עורך דין

עורך דין סייבר

עורך דין מומלץ

דיני סייבר כוללים גם חוק טכנולוגיית מידע (דיני IT) או חוק מידע, תקשורת וטכנולוגיה (חוק ICT) נוגע להסדרה המשפטית של טכנולוגיית מידע, אפשרויותיה והשלכות השימוש בה, לרבות מחשוב, קידוד תוכנה, בינה מלאכותית, אינטרנט ועולמות וירטואליים. תחום המשפטים בתקשוב כולל מרכיבים מענפי משפט שונים, שמקורם במעשים או חוקים שונים של פרלמנטים, המשפט המקובל והקונטיננטלי והמשפט הבינלאומי. כמה תחומים חשובים שהוא מכסה הם מידע ונתונים, תקשורת וטכנולוגיית מידע, הן תוכנה והן חומרה וטכנולוגיית תקשורת טכנית, כולל קידוד ופרוטוקולים.

תחום הסייבר קשור לאינפורמטיקה משפטית, ומנהל בין היתר את ההפצה הדיגיטלית של מידע ותוכנה דיגיטאלית, אבטחת מידע ומסחר חוצה גבולות.
דיני הסייבר מעלים סוגיות ספציפיות של קניין רוחני, דיני חוזים, משפט פלילי וזכויות יסוד כמו פרטיות, הזכות להגדרה עצמית וחופש הביטוי.

חוקי סייבר
הרגולציה של טכנולוגיית המידע, באמצעות קידוד תוכנה, מחשוב ואינטרנט התפתחה מתוך פיתוח הרשתות הראשונות במימון ציבורי, כמו ARPANET ו- NSFNET בארצות הברית או JANET בבריטניה.

תחומי משפט
דיני תוכנה
דיני סייבר וIT אינם מהווים תחום משפט נפרד; במקום הם מקיפים היבטים של חוקי חוזים, קניין רוחני, פרטיות והגנת מידע. קניין רוחני הוא מרכיב חשוב בדיני ה-IT, כולל זכויות יוצרים וזכויות יוצרים, כללים על שימוש הוגן, כללים על הגנת העתקה עבור מדיה דיגיטלית ועקיפת תוכניות כאלה. תחום פטנטים על תוכנה היה שנוי במחלוקת, והוא עדיין מתפתח באירופה ובמקומות אחרים.

הנושאים הקשורים של רישיונות תוכנה, הסכמי רישיון למשתמשי קצה, רישיונות תוכנה חופשית ורישיונות קוד פתוח יכולים לכלול דיון על אחריות למוצר, אחריות מקצועית של מפתחים בודדים, אחריות, דיני חוזים, סודות מסחריים וקניין רוחני.

במדינות שונות, תחומי תעשיות המחשוב והתקשורת מוסדרים – לרוב בקפדנות – על ידי גופים ממשלתיים.

ישנם כללים לגבי השימושים בהם ניתן להשתמש במחשבים ורשתות מחשבים, בפרט ישנם כללים על גישה לא מורשית, פרטיות נתונים וספאם. ישנן גם מגבלות על השימוש בהצפנה ובציוד שעשוי לשמש כדי להביס תוכניות הגנת העתקה. ייצוא החומרה והתוכנה בין מדינות מסוימות בתוך ארצות הברית נשלט גם כן.

ישנם חוקים המסדירים סחר באינטרנט, מיסוי, הגנת הצרכן ופרסום.

ישנם חוקים על צנזורה מול חופש ביטוי, כללים על גישה ציבורית למידע ממשלתי וגישה פרטנית למידע המוחזק עליהם על ידי גופים פרטיים. ישנם חוקים לגבי אילו נתונים יש לשמור עבור אכיפת החוק, ומה אסור לאסוף או לשמור, מטעמי פרטיות.

בנסיבות מסוימות ובסמכויות שיפוט מסוימות, ניתן להשתמש בתקשורת מחשבים כראיה וכדי לכונן חוזים. לשיטות חדשות של הקשה ומעקב המתאפשרים על ידי מחשבים יש כללים שונים מאוד לגבי האופן שבו הם עשויים לשמש על ידי גופי אכיפת החוק וכראיה בבית המשפט.

טכנולוגיית הצבעה ממוחשבת, ממכונות הקלפיות ועד להצבעה באינטרנט ובטלפונים ניידים, מעלה שורה של סוגיות משפטיות.

חלק מהמדינות מגבילות את הגישה לאינטרנט, על פי חוק וכן באמצעים טכניים.

תקנות
תקשורת גלובלית מבוססת מחשב חוצה גבולות טריטוריאליים; סוגיות של רגולציה, סמכות וריבונות עלו אפוא במהירות לדיון בעידן האינטרנט. גם הם נפתרו די מהר, כי תקשורת חוצת גבולות, משא ומתן או הזמנה לא היו דבר חדש; חדשים היו הכמויות העצומות של המגעים, האפשרויות להסתיר את זהותו ומתישהו מאוחר יותר התיישבות השטח על ידי תאגידים.

סמכות שיפוט
סמכות השיפוט היא היבט של ריבונות המדינה והיא מתייחסת לסמכות שיפוטית, חקיקתית ומנהלית. למרות שסמכות השיפוט היא היבט של ריבונות, היא אינה משתלבת איתה. לחוקים של אומה עשויה להיות השפעה חוץ-טריטוריאלית המרחיבה את תחום השיפוט מעבר לגבולות הריבוניים והטריטוריאליים של אותה אומה. המדיום של האינטרנט, כמו טלגרף חשמלי, טלפון או רדיו, אינו מכיר במפורש בריבונות ובמגבלות טריטוריאליות. אין חוק שיפוט בינלאומי אחיד עם יישום אוניברסאלי, ושאלות כאלה הן בדרך כלל עניין של אמנות וחוזים בינלאומיים, או ניגוד חוקים, במיוחד המשפט הבינלאומי הפרטי.

דוגמה לכך היא כאשר התוכן המאוחסן בשרת הממוקם בבריטניה, על ידי אזרח צרפת, ומתפרסם באתר אינטרנט, הוא חוקי במדינה אחת ולא חוקי במדינה אחרת.
בהיעדר קוד שיפוט אחיד, העוסקים המשפטיים והשופטים פתרו שאלות מסוג זה על פי הכללים הכלליים לניגוד חוק; ממשלות וגופים על-לאומיים עיצבו קווי מתאר למסגרות משפטיות חדשות.

חלופות רגולציה
הוטל ספק אם להתייחס לאינטרנט כאילו הוא מרחב פיזי ובכך כפוף לחוקי תחום שיפוט נתון, או שלאינטרנט צריכה להיות מסגרת משפטית משלו. אלה שמצדדים בדעה האחרונה חשים לעתים קרובות שהממשלה צריכה להשאיר את האינטרנט לוויסות עצמי. המשורר האמריקני ג’ון פרי בארלו, למשל, פנה לממשלות העולם והצהיר: “במקום שבו יש קונפליקטים אמיתיים, איפה שיש עוולות, נזהה אותם ונטפל בהם באמצעים שלנו. אנחנו יוצרים חוזה חברתי משלנו. המשילות הזו תקום בהתאם לתנאי העולם שלנו, לא שלך. העולם שלנו שונה”. ניתן לקרוא תצוגה נוספת מאתר ויקי בשם “An Introduction to Cybersecession”, הטוען לאימות אתית של אנונימיות מוחלטת באינטרנט. הוא משווה את האינטרנט עם המוח האנושי ומכריז: “לבני אדם יש מוח, שהם חופשיים לחלוטין לאכלס ללא אילוצים חוקיים. הציוויליזציה האנושית מפתחת מוח (קולקטיבי) משלה. כל מה שאנחנו רוצים זה להיות חופשיים לאכלס. זה ללא מגבלות משפטיות. מכיוון שאתה מוודא שלא נוכל לפגוע בך, אין לך זכות אתית לחדור לחיינו.
אז תפסיק לחדור!” הפרויקט מגדיר את “אתם” כ”כל הממשלות”, “אנחנו” אינו מוגדר.
כמה חוקרים טוענים ליותר פשרה בין שני המושגים, כמו הטיעון של לורנס לסיג לפיו “הבעיה של משפט היא לברר כיצד יש ליישם את הנורמות של שתי הקהילות בהתחשב בכך שהנושא שעליו הם חלים עשוי להיות בשני המקומות בבת אחת” (לסיג, קוד 190).

ניגודי חוק
עם האינטרנציונליזם של האינטרנט והצמיחה המהירה של המשתמשים, תחום השיפוט הפך לתחום קשה מבעבר, ובתחילת הדרך בתי המשפט במדינות שונות נקטו דעות שונות האם יש להם סמכות שיפוט לגבי פריטים שפורסמו באינטרנט, או הסכמים עסקיים שנכרתו לתוך דרך האינטרנט. זה יכול לכסות תחומים מדיני חוזים, תקני מסחר ומיסים, דרך כללים על גישה לא מורשית, פרטיות נתונים ודואר זבל ועד לתחומים של זכויות יסוד כמו חופש הביטוי והפרטיות, דרך צנזורה ממלכתית, ועד למשפט פלילי עם הוצאת דיבה או הסתה.

הרעיון הגבולי שחוקים אינם חלים ב”מרחב הסייבר” אינו נכון במובן המשפטי. למעשה, חוקים סותרים מתחומי שיפוט שונים עשויים לחול, בו זמנית, על אותו אירוע.
האינטרנט אינו נוטה להבהיר גבולות גיאוגרפיים ותחומי שיפוט, אך הן טכנולוגיית האינטרנט (חומרה), ספקי השירותים והמשתמשים בה נשארים בתחומי שיפוט פיזיים וכפופים לחוקים ללא תלות בנוכחותם באינטרנט.

ככזו, עסקה בודדת עשויה לכלול את החוקים של לפחות שלוש תחומי שיפוט:

חוקי המדינה/המדינה בה מתגורר המשתמש,
חוקי המדינה/אומה החלים היכן נמצא השרת המארח את העסקה, וכן
חוקי המדינה/אומה החלים על האדם או העסק שעימו מתבצעת העסקה.

כך שמשתמש באחת מארצות הברית המבצע עסקה עם משתמש אחר המתגורר בבריטניה, דרך שרת בקנדה, עשוי להיות כפוף תיאורטית לחוקים של כל שלוש המדינות ושל אמנות בינלאומיות בכל הנוגע לעסקה בכתובת יד.

מבחינה מעשית, משתמש באינטרנט כפוף לחוקי המדינה או הלאום שבתוכם הוא נכנס לאינטרנט. לפיכך, בארה”ב, בשנת 1997, ג’ייק בייקר התמודד עם אישומים פליליים בגין התנהלותו האלקטרונית, ומשתמשים רבים בתוכנת שיתוף קבצים עמית לעמית היו נתונים לתביעות אזרחיות בגין הפרת זכויות יוצרים. מערכת זו נתקלת בעימותים, עם זאת, כאשר התביעות הללו הן בינלאומיות באופיים. במילים פשוטות, התנהגות חוקית במדינה אחת עשויה להיות בלתי חוקית בעליל במדינה אחרת. למעשה, גם סטנדרטים שונים הנוגעים לנטל ההוכחה בתיק אזרחי עלולים לגרום לבעיות שיפוט. לדוגמה, ידוען אמריקאי, שטוען שהוא נעלב על ידי מגזין אמריקאי מקוון, עומד בפני משימה קשה לנצח בתביעה נגד אותו מגזין בגין הוצאת דיבה. אבל אם לידוען יש קשרים, כלכליים או אחרים, לאנגליה, הוא או היא יכולים לתבוע על הוצאת דיבה במערכת המשפט האנגלית, שם נטל ההוכחה לביסוס לשון הרע עשוי להפוך את התיק ליותר נוח לתובע.

ממשל אינטרנט הוא נושא חי בפורומים בינלאומיים כגון איגוד התקשורת הבינלאומי (ITU), ותפקידו של הגוף המתאם הנוכחי בארה”ב, תאגיד האינטרנט לשמות ומספרים (ICANN) נדון באו”ם- בחסות הפסגה העולמית על חברת המידע (WSIS) בדצמבר 2003.

רגולציית אבטחת סייבר

עולם תגובת אבטחת הסייבר עבר באומץ אל מעבר לתחום של פרצות מידע אישי לעבר התמקדות בחשיפה ושיבוש של אירועי סייבר ואירועי תשתית קריטיים.

במרץ 2023, הבית הלבן הוציא את אסטרטגיית אבטחת הסייבר הלאומית החדשה והחשובה שלו. האסטרטגיה מחליפה את מסמך האסטרטגיה הקודם שהוציא הממשל הקודם בשנת 2018. היא נועדה לשקף תפקיד פרו-אקטיבי במידה ניכרת לממשלה בקידום אבטחת הסייבר, והיא אופיינה – וספגה ביקורת – על ידי חלקם כ”רגולטורית מדי”.

אולי המשמעותית ביותר, האסטרטגיה קוראת ל”איזון מחדש” של האחריות להגן על המרחב הקיברנטי על ידי העברת האחריות למוצרי תוכנה ושירותים לא מאובטחים למפתחיהם ולחברות הטכנולוגיה הרלוונטיות ועל ידי הגבלת יכולתם של מפתחי תוכנה להתנער מאחריות על ידי חוזה (כלומר., בהתאם להסכמי רישיון משתמש קצה, או EULAs). האסטרטגיה קובעת כי השוק מטיל עלויות לא נאותות על – ולעתים קרובות מתגמל – לאותן ישויות שמכניסות מוצרים או שירותים פגיעים לאקוסיסטם הדיגיטלי. המסמך קובע כי בעוד ש”חברות המייצרות תוכנה חייבות לקבל את החופש לחדש… עליהן לשאת באחריות גם כאשר הן לא עומדות בחובת הזהירות שהן חייבות לצרכנים, לעסקים או לספקי תשתית קריטיים”. הבית הלבן מציין שהוא יעבוד עם הקונגרס והמגזר הפרטי כדי לפתח חקיקה הקובעת אחריות לתוכנה, ולמנוע מפתחים ויצרנים להתנער מאחריות. אמנם ניסיון השינוי הזה הוא בוודאי שנוי במחלוקת, והממשל מודה שייקח שנים (אם לא עשרות שנים) עד שייצא לפועל, בכל זאת מדובר בהימור אגרסיבי.

בנוסף ליוזמה הבולטת להטיל אחריות חדשה, לעצב את כוחות השוק ולהגביל את חופש החוזים ביחס לתוכנה ולמוצרים טכנולוגיים נלווים, האסטרטגיה כוללת גם מספר רב של עמודי אבטחת סייבר חשובים אחרים. באופן ספציפי, האסטרטגיה מכילה פרטים על האופן שבו היא תספק הגנה מוגברת לתשתיות קריטיות, תקדם שיבוש ופירוק נוסף של גורמי איומי סייבר גלובליים, תיצור שותפויות בינלאומיות כדי לרדוף אחרי יעדי סייבר משותפים, ותשקיע בעתיד גמיש יותר בתחום הסייבר.

