Ano ang Computer Fraud and Abuse Act?
Ang Computer Fraud and Abuse Act (CFAA) ay humigit-kumulang sa higit sa tatlong dekada, bagaman ito ay susugan sa loob ng maraming taon. Ito ay nananatiling pinakatanyag na batas ng Estados Unidos upang maiwasan ang cybercrime, at ginamit sa marami at iba-ibang mga kaso sa buong bansa.
Ang batas ay partikular na idinisenyo upang i-target ang mga hacker na nag-access sa mga computer upang magnakaw ng impormasyon. Gayunpaman, ginamit ito sa iba pang mga sitwasyon. Ito ay isang mahigpit na kontrobersyal na batas na napag-isipan para sa pagiging bukas sa interpretasyon at pagdala ng hindi patas na parusa.
Sa post na ito, ipinapaliwanag namin sa CFAA, kung ano ang ginagamit nito, at mga problema sa pagpapatupad nito. Nagbibigay din kami ng mga halimbawa ng mga totoong kaso kung saan ang batas ay ginamit upang pag-uusig sa mga cybercriminals.
Ang pinagmulan ng Computer Fraud and Abuse Act
Ang gist ng CFAA ay iyon ipinagbabawal ang pag-access sa isang computer nang walang pahintulot, o sa labis na pahintulot. Bukod sa mga halata na sitwasyon tulad ng pag-hack sa account ng isang tao, pinatutunayan din nito ang ilang mga gawa na nauugnay sa computer, tulad ng pag-atake ng serbisyo at pag-agaw ng malware.
Ang unang tunay na batas na inilagay upang matugunan ang krimen sa computer ay ang Seksyon 1030 ng Comprehensive Crime Control Act ng 1984. Ang batas na ito ay iniulat na naganap bilang reaksiyon sa pelikulang WarGames at iba pang mga hype at pagmamalasakit sa paligid ng mga krimen na nauugnay sa computer. Sa pelikula, hindi sinasadyang sinimulan ng isang binata ang World War III sa pamamagitan ng pag-access sa isang superkomputer militar ng Estados Unidos. Sa ulat nito, itinuturing ng Komite ng House na ito “isang makatotohanang representasyon ng awtomatikong pagdayal at pag-access ng mga kakayahan ng personal na computer.”
Bilang una sa uri nito, ang orihinal na batas ay makitid sa saklaw, at tinukoy lamang ang limitadong paggamit ng mga computer sa oras, samakatuwid ang pangangailangan para sa pag-amyenda sa ibang pagkakataon. Ang US Computer Fraud and Abuse Act (CFAA) ay ipinatupad noong 1986 bilang isang susog sa orihinal na Seksyon 1030. Mula nang maipatupad ito, maraming beses na nasugan ang CFAA, ngunit marami pa rin itong mga isyu at naghihirap ng maraming pagpuna.
Ang mga problema sa CFAA
Ang CFAA ay napansin ng maraming pagsisiyasat sa mga nakaraang taon, bahagyang dahil ito ay hindi malinaw, at dahil din sa halos walang limitasyong mga parusa na kinakaharap ng mga naganap.
Malabo na wika
Ang pangunahing problema ay namamalagi sa wikang ginamit sa batas, na subject sa malawak na interpretasyon. Ipinagbabawal nito ang pag-access sa isang computer na “nang walang pahintulot” o sa pamamagitan ng “labis na awtorisadong pag-access,” ngunit hindi nito tinukoy kung ano ang “pahintulot”.
Bilang karagdagan, ang batas ay namamahala sa “mga protektadong computer,” na kung saan ay inilarawan bilang “mga computer na ginamit o nakakaapekto sa interstate o dayuhang komersyo at mga computer na ginagamit ng pamahalaang pederal at pampinansyal na institusyon.” Karaniwan ang lahat ng mga computer ay maaaring mahulog sa ilalim ng isa sa mga kategoryang ito, na may tamang interpretasyon.
Bukod dito, pinag-uusapan nito ang tungkol sa “pagkuha ng impormasyon,” na maaaring masakop ang anumang bagay mula sa pag-load ng isang web page upang ma-access ang mga nangungunang lihim na dokumento.
Ayon kay Tor Ekeland, isang abogado ng depensa, “Ito ay isang hindi magandang nakasulat na batas na hindi epektibong tinukoy ang pangunahing bagay na nais nitong ipagbawal. Mayroong mga ambiguities na nakapalibot sa kahulugan na nagpapahintulot sa mga tagausig sa malawak na latitude na magdala ng mga singil sa ilalim ng mga teorya na nakakagulat sa mga taong computer sa infosec community. Nagpapatuloy siya upang ihambing ang paranoia tungkol sa mga hacker sa hysteria tungkol sa pangkukulam.
Kriminal na pang-araw-araw na gawain
Dahil bukas na ito sa interpretasyon, ang sinuman sa atin ay maaaring lumabag sa batas sa pang-araw-araw na batayan. Halimbawa, na-debate kung gumagamit man o hindi ang Facebook sa trabaho (kapag laban sa patakaran ng kumpanya) ay paglabag sa CFAA. Kahit na ang pagsisinungaling tungkol sa iyong edad sa isang website na may paghihigpit sa edad ay maaaring isaalang-alang na isang parusang pagkakasala. Sa katunayan, ang paggawa ng anumang bagay laban sa anumang mga termino ng serbisyo sa online ay maaaring isaalang-alang na paglabag. Nangangahulugan ito na, sa ilalim ng batas, maaari mong teoretikong harapin ang multa at oras ng bilangguan para sa mga purong krimen na ito.
