Los Investigadores de Seguridad NO somos delincuentes
Los Investigadores de Seguridad NO somos delincuentes
La causa
PROPUESTA DE PROYECTO DE LEY PARA LA DESPENALIZACIÓN DE LA INVESTIGACIÓN EN SEGURIDAD DE LA INFORMACIÓN
Versión 0.1 (Alpha version)
Link para acceder al documento compartido
Importante: El proyecto nace a partir del relevamiento llevado a cabo para ayudar a regular contractualmente la prestación de servicios de seguridad de la información por parte de investigadores profesionales realizado en la conferencia de seguridad internacional Ekoparty en su actividad Avoiding-Jail. La siguiente propuesta es un boceto preliminar inicial que pretende visibilizar la problemática y poder realizar un aporte constructivo para intentar diferenciar los cibercriminales de los investigadores de seguridad de la información. Todas las sugerencias, mejoras y críticas serán bienvenidas con el objetivo de poder tener una propuesta concreta, argumentada y con representatividad de la sociedad, los investigadores, la ONGs protectoras de derechos civiles y demás personas e instituciones interesadas.
Propuesta de Proyecto de Ley
El Senado y Cámara de Diputados,…
ARTICULO 1º: Incorpórase como tercer párrafo del Artículo 153 bis del Código Penal de la Nación el siguiente:
Estará exento de responsabilidad penal el que hubiere obrado con el propósito inequívoco de proteger un interés público. También quedará exento quien obrando de buena fe y en el marco de una investigación de seguridad de la información, comunicare la vulnerabilidad encontrada al propietario del sistema informático.
Fundamentos
El presente proyecto de Ley tiene como objeto tener en consideración la incorporación de un nuevo párrafo al tipo penal del artículo 153 bis, en el que pueda considerarse un párrafo extra que sirva como protección para aquel que como investigador de seguridad, descubre una falla y la reporta.
Dicha protección ha sido pensada como una alternativa legal de exención de la responsabilidad penal de aquellas personas que puedan acreditar que su accionar ha sido en miras de la protección de interés público, o bien, que puedan acreditar que su acción ha sido realizada de buena fe y en el marco de una investigación en seguridad de la información, detecte una falla, error, vulnerabilidad o problemas de seguridad, exigiendo siempre su comunicación al responsable del sistema.
La acción de comunicación del descubrimiento de las vulnerabilidades de seguridad encontradas, serían una prueba de la buena fe en su accionar, tendiente a la cooperación y colaboración en el aseguramiento y protección de los sistemas y datos informáticos.
Dicha comunicación podría ser probada a través del envío de una comunicación electrónica a los distintos canales de contacto que exhiba el propietario del sistema o los datos informáticos, así como a otras formas que pudieran revelar su intención de dar a conocer los problemas encontrados al responsable del sistema,
Que, con respecto a considerar que la acción se encontraba en el marco de una investigación en seguridad de la información, consideramos que existen diferentes formas de acreditar la misma, ya sea haber realizado publicaciones previas de papers o artículos de investigación, así como la posibilidad de demostrar haber brindado charlas o conferencias de seguridad de la información, entre otros elementos o indicios que puedan indicar que la buena fe del sujeto activo.
Que, un caso de ejemplo de un obrar en aras a la protección de un interés público, sería en los casos que las acciones de investigación y reporte de fallas de seguridad sean relacionadas a un sistema o dato pertenecientes a un organismo público, donde exista
Que, otro caso donde quedaría a nuestro criterio evidenciada la actuación en pos de un interés público, sería en aquellos donde las acciones de investigación y reporte de la vulnerabilidad de seguridad deja expuesto a la filtración datos personales considerados sensibles (Art. 2, Ley 25.326) según la legislación vigente, destinada a la protección y garantización del derecho al honor y a la intimidad de las personas.
Que desde el punto de vista jurídico, el tipo penal del 153 bis original se ha generado en lo que se conoce como un tipo penal “de peligro”, entendiendo que el legislador en su momento ha decidido adelantar la barrera penal, penando una acción sin el requisito legal de la existencia del daño (aspecto de debate histórico en materia penal).
Que, en los casos analizados, no sólo que no existe un daño concreto, sino que además, el investigador que ha descubierto la vulnerabilidad, tiene intención de ayudar al propietario de los sistemas, poniéndolo en conocimiento de la misma, a fin de que pueda tomar acciones en consecuencia y solucionar o mitigar el problema.
Que, desde el espacio de “Avoiding Jail” de EKOPARTY 2020, a través de una serie de encuestas que hemos recolectado sobre el trabajo en seguridad de la información, muchas personas han manifestado estar preocupados por tener algún tipo de problema legal al momento de reportar alguna vulnerabilidad encontrada, existiendo en muchos casos la decisión de evitar informar un problema existente, por la sola posibilidad de ser perseguidos o procesados penalmente por dicho descubrimiento.
Que, consideramos que la problemática visibilizada tiene relación directa con temáticas que ya han sido advertida por diversas organizaciones internacionales, así como en diversas declaraciones internacionales al respecto, como en el IGF Berlin 2019.
Por todo ello, consideramos esencial lograr una mejora en la legislación penal para lograr evitar la persecución o penalización indebida de personas cuya finalidad es aportar en la mejora de los niveles de seguridad de los sistemas y datos.