המסמך החדש מתאר בהרחבה את גישת המינהל ליישום ותיאום מרכיבי האסטרטגיה, ודן כיצד האסטרטגיה מתבססת על חוקים קיימים, פקודות ביצוע ומסמכי מדיניות אחרים. למשרד הבית הלבן של מנהל הסייבר הלאומי (ONCD) ולמועצה לביטחון לאומי (NSC) מוקנות אחריות עיקרית, יחד עם משרד הניהול והתקציב, הסוכנות לאבטחת סייבר ותשתיות (CISA) וסוכנויות לניהול סיכונים במגזר (SRMAs) (כגון משרד האנרגיה, משרד ההגנה וכו’).

לגבי חשיפת תקריות, האסטרטגיה מדגישה חקיקה שנחקקה על ידי הקונגרס האמריקאי בשנת 2022, כלומר חוק דיווח תקריות סייבר עבור תשתיות קריטיות משנת 2022. במסגרת CIRCIA, שייושם בהתאם לתקנות סופיות של CISA, כיסה תקריות סייבר יש לדווח ל-CISA על תשלומי כופר, בדרך כלל תוך 72 שעות מאמונה סבירה שהתרחש תקרית מכוסה, או תוך 24 שעות מביצוע תשלום של תוכנת כופר.

דוחות אלו נועדו לאפשר ל-CISA לפרוס משאבים במהירות ולספק סיוע למגינים כדי להזהיר קורבנות פוטנציאליים אחרים. תיאום והרמוניזציה הם גם יעדים חשובים של דיווח על אירועי סייבר. CIRCIA קוראת למשרד לביטחון המולדת של ארה”ב להקים מועצת דיווח אירועי סייבר בין-ממשלתית “לתאום, ביטול סכסוך והרמוניה של דרישות דיווח תקריות פדרליות”. באותה צורה, CISA השיקה צוות משימה משותף של תוכנות כופר.

חשוב לציין, CIRCIA קובעת שיש קו ברור האוסר על דיווחי סייבר המסופקים ל-CISA למטרות תגובה לאירועים שישמשו סוכנויות רגולטוריות למטרות אכיפה. החוק קובע את הדברים הבאים.

“ממשלה פדרלית, מדינה, מקומית או שבטית לא תשתמש במידע על אירוע סייבר מכוסה או תשלום כופר שהושג אך ורק באמצעות דיווח ישירות ל-(CISA)… כדי להסדיר, לרבות באמצעות פעולת אכיפה, את הפעילויות של הישות או הישות המכוסה ביצע תשלום כופר, אלא אם הגורם הממשלתי מאפשר במפורש לגופים להגיש דוחות לסוכנות כדי לעמוד בחובות הדיווח הרגולטוריות של הישות”.

סוכנויות פדרליות ומדינתיות אחרות בארה”ב דורשות או שוקלים דרישות לדיווח על אירועי סייבר לא אישיים של הפרת נתונים לסוכנות. לדוגמה, סוכנויות הבנקאות המובילות דורשות כיום מהישויות המפוקחות שלהן לדווח על תקריות סייבר מסוימות לרגולטורים שלהן גם אם רק המערכות מושפעות ונתוני לקוחות לא, והמשרד לשירותים פיננסיים בניו יורק דורש את אותו הדבר עבור בנקים וחברות ביטוח תחת התחום שלו.

ה-SEC הציע כללים שאם ייקבעו סופית, עלולים לחייב חברות הנסחרות בבורסה להגיש מסמכים ל-SEC שיהפכו לפומביים באופן מיידי – תוך חשיפת אירועי סייבר משמעותיים, ללא קשר לשאלה אם סוכנויות אכיפת החוק, הביטחון הלאומי או אבטחת הסייבר דורשות המשך סודיות לגבי האירוע. ; חשיפה עשויה להידרש גם כאשר פגיעויות אבטחת הסייבר הרלוונטיות נותרות ללא תיקון וחשיפה מוקדמת עלולה להחמיר את הסיכונים עבור חברות באופן כללי. מיותר לציין שמגיבים רבים על הרגולציה המוצעת הציעו כי ה-SEC עשויה להיות מוטעה בכל הנוגע לדרישת חשיפה פומבית כזו מוקדמת. בהצעת רגולציה אחרת, פחות שנויה במחלוקת, ה-SEC תדרוש מיועצי השקעות בפיקוח SEC לדווח ל-SEC על אירועי סייבר שהם חווים באופן פרטי. לאחרונה, ב-15 במרץ 2023, ה-SEC הודיעה על שורה של חוקים נוספים בנושא אבטחת סייבר, לרבות ביחס לשמירה על מידע פיננסי אישי למשקיעים ודרישת הודעה למשקיעים על הפרות מידע המשפיעות על מידע כזה.

בדומה ל-CIRCIA, ההנחיה החדשה של האיחוד האירופי לאבטחת רשתות ומערכות מידע (הדירקטיבה NIS2) תקבע רמה מינימלית של אבטחת סייבר ברחבי האיחוד. ₪2 נכנסו לתוקף ב-17 בינואר 2023, ומטרתו להרמוניה ולחזק את הביטחון והחוסן ברחבי האיחוד האירופי. באופן משמעותי, ההוראה מטילה חובות ואחריות ישירות על ההנהלה הבכירה של חברות, לרבות קנסות מנהליים ומשמעת פוטנציאלית הקשורה לעבודה.

שני חוקים קשורים של האיחוד האירופי נכנסו לתוקף במקביל להנחיית NIS2. חוק החוסן התפעולי הדיגיטלי החדש של האיחוד האירופי מבצע הרמוניה של אבטחת סייבר וחוסן של מערכות IT המשמשות את תעשיית השירותים הפיננסיים, והדירקטיבה החדשה לחוסן גופים קריטיים של האיחוד האירופי עושה את אותו הדבר עבור תשתיות קריטיות (כלומר 11 מגזרים קריטיים כגון אנרגיה, תחבורה, תשתיות בשוק הפיננסי, ותשתית דיגיטלית).

₪2 חלים על גופים “חיוניים” ו”חשובים”, ודורשים רכיבי אבטחה כגון:

מדיניות פנימית בנושא ניתוחי סיכונים ואבטחת IT;
אמצעים ומדיניות בנושא טיפול באירועים;
אמצעי המשכיות עסקית, למשל, התאוששות מאסון;
אמצעי אבטחה בשרשרת האספקה;
אמצעים הקשורים לאבטחת רכישה, פיתוח ותחזוקה של רשתות ומערכות מידע;
מדיניות ונהלים להערכת האפקטיביות של אמצעי אבטחת סייבר;
היגיינת סייבר בסיסית והדרכה בנושא אבטחת סייבר לצוות;
אבטחת משאבי אנוש, בקרות גישה וניהול גישה; ו
השימוש בפתרונות אימות רב-גורמי או אימות מתמשך ובערוצי תקשורת מאובטחים.
גופים חיוניים וחשובים נדרשים להודיע ​​לרשויות הרלוונטיות, ו(לפי המתאים) למקבלי השירות שלהם, על כל אירוע סייבר בעל השפעה משמעותית – כלומר תקריות אשר:

גרמו או מסוגלים לגרום להפרעה תפעולית חמורה או הפסד כספי עבור הישות; או
השפיעו או מסוגלים לגרום נזק מהותי או לא מהותי לבני אדם אחרים (טבעיים או משפטיים).

חשוב לציין, דרישות דיווח על תקריות כאלה יופעלו ברגע שיש אירוע בעל השפעה משמעותית, וללא קשר אם מדובר במידע אישי או לא. יש לספק דוחות אזהרה מוקדמים תוך 24 שעות ממועד היוודע לאירוע, ולאחר מכן הודעה רשמית יותר תוך 72 שעות, ולבסוף דיווח סופי כעבור חודש. הרשות הרלוונטית יכולה גם לחייב או למסור בעצמה הודעה לציבור על האירוע.

בכל הקשור לשיבוש, משרד המשפטים האמריקאי והבולשת הפדרלית זכו להצלחה ניכרת נגד גורמי איומי כופר. בשנת 2021, הם שחזרו תשלומי כופר משמעותיים במיליוני דולרים מהתוקפים נגד Colonial Pipeline. ב-26 בינואר 2023, DOJ הודיע ​​כי ה-FBI חדר לרשת Hive, וסיכל למעלה מ-130 מיליון דולר בדרישות כופר. בפרסום של DOJ נאמר את הדברים הבאים.

“מאז סוף יולי 2022, ה-FBI חדר לרשתות המחשבים של Hive, לכד את מפתחות הפענוח שלה, והציע אותם לקורבנות ברחבי העולם, ומונע מהקורבנות לשלם 130 מיליון דולר כופר שנדרש. מאז שחדרו לרשת של Hive ביולי 2022, ה-FBI סיפק. למעלה מ-300 מפתחות פענוח לקורבנות Hive שהיו מותקפים. בנוסף, ה-FBI חילק למעלה מ-1,000 מפתחות פענוח נוספים לקורבנות ה-Hive הקודמים. לבסוף, המחלקה הודיעה היום כי בתיאום עם רשויות אכיפת החוק הגרמניות (המשטרה הפדרלית הפלילית הגרמנית ו-Reutlingen מטה המשטרה-CID Esslingen) ויחידת ההיי-טק הלאומית של הולנד לפשיעה, היא השתלטה על השרתים והאתרים שבהם Hive משתמשת כדי לתקשר עם חבריה, תוך שיבוש יכולתה של Hive לתקוף ולסחוט קורבנות”.

כמו כן, באפריל 2022, DOJ/FBI שיבשו רשת בוטנט עולמית הידועה בשם “Cyclops Blink” בשליטת ה-GRU, סוכנות הביון הצבאית של רוסיה. סגן התובע הכללי של ארה”ב הצהיר בפברואר 2023 כי, בעבודה עם בריטניה, ארה”ב “השביתה את השליטה של ​​רוסיה על מכשירים אלה לפני שניתן היה לפרוס אותם במתקפה – נגד אוקראינה, נגדנו או בעלות בריתנו. העבודה שלנו הגנה על קורבנות חפים מפשע בארה”ב, בריטניה וברחבי העולם”.

תיאום הסייבר העולמי בין בעלות ברית מערביות עולה אפוא. בנובמבר 2022, הבית הלבן ריכז 36 מדינות והאיחוד האירופי לפסגה הבינלאומית השנייה של יוזמת הכופר הבינלאומית (CRI). לאורך הפסגה, CRI ושותפי המגזר הפרטי דנו ופיתחו פעולות קונקרטיות ושיתופיות כדי להתמודד עם התפשטות והשפעת תוכנות הכופר ברחבי העולם.

במהלך השנה הבאה, הבית הלבן ציין שה-CRI יבצע את הפעולות הבאות.

להקים כוח משימה בינלאומי נגד תוכנות כופר (ICRTF), בראשות אוסטרליה, וליצור תא היתוך במרכז הגנת הסייבר האזורי (RCDC) בקובנה, בהנהגת ליטא, כדי לבדוק גרסה מוקטנת של ICRTF ולהפעיל איום הקשור לתוכנת כופר.
התחייבויות לשיתוף מידע.

יעדים לתאימות סייבר:
ערכת כלים של חוקר, הכוללת לקחים שנלמדו ואסטרטגיות לתגובה לאירועי כופר משמעותיים והתמודדות יזומה עם שחקנים פושעי סייבר גדולים;
משאבים לבניית יכולת לשבש ביעילות את האיום של תוכנות כופר; ומאוחדים “טקטיקות, טכניקות ונהלים” (TTPs) ומגמות עבור שחקנים מרכזיים שזוהו.

מעורבות פעילה ומתמשכת במגזר הפרטי המבוססת על שיתוף מידע מהימן ופעולה מתואמת לשיפור העבודה המשותפת לקראת שיבוש תפעולי.

פרסם ייעוץ משותף המתאר TTPs עבור שחקנים מרכזיים שזוהו.

תיאום יעדי עדיפות באמצעות מסגרת אחת, המתמקדת ביעדים קשים ומורכבים. יוזמות אלו יתורגמו לתוצאות שיבושים קונקרטיות עם קבוצות אכיפת החוק.

פתח כלי לבניית יכולת כדי לעזור למדינות להשתמש בשותפויות ציבוריות-פרטיות כדי להילחם בתוכנות כופר.

בצע תרגילים דו-שנתיים נגד תוכנות כופר כדי להמשיך ולפתח, לחזק ולשלב גישה קולקטיבית למלחמה בתוכנות כופר מחוסן להרתעה.

בסך הכל, בעוד שהנגע של התקפות עברייניות סייבר בחסות מדינות לאומיות ומתוחכמות לא שוכך, הממשלות הדמוקרטיות בעולם נוקטות בצעדים משמעותיים ויעילים יותר ויותר כדי להשיב מלחמה.

האיחוד האירופי
זכויות יוצרים / זכות מחברים
נכון לשנת 2020, חוק זכויות היוצרים של האיחוד האירופי מורכב מ-13 הנחיות ו-2 תקנות, המאגדות את הזכויות החיוניות של יוצרים, מבצעים, מפיקים וגופי שידור. המסגרת המשפטית מצמצמת פערים לאומיים, ומבטיחה את רמת ההגנה הדרושה לטיפוח יצירתיות והשקעה ביצירתיות. רבות מההנחיות משקפות התחייבויות על פי אמנת ברן ואמנת רומא, וכן את ההתחייבויות של האיחוד האירופי והמדינות החברות בו במסגרת הסכם ארגון הסחר העולמי ‘TRIPS’ ושני ארגון הקניין הרוחני העולמי משנת 1996 (WIPO) אמנות אינטרנט: אמנת זכויות היוצרים של WIPO ואמנת ההופעות והפונוגרמות של WIPO.
שני הסכמי WIPO נוספים שנחתמו ב-2012 ו-2016, הם אמנת בייג’ינג להגנה על מופעים אודיו-ויזואליים ואמנת VIP של מרקש להקלת הגישה ליצירות שפורסמו לאנשים שהם עיוורים, לקויי ראייה או מוגבלי הדפסה בדרך אחרת.
יתרה מכך, הסכמי סחר חופשי, שהאיחוד האירופי סיכם עם מספר רב של מדינות שלישיות, משקפים הוראות רבות של חוקי האיחוד האירופי.

Digital Services Act & Digital Markets Act (2023)
בשנת 2022 הפרלמנט האירופי אכן אימץ חוקים בולטים עבור פלטפורמות אינטרנט, הכללים החדשים ישפרו את הגנת צרכני האינטרנט והפיקוח על פלטפורמות מקוונות, חוק השירותים הדיגיטליים (DSA) וחוק השווקים הדיגיטליים (DMA).