Bukod sa criminalising ilang araw-araw na kilos ng pangkalahatang publiko, ang batas ay nagpapahirap sa maraming tao na gawin ang kanilang mga trabaho. Halimbawa, ang mga mananaliksik ng seguridad ay maaaring ipagsapalaran na sisingilin sa ilalim ng CFAA para sa pagsubok ng lakas ng password at pagsaliksik ng mga bahid sa seguridad.
Malaking parusa
Ang isang paglabag sa CFAA ay maaaring ituring na isang felony, na nagdadala ng multa at isang bilangguan na parusa hanggang sampung taon. Ngunit sabihin, halimbawa, nilabag mo ang mga termino ng serbisyo ng isang website at maraming beses itong na-access. Ito ay maaaring matingnan bilang maraming mga paglabag sa batas, ang bawat isa ay nagdadala ng isang hiwalay na maximum term. Bagaman hindi ito malamang, may mga kaso kung saan ginamit ito ng mga tagausig upang humiling ng malaking parusa laban sa mga taong nababagabag sa batas.
Batas ni Aaron
Ang isa sa mga kilalang kaso na kinasasangkutan ng CFAA ay kay Aaron Swartz, isang kilalang programer ng computer, negosyante, at hacktivist. Sinuhan siya noong 2011 sa ilalim ng CFAA at iba pang mga batas. Ang kanyang krimen? Maramihang pag-download ng mga artikulo ng journal mula sa JSTOR (isang database ng scholar), gamit ang isang computer na nakatago sa isang aparador ng MIT. Nahaharap siya sa isang potensyal na 35-taong pagkabilanggo sa bilangguan at mabibigat na multa. Sa kasamaang palad, namatay siya sa pamamagitan ng pagpapakamatay noong 2013 habang sinusubukan upang maabot ang isang pakiusap.
Aaron Schwartz (Pinagmulan: Wikimedia)
Ang kasong ito ay nakakuha ng maraming pansin dahil sa tila hindi ligtas na potensyal na parusa. Dagdag pa, nananatiling hindi malinaw kung ano ang pinaplano niyang gawin sa halos 5 milyong mga artikulo na na-download niya. Anuman ang layunin, ang mga kritiko ng kaso ay tumutol na ang krimen ay hindi magkasya sa parusa kahit ano pa man.
Bilang resulta ng kanyang kaso, iminungkahi ang Batas ni Aaron na baguhin ang CFAA, partikular ang seksyon na nauugnay sa mga tuntunin ng paglabag sa serbisyo. Gayunpaman, kahit na ang susog ay maraming mga tagasuporta, maraming beses itong napatigil at hindi talaga naipasa.
Iba pang mga halimbawa ng mga kaso na kinasasangkutan ng CFAA
Tulad ng nabanggit, ang batas na ito ay ginagamit sa maraming mga kaso upang uusig ang mga cybercriminals. Narito ang ilang mga halimbawa:
- Ang Morris Worm: Ang unang kilalang bulate na sumira sa mga computer na konektado sa internet ay ang Morris Worm, na binuo ng isang “curious” na estudyante na nagtapos, si Robert Morris. Isa siya sa mga unang tao na nahatulan sa ilalim ng CFAA. Sinuhan siya ng isang felony, ngunit pinamamahalaang upang maiwasan ang isang parusang kulungan.
- TJX hacker: Si Albert Gonzalez ay hindi napakasuwerte at nagtapos sa isang 20-taong pagkabilanggo sa bilangguan na inisyu noong 2010. Ang kanyang hangarin ay napatunayan na mas malisyoso, dahil pinamumunuan niya ang isang gang ng mga cyberthjack na nakawin ang higit sa 90 milyong debit at credit card na numero mula sa iba’t ibang mga nagtitingi, kabilang ang TJX.
- Mamamahayag ng Reuters: Si Matthew Keys ay hinatulan ng dalawang taong pagkakabilanggo sa bilangguan noong 2016 matapos makumbinsi sa ilalim ng CFAA. Inakusahan siya ng pagbabahagi ng mga kredensyal na humantong sa isa pang partido na nagpapabaya sa isang pamagat sa website ng LA Times. Nagresulta ito sa pagkalugi sa pananalapi sa kumpanya ng magulang, Tribune Media. Bagaman ang kanyang pangungusap ay natapos na dalawang taon, ang maximum na hinarap niya ay 25 taon. Ang napakahabang maximum term na ito ay nagha-highlight sa isa sa mga pangunahing isyu sa batas.
- Fake Myspace account: Si Lori Drew ay nahatulan sa ilalim ng CFAA matapos niyang i-cyberbullied ang isa sa mga kalaban ng kanyang anak na tin-edyer. Nagpakamatay ang bastos na batang babae matapos na gumamit si Drew ng pekeng Myspace account upang makipag-ugnay sa kanya. Nilabag nito ang mga termino ng serbisyo ng kumpanya, na nagpahintulot sa mga tagausig na singilin siya sa ilalim ng CFAA. Habang ang pagkumbinsi ay kalaunan ay nagbakasyon, ipinapakita nito kung paano bukas sa interpretasyon ito.
Tulad ng nakikita mo, hindi ito isang batas na mai-blasé, at sa mga tagausig na isinalin ito ayon sa gusto nila, maaari itong mag-spell ng malaking problema para sa sinumang nasa maling panig nito.
Tingnan din:
Mga istatistika ng Cybercrime
Credit ng larawan: “Pag-blog“Lisensyado sa ilalim ng CC NG 2.0