Este é o primeiro artigo em uma série destacando os problemas e falhas na proposta Convenção da ONU sobre Cibercrime. Confira O Projeto da Convenção da ONU sobre Cibercrime é um carta-branca para Abusos de Vigilância.  

A versão mais recente e quase final da convenção da ONU sobre Crime Cibernética - divulgado em 23 de maio de 2024, mas foi lançado hoje em 14 de junho - deixa os direitos de segurança e os direitos dos jornalistas investigativos perigosamente desprotegidos, apesar de repetidos avisos da EFF.

 O mundo se beneficia de pessoas que nos ajudam a entender como a tecnologia funciona e como pode dar errado. Pesquisadores de segurança, seja indivíduos, na academia ou no setor privado, desempenham esse importante papel de proteger os sistemas de tecnologia da informação. Contando com a liberdade de analisar, testar e discutir sistemas de TI, os pesquisadores identificam vulnerabilidades que podem causar grandes danos se deixados sem identificação. Da mesma forma, jornalistas investigativos e denunciantes desempenham um papel crucial na descoberta e divulgação de questões de interesse público significativo, incluindo corrupção, má-conduta e vulnerabilidades sistêmicas, geralmente passando por grande risco pessoal.

Por décadas, a EFF luta por jornalistas e pesquisadores de segurança, fornecendo consultoria jurídica para ajuda-los a navegar pelas leis criminais obscuras e defendendo seu direito de realizar pesquisas de segurança sem medo de repercussões legais. Ajudamos os pesquisadores quando enfrentaram ameaças para realizar ou publicar suas pesquisas, incluindo a identificação e a divulgação de vulnerabilidades críticas em sistemas. Vimos como leis ambíguas e excessivas sobre acesso não autorizado têm reduzido as pesquisas de segurança de boa-fé, ameaçando aqueles que estão tentando nos manter seguros ou relatar sobre tópicos de interesse público.  

Agora, assim como alguns governos específicos finalmente reconheceram a importância de proteger o trabalho dos pesquisadores de segurança, muitas das disposições de criminalização da Convenção da ONU ameaçam replicar a redação antiquada e ambígua para o mundo todo, sem proteções significativas para pesquisadores ou jornalistas. Se essas e outras questões não forem corrigidas, a convenção representa uma ameaça global à segurança cibernética e à liberdade de imprensa, e os Estados-Membros da ONU devem rejeitá-la.  

O presente artigo se concentrará em um aspecto crítico dos direitos dos programadores de computador sob o mais recente redação divulgada: as disposições que comprometem o trabalho de pesquisadores de segurança e jornalistas investigativos. Em artigos subsequentes, a se aprofundará em outros aspectos da convenção.  

Como a Convenção Não Protege a Pesquisa de Segurança e Relatórios sobre Questões de Interesse Público

 

Que disposições estamos discutindo?

Os artigos 7 a 11 do capítulo de criminalização - cobrindo acesso ilegal, interceptação ilegal, interferência com dados eletrônicos, interferência com sistemas de TIC e uso indevido de dispositivos - são crimes cibernéticos centrais dos quais os pesquisadores de segurança frequentemente foram acusados ​​de crimes como resultado de seus trabalhos. (Nas versões anteriores da convenção, eram artigos 6-10).  

  • Acesso Ilegal (Artigo 7): Este artigo corre o risco de criminalizar atividades essenciais em pesquisa de segurança, principalmente quando os pesquisadores acessam os sistemas sem autorização prévia para identificar vulnerabilidades.
  • Intercepção Ilegal (artigo 8): a análise do tráfego de rede também é uma prática comum na segurança cibernética; Atualmente, este artigo corre o risco de criminalizar essa análise e também deve ser restringido para exigir dolo criminal (mens rea).
  • Interferência com Dados (artigo 9) e Interferência nos Sistemas de Computador (artigo 10): esses artigos podem inadvertidamente criminalizar atos de pesquisa de segurança, que frequentemente envolvem testar a robustez dos sistemas simulando ataques que poderiam ser descritos como "interferência", mesmo que eles não causam danos e são realizados sem nenhum dolo criminal.  