ויכוחים סביב דיני סייבר
יש לשקול את החוק המסדיר היבטים של האינטרנט בהקשר של ההיקף הגיאוגרפי של התשתית הטכנית של האינטרנט וגבולות המדינה שנחצים בעיבוד נתונים ברחבי הגלובוס. המבנה הגלובלי של האינטרנט מעלה לא רק סוגיות שיפוטיות, כלומר הסמכות לחוקק ולאכוף חוקים המשפיעים על האינטרנט, אלא גרם לתאגידים ולחוקרים להעלות שאלות הנוגעות לאופי החוקים עצמם.

במאמרם “חוק וגבולות – עליית החוק במרחב הקיברנטי”, מ-2008, דיוויד ר. ג’ונסון ודיוויד ג’י פוסט טוענים כי רשויות החוק ואכיפת החוק המבוססות על טריטוריאליות מוצאות את הסביבה החדשה הזו מאיימת עמוקה ומעניקות קול מדעי לרעיון שהפך הכרחי כדי שהאינטרנט ישלוט בעצמו. במקום לציית לחוקים של מדינה מסוימת, “אזרחי האינטרנט” יצייתו לחוקים של גופים אלקטרוניים כמו ספקי שירותים. במקום להזדהות כאדם פיזי, אזרחי האינטרנט יהיו מוכרים לפי שמות המשתמש או כתובות האימייל שלהם (או, לאחרונה, לפי חשבונות הפייסבוק שלהם). עם הזמן, הצעות לפיהן ניתן להסדיר את האינטרנט כ”אומה” חוצה-לאומית משלו, מוחלפות על ידי מספר רב של רגולטורים וכוחות חיצוניים ופנימיים, ממשלתיים ופרטיים כאחד, ברמות רבות ושונות.
אופיו של דיני האינטרנט נותר שינוי פרדיגמה משפטית, מאוד בתהליך הפיתוח.

לורנס לסיג (1999)
אם נניח בצד את הדוגמאות הברורות ביותר של ניטור תוכן ממשלתי וצנזורה באינטרנט במדינות כמו סין, ערב הסעודית, איראן, ישנם ארבעה כוחות עיקריים או דרכי רגולציה של האינטרנט הנגזרים מתיאוריה סוציו-אקונומית המכונה תיאוריית הנקודות הפתטית על ידי לורנס לסיג ב. ספרו משנת 1999, קוד וחוקים אחרים של המרחב הקיברנטי :

חוק : מה שלסיג מכנה “קוד החוף המזרחי הסטנדרטי”, מתוך חוקים שנחקקו על ידי הממשלה בוושינגטון די.סי. זהו המובן מאליו מבין ארבעת אופני הרגולציה. כפי שמבהירים החוקים הרבים, הקודים, התקנות והפסיקה המתפתחת של ארצות הברית, פעולות רבות באינטרנט כבר כפופות לחוקים המקובלים, הן לגבי עסקאות שבוצעו באינטרנט והן לגבי תוכן שפורסמו. תחומים כמו הימורים, פורנוגרפיית ילדים והונאה מוסדרים בדרכים דומות מאוד באינטרנט כמו אופליין. בעוד שאחד התחומים השנויים במחלוקת והלא ברורים ביותר של חוקים מתפתחים הוא הקביעה לאיזה פורום יש סמכות שיפוט בנושא פעילות (כלכלית ואחרת) המתנהלת באינטרנט, במיוחד כאשר עסקאות חוצות גבולות משפיעות על תחומי השיפוט המקומיים, ברור בהחלט שחלקים ניכרים של פעילות באינטרנט כפופים לרגולציה מסורתית, וכי התנהגות שאינה חוקית במצב לא מקוון היא לכאורה בלתי חוקית באינטרנט, וכפופה לאכיפה מסורתית של חוקים ותקנות דומים.

ארכיטקטורה : מה שלסיג מכנה “קוד החוף המערבי”, מקוד התכנות של עמק הסיליקון. מנגנונים אלו נוגעים לפרמטרים של האופן שבו מידע ניתן ולא ניתן להעביר דרך האינטרנט. הכל מתוכנת סינון אינטרנט (המחפשת מילות מפתח או כתובות URL ספציפיות וחוסמת אותן עוד לפני שהן יכולות להופיע במחשב שמבקש אותן), לתוכניות הצפנה, ועד לארכיטקטורה הבסיסית מאוד של פרוטוקולי TCP/IP וממשקי משתמש נכללת בקטגוריה זו של בעיקר רגולציה פרטית. ניתן לטעון כי כל שאר מצבי הרגולציה באינטרנט מסתמכים על קוד החוף המערבי או מושפעים ממנו באופן משמעותי.

נורמות : כמו בכל שאר האופנים של אינטראקציה חברתית, התנהגות מוסדרת על ידי נורמות ומוסכמות חברתיות בדרכים משמעותיות. אמנם ייתכן שפעילויות או סוגים מסוימים של התנהלות מקוונת לא ייאסרו במפורש על ידי ארכיטקטורת הקוד של האינטרנט, או אסורים במפורש על ידי החוק הממשלתי המסורתי, עם זאת, פעילויות או התנהלות אלו מוסדרות על ידי הסטנדרטים של הקהילה שבה הפעילות מתרחשת, ב במקרה זה “משתמשי אינטרנט”. כשם שדפוסי התנהגות מסוימים יגרמו לאדם להיות מנודה מהחברה האמיתית שלנו בעולם, כך גם פעולות מסוימות יצונזרו או יוסדרו בעצמם על ידי הנורמות של כל קהילה שתבחר להתרועע איתה באינטרנט.

שווקים : בקשר הדוק לרגולציה על ידי נורמות חברתיות, השווקים מסדירים גם דפוסי התנהגות מסוימים באינטרנט. בעוד שלשווקים הכלכליים תהיה השפעה מוגבלת על חלקים לא מסחריים של האינטרנט, האינטרנט יוצר גם שוק וירטואלי למידע, ומידע כזה משפיע על כל דבר, החל מהערכת שווי השוואתית של שירותים ועד להערכת שווי מסורתית של מניות. בנוסף, העלייה בפופולריות של האינטרנט כאמצעי לביצוע כל צורות הפעילות המסחרית, וכפורום לפרסום, הביאה את חוקי ההיצע והביקוש למרחב הווירטואלי. כוחות השוק של היצע וביקוש משפיעים גם על הקישוריות לאינטרנט, עלות רוחב הפס וזמינות התוכנה כדי להקל על היצירה, הפרסום והשימוש בתכנים באינטרנט.

הכוחות או הרגולטורים הללו של האינטרנט אינם פועלים באופן עצמאי זה מזה.
לדוגמה, חוקים ממשלתיים עשויים להיות מושפעים מנורמות חברתיות גדולות יותר, ושווקים מושפעים מאופיו ואיכותו של הקוד המפעיל מערכת מסוימת.

ניטרליות רשת
תחום עניין מרכזי נוסף הוא ניטרליות הרשת, המשפיעה על הרגולציה של תשתית האינטרנט. למרות שאינה ברורה עבור רוב משתמשי האינטרנט, כל חבילת נתונים שנשלחת ומתקבלת על ידי כל משתמש באינטרנט עוברת דרך נתבים ותשתיות שידור בבעלות אוסף של גופים פרטיים וציבוריים, כולל חברות תקשורת, אוניברסיטאות וממשלות. נושא זה טופל בפסט עבור טלגרף חשמל, טלפון וטלוויזיה בכבלים. היבט קריטי הוא שלחוקים התקפים במחוז שיפוט אחד יש פוטנציאל להשפיע בתחומי שיפוט אחרים כאשר שרתים מארחים או חברות טלקומוניקציה מושפעים. הולנד הפכה ב-2013 למדינה הראשונה באירופה והשנייה בעולם, אחרי צ’ילה, שמעבירה חוק המתייחס אליה.
בארה”ב, ב-12 במרץ 2015, ה-FCC פרסם את הפרטים הספציפיים של כלל ניטרליות הרשת החדש שלו.
וב-13 באפריל 2015, ה-FCC פרסם את הכלל הסופי לגבי התקנות החדשות שלו.

דיבור חופשי באינטרנט
סעיף 19 של ההצהרה האוניברסלית בדבר זכויות האדם קורא להגנה על חופש הדעה והביטוי. הכוללת זכות כגון חופש להחזיק בדעות ללא הפרעה ולחפש, לקבל ולמסור מידע ורעיונות בכל אמצעי תקשורת וללא קשר לגבולות.

בהשוואה למדיה מבוססת דפוס, הנגישות והאנונימיות היחסית של האינטרנט הפילו את המחסומים המסורתיים בין אדם ליכולת שלו לפרסם. לכל אדם עם חיבור לאינטרנט יש פוטנציאל להגיע לקהל של מיליונים. המורכבויות הללו לבשו צורות רבות, שלוש דוגמאות בולטות הן תקרית ג’ייק בייקר, שבה עמדו גבולות הפרסומים המגונים באינטרנט, ההפצה השנויה במחלוקת של קוד ה- DeCSS ו- Gutnick v Dow Jones, שבה נשקלו חוקי לשון הרע ב- ההקשר של פרסום מקוון. הדוגמה האחרונה הייתה משמעותית במיוחד משום שהיא תמצה את המורכבות הגלומה בהחלת חוקי מדינה אחת (ספציפית לאומה בהגדרה) על האינטרנט (בינלאומי מטבעה). בשנת 2003, ג’ונתן זיטריין התייחס לנושא זה במאמרו, “היזהר במה שאתה מבקש: ליישב בין חוק סייבר גלובלי לחוק מקומי”.

בבריטניה בשנת 2006, המקרה של קית-סמית נגד וויליאמס אישר שחוקי דיבה קיימים חלים על דיונים באינטרנט.

במונחים של חבות נזיקית של ספקי שירותי אינטרנט ומארחי פורומים באינטרנט, סעיף 230(ג) של חוק התקשורת הגינות עשוי לספק חסינות בארצות הברית.

צנזורה באינטרנט
במדינות רבות, דיבור באמצעות ICT הוכח כאמצעי תקשורת נוסף שהוסדר על ידי הממשלה. “יוזמת הרשת הפתוחה” של אוניברסיטת הרווארד ברקמן קליין סנטר, אוניברסיטת טורונטו וקבוצת SecDev הקנדית שהצהרת המשימה שלה היא “לחקור ולאתגר שיטות סינון ומעקב של המדינה” כדי “…ליצור תמונה אמינה של פרקטיקות אלה”, פרסמה דוחות רבים המתעדים את סינון הדיבור באינטרנט במדינות שונות. בעוד שסין הוכיחה את עצמה עד כה (2011) כמחמירה ביותר בניסיונותיה לסנן חלקים לא רצויים מהאינטרנט מאזרחיה, מדינות רבות אחרות – כולל סינגפור, איראן, ערב הסעודית ותוניסיה – עסקו בדומה שיטות של צנזורה באינטרנט. באחת הדוגמאות החיות ביותר של בקרת מידע, הממשלה הסינית העבירה לזמן קצר בקשות אל מנוע החיפוש גוגל במנועי החיפוש שלה, שבשליטת המדינה.

דוגמאות אלו של סינון מביאות לידי ביטוי שאלות בסיסיות רבות הנוגעות לחופש הביטוי.
לדוגמה, האם לממשלה יש תפקיד לגיטימי בהגבלת הגישה למידע? ואם כן, אילו צורות רגולציה מקובלות? לדוגמה, יש הטוענים שחסימת ” בלוגספוט ” ואתרים אחרים בהודו לא הצליחה ליישב את האינטרסים הסותרים של דיבור וביטוי מחד גיסא ודאגות ממשלתיות לגיטימיות מאידך גיסא.

יצירת פרטיות בדיני האינטרנט בארה”ב
בסוף המאה ה-19, דאגות לגבי הפרטיות כבשו את הציבור הרחב, והובילו לפרסום ב-1890 של סמואל וורן ולואי ברנדייס: “הזכות לפרטיות”. ניתן לראות את חיוניותו של מאמר זה כיום, כאשר בוחנים את החלטת USSC של Kyllo v. United States, 533 US 27 (2001), שם היא מצוטטת על ידי הרוב, אלה שמסכימים, ואפילו אלה המתנגדים.

המוטיבציה של שני המחברים לכתוב מאמר כזה שנויה במחלוקת קשה בקרב חוקרים, אולם שתי התפתחויות במהלך תקופה זו נותנות תובנה מסוימת לסיבות העומדות מאחוריו. ראשית, העיתונות הסנסציונית והעלייה והשימוש במקביל ב”עיתונות צהובה ” לקידום מכירת עיתונים בתקופה שלאחר מלחמת האזרחים הביאו את הפרטיות לראש העין הציבורית. הסיבה הנוספת שהביאה את הפרטיות לראש הדאגה הציבורית הייתה ההתפתחות הטכנולוגית של ” צילום מיידי “.
מאמר זה היווה את הבמה לכל חקיקת הפרטיות שתפעל במהלך המאות ה-20 וה-21.

ציפייה סבירה למבחן פרטיות וטכנולוגיה מתפתחת
בשנת 1967, החלטת בית המשפט העליון של ארצות הברית ב- Katz v United States, 389 US 347 (1967) קבעה את מה שמכונה “מבחן ציפיות סבירה לפרטיות” כדי לקבוע את תחולתו של התיקון הרביעי במצב נתון.
המבחן לא צוין על ידי הרוב, אך במקום זאת הוא נוסח על ידי דעתו המקבילה של השופט הרלן.
על פי מבחן זה, 1) על אדם להפגין “ציפייה ממשית (סובייקטיבית) לפרטיות” ו-2) “הציפייה להיות כזו שהחברה מוכנה להכיר בה כ’סבירה'”.

חוק הפרטיות משנת 1974
בהשראת שערוריית ווטרגייט, הקונגרס של ארצות הברית חוקק את חוק הפרטיות משנת 1974 ארבעה חודשים בלבד לאחר התפטרותו של הנשיא דאז ריצ’רד ניקסון. בהעברת חוק זה, הקונגרס מצא כי “פרטיותו של אדם מושפעת ישירות מאיסוף, תחזוקה, שימוש והפצה של מידע אישי על ידי סוכנויות פדרליות” וכי “השימוש הגובר במחשבים ובטכנולוגיית מידע מתוחכמת, בעוד שהוא חיוני ל הפעולות היעילות של הממשלה, הגבירו מאוד את הפגיעה בפרטיות הפרט העלולה להתרחש מכל איסוף, תחזוקה, שימוש או הפצה של מידע אישי”.

