Portugal memperbarui undang-undang kejahatan dunia maya untuk mengecualikan peneliti keamanan

Portugal telah memodifikasi undang-undang kejahatan dunia mayanya untuk menciptakan landasan hukum yang aman bagi penelitian keamanan dengan itikad baik dan menjadikan peretasan tidak dapat dihukum dalam kondisi tertentu yang ketat.

Pertama kali ditemukan oleh Daniel CuthbertA ketentuan baru dalam Pasal 8.oAberjudul “Perbuatan yang tidak dapat dihukum karena kepentingan umum dalam keamanan siber,” memberikan pengecualian hukum atas tindakan yang sebelumnya diklasifikasikan sebagai akses sistem ilegal atau intersepsi data ilegal.

Pengecualian ini hanya berlaku ketika peneliti keamanan bertindak dengan tujuan mengidentifikasi kerentanan dan berkontribusi terhadap keamanan siber. Syarat-syarat utama yang harus dipenuhi agar aman dari pertanggungjawaban pidana adalah:

1. Penelitian harus bertujuan hanya untuk mengidentifikasi kerentanan yang tidak diciptakan oleh peneliti dan untuk meningkatkan keamanan siber melalui pengungkapan.
2. Peneliti tidak dapat mencari atau menerima keuntungan ekonomi apa pun selain kompensasi profesional normal.
3. Peneliti harus segera melaporkan kerentanan kepada pemilik sistem, pengontrol data yang relevan, dan CNCS.
4. Tindakan yang diambil harus benar-benar terbatas pada apa yang diperlukan untuk mendeteksi kerentanan dan tidak boleh mengganggu layanan, mengubah atau menghapus data, atau menyebabkan kerugian.
5. Penelitian tidak boleh melibatkan pemrosesan data pribadi apa pun yang melanggar hukum berdasarkan GDPR.
6. Peneliti tidak boleh menggunakan teknik terlarang seperti serangan DoS atau DDoS, rekayasa sosial, phishing, pencurian kata sandi, perubahan data yang disengaja, kerusakan sistem, atau penyebaran malware.
7. Setiap data yang diperoleh selama penelitian harus dirahasiakan dan dihapus dalam waktu 10 hari setelah kerentanan diperbaiki.
8. Tindakan yang dilakukan dengan persetujuan pemilik sistem juga dibebaskan dari hukuman, namun setiap kerentanan yang ditemukan tetap harus dilaporkan ke CNCS.

Artikel baru ini dengan jelas mendefinisikan batasan penelitian keamanan, dan pada saat yang sama memberikan perlindungan hukum bagi peretas yang bermaksud baik.

Pada bulan November 2024, Kementerian Kehakiman Federal di Jerman memperkenalkan rancangan undang-undang yang memberikan perlindungan serupa kepada peneliti keamanan yang menemukan dan melaporkan kelemahan keamanan secara bertanggung jawab kepada vendor.

Sebelumnya, pada Mei 2022, Departemen Kehakiman AS (DOJ) mengumumkan revisi terhadap kebijakan penuntutan federal mengenai pelanggaran Computer Fraud and Abuse Act (CFAA), menambahkan pengecualian untuk penelitian “dengan itikad baik”.

Di bawah kerangka hukum ini, penelitian keamanan tidak hanya diakui tetapi juga diberikan ruang aman untuk menyelidiki sistem secara proaktif, mengungkap kerentanan, dan melaporkannya tanpa takut akan konsekuensi hukum.