Equipo de Avoiding Jail - Ekoparty 2020
580
La causa
PROPUESTA DE PROYECTO DE LEY PARA LA DESPENALIZACIÓN DE LA INVESTIGACIÓN EN SEGURIDAD DE LA INFORMACIÓN
Versión 0.1 (Alpha version)
Link para acceder al documento compartido
Importante: El proyecto nace a partir del relevamiento llevado a cabo para ayudar a regular contractualmente la prestación de servicios de seguridad de la información por parte de investigadores profesionales realizado en la conferencia de seguridad internacional Ekoparty en su actividad Avoiding-Jail. La siguiente propuesta es un boceto preliminar inicial que pretende visibilizar la problemática y poder realizar un aporte constructivo para intentar diferenciar los cibercriminales de los investigadores de seguridad de la información. Todas las sugerencias, mejoras y críticas serán bienvenidas con el objetivo de poder tener una propuesta concreta, argumentada y con representatividad de la sociedad, los investigadores, la ONGs protectoras de derechos civiles y demás personas e instituciones interesadas.
Propuesta de Proyecto de Ley
El Senado y Cámara de Diputados,…
ARTICULO 1º: Incorpórase como tercer párrafo del Artículo 153 bis del Código Penal de la Nación el siguiente:
Estará exento de responsabilidad penal el que hubiere obrado con el propósito inequívoco de proteger un interés público. También quedará exento quien obrando de buena fe y en el marco de una investigación de seguridad de la información, comunicare la vulnerabilidad encontrada al propietario del sistema informático.
Fundamentos
El presente proyecto de Ley tiene como objeto tener en consideración la incorporación de un nuevo párrafo al tipo penal del artículo 153 bis, en el que pueda considerarse un párrafo extra que sirva como protección para aquel que como investigador de seguridad, descubre una falla y la reporta.
Dicha protección ha sido pensada como una alternativa legal de exención de la responsabilidad penal de aquellas personas que puedan acreditar que su accionar ha sido en miras de la protección de interés público, o bien, que puedan acreditar que su acción ha sido realizada de buena fe y en el marco de una investigación en seguridad de la información, detecte una falla, error, vulnerabilidad o problemas de seguridad, exigiendo siempre su comunicación al responsable del sistema.
La acción de comunicación del descubrimiento de las vulnerabilidades de seguridad encontradas, serían una prueba de la buena fe en su accionar, tendiente a la cooperación y colaboración en el aseguramiento y protección de los sistemas y datos informáticos.
Dicha comunicación podría ser probada a través del envío de una comunicación electrónica a los distintos canales de contacto que exhiba el propietario del sistema o los datos informáticos, así como a otras formas que pudieran revelar su intención de dar a conocer los problemas encontrados al responsable del sistema,
Que, con respecto a considerar que la acción se encontraba en el marco de una investigación en seguridad de la información, consideramos que existen diferentes formas de acreditar la misma, ya sea haber realizado publicaciones previas de papers o artículos de investigación, así como la posibilidad de demostrar haber brindado charlas o conferencias de seguridad de la información, entre otros elementos o indicios que puedan indicar que la buena fe del sujeto activo.
Que, un caso de ejemplo de un obrar en aras a la protección de un interés público, sería en los casos que las acciones de investigación y reporte de fallas de seguridad sean relacionadas a un sistema o dato pertenecientes a un organismo público, donde exista
Que, otro caso donde quedaría a nuestro criterio evidenciada la actuación en pos de un interés público, sería en aquellos donde las acciones de investigación y reporte de la vulnerabilidad de seguridad deja expuesto a la filtración datos personales considerados sensibles (Art. 2, Ley 25.326) según la legislación vigente, destinada a la protección y garantización del derecho al honor y a la intimidad de las personas.
Que desde el punto de vista jurídico, el tipo penal del 153 bis original se ha generado en lo que se conoce como un tipo penal “de peligro”, entendiendo que el legislador en su momento ha decidido adelantar la barrera penal, penando una acción sin el requisito legal de la existencia del daño (aspecto de debate histórico en materia penal).
Que, en los casos analizados, no sólo que no existe un daño concreto, sino que además, el investigador que ha descubierto la vulnerabilidad, tiene intención de ayudar al propietario de los sistemas, poniéndolo en conocimiento de la misma, a fin de que pueda tomar acciones en consecuencia y solucionar o mitigar el problema.
Que, desde el espacio de “Avoiding Jail” de EKOPARTY 2020, a través de una serie de encuestas que hemos recolectado sobre el trabajo en seguridad de la información, muchas personas han manifestado estar preocupados por tener algún tipo de problema legal al momento de reportar alguna vulnerabilidad encontrada, existiendo en muchos casos la decisión de evitar informar un problema existente, por la sola posibilidad de ser perseguidos o procesados penalmente por dicho descubrimiento.
Que, consideramos que la problemática visibilizada tiene relación directa con temáticas que ya han sido advertida por diversas organizaciones internacionales, así como en diversas declaraciones internacionales al respecto, como en el IGF Berlin 2019.
Por todo ello, consideramos esencial lograr una mejora en la legislación penal para lograr evitar la persecución o penalización indebida de personas cuya finalidad es aportar en la mejora de los niveles de seguridad de los sistemas y datos.
Equipo de Avoiding Jail - Ekoparty 2020
580
Actualizaciones de la petición
Compartir esta petición
Petición creada en 26 de septiembre de 2020