Foreign Intelligence Surveillance Act משנת 1978
חוק מודיעין זר
מקודם ב-50 USC §§ 1801–1811, חוק זה קובע סטנדרטים ונהלים לשימוש במעקב אלקטרוני לאיסוף “מודיעין זר” בתוך ארצות הברית. §1804(א)(7)(ב). FISA עוקפת את חוק פרטיות התקשורת האלקטרונית במהלך חקירות כאשר מודיעין זר הוא “מטרה משמעותית” של החקירה האמורה. 50 USC § 1804 (a)(7)(B) ו-§1823(a)(7)(B). תוצאה מעניינת נוספת של FISA, היא הקמת בית המשפט למעקב אחר מודיעין זר (FISC).
כל צווי FISA נבדקים על ידי בית משפט מיוחד זה של שופטי מחוז פדרליים.
ה-FISC נפגש בחשאי, כאשר בדרך כלל כל ההליכים נערכים גם מעיני הציבור וגם ממטרות המעקב הרצוי.

חוק מודיעין זר

(1986) חוק הפרטיות של תקשורת אלקטרונית
ה-ECPA מייצג מאמץ של הקונגרס של ארצות הברית למודרניזציה של חוק האזנות סתר פדרלי.
ה-ECPA תיקן את הכותרת השלישית (ראה: Omnibus Crime Control and Safe Streets Act משנת 1968 וכלל שני מעשים חדשים בתגובה לפיתוח טכנולוגיית מחשבים ורשתות תקשורת.
לפיכך, ECPA במקום המקומי לשלושה חלקים: 1) חוק האזנות סתר, 2) חוק תקשורת מאוחסנת, ו-3) חוק רישום העט.

סוגי תקשורת
תקשורת חוטית: כל תקשורת המכילה את הקול האנושי שעובר בשלב מסוים על פני מדיום קווי כגון רדיו, לוויין או כבלים.
תקשורת מילולית:
קשר אלקטרוני
חוק האזנת סתר
חוק תקשורת מאוחסנת
חוק מרשם העט
(1994) חוק הגנת הפרטיות של הנהג
ה-DPPA הועבר בתגובה למדינות שמוכרות רישומי רכב לתעשייה פרטית.
רשומות אלו הכילו מידע אישי כגון שם, כתובת, מספר טלפון, SSN, מידע רפואי, גובה, משקל, מין, צבע עיניים, תמונה ותאריך לידה.
בשנת 1994, הקונגרס העביר את הגנת הפרטיות של הנהג (DPPA), 18 USC §§ 2721–2725, כדי להפסיק פעילות זו.

(1999) Gramm-Leach-Bliley Act
-מעשה זה מתיר שיתוף נרחב של מידע אישי על ידי מוסדות פיננסיים כגון בנקים, חברות ביטוח וחברות השקעות.
ה-GLBA מתיר שיתוף מידע אישי בין חברות שהצטרפו או קשורות, כמו גם חברות שאינן קשורות.
כדי להגן על הפרטיות, החוק מחייב מגוון סוכנויות כמו ה-SEC, FTC וכו’ לקבוע “סטנדרטים מתאימים למוסדות הפיננסיים הכפופים לסמכות השיפוט שלהם” כדי “לבטח את האבטחה והסודיות של רישומי לקוחות ומידע” ו”להגן מפני גישה בלתי מורשית” למידע זה.

15 USC § 6801
Gramm-Leach-Bliley Act

(2002) חוק ביטחון המולדת
-הועבר על ידי הקונגרס בשנת 2002, חוק ביטחון המולדת, 6 USC § 222, איחד 22 סוכנויות פדרליות למה שידוע היום כמחלקת ביטחון המולדת (DHS). ה-HSA, יצר גם משרד פרטיות תחת ה-DoHS.
על השר לביטחון פנים “למנות פקיד בכיר שייקח אחריות ראשית על מדיניות הפרטיות”.
תחומי האחריות של פקיד פרטיות זה כוללים בין היתר: הבטחת ציות לחוק הפרטיות משנת 1974, הערכת “הצעות חקיקה ורגולטוריות הכוללות איסוף, שימוש וחשיפת מידע אישי על ידי הממשל הפדרלי”, תוך הכנת דוח שנתי ל קונגרס.

חוק ביטחון המולדת

(2004) חוק רפורמת מודיעין ומניעת טרור
-חוק זה מחייב כי המודיעין “תסופק בצורה הניתנת לשיתוף” שראשי סוכנויות הביון והמחלקות הפדרליות “יקדמו תרבות של שיתוף מידע”.
ה-IRTPA גם ביקש לבסס הגנה על הפרטיות וחירויות האזרח על ידי הקמת מועצת פיקוח על פרטיות וחירויות אזרחיות בת חמישה חברים.
מועצת המנהלים הזו מציעה ייעוץ הן לנשיא ארצות הברית והן לכל הרשות המבצעת של הממשל הפדרלי בנוגע לפעולותיה כדי להבטיח שמדיניות שיתוף המידע של הסניף מגנה כראוי על הפרטיות ועל חירויות האזרח.

חוק הרפורמה במודיעין ומניעת טרור

חוקים אחרים – דוגמאות
בריטניה
חוק Computer Misuse Act 1990 שנחקק על ידי בריטניה ב-29 ביוני 1990, ונכנס לתוקף ב-29 באוגוסט 1990, הוא דוגמה לאחד מהחקיקות המשפטיות המוקדמות ביותר מסוג זה. חוק זה נחקק במטרה מפורשת של “הגשה לאבטחת חומר מחשב מפני גישה או שינוי בלתי מורשה”. הוראות עיקריות מסוימות של חוק השימוש לרעה במחשב 1990 מתייחסות ל:

“גישה בלתי מורשית לחומרי מחשב”,
“גישה בלתי מורשית מתוך כוונה לבצע או להקל על ביצוע עבירות נוספות”,
“שינוי לא מורשה של חומר מחשב.”
החוק גם תוקן מאוחר יותר על ידי חוק המשטרה והמשפט 2006 כדי לכלול את ההוראות הנוספות הבאות (בין היתר)

“מעשים בלתי מורשים מתוך כוונה לפגוע, או בפזיזות באשר לפגיעה, הפעלת המחשב וכו’.”
“ייצור, אספקה ​​או השגת חפצים לשימוש בעבירות שימוש לרעה במחשב”,

הודו
חוק טכנולוגיית מידע 2000
דוגמה לחוק טכנולוגיית מידע הוא חוק טכנולוגיית המידע של הודו, 2000, אשר תוקן באופן מהותי בשנת 2008. חוק ה-IT, 2000 נכנס לתוקף ב-17 באוקטובר 2000. חוק זה חל על הודו כולה, והוראותיו חלות גם על כל עבירה או הפרה, שבוצעה אפילו מחוץ לתחום השיפוט הטריטוריאלי של הרפובליקה של הודו, על ידי כל אדם ללא קשר ללאום שלו. על מנת למשוך הוראות של חוק זה, עבירה או עבירה כזו צריכה להיות כרוכה במחשב, מערכת מחשבים או רשת מחשבים הממוקמים בהודו. חוק ה-IT 2000 מספק תחולה חוץ-טריטוריאלית להוראותיו מכוח סעיף 1(2) שנקרא עם סעיף 75. לחוק זה 90 סעיפים.

The Information Technology Act 2000 של הודו ניסה להטמיע עקרונות משפטיים הזמינים במספר חוקים כאלה (הנוגעים לטכנולוגיית מידע) שנחקקו קודם לכן בכמה מדינות אחרות, כמו גם הנחיות שונות הנוגעות לדיני טכנולוגיית מידע. החוק נותן תוקף משפטי לחוזים אלקטרוניים, הכרה בחתימות אלקטרוניות. זוהי חקיקה מודרנית שהופכת מעשים כמו פריצה, גניבת מידע, הפצת וירוסים, גניבת זהות, השמצה (שליחת הודעות פוגעניות) פורנוגרפיה, פורנוגרפיית ילדים, טרור סייבר, לעבירה פלילית. לחוק מתווספים מספר כללים הכוללים כללים עבור, בתי קפה סייבר, אספקת שירות אלקטרוני, אבטחת מידע, חסימת אתרים. יש לו גם כללים לשמירה על בדיקת נאותות על ידי מתווכים באינטרנט (ספקי שירותי אינטרנט, ספקי שירותי רשת, בתי קפה סייבר וכו’).
כל אדם שנפגע מגניבת מידע, פריצה, הפצת וירוסים יכול להגיש בקשה לפיצוי מהשופט שמונה לפי סעיף 46 וכן להגיש תלונה פלילית.

מקרים בולטים
סעיף 66
בפברואר 2001, באחד המקרים הראשונים, עצרה משטרת דלהי שני גברים המנהלים חברת אחסון אתרים. החברה סגרה אתר אינטרנט עקב אי תשלום חובות. בעל האתר טען שכבר שילם והתלונן במשטרה. משטרת דלהי האשימה את הגברים על פריצה לפי סעיף 66 של חוק ה-IT והפרת אמונים לפי סעיף 408 של חוק העונשין ההודי. שני הגברים נאלצו לבלות 6 ימים בכלא טיהר בהמתנה לערבות.
Bhavin Turakhia, מנכ”ל Directi.
com, חברת אחסון אתרים אמר כי פרשנות זו של החוק תהיה בעייתית עבור חברות אחסון אתרים.

סעיף 66א הוסר
בספטמבר 2010, קריקטוריסט עצמאי אסאם טריוודי נעצר לפי סעיף 66A של חוק ה-IT, סעיף 2 של חוק מניעת עלבונות לכבוד הלאומי, 1971 ובשל המרדה לפי סעיף 124 של חוק העונשין ההודי. הקריקטורות שלו המתארות שחיתות נרחבת בהודו נחשבו פוגעניות.

ב-12 באפריל 2012, פרופסור לכימיה מאוניברסיטת ג’דאופור, אמביקש מהפאטרה, נעצר על שיתוף קריקטורה של ראש ממשלת מערב בנגל, מאמטה בנרג’י, ולאחר מכן שר הרכבות מוקול רוי. המייל נשלח מכתובת האימייל של חברת דיור. גם סוברטה סנגופטה, מזכירת חברת הדיור, נעצרה. הם הואשמו לפי סעיפים 66A ו-B של חוק ה-IT, בגין לשון הרע לפי סעיפים 500, בגין מחווה מגונה לאישה לפי סעיף 509, וסיוע לפשע לפי סעיף 114 של חוק העונשין ההודי.

ב-30 באוקטובר 2012, איש עסקים של Puducherry Ravi Srinivasan נעצר לפי סעיף 66A. הוא שלח ציוץ בו האשים את קרטי צ’ידמבראם, בנו של שר האוצר דאז פ’ צ’ידמבראם, בשחיתות. קרטי צ’ידמבראם התלוננה במשטרה.

ב-19 בנובמבר 2012 נעצרה נערה בת 21 מפלגאר על פרסום הודעה בפייסבוק המבקרת את ההשבתה במומבאי לרגל הלוויה של באל ת’קריי. נערה נוספת כבת 20 נעצרה על “לייק” לפוסט. הם הואשמו בתחילה לפי סעיף 295A של חוק העונשין ההודי (פגיעה ברגשות דתיים) וסעיף 66A של חוק ה-IT. מאוחר יותר הוחלף סעיף 295א בסעיף 505(2) (קידום איבה בין כיתות). קבוצה של עובדי שיב סנה השחיתה בית חולים שניהל דודה של אחת הבנות. ב-31 בינואר 2013, בית משפט מקומי ביטל את כל האישומים נגד הבנות.

ב-18 במרץ 2015 נעצר נער מתבגר מבארילי, אוטר פרדש, על כך שפרסם פוסט בפייסבוק שהעליב את הפוליטיקאי עזאם חאן. הפוסט הכיל לכאורה דברי שטנה נגד קהילה ויוחס כוזב לעזאם חאן על ידי הילד. הוא הואשם לפי סעיף 66A של חוק ה-IT, וסעיפים 153A (קידום איבה בין דתות שונות), 504 (עלבון מכוון בכוונה לעורר הפרת שלום) ו-505 (עוול ציבורי) של חוק העונשין ההודי. לאחר ביטול סעיף 66A ב-24 במרץ, ממשלת המדינה אמרה שהם ימשיכו בתביעה במסגרת האישומים הנותרים.

איסוף ראיות דיגיטליות וזיהוי פלילי סייבר נותרו בשלב מאוד מתהווה בהודו עם מעט מומחים ותשתית פחות מספקת. במקרים האחרונים, מערכת המשפט ההודית הכירה בכך שקל מאוד להתעסק בראיות דיגיטליות.

אחר
מדינות רבות באסיה ובמזרח התיכון משתמשות בכל מספר של שילובים של רגולציה מבוססת קוד (אחת מארבע שיטות הרגולציה נטו של Lessig) כדי לחסום חומר שממשלותיהם ראו שלא ראוי לצפייה עבור אזרחיהן. סין, ערב הסעודית ואיראן הן שלוש דוגמאות למדינות שהשיגו דרגות גבוהות של הצלחה בוויסות הגישה של אזרחיהן לאינטרנט.

חוקי חתימה אלקטרונית
חתימה אלקטרונית
אוסטרליה – חוק עסקאות אלקטרוניות 1999 (Cth) (שימו לב גם שיש חקיקת מראה של מדינה וטריטוריה)
קוסטה ריקה – חוק חתימה דיגיטלית 8454 (2005)
האיחוד האירופי – הוראת חתימות אלקטרוניות (1999/93/EC)
מקסיקו – חוק מסחר אלקטרוני
ארה”ב – חתימות אלקטרוניות בחוק המסחר העולמי והלאומי (ESIGN)
ארה”ב – חוק ביטול ניירת ממשלתי (GPEA)
ארה”ב – קוד מסחרי אחיד (UCC)
ארה”ב – Uniform Electronic Transactions Act – אומץ על ידי 46 מדינות
בריטניה – s.7 Electronic Communications Act 2000
חוק טכנולוגיית מידע
חוק האבטחה האלקטרונית של פלורידה
חוק אבטחת המסחר האלקטרוני של אילינוי
חוק העונשין של טקסס – חוק פשעי מחשב
חוק פלילי מיין – פשעי מחשב
חוק עסקאות אלקטרוניות בסינגפור
חוק פשעי מחשב של מלזיה
חוק החתימה הדיגיטלית של מלזיה
חוק מודל UNCITRAL על מסחר אלקטרוני
חוק טכנולוגיית מידע 2000 של הודו
חוק פשעי מחשב בתאילנד BE2550
הנחיות טכנולוגיית מידע
הנחיות חתימה דיגיטלית של ABA
משרד ניהול ותקציב ארצות הברית

רשויות אכיפה
חוקי טכנולוגיית המידע של מדינות שונות, ו/או החוקים הפליליים שלהן, קובעים בדרך כלל סוכנויות אכיפה, המופקדות על המשימה לאכוף את ההוראות והדרישות החוקיות.