Todos esses artigos careçam um elemento obrigatório de dolo criminal, de causar danos, roubar ou fraudar. Um requisito de que a atividade causa danos graves também está ausente do artigo 10 e opcional no artigo 9. Essas salvaguardas devem ser obrigatórias.  

O que dissemos aos redatores da convenção da ONU em nossa carta?

 No início deste ano, a EFF apresentou uma carta detalhada aos redatores da Convenção da ONU sobre Crime Cibernético em nome de 124 signatários, descrevendo proteções essenciais para os programadores. 

Nossas recomendações incluíram o acesso não autorizado para incluir apenas acessos que burlam as medidas de segurança e somente quando essas medidas de segurança são consideradas como eficazes. A redação existente da Convenção remonta aos casos em que as pessoas foram processadas criminalmente apenas por editar parte de um URL.

 Também recomendamos garantir que a criminalização de ações requer uma intenção maliciosa ou desonesta clara de prejudicar, roubar ou infectar com malware. Ainda recomendamos explicitamente que devem ser isentadas da responsabilidade criminal as pesquisas de segurança de boa-fé e o jornalismo investigativo sobre questões de interesse público.  

O que já foi aprovado?

Vários dispositivos da Convenção da ONU sobre a Cibernética foram aprovados provisoriamente, ou ad referendum. Isso inclui artigos completos e parágrafos específicos, indicando níveis variados de consenso entre os redatores.  

Quais artigos foram acordados integralmente  

Os seguintes artigos foram acordados em todo por ad referendum, o que significa que todo o conteúdo desses artigos foi aprovado:  

  • Artigo 9: Interferência com dados eletrônicos
  • Artigo 10: Interferência nos sistemas de TIC
  • Artigo 11: Uso indevido de dispositivos
  • Artigo 28 (4): Mandato de Assistência à Busca e Apreensão  

Estamos frustrados ao ver, por exemplo, que o artigo 11 (uso indevido de dispositivos) foi aceito sem nenhuma modificação e, portanto, continua a ameaçar o desenvolvimento e o uso de ferramentas de segurança cibernética. Embora criminalize a criação ou a obtenção dessas ferramentas apenas para fins de violações de outros crimes definidos nos artigos 7-10 (cobrindo acesso ilegal, interceptação ilegal, interferência com dados eletrônicos e interferência com sistemas de TIC), esses outros artigos não têm requisitos obrigatórios de dolo criminal e requisito para definir "sem direito" como burlar uma medida de segurança eficaz. Como esses artigos não isentam especificamente atividades como testes de segurança, o artigo 11 pode criminalizar inadvertidamente a pesquisa de segurança e o jornalismo investigativo. Pode punir até mesmo criar ou usar ferramentas para fins de pesquisa, se a pesquisa, como testes de segurança, for considerada como algo que se enquadra em um dos outros crimes.  

Estamos ainda desapontados com o fato de o artigo 28 (4) também ter sido aprovado por ad referendum. Este artigo pode desproporcionalmente permitir as autoridades a obrigar "qualquer indivíduo" com o conhecimento dos sistemas de computador a fornecer quaisquer "informações necessárias" para a realização de buscas e apreensões de sistemas de computador. Como escrevemos antes, este dispositivo pode ser abusado para coagir especialistas em segurança, engenheiros de software e funcionários de tecnologia a expor informações sensíveis ou proprietárias. Também poderia incentivar as autoridades a ignorar os canais normais nas empresas e coagir funcionários individuais-sob ameaça de processo criminal, a prestar assistência na subversão de controles técnicos de acesso, como credenciais, criptografia e aprovações imediatas sem o conhecimento de seus empregadores. Este parágrafo perigoso deve ser removido em favor do dever geral para que os responsáveis pelas informações atendam às solicitações para fornecer dados dentro das suas possibilidades.  

Quais disposições foram parcialmente aprovadas?

