

在云计算、勒索软件、加密货币洗钱和现代网络安全行业出现之前起草的《计算机滥用法》，因其广泛的未经授权访问条款而长期受到批评。这些条款为合法活动创造了法律不确定性，如漏洞研究、渗透测试和威胁情报行动。研究人员和行业团体认为，这种模糊性让安全专业人员担心，旨在识别漏洞或保护组织的的工作可能会使他们面临法律风险。

虽然重写的确切性质尚未确定，但工党此前曾提出引入公共利益辩护的法律修正案，当时并未通过。当前政府尚未发布立法草案，关于改革范围的重大问题仍然存在——特别是部长们是否打算为公共利益网络安全研究引入正式的法定辩护，或者更专注于更新调查权力。

国王演讲的简报笔记还提到了提议的“网络犯罪风险令”和与涉嫌为网络犯罪嫌疑人隐瞒证据的人有关的权力。这些措施表明政府正在追求更广泛的战略，旨在破坏勒索软件和有组织的网络犯罪网络。网络犯罪风险令可以赋予当局对被认为构成持续网络威胁的个人施加限制的权力，反映了政府向预防性干扰措施的更广泛转变，而不是仅依赖于攻击发生后的刑事起诉。

缓解措施与建议

在立法生效之前，英国的安全研究人员和渗透测试人员应继续根据现有法律建议运作，确保所有授权测试都由客户书面协议覆盖。开展漏洞赏金计划的组织应保持清晰的定义范围和披露政策。预计提议的改革将于今年晚些时候在议会引入，届时法定辩护的具体措辞将变得清晰。防御者应监控立法进程，并准备在法案发布后更新其法律和合规框架。