סוכנויות פדרליות של ארצות הברית
סוכנויות פדרליות רבות בארצות הברית מפקחות על השימוש בטכנולוגיית מידע.
התקנות שלהם מתפרסמות בקוד התקנות הפדרליות של ארצות הברית.

ליותר מ-25 סוכנויות פדרליות בארה”ב יש תקנות הנוגעות לשימוש בחתימות דיגיטליות ואלקטרוניות.

הודו
דוגמה חיה לסוכנות אכיפה כזו היא תחנת המשטרה לפשעי סייבר, בנגלור, הסוכנות הבלעדית הראשונה של הודו לאכיפת פשעי סייבר.

דוגמאות אחרות לרשויות אכיפה כאלה כוללות:
תא חקירות פשע Cydf של משטרת מומבאי בהודו.

תחנת משטרת פשעי סייבר של ממשלת מדינת אנדרה פראדש, הודו. לתחנת המשטרה הזו יש סמכות שיפוט על כל מדינת אנדרה פראדש, והיא פועלת מהעיר היידראבאד.

בדרום הודו, למחלקת הפשע של מחלקת החקירות הפליליות, בטמיל נאדו, הודו, יש תא לפשעי סייבר בצ’נאי.

במזרח הודו, תאי פשע סייבר הוקמו על ידי משטרת קולקטה וכן מחלקת החקירות הפליליות, מערב בנגל.

עבירות מחשב וסייבר

פשע סייבר הוא פשע הכולל מחשב או רשת מחשבים. ייתכן שהמחשב שימש בביצוע הפשע, או שהוא היעד. פשעי סייבר עלולים לפגוע בביטחון או בכספו של מישהו.

מבחינה בינלאומית, גם גורמים ממלכתיים וגם לא ממלכתיים עוסקים בפשעי סייבר, לרבות ריגול, גניבה פיננסית ופשעים חוצי גבולות אחרים. פשעי סייבר שחוצים גבולות בינלאומיים וכוללים פעולות של לפחות מדינת לאום אחת מכונה לפעמים לוחמת סייבר. וורן באפט מתאר את פשע הסייבר כ”בעיה מספר אחת עם האנושות” ואמר כי הוא “מהווה סיכונים אמיתיים לאנושות”.

דו”ח משנת 2014 בחסות מקאפי העריך שפשיעת סייבר הביאה לנזק שנתי של 445 מיליארד דולר לכלכלה העולמית. כ-1.5 מיליארד דולר אבדו ב-2012 בהונאת כרטיסי אשראי וכרטיסי חיוב מקוונים בארה”ב. בשנת 2018, מחקר של המרכז למחקרים אסטרטגיים ובינלאומיים (CSIS), בשיתוף עם McAfee, הגיע למסקנה שכמעט 1 אחוז מהתוצר המקומי הגולמי העולמי (GDP), קרוב ל-600 מיליארד דולר, אובד לפשעי סייבר מדי שנה. הפורום הכלכלי העולמידוח הסיכונים הגלובלי לשנת 2020 אישר כי קבוצות פשעי סייבר מאורגנות מתאחדות לביצוע פעילויות פליליות באינטרנט, תוך הערכת הסבירות לאיתור והעמדה לדין שלהן בפחות מאחוז אחד בארה”ב. ישנן גם חששות רבים של פרטיות סביב פשעי סייבר כאשר מידע סודי מיירט או נחשף, באופן חוקי או אחר.

סיווגים
פשעי מחשב מקיפים מגוון רחב של פעילויות, כולל הונאת מחשבים, פשעים פיננסיים, הונאות, סחר במין סייבר והונאת מודעות.

הונאה במחשב
הונאת מחשב היא פעולה של שימוש במחשב כדי לקחת או לשנות נתונים אלקטרוניים, או כדי להשיג שימוש בלתי חוקי במחשב או במערכת. אם הונאת מחשב כרוכה בשימוש באינטרנט, היא יכולה להיחשב הונאה באינטרנט. ההגדרה המשפטית של הונאת מחשב משתנה בהתאם לתחום השיפוט, אך בדרך כלל כרוכה בגישה למחשב ללא רשות או הרשאה.

צורות של הונאת מחשבים כוללות פריצה למחשבים כדי לשנות מידע, הפצת קוד זדוני כגון תולעי מחשב או וירוסים, התקנת תוכנות זדוניות או תוכנות ריגול לגניבת נתונים, פישינג והונאות בתשלום מראש.

צורות אחרות של הונאה עשויות להתבצע באמצעות מערכות מחשב, לרבות הונאה בנקאית, כרטיסים, גניבת זהות, סחיטה וגניבה של מידע מסווג. פשעים מסוג זה גורמים לרוב לאובדן מידע אישי או פיננסי.

טרור סייבר
טרור סייבר הם פעולות טרור המבוצעות באמצעות שימוש במרחב הקיברנטי או במשאבי מחשב. פעולות של הפרעה של רשתות מחשבים ומחשבים אישיים באמצעות וירוסים, תולעים, פישינג, תוכנות זדוניות, חומרה או סקריפטים של תכנות יכולים כולם להיות צורות של טרור סייבר.

פקידי ממשל ומומחי אבטחת טכנולוגיות מידע (IT) תיעדו עלייה משמעותית בבעיות רשת והונאות שרתים מאז תחילת 2001. בתוך ארצות הברית, יש דאגה גוברת מצד סוכנויות כמו הבולשת הפדרלית (FBI והמרכז המרכזי סוכנות הביון (CIA).
תקריות כאלה הן חלק ממאמץ מאורגן של שירותי מודיעין זרים של טרור סייבר או קבוצות אחרות למיפוי פגמי אבטחה פוטנציאליים במערכות קריטיות.

סחיטת סייבר
סחיטת סייבר מתרחשת כאשר אתר אינטרנט, שרת דואר אלקטרוני או מערכת מחשב נתונים או מאוימים בהתקפות של האקרים זדוניים, כגון התקפות מניעת שירות. סחטני סייבר דורשים כסף בתמורה להבטחה להפסיק את ההתקפות ולהציע “הגנה”. לפי ה-FBI, סחטני סייבר תוקפים יותר ויותר אתרים ורשתות תאגידים, משביתים את יכולתם לפעול ודורשים תשלומים כדי להחזיר את השירות שלהם. יותר מ-20 מקרים מדווחים מדי חודש ל-FBI, ורבים אינם מדווחים על מנת לשמור על שמו של הקורבן מחוץ לרשות הציבור. העבריינים משתמשים בהתקפת מניעת שירות מבוזרת.
עם זאת, קיימות טכניקות אחרות של סחיטת סייבר, כגון דוקסינג, סחיטה וציד באגים.
דוגמה לסחיטת סייבר הייתה ה-Sony Hack של 2014.

תוכנת כופר
תוכנת כופר היא סוג של תוכנות זדוניות המשמשות בסחיטת סייבר כדי להגביל את הגישה לקבצים, ולפעמים מאיימת על מחיקת נתונים לצמיתות אלא אם ישולם כופר. האיום של תוכנות כופר הוא בעיה עולמית, עם יותר מ-300 מיליון התקפות ברחבי העולם בשנת 2021. על פי דוח האיום על תוכנות כופר לשנת 2022 של יחידה 42, דרישת הכופר הממוצעת במקרים בהם טיפלה נורטון טיפסה ב-144% ל-2.2 מיליון דולר.
דו”ח זה כלל עלייה של 85 אחוז במספר הקורבנות שהמידע האישי שלהם הוצג במזבלות מידע ברשת האפלות.
הפסד של כמעט 400 מיליון דולר ב-2021 ו-2022 הוא רק אחד מהנתונים הסטטיסטיים שמראה את ההשפעה של התקפות כופר על אנשים רגילים.

סחר במין סייבר
סחר במין סייבר הוא הובלה של קורבנות ולאחר מכן סטרימינג בשידור חי של מעשים מיניים או אונס בכפייה במצלמת אינטרנט. קורבנות נחטפים, מאוימים או מרומים ומועברים ל”מאורות מין סייבר”. המאורות יכולות להיות בכל מקום שבו לסוחרי מיני סייבר יש מחשב, טאבלט או טלפון עם חיבור לאינטרנט. העבריינים משתמשים ברשתות מדיה חברתית, ועידות וידאו, דפי היכרויות, חדרי צ’אט מקוונים, אפליקציות, אתרי אינטרנט אפלים, ופלטפורמות אחרות. הם משתמשיםמערכות תשלום מקוונות ומטבעות קריפטוגרפיים כדי להסתיר את זהותם. מיליוני דיווחים על התרחשותה נשלחים לרשויות מדי שנה. יש צורך בחקיקה ונהלים משטרתיים חדשים כדי להילחם בסוג זה של פשעי סייבר.

ישנם כ-6.3 מיליון קורבנות של סחר במין סייבר, לפי דו”ח אחרון של ארגון העבודה הבינלאומי ו-IOM. מספר זה כולל כ-1.7 מיליון קורבנות ילדים.
דוגמה לסחר במין סייבר הוא מקרה חדר Nth 2018–2020 בדרום קוריאה.

לוחמת סייבר
משרד ההגנה האמריקני מציין כי המרחב הקיברנטי התגלה כדאגה ברמה הלאומית באמצעות מספר אירועים שעשויים להיות חשיבות גיאו-אסטרטגית לאחרונה, כולל התקפת התשתית של אסטוניה ב-2007, לכאורה על ידי האקרים רוסים.
באוגוסט 2008, רוסיה שוב ערכה לכאורה התקפות סייבר, הפעם במערכה קינטית ולא קינטית מתואמת ומסונכרנת נגד מדינת גאורגיה.
מחשש שהתקפות כאלה עלולות להפוך לנורמליזציה בלוחמה עתידית בין מדינות לאום, המפקדים הצבאיים מתכוונים להתאים את תפיסת ההשפעה של מבצעי מרחב הסייבר בעתיד.

מחשב ככלי
מאמרים עיקריים: הונאה באינטרנט, ספאם, פישינג וכרטיסייה (הונאה)
כאשר האדם הוא המטרה העיקרית של פשעי סייבר, המחשב יכול להיחשב ככלי ולא כמטרה. פשעים אלה כוללים בדרך כלל פחות מומחיות טכנית. חולשות אנושיות מנוצלות בדרך כלל. הנזק שנגרם הוא ברובו פסיכולוגי ובלתי מוחשי, מה שמקשה על התביעה המשפטית נגד הגרסאות. אלו הם הפשעים שקיימים במשך מאות שנים בעולם הלא מקוון.
הונאות, גניבות וכדומה היו קיימים לפני התפתחות המחשבים והאינטרנט.
אותו פושע פשוט קיבל כלי אשר מגדיל את מאגר הקורבנות הפוטנציאלי שלו ומקשה על המעקב ותפיסתם.

פשעים המשתמשים ברשתות מחשבים או מכשירים כדי לקדם מטרות אחרות כוללים:

הונאה וגניבת זהות (אם כי זה משתמש יותר ויותר בתוכנה זדונית, פריצה או דיוג, מה שהופך אותו לדוגמא לפשע “מחשב כמטרה” וגם “מחשב ככלי”)
לוחמת מידע
הונאות דיוג
ספאם
הפצת תוכן מגונה או פוגעני בלתי חוקי, כולל הטרדה ואיומים
שליחה לא רצויה של דואר אלקטרוני בכמות גדולה למטרות מסחריות (דואר זבל) אינה חוקית בחלק מתחומי שיפוט.

דיוג מועבר בעיקר באמצעות דואר אלקטרוני. הודעות דוא”ל דיוג עשויות להכיל קישורים לאתרים אחרים המושפעים מתוכנות זדוניות.
או שהם עשויים להכיל קישורים לבנקאות מקוונת מזויפת או לאתרים אחרים המשמשים לגניבת פרטי חשבון פרטי.

תוכן מגונה או פוגעני
התוכן של אתרי אינטרנט ותקשורת אלקטרונית אחרת עשוי להיות חסר טעם, מגונה או פוגעני ממגוון סיבות. במקרים מסוימים, תקשורת זו עשויה להיות בלתי חוקית.

המידה שבה התקשורת הללו אינה חוקית משתנה מאוד בין מדינות, ואפילו בתוך מדינות. זהו תחום רגיש שבו בתי המשפט יכולים להיות מעורבים בבוררות בין קבוצות בעלות אמונות חזקות.

תחום אחד של פורנוגרפיה באינטרנט שהיה היעד למאמצים החזקים ביותר לצמצום הוא פורנוגרפיית ילדים, שהיא בלתי חוקית ברוב תחומי השיפוט בעולם.

הונאה בפרסומות
הונאות פרסומות פופולריות במיוחד בקרב פושעי סייבר, מכיוון שהונאות כאלה הן משתלמות ופחות סביר שיעמדו לדין. ז’אן-לופ ריצ’ט, פרופסור בבית הספר לעסקים בסורבון, סיווג את המגוון הגדול של הונאות פרסומות שבוצעו על ידי פושעי רשת לשלוש קטגוריות: הונאת זהות, הונאת ייחוס ושירותי הונאת פרסומות.

הונאת זהות נועדה להתחזות למשתמשים אמיתיים ולנפח את מספרי הקהלים. מספר טכניקות הונאת מודעות קשורות לקטגוריה זו וכוללות תעבורה מבוטים (המגיעה מחברת אחסון או ממרכז נתונים, או ממכשירים שנפגעו); מלית עוגיות ; זיוף מאפייני משתמש, כגון מיקום וסוג דפדפן; תנועה חברתית מזויפת (הטעיית משתמשים ברשתות חברתיות לבקר באתר המפורסם); ויצירת חשבונות מזויפים במדיה חברתית כדי לגרום לבוט להיראות לגיטימי.

הונאת ייחוס מתחזה לפעילויות של משתמשים אמיתיים, כגון קליקים ושיחות. טכניקות מרובות של הונאה בפרסומות שייכות לקטגוריה זו: מכשירים שנחטפו ושימוש במשתמשים נגועים (באמצעות תוכנות זדוניות) כחלק מרשת בוט כדי להשתתף במסעות פרסום של הונאה; חוות קליקים (חברות שבהן משלמים לעובדים בשכר נמוך כדי להקליק או להשתתף בשיחות ובהצעות של שותפים); גלישה מתמרצת; ניצול לרעה של מיקום וידיאו (מועבר במשבצות באנר לתצוגה); מודעות נסתרות (שלעולם לא יראו משתמשים אמיתיים); זיוף דומיין (מודעות המוצגות באתר אינטרנט אחר מלבד האתר המפורסם בזמן אמת למתן הצעות מחיר); ו-clickjacking, שבו המשתמש נאלץ ללחוץ על מודעה.