As amplas proibições contra o acesso e interceptação não autorizados já foram aprovados por ad referendum, o que significa:

  • Artigo 7: Acesso ilegal (primeiro parágrafo acordado ad referendum)
  • Artigo 8: Intercepção ilegal (primeiro parágrafo acordado ad referendum)

O primeiro parágrafo de cada um desses artigos inclui redação que exige que os países criminalizem acesso a sistemas ou dados ou a sua interceptação "sem direito". Isso significa que, se alguém intencionalmente entrar em um computador ou rede sem autorização, ou executar uma das outras ações citadas nos artigos subsequentes, ele deve ser considerado um delito criminal naquele país. Os requisitos opcionais adicionais, no entanto, são cruciais para proteger o trabalho de pesquisadores de segurança e jornalistas e ainda estão na mesa de negociações e vale a pena lutar por eles.  

O que ainda não foi acordado?

Ainda não há acordo no Parágrafo 2 do Artigo 7 sobre Acesso Ilegal e Artigo 8 sobre Interceptação Ilegal, que dão aos países a opção de adicionar requisitos específicos que podem variar de artigo para artigo. Tais salvaguardas poderiam fornecer os esclarecimentos necessários para evitar a criminalização de atividades legais e garantir que as leis não sejam mal aplicadas para sufocar a pesquisa, a inovação e o jornalismo sobre questões de interesse público. Ficamos claros ao longo deste processo de negociação de que essas condições são uma parte crucialmente importante de toda a legislação doméstica, de acordo com a convenção. Estamos desapontados ao ver que os estados não agirem em nenhuma de nossas recomendações, incluindo a carta que enviamos em fevereiro.

A redação final datada de 23 de maio de 2024 da Convenção é conspicuamente silenciosa sobre várias proteções cruciais para pesquisadores de segurança:  

  • Não há isenções explícitas para pesquisadores de segurança ou jornalistas investigativos que agem de boa fé.
  • O requisito de intenção maliciosa permanece opcional e não obrigatório, deixando espaço para interpretações amplas e potencialmente abusivas.
  • O texto não especifica que burlar medidas de segurança só deve ser considerado não autorizado se essas medidas forem consideradas eficazes, nem torna essa salvaguarda obrigatória.  

Como redação semelhante causou problemas no passado?  

Há uma história de interpretação excessivamente ampla na questão de leis como a Lei de Fraude e Abuso de Computação dos Estados Unidos, e continua sendo uma preocupação significativa com redações igualmente ambíguas em outras jurisdições. Também pode levantar preocupações muito além do trabalho de pesquisadores e jornalistas, como quando essa legislação é invocada por uma empresa para impedir a capacidade de um concorrente de acessar sistemas online ou criar tecnologias interoperáveis. O artigo da EFF, "Protegendo os Direitos dos Pesquisadores de Segurança nas Américas", documentou inúmeros casos em que os pesquisadores de segurança enfrentaram ameaças legais por causa do seu trabalho:

  • MBTA v. Anderson (2008): A Autoridade de Trânsito de Massachusetts Bay (MBTA) usou uma lei de crime cibernético para processar três estudantes universitários que planejavam fazer uma apresentação sobre vulnerabilidades no sistema de tarifas de metrô de Boston.
  • Pesquisador de segurança canadense (2018): um canadense de 19 anos foi acusado de uso não autorizado de um serviço de computador para baixar registros públicos de um site do governo.
  • Carta de Cessação e Desistência do LinkedIn à HIQ Labs, Inc. (2017): o LinkedIn invocou a lei cibernética contra o HIQ Labs por "raspagem" - acessando informações disponíveis ao público no site do LinkedIn usando ferramentas automatizadas. Questões e casos relacionados a este tópico continuaram a surgir, embora um tribunal de recurso tenha determinado que a raspagem de sites públicos não viola o CFAA.
  • Pesquisador de segurança canadense (2014): um pesquisador de segurança demonstrou uma vulnerabilidade amplamente conhecida que poderia ser usada contra os canadenses que registram seus impostos. Isso foi reconhecido pelas autoridades fiscais e resultou em um prazo prorrogado para pagar os impostos. Embora o pesquisador alegasse ter apenas intenções positivas, ele foi acusado de crime cibernético.
  • Processo na Argentina contra Joaquín Sorianello (2015): O desenvolvedor de software Joaquín Sorianello descobriu uma vulnerabilidade nos sistemas eleitorais e enfrentou um processo criminal por demonstrar essa vulnerabilidade, mesmo que o governo tenha concluído que não pretendia prejudicar os sistemas e não causou nenhum dano grave para eles.  