שירותי הונאה במודעות קשורים לכל התשתית המקוונת ושירותי האירוח שעשויים להיות נחוצים כדי לבצע הונאת זהות או ייחוס. שירותים יכולים לכלול יצירת אתרי ספאם (רשתות מזויפות של אתרים שנוצרו כדי לספק קישורים נכנסים מלאכותיים); שירותי בניית קישורים; שירותי אירוח; יצירת דפים מזויפים והונאה המתחזות למותג מפורסם ומשמשים כחלק ממסע פרסום של הונאה.

הטרדה באינטרנט
בעוד שתוכן עשוי להיות פוגעני בצורה לא ספציפית, הטרדה מכוונת גסויות והערות גנאי כלפי אנשים ספציפיים המתמקדים, למשל, במגדר, גזע, דת, לאום או נטייה מינית.

ישנם מקרים שבהם ביצוע פשע באמצעות מחשב יכול להוביל לעונש מוגבר. לדוגמה, במקרה של ארצות הברית נ’ ניל סקוט קרמר, הנאשם קיבל עונש מוגבר בהתאם למדריך לענישה בארה”ב §2G1.3(b)(3) בגין השימוש שלו בטלפון סלולרי”לשכנע, לעורר, לפתות, לכפות או להקל על נסיעתו של הקטין לעסוק בהתנהגות מינית אסורה”. קרמר ערער על גזר הדין בטענה שאין מספיק ראיות להרשיעו על פי חוק זה, משום שהאשמתו כללה שכנוע באמצעות מכשיר מחשב והטלפון הסלולרי שלו מבחינה טכנית אינו מחשב.
למרות שקרמר ניסה לטעון את הנקודה הזו, המדריך למתן גזר דין בארה”ב קובע שהמונח “מחשב” פירושו “מכשיר אלקטרוני, מגנטי, אופטי, אלקטרוכימי או מכשיר עיבוד נתונים מהיר אחר המבצע פונקציות לוגיות, אריתמטיות או אחסון, וכולל כל מתקן אחסון נתונים או מתקן תקשורת הקשורים ישירות או פועלים בשילוב עם התקן כזה.

בארצות הברית, למעלה מ-41 מדינות העבירו חוקים ותקנות הרואים בהטרדה קיצונית באינטרנט מעשה פלילי. מעשים אלו יכולים להיענש בקנה מידה פדרלי, כמו US Code 18 Section 2261A, הקובע ששימוש במחשבים כדי לאיים או להטריד יכול להוביל לעונש של עד 20 שנים, בהתאם לפעולה שננקטה.

מספר מדינות מחוץ לארצות הברית יצרו גם חוקים למאבק בהטרדה מקוונת. בסין, מדינה שתומכת בלמעלה מ-20 אחוז ממשתמשי האינטרנט בעולם, המשרד לענייני חקיקה של מועצת המדינה העביר חוק נוקשה נגד בריונות של צעירים באמצעות הצעת חוק בתגובה למנוע החיפוש של בשר האדם. הממלכה המאוחדת העבירה את חוק התקשורת הזדונית, בין היתר מ-1997 עד 2013, שקבע כי שליחת הודעות או מכתבים באופן אלקטרוני שהממשלה חשבה כ”מגונה או פוגעני” ו/או שפה שנועדה לגרום ל”מצוקה” וחרדה” עלולים להוביל לעונש מאסר של שישה חודשים וקנס פוטנציאלי גבוה. אוסטרליה, על אף שאינה מתייחסת ישירות לנושא ההטרדה, קיבצה את רוב ההטרדות המקוונות במסגרת חוק הקוד הפלילי משנת 1995. שימוש בטלקומוניקציה כדי לשלוח איומים או להטריד ולגרום לעבירה הייתה הפרה ישירה של חוק זה.

למרות שחופש הביטוי מוגן בחוק ברוב החברות הדמוקרטיות (בארה”ב זה נעשה על ידי התיקון הראשון, הוא אינו כולל את כל סוגי הדיבור. למעשה, דיבור או טקסט “איום אמיתי” מדוברים או כתובים מופללים בשל “כוונה לפגוע או להפחיד”. זה חל גם על איומים מקוונים או הקשורים לרשת בטקסט כתוב או בדיבור.

בריונות ברשת גדלה באופן דרסטי עם הפופולריות הגוברת של הרשתות החברתיות המקוונות. נכון לינואר 2020, 44 אחוז ממשתמשי האינטרנט המבוגרים בארצות הברית “חוו באופן אישי הטרדה מקוונת”. ילדים שחווים הטרדה מקוונת מתמודדים עם תופעות לוואי שליליות ולעיתים מסכנות חיים. בשנת 2021, דיווחים הראו 41 אחוז מהילדים מפתחים חרדה חברתית, 37 אחוז מהילדים מפתחים דיכאון ו-26 אחוז מהילדים עם מחשבות אובדניות.

איחוד האמירויות הערביות נקראה בשערוריית ריגול שבה מדינת המפרץ יחד עם ממשלות דיכוי אחרות רכשה את תוכנת הריגול הניידת של קבוצת NSO Pegasus לצורך מעקב המוני. במסגרת הקמפיין התמקדו פעילים ועיתונאים בולטים, ביניהם אחמד מנסור, הנסיכה לטיפה, הנסיכה חיה ועוד. Ghada Oueiss הייתה אחת מהעיתונאיות והאקטיביסטיות הרבות בעלות פרופיל גבוה שהפכו למטרה להטרדה מקוונת. אוייס הגיש תביעה נגד שליט איחוד האמירויות מוחמד בן זאיד אל נהיאןיחד עם נאשמים אחרים, מאשימים אותם בשיתוף תמונותיה באינטרנט.
הנאשמים, כולל שליט איחוד האמירויות, הגישו בקשות לביטול המקרה של מתקפת הפריצה והדלפה.

סחר בסמים
שווקי Darknet משמשים לקנייה ומכירה של תרופות פנאי באינטרנט. חלק מסוחרי הסמים משתמשים בכלי העברת הודעות מוצפנים כדי לתקשר עם פרדות סמים או לקוחות פוטנציאליים. אתר האינטרנט האפל Silk Road היה השוק המקוון הגדול הראשון לסמים, שהחל לפעול ב-2011. הוא נסגר לצמיתות ב-2014 על ידי ה-FBI והאירופול. לאחר ירידה של Silk Road 2.0, Silk Road 3 Reloaded הגיח. עם זאת, זה היה רק ​​שוק ישן יותר בשם Diabolus Market, שהשתמש בשם לחשיפה נוספת מההצלחה הקודמת של המותג.

לשוקי Darknet הייתה עלייה בתנועה בשנים האחרונות מסיבות רבות, אחת התורמות הגדולות היא האנונימיות המוצעת ברכישות, ולעתים קרובות מערכת ביקורת מוכרים. ישנן דרכים רבות שבהן שווקי Darknet יכולים לרוקן כלכלית אנשים. ספקים ולקוחות כאחד עושים מאמצים רבים כדי לשמור על זהותם בסוד בזמן שהם מקוונים. הכלים הנפוצים הם רשתות וירטואליות פרטיות (VPN), Tails ודפדפן Tor כדי לעזור להסתיר את הנוכחות המקוונת שלהם. שווקי Darknet מפתים לקוחות בכך שהם גורמים להם להרגיש בנוח. אנשים יכולים לקבל בקלות גישה לדפדפן Tor עם דפדפן DuckDuckGo המאפשר למשתמש לחקור הרבה יותר לעומק מדפדפנים אחרים כגוןגוגל כרום. עם זאת, למעשה השגת גישה לשוק בלתי חוקי אינה פשוטה כמו הקלדה במנוע חיפוש, כפי שניתן היה לעשות בגוגל. לשווקי Darknet יש קישורים מיוחדים המשתנים לעתים קרובות, ומסתיימים ב-.onion בניגוד לתוספות הטיפוסיות של.com,.net ו-.org. כדי להוסיף לפרטיות, המטבע הנפוץ ביותר בשווקים אלה הוא ביטקוין. ביטקוין מאפשר לעסקאות להיות אנונימיות, כאשר המידע היחיד הזמין לציבור הוא התיעוד שעסקה התרחשה בין שני צדדים.

בעיה שמשתמשים בשוק מתמודדים עם היא כאשר הספקים או השוק עצמו יוצאים מהונאות. זה כאשר ספק בעל דירוג גבוה יתנהג כאילו הוא מוכר בשוק ויגרום למשתמשים לשלם עבור מוצרים שהם לא יקבלו. לאחר מכן, הספק יסגור את חשבונו לאחר קבלת כסף ממספר קונים ולעולם לא ישלח את מה שנרכש. לספקים המעורבים כולם בפעילויות לא חוקיות יש סיכוי נמוך שלא לצאת מהונאות כאשר הם כבר לא רוצים להיות ספקים. בשנת 2019, שוק שלם המכונה וול סטריט מרקט עשה לכאורה הונאה, וגנב 30 מיליון דולר מארנקי הספקים והקונים בביטקוין.

ה-FBI פצח בשווקים האלה. ביולי 2017, ה-FBI תפס את אחד השווקים הגדולים ביותר, הנקרא בדרך כלל Alphabay, אשר מאוחר יותר נפתח מחדש באוגוסט 2021 בשליטתו של DeSnake, אחד המנהלים המקוריים. החוקרים יתחזות כקונה ויזמינו מוצרים מספקי Darknet בתקווה שהספקים ישאירו עקבות שהחוקרים יוכלו לעקוב אחריהם. בחקירה אחת התחזה חוקר כמוכר נשק ובמשך שישה חודשים אנשים רכשו מהם וסיפקו כתובות בית. ה-FBI הצליח לבצע יותר מתריסר מעצרים במהלך חקירה זו בת שישה חודשים. עוד אחד מהתקיפות של רשויות החוק היה על ספקים שמוכרים פנטניל ואופיאטים. עם אלפי אנשים שמתים מדי שנה בגלל מנת יתר של סמים, החוקרים שמו את זה בראש סדר העדיפויות. ספקים רבים אינם מבינים את ההאשמות הפליליות הנוספות הנלוות למכירת סמים באינטרנט. בדרך כלל הם מואשמים בהלבנת הון וחיובים על כאשר הסמים נשלחים בדואר בנוסף להיותם מפיץ סמים. בשנת 2019, מוכר נידון ל-10 שנות מאסר לאחר שמכר קוקאין ומתאמפטמין תחת השם JetSetLife.
למרות שהחוקרים מבלים כמויות גדולות של זמן במעקב אחר אנשים, בשנת 2018 זוהו רק 65 חשודים שקנו ומכרו סחורות לא חוקיות בכמה מהשווקים הגדולים ביותר.
זאת בהשוואה לאלפי העסקאות המתבצעות מדי יום בשווקים אלו.

אירועים בולטים
אחד מפשעי המחשב הבנקאיים בעלי הפרופיל הגבוה ביותר התרחש במהלך שלוש שנים החל משנת 1970. הפקיד הראשי בסניף פארק אווניו של בנק Union Dime Savings Bank בניו יורק מעילה למעלה מ-1.5 מיליון דולר ממאות חשבונות.

קבוצת פריצה בשם MOD (Masters of Deception) גנבה לכאורה סיסמאות ונתונים טכניים מ- Pacific Bell, Nynex וחברות טלפון אחרות, כמו גם מכמה סוכנויות אשראי גדולות ושתי אוניברסיטאות גדולות. הנזק שנגרם היה רב; חברה אחת, Southwestern Bell, ספגה הפסדים של 370,000 דולר בלבד.

בשנת 1983, סטודנט בן 19 ב-UCLA השתמש במחשב האישי שלו כדי לפרוץ למערכת תקשורת בינלאומית של משרד ההגנה.

בין השנים 1995 ו-1998, שירות SKY-TV המוצפן בתשלום לצפייה בלוויין Newscorp נפרץ מספר פעמים במהלך מרוץ חימוש טכנולוגי מתמשך בין קבוצת פריצה כלל-אירופית ל-Newscorp. המניע המקורי של ההאקרים היה לצפות בשידורים חוזרים של “מסע בין כוכבים” בגרמניה, דבר שלניוזקורפ לא היו זכויות היוצרים להתיר.

ב-26 במרץ 1999, תולעת מליסה הדביקה מסמך במחשב של הקורבן, ולאחר מכן שלחה אוטומטית את המסמך הזה ועותק של הנגיף שהופץ באמצעות דואר אלקטרוני לאנשים אחרים.

בפברואר 2000, אדם המכונה MafiaBoy החל בסדרת התקפות מניעת שירות נגד אתרים בעלי פרופיל גבוה, כולל Yahoo!, Dell, Inc., E*TRADE, eBay ו- CNN. כ-50 מחשבים באוניברסיטת סטנפורד, וגם מחשבים באוניברסיטת קליפורניה בסנטה ברברה, היו בין מחשבי הזומבים ששולחים פינגים בהתקפות DDoS. ב-3 באוגוסט 2000, התובעים הפדרליים הקנדיים האשימו את MafiaBoy ב-54 סעיפי גישה בלתי חוקיים למחשבים, בתוספת סך של עשר סעיפי זלזול בנתונים בגין התקפותיו.

תולעת Stuxnet השחיתה מעבדי SCADA, במיוחד מהסוגים המשמשים בבקרי צנטריפוגות של סימנס.

הרשת העסקית הרוסית (RBN) נרשמה כאתר אינטרנט בשנת 2006. בתחילה, חלק ניכר מפעילותה היה לגיטימי. אבל ככל הנראה, עד מהרה גילו המייסדים שמשתלם יותר לארח פעילויות לא לגיטימיות והחלו לשכור את שירותיה לפושעים. ה-RBN תואר על ידי VeriSign כ”הרע מבין הרעים”. היא מציעה שירותי אירוח אתרים וגישה לאינטרנט לכל מיני פעילויות פליליות ומעוררות התנגדות, כאשר פעילויות בודדות מרוויחות עד 150 מיליון דולר בשנה אחת. היא התמחה בגניבת זהות אישית, ובמקרים מסוימים קיבלה מונופול, למכירה חוזרת. זהו היזם של MPack ומפעיל לכאורה של רשת הבוטנט Storm שהושבתה כעת.

ב-2 במרץ 2010 עצרו חוקרים ספרדים שלושה גברים החשודים בהדבקה של למעלה מ-13 מיליון מחשבים ברחבי העולם. ה”בוטנט” של מחשבים נגועים כלל מחשבים בתוך יותר ממחצית מחברות Fortune 1000 ויותר מ-40 בנקים גדולים, על פי החוקרים.

באוגוסט 2010, החקירה הבינלאומית מבצע דלגו, הפועלת בחסות המחלקה לביטחון פנים, סגרה את טבעת הפדופיל הבינלאומית Dreamboard. באתר היו כ-600 חברים וייתכן שהפיץ עד 123 טרה-בייט של פורנוגרפיית ילדים (שווה ערך ל-16,000 תקליטורי DVD). עד כה זוהי התביעה הגדולה ביותר בארה”ב נגד טבעת פורנוגרפיית ילדים בינלאומית; 52 מעצרים בוצעו ברחבי העולם.

בינואר 2012, Zappos.com חוותה פרצת אבטחה שפוגעת במספרי כרטיסי האשראי, המידע האישי וכתובות החיוב והמשלוח של עד 24 מיליון לקוחות.

ביוני 2012, LinkedIn ו- eHarmony הותקפו, ופגעו ב-65 מיליון גיבוב של סיסמאות. 30,000 סיסמאות נפצחו ו-1.5 מיליון סיסמאות EHarmony פורסמו באינטרנט.

בדצמבר 2012, אתר וולס פארגו חווה מתקפת מניעת שירות, שעלולה לסכן 70 מיליון לקוחות ו-8.5 מיליון צופים פעילים. בנקים אחרים שנחשבים בסיכון כוללים את Bank of America, JP Morgan U.S. Bank ו- PNC Financial Services.

ב-23 באפריל 2013, חשבון הטוויטר של סוכנות הידיעות AP נפרץ. ההאקר פרסם ציוץ מתיחה על התקפות פיקטיביות בבית הלבן שלטענתם הותיר את הנשיא דאז אובמה פצוע. ציוץ מתיחה זה הביא לצלילה קצרה של 130 נקודות מהמדד התעשייתי של דאו ג’ונס, הסרה של 136 מיליארד דולר ממדד S&P 500, והשעיה זמנית של חשבון הטוויטר של AP. הדאו ג’ונס שיחזר מאוחר יותר את הרווחים שלו בסשן.

במאי 2017, 74 מדינות רשמו פשע סייבר של תוכנת כופר, שנקרא ” WannaCry “.

גישה בלתי חוקית לחיישני מצלמה, חיישני מיקרופון, אנשי קשר בספר טלפונים, כל האפליקציות התומכות באינטרנט ומטא נתונים של טלפונים ניידים עם אנדרואיד ו-iOS נגישו על ידי תוכנות ריגול ישראליות, שנמצאו בפעילות בלפחות 46 מדינות ברחבי העולם. עיתונאים, בני מלוכה ופקידי ממשל היו בין המטרות. האשמות קודמות של מקרים של התערבות של חברות נשק ישראליות בטלפוניה בינלאומית ובסמארטפונים הומעו במקרה שדווח ב-2018.

בדצמבר 2019, פקידי מודיעין ארצות הברית וחקירה של הניו יורק טיימס חשפו כי ToTok, אפליקציית הודעות בשימוש נרחב באיחוד האמירויות הערביות, היא כלי ריגול עבור איחוד האמירויות.
המחקר חשף שממשלת האמירויות ניסתה לעקוב אחר כל שיחה, תנועה, מערכת יחסים, מינוי, צליל ותמונה של אלה שהתקינו את האפליקציה בטלפונים שלהם.

מאבק בפשע מחשבים
קשה למצוא ולהילחם במבצעי פשעי סייבר עקב השימוש שלהם באינטרנט לתמיכה במתקפות חוצות גבולות. לא רק שהאינטרנט מאפשר למקד אנשים ממקומות שונים, אלא שניתן להגדיל את היקף הנזק שנגרם. פושעי סייבר יכולים למקד יותר מאדם אחד בו זמנית. הזמינות של מרחבים וירטואליים למגזר הציבורי והפרטי אפשרה לפשעי סייבר להפוך לאירוע יומיומי.
בשנת 2018, ה-Internet Crime Complaint Center קיבל 351,937 תלונות על פשעי סייבר, שהובילו לאיבוד של 2.
7 מיליארד דולר.

חקירה
בחקירה פלילית, מחשב יכול להוות מקור ראיה (ראה זיהוי פלילי דיגיטלי. גם כאשר המחשב אינו בשימוש ישיר למטרות פליליות, הוא עשוי להכיל רישומים בעלי ערך לחוקרים פליליים בצורה של קובץ יומן. ברוב המדינות, ספקי שירותי אינטרנט נדרשים, על פי חוק, לשמור את קובצי היומן שלהם למשך פרק זמן קבוע מראש. לדוגמה, הוראת שמירת הנתונים בכל האיחוד האירופי (שחלה בעבר על כל המדינות החברות באיחוד האירופי קבעה כי יש לשמור את כל תעבורת הדואר האלקטרוני למשך 12 חודשים לפחות.

ישנן דרכים רבות לפשעי סייבר להתרחש, וחקירות נוטות להתחיל עם מעקב אחר כתובת IP ; עם זאת, זה לא בהכרח בסיס עובדתי שעל פיו יכולים הבלשים לפתור תיק. סוגים שונים של פשעי היי-טק עשויים לכלול גם אלמנטים של פשיעה טכנולוגית נמוכה, ולהיפך, מה שהופך את חוקרי פשעי סייבר לחלק הכרחי באכיפת החוק המודרנית.
שיטות עבודת הבילוש של פשעי סייבר הן דינמיות ומשתפרות כל הזמן, בין אם ביחידות משטרה סגורות ובין אם במסגרת שיתוף פעולה בינלאומי.

בארצות הברית, ה-FBI והמשרד לביטחון המולדת (DHS) הן סוכנויות ממשלתיות הנלחמות בפשעי סייבר. ה-FBI הכשיר סוכנים ואנליסטים בפשעי סייבר המוצבים במשרדי השטח ובמטה שלהם. תחת ה-DHS, השירות החשאייש לו מדור מודיעין סייבר שפועל למיקוד פשעי סייבר פיננסיים. הם משתמשים באינטליגנציה שלהם כדי להגן מפני פשעי סייבר בינלאומיים. מאמציהם פועלים להגן על מוסדות, כמו בנקים, מפני פריצות והפרות מידע. הממוקם באלבמה, השירות החשאי ומשרד התביעה באלבמה עובדים יחד כדי להכשיר אנשי מקצוע באכיפת חוק באמצעות הקמת המכון הלאומי לזיהוי ממוחשב.
מכון זה פועל על מנת לספק ל”חברי המדינה והמקומיים בקהילת אכיפת החוק הכשרה בתגובה לאירועי סייבר, חקירה ובדיקה משפטית בתגובה, חקירה ובדיקה פורנזית של אירועי סייבר”.

בשל השימוש הנפוץ בהצפנה ובטכניקות אחרות להסתרת זהותם ומיקומם על ידי פושעי סייבר, יכול להיות קשה לאתר מבצע לאחר ביצוע הפשע, ולכן יש חשיבות מכרעת לאמצעי מניעה.

מניעה
המחלקה לביטחון פנים הקימה גם את תוכנית האבחון וההפחתה המתמשכת (CDM). תוכנית CDM מפקחת ומאבטחת רשתות ממשלתיות על ידי מעקב ותעדוף סיכוני רשת, ויידע את צוות המערכת כדי שיוכלו לפעול. בניסיון לתפוס פריצות לפני שהנזק ייגרם, ה-DHS יצר את שירותי אבטחת הסייבר המשופרים (ECS) כדי להגן על המגזר הציבורי והפרטי בארצות הברית. הסוכנות לאבטחת סייבר ואבטחת תשתיות מאשרת שותפים פרטיים המספקים שירותי זיהוי ומניעת פריצות באמצעות ה-ECS. דוגמה לאחד מהשירותים הללו המוצעים היא שקע DNS.

מוצרים וטכנולוגיות רבות של אבטחת סייבר נמצאים בשימוש על ידי ארגונים, אך אנשי אבטחת סייבר היו סקפטיים לגבי אסטרטגיות ממוקדות מניעה. גם אופן השימוש במוצרי אבטחת סייבר הוטל בספק.
צאר הונאה בקליק של גוגל שומאן גושמג’ומד טען שחברות המשתמשות בשילוב של מוצרים בודדים לאבטחה איננה גישה ניתנת להרחבה ודגלה בשימוש בטכנולוגיית אבטחת סייבר בעיקר בצורת שירותים.

חקיקה
בשל חוקים הניתנים לניצול בקלות, פושעי סייבר משתמשים במדינות מתפתחות כדי להתחמק מגילוי והעמדה לדין מרשויות החוק. במדינות מתפתחות כמו הפיליפינים, החוקים נגד פשעי סייבר חלשים או לפעמים לא קיימים. החוקים החלשים הללו מאפשרים לפושעי סייבר לתקוף מגבולות בינלאומיים ולהישאר בלתי מזוהים. גם כשהם מזוהים, פושעים אלו נמנעים מענישה או הסגרה למדינה, כמו ארצות הברית, שפיתחה חוקים המאפשרים העמדה לדין. למרות שזה מתגלה כקשה במקרים מסוימים, סוכנויות, כמו ה- FBI, השתמשו בהונאה ובתחבולה כדי לתפוס פושעים. לדוגמה, שני האקרים רוסים התחמקו מה-FBI במשך זמן מה. ה-FBI הקים חברת מחשוב מזויפת שבסיסה בסיאטל, וושינגטון. הם המשיכו לפתות את שני הרוסים לארצות הברית בכך שהציעו להם לעבוד עם החברה הזו. עם סיום הראיון, נעצרו החשודים מחוץ לבניין. טריקים חכמים כמו זה הם לפעמים חלק הכרחי בתפיסת פושעי סייבר כאשר חקיקה חלשה מאפשרת אחרת.

הנשיא דאז ברק אובמה פרסם צו ביצוע באפריל 2015 למאבק בפשעי סייבר. ההוראה המבצעת מאפשרת לארצות הברית להקפיא את נכסיהם של פושעי סייבר מורשעים ולחסום את פעילותם הכלכלית בתוך ארה”ב. זוהי חלק מהחקיקה המוצקה הראשונה הנלחמת בפשעי סייבר בדרך זו.

האיחוד האירופי אימץ את הנחיה 2013/40/EU. כל העבירות של ההנחיה, והגדרות אחרות ומוסדות פרוצדורליים נמצאים גם באמנת מועצת אירופה לפשעי סייבר.

לא רק ארה”ב והאיחוד האירופי מציגות אמצעים חדשים נגד פשעי סייבר. ב-31 במאי 2017, סין הודיעה כי חוק אבטחת הסייבר החדש שלה ייכנס לתוקף בתאריך זה.

באוסטרליה, חקיקה נפוצה בשטח השיפוט של חבר העמים המיושמת למאבק בפשעי סייבר באמצעות הוראות עבירות פליליות וסמכויות איסוף מידע ואכיפה כוללת את חוק הקוד הפלילי 1995 (Cth), חוק הטלקומוניקציה 1997 (Cth), ו- Enhancing Online Safety Act 2015 (Cth).

ב- Roads and Traffic Authority of New South Wales v Care Park Pty Limited NSWCA 35, נמצא כי ניתן לממש את השימוש בצו גילוי שנעשה על צד שלישי למטרות קביעת זהותו או מקום הימצאו של אדם. רק בתנאי מוקדם שמידע כזה המבוקש יסייע להליך המשפטי.

ב- Dallas Buyers Club LLC v iiNet Limited FCA 317, ניתנת הנחיות לגבי הפרשנות של כלל 7.22 של חוקי בית המשפט הפדרלי 2011 (Cth) ביחס לסוגיה באיזו מידה צו גילוי חייב לזהות אדם עבורו להיות בקשה תקפה למידע לקביעת זהותו או מקום הימצאו של אדם בנסיבות של משתמש קצה בשירות אינטרנט להיות אדם שונה מבעל החשבון. השופט פרם קבע: “..
.
קשה לזהות סיבה טובה לכך שכלל שנועד לסייע לצד בזיהוי מעוולים צריך להיות כה צר עד שיאפשר רק את זיהויו של המעוול בפועל ולא את העדים לאותו עוולה”.

עונשים
עונשים על פשעים הקשורים למחשב במדינת ניו יורק יכולים לנוע מקנס ותקופת מאסר קצרה על עבירה מסוג A כגון שימוש לא מורשה במחשב ועד חבלה במחשב בדרגה הראשונה שהיא עבירה פלילית מסוג C ועלולה לשאת 3 עד 15 שנות מאסר.

עם זאת, כמה האקרים נשכרו כמומחי אבטחת מידע על ידי חברות פרטיות בשל הידע הפנימי שלהם בפשעי מחשב, תופעה שבאופן תיאורטי עלולה ליצור תמריצים פרוורטיים. סתירה אפשרית לכך היא שבתי המשפט יאסרו על האקרים מורשעים להשתמש באינטרנט או במחשבים, גם לאחר שחרורו מהכלא – אם כי ככל שהמחשבים והאינטרנט הופכים מרכזיים יותר ויותר בחיי היומיום, ניתן לראות ענישה מסוג זה. יותר ויותר קשוחה ודרקונית. עם זאת, פותחו גישות ניואנסיות המנהלות את התנהגותם של עברייני סייבר מבלי להזדקק לאיסור מוחלט של מחשבים או אינטרנט.
גישות אלו כוללות הגבלת אנשים למכשירים ספציפיים הכפופים לניטור מחשב או חיפושים במחשב על ידי שוטרי מבחן או שחרורים.

מודעות
ככל שהטכנולוגיה מתקדמת ויותר אנשים מסתמכים על האינטרנט כדי לאחסן מידע רגיש כמו מידע בנקאי או כרטיסי אשראי, פושעים מנסים יותר ויותר לגנוב מידע זה. פשעי סייבר הופכים לאיום יותר על אנשים ברחבי העולם. העלאת המודעות לגבי האופן שבו מידע מוגן והטקטיקות שבהן משתמשים פושעים כדי לגנוב את המידע הזה ממשיכה לגדול בחשיבותה. לפי מרכז תלונות הפשע באינטרנט של ה-FBI בשנת 2014, הוגשו 269,422 תלונות. עם כל התביעות ביחד, דווח על הפסד כולל של 800,492,073 דולר. אבל נראה שפשיעת סייבר עדיין לא נמצאת על הרדאר של האדם הממוצע. ישנן 1.

5 מיליון התקפות סייבר בשנה, מה שאומר שיש יותר מ-4,000 תקיפות ביום, 170 תקיפות בכל שעה, או כמעט שלוש תקיפות בכל דקה, כאשר מחקרים מראים שרק 16 אחוז מהקורבנות שאלו את האנשים שביצעו את התקפות כדי להפסיק.
כל מי שמשתמש באינטרנט מכל סיבה שהיא יכול להיות קורבן, וזו הסיבה שחשוב להיות מודע לאופן שבו הוא מוגן בזמן שהוא מקוון.