Esses exemplos destacam o efeito assustador que os dispositivos legais ambíguos podem ter sobre a comunidade de segurança cibernética, impedindo pesquisas valiosas e deixando vulnerabilidades críticas não relatadas.  

Conclusão

A versão mais recente da Convenção da ONU sobre Cibernética representa uma tremenda falha na proteção dos direitos dos programadores. Ao ignorar as recomendações essenciais e manter a redação problemática, a convenção corre o risco de sufocar a inovação e prejudicar a segurança cibernética. Os delegados devem pressionar por revisões urgentes para proteger os direitos dos programadores e garantir que a convenção promova, em vez de dificultar o desenvolvimento de um ambiente digital seguro. Estamos correndo contra o tempo; A ação é necessária agora.  

Fique atento ao nosso próximo artigo, no qual exploraremos outras áreas críticas afetadas pela convenção proposta, incluindo seu escopo e salvaguardas dos direitos humanos.

Related Issues

United Nations Cybercrime Treaty
International
Coders' Rights Project

Related Updates

hands with circuit patterns on black background
Deeplinks Blog by Jillian C. York, Katitza Rodriguez | September 25, 2024

Los llamamientos para suprimir la Ley de Ciberdelincuencia de Jordania se hacen eco de los llamamientos para rechazar el Tratado sobre Ciberdelincuencia

In a number of countries around the world, communities—and particularly those that are already vulnerable—are threatened by expansive cybercrime and surveillance legislation. One of those countries is Jordan, where a cybercrime law enacted in 2023 has been used against LGBTQ+ people, journalists, human rights defenders, and those criticizing the government.
an eye covers a globe in multi-hued background
Deeplinks Blog by Karen Gullo | July 30, 2024

Calls Mount—from Principal UN Human Rights Official, Business, and Tech Groups—To Address Dangerous Flaws in Draft UN Surveillance Treaty

As UN delegates sat down in New York this week to restart negotiations, calls are mounting from all corners—from the United Nations High Commissioner for Human Rights (OHCHR) to Big Tech—to add critical human rights protections to, and fix other major flaws in, the proposed UN surveillance treaty, which as...

an eye covers a globe in multi-hued background
Deeplinks Blog by Karen Gullo | July 30, 2024

Weak Human Rights Protections: Why You Should Hate the Proposed UN Cybercrime Treaty

The proposed UN Cybercrime Convention dangerously undermines human rights, opening the door to unchecked cross-border surveillance and government overreach. Despite two and a half years of negotiations, the draft treaty authorizes extensive surveillance powers without robust safeguards, omitting essential data protection principles. This risks turning international efforts to fight cybercrime...

hands with circuit patterns in LGBTQ+ flag colors
Deeplinks Blog by Katitza Rodriguez, Karen Gullo | July 17, 2024

L'EFF et ses partenaires internationaux appellent les délégués de l'UE à contribuer à corriger les failles du projet de traité des Nations Unies sur la cybercriminalité qui peuvent porter atteinte au cadre de protection des données de l'UE

Como a sessão final de negociação para aprovar o tratado de crimes cibernéticos da ONU acontecerá em apenas alguns dias, a EFF e 21 organizações da Sociedade Civil Internacional hoje apelam urgentemente aos delegados dos estados da UE e à Comissão Europeia que corrigem as muitas falhas da Convenção, que...

an eye covers a globe in multi-hued background
Deeplinks Blog by Katitza Rodriguez, Cindy Cohn | July 17, 2024

A Proposta Convenção da ONU sobre Cibercrime expande de forma perigosa os poderes de vigilância estatal sem privacidade robusta ou salvaguardas de proteção de dados

Este é o terceiro artigo em uma série destacando falhas na Proposta Convenção da ONU sobre Cibercrime. Confira na Parte I, nossa análise detalhada sobre a criminalização de atividades de pesquisa de segurança e na Parte II, uma análise das salvaguardas dos direitos humanos. Enquanto aproximamos da sessão de...