אינטליגנציה
ככל שפשעי הסייבר התפשטו, התפתחה מערכת אקולוגית מקצועית כדי לתמוך ביחידים ובקבוצות המבקשים להרוויח מפעילויות פושעי סייבר. המערכת האקולוגית הפכה מתמחה למדי, כולל מפתחי תוכנות זדוניות, מפעילי רשת בוט, קבוצות מקצועיות של פשעי סייבר, קבוצות המתמחות במכירת תוכן גנוב וכו’. לכמה מחברות אבטחת הסייבר המובילות יש את הכישורים, המשאבים והנראות לעקוב אחר הפעילויות של אנשים וקבוצות אלה. מגוון רחב של מידע זמין ממקורות אלו, אשר ניתן להשתמש בו למטרות הגנה, כולל אינדיקטורים טכניים כגון גיבוב של קבצים נגועים או כתובות IP/כתובות URL זדוניות, כמו גם מידע אסטרטגי המפרט את המטרות, הטכניקות והקמפיינים של הקבוצות המופיעות בפרופיל. חלק ממנו מתפרסם באופן חופשי, אך גישה עקבית ומתמשכת דורשת בדרך כלל הרשמה לשירות מנוי מודיעין יריב. ברמה של שחקן איומים אינדיבידואלי, מודיעין איומים מכונה לעתים קרובות “TTP” של אותו שחקן או “טקטיקות, טכניקות ונהלים”, שכן התשתית, הכלים ואינדיקטורים טכניים אחרים הם לרוב טריוויאליים לתוקפים לשנות. מגזרי חברות שוקלים תפקיד מכריע של אבטחת סייבר של בינה מלאכותית.

INTERPOL Cyber ​​Fusion Center החל בשיתוף פעולה עם שחקני מפתח בתחום אבטחת הסייבר כדי להפיץ מידע על ההונאות המקוונות האחרונות, איומי הסייבר והסיכונים למשתמשי האינטרנט.
מאז 2017 הופצו דיווחים על הונאות מהונדסים חברתית, תוכנות כופר, פישינג ועוד לסוכנויות אבטחה בלמעלה מ-150 מדינות.

פיזור של פשעי סייבר
התפוצה הרחבה של פעילויות עברייניות ברשת היא בעיה בגילוי ותביעה של פשעי מחשב.

הפריצה הפכה פחות מורכבת מכיוון שקהילות הפריצה הפיצו מאוד את הידע שלהן דרך האינטרנט. בלוגים וקהילות תרמו באופן משמעותי לשיתוף מידע מכיוון שמתחילים יכולים להפיק תועלת מהידע והעצות של האקרים מבוגרים.

יתר על כן, הפריצה זולה מתמיד: לפני עידן מחשוב הענן, על מנת לשלוח דואר זבל או הונאה, היה צורך במגוון משאבים, כגון שרת ייעודי, מיומנויות בניהול שרתים, תצורת רשת ותחזוקה וידע בשירותי אינטרנט. תקני ספק. לשם השוואה, תוכנת דואר-כשירות היא שירות שליחת דואר אלקטרוני שניתן להרחבה, זול, בתפזורת ועסקה למטרות שיווק, וניתן להגדיר אותו בקלות לספאם. מחשוב ענן יכול להיות מועיל עבור פושע סייבר כדרך למנף את ההתקפה שלו, במונחים של כפיית סיסמה, שיפור טווח ההגעה של רשת בוט, או הקלה על מסע ספאם.

סוכנויות
ASEAN
מרכז הפשע ההיי-טק האוסטרלי
תא לחקירת פשעי סייבר, אגף של משטרת מומבאי, הודו
יחידת פשעי סייבר (משטרה הלנית), שהוקמה ביוון ב-1995
EUROPOL
אינטרפול
היחידה הלאומית לפשעי סייבר, בבריטניה
הסוכנות לביטחון לאומי, בארצות הברית
המרכז הלאומי לפשע צווארון לבן, בארצות הברית
מחלקת משטרת סייבר – סוכנות המשטרה הלאומית של יפן

החוק והפרקטיקה בישראל בתחום אבטחת הסייבר
הגישה של ישראל לאבטחת סייבר מושתתת על ידי מספר חוקים מרכזיים, ביניהם חוק המחשבים הישראלי, חוק הגנת הפרטיות והצעת חוק הגנת הסייבר, בין היתר. החוק העיקרי להגנת מידע הוא חוק הגנת הפרטיות, התשמ”א-1981, החל על כל ישות המנהלת מאגר מידע. הגדרות והחרגות חשובות חלות, במיוחד לגבי מה שנחשב “מידע” ו”נתונים אישיים”. תיקונים מכריעים ופרוטוקולי אבטחה מודרניים מפורטים בתקנות הגנת הפרטיות (אבטחת נתונים).

רגולטורים
הרשות להגנת הפרטיות במשרד המשפטים היא הרגולטור הראשי, האכפת את ה-חוק הגנת הפרטיות ומפקחת על כללי הפרת מידע. גופים רגולטוריים נוספים כוללים את הפיקוח על הבנקים ורשות שוק ההון, ביטוח וחיסכון, כל אחד מתמקד במגזרים ספציפיים.

תהליך ניהול ואכיפה
הפרות של ה-חוק הגנת הפרטיות עשויות להוביל לאכיפה מנהלית או לחקירות פליליות. הרשות הפלסטינית יכולה לדרוש תיקונים, להשעות רישום מאגרי מידע או להטיל קנסות. גם הפיקוח על הבנקים ורשות שוק ההון ממלאים תפקידים משמעותיים באכיפה מנהלית במגזריהם.

עו”ד רגולציה בנושא אבטחת סייבר

תקנת אבטחת סייבר כוללת הנחיות ששומרות על טכנולוגיית מידע ומערכות מחשב במטרה לאלץ חברות וארגונים להגן על המערכות והמידע שלהם מפני התקפות סייבר כמו וירוסים, תולעים, סוסים טרויאניים, פישינג, התקפות מניעת שירות (DOS), גישה לא מורשית (גניבה קניין רוחני או מידע סודי) והתקפות מערכות בקרה. ישנם אמצעים רבים זמינים למניעת התקפות סייבר.

אמצעי אבטחת סייבר כוללים חומות אש, תוכנת אנטי-וירוס, מערכות זיהוי ומניעת חדירה, הצפנה וסיסמאות כניסה. נעשו ניסיונות לשפר את אבטחת הסייבר באמצעות רגולציה ומאמצי שיתוף פעולה בין הממשלה למגזר הפרטי כדי לעודד שיפורים מרצון באבטחת הסייבר. רגולטורים בתעשייה, לרבות רגולטורים בנקאיים, שמו לב לסיכון הכרוך באבטחת סייבר והחלו או תכננו להתחיל לכלול אבטחת סייבר כהיבט של בדיקות רגולטוריות.

מחקרים עדכניים מצביעים על חוסר ברגולציה ואכיפה של אבטחת סייבר בעסקים ימיים, כולל הקישוריות הדיגיטלית בין ספינות ונמלים.

רקע
בשנת 2011 פרסם ה- DoD הנחיה בשם ” אסטרטגיית משרד ההגנה לפעולה במרחב הקיברנטי” אשר ניסחה חמש מטרות: להתייחס למרחב הקיברנטי כתחום מבצעי, להשתמש בתפיסות הגנתיות חדשות כדי להגן על רשתות ומערכות DoD, לשתף פעולה עם סוכנויות אחרות והפרטיות. המגזר במרדף אחר “אסטרטגיית אבטחת סייבר של כל הממשל”, לעבוד עם בעלי ברית בינלאומיים בתמיכה באבטחת סייבר קולקטיבית ולתמוך בפיתוח של כוח עבודה סייבר המסוגל לחדשנות טכנולוגית מהירה. דו”ח GAO ממארס 2011 “זיהה את ההגנה על מערכות המידע של הממשל הפדרלי ותשתית הסייבר הקריטית של המדינה כאזור בסיכון גבוה כלל ממשלתי” וציין כי אבטחת מידע פדרלי הוגדרה כאזור בסיכון גבוה מאז 1997. החל מ-2003 מערכות הגנה על תשתיות קריטיות, המכונה סייבר קריטי תשתית הגנה של סייבר CIP נכללה גם.

בנובמבר 2013, ה-DoD הציג את כלל אבטחת הסייבר החדש (78 Fed. Reg. 69373), אשר הטיל דרישות מסוימות על קבלנים: עמידה בתקני IT מסוימים של NIST, דיווח חובה על אירועי אבטחת סייבר ל-DoD, ו”זרימה למטה”. “סעיף המחיל את אותן דרישות על קבלני משנה.

דו”ח של הקונגרס מיוני 2013 מצא שיש יותר מ-50 חוקים רלוונטיים לציות לאבטחת סייבר. החוק הפדרלי לניהול אבטחת מידע משנת 2002 (FISMA) הוא אחד מהחוקים המרכזיים המסדירים את תקנות אבטחת הסייבר הפדרליות.

ארצות הברית
הממשלה הפדרלית
יש מעט תקנות אבטחת סייבר פדרליות ואלו שקיימות מתמקדות בתעשיות ספציפיות. שלוש תקנות אבטחת הסייבר העיקריות הן חוק הניידות והאחריות של ביטוח בריאות משנת 1996 (HIPAA), חוק Gramm-Leach-Bliley משנת 1999 וחוק ביטחון המולדת משנת 2002, שכלל את חוק ניהול אבטחת המידע הפדרלי (FISMA). שלוש התקנות קובעות שארגוני בריאות, מוסדות פיננסיים וסוכנויות פדרליות צריכים להגן על המערכות והמידע שלהם. לדוגמה, FISMA, החלה על כל סוכנות ממשלתית, “דורשת פיתוח ויישום של מדיניות, עקרונות, תקנים והנחיות מחייבות בנושא אבטחת מידע”. עם זאת, התקנות אינן מתייחסות לתעשיות רבות הקשורות למחשבים, כגון ספקי שירותי אינטרנט (ISP) וחברות תוכנה. יתרה מכך, התקנות אינן מפרטות אילו אמצעי אבטחת סייבר יש ליישם ודורשות רק רמת אבטחה “הגיונית”. הלשון המעורפלת של תקנון זה מותירה מקום רב לפרשנות. ברוס שנייר, מייסד Counterpane Internet Security של קופרטינו, טוען שחברות לא יבצעו מספיק השקעות באבטחת סייבר אלא אם כן הממשלה תכריח אותן לעשות זאת. הוא גם קובע שהתקפות סייבר מוצלחות על מערכות ממשלתיות עדיין מתרחשות למרות מאמצי הממשלה.

הוצע כי חוק איכות הנתונים כבר מספק למשרד הניהול והתקציב את הסמכות הסטטוטורית ליישם תקנות הגנה על תשתיות קריטיות על ידי תהליך קביעת החוקים של חוק ההליך המנהלי.
הרעיון לא נבדק במלואו וידרוש ניתוח משפטי נוסף לפני שניתן יהיה להתחיל קביעת חוקים.

ממשלות מדינה
ממשלות מדינות ניסו לשפר את אבטחת הסייבר על ידי הגברת הנראות הציבורית של חברות עם אבטחה חלשה. בשנת 2003, קליפורניה העבירה את חוק ההודעה על הפרת אבטחה, המחייב שכל חברה השומרת מידע אישי של אזרחי קליפורניה ויש לה פרצת אבטחה חייבת לחשוף את פרטי האירוע. מידע אישי כולל שם, מספר תעודת זהות, מספר רישיון נהיגה, מספר כרטיס אשראי או מידע פיננסי. מספר מדינות אחרות הלכו בעקבות הדוגמה של קליפורניה והעבירו תקנות דומות להודעות על הפרת אבטחה. תקנות התראה על הפרת אבטחה כאלה מענישות חברות על כשלי אבטחת הסייבר שלהן תוך מתן חופש לבחור כיצד לאבטח את המערכות שלהן. כמו כן, הרגולציה יוצרת תמריץ לחברות להשקיע מרצון באבטחת סייבר כדי למנוע אובדן פוטנציאלי של מוניטין וההפסד הכלכלי הנובע מכך שיכול לנבוע ממתקפת סייבר מוצלחת.

בשנת 2004, בית המחוקקים של מדינת קליפורניה העביר את חוק האסיפה של קליפורניה משנת 1950, אשר חל גם על עסקים שבבעלותם או שומרים מידע אישי עבור תושבי קליפורניה. הרגולציה מכתיבה לעסקים לשמור על רמת אבטחה סבירה וכי הם נדרשים לנוהלי אבטחה משתרעים גם על שותפים עסקיים. הרגולציה היא שיפור בתקן הפדרלי מכיוון שהיא מרחיבה את מספר החברות הנדרשות לשמירה על סטנדרט מקובל של אבטחת סייבר.
עם זאת, כמו החקיקה הפדרלית, היא דורשת רמה “הגיונית” של אבטחת סייבר, מה שמותיר מקום רב לפרשנות עד לביסוס פסיקה.

הצעת תקנה
הקונגרס האמריקאי הציע הצעות חוק רבות המרחיבות את רגולציית אבטחת הסייבר. חוק אבטחת מידע והודעות לצרכן מתקן את חוק Gramm-Leach-Bliley כדי לחייב חשיפה של פרצות אבטחה על ידי מוסדות פיננסיים. חברי קונגרס גם הציעו “להרחיב את גראם-ליץ’-בלילי לכל התעשיות הנוגעות במידע פיננסי של צרכנים, כולל כל חברה שמקבלת תשלום בכרטיס אשראי”. הקונגרס הציע תקנות אבטחת סייבר בדומה לחוק ההודעה על הפרת אבטחה של קליפורניה עבור חברות ששומרות מידע אישי. חוק הגנת המידע ואבטחת המידע מחייב מתווכי נתונים “לדאוג לדיוק וסודיות הנתונים, לאמת ולעקוב אחר משתמשים, לזהות ולמנוע פעילות לא מורשית ולצמצם נזקים פוטנציאליים ליחידים”.

בנוסף לדרישה מחברות לשפר את אבטחת הסייבר, הקונגרס שוקל גם הצעות חוק שמפלילות מתקפות סייבר. ה-Securely Protect Yourself Against Cyber ​​Trespass Act SPY ACT היה הצעת חוק מסוג זה. היא התמקדה בהצעת דיוג ותוכנות ריגול והועברה ב-23 במאי 2005 בבית הנבחרים של ארה”ב אך מתה בסנאט האמריקני. הצעת החוק “הופכת שימוש בלתי מורשה במחשב כדי להשתלט עליו, לשנות את ההגדרות שלו, לאסוף או לגרום לבעלים לחשוף מידע אישי מזהה, להתקין תוכנה לא רצויה ולהתעסק באבטחה, נגד תוכנות ריגול או אנטי.-תוכנת וירוס.

ב-12 במאי 2011, נשיא ארה”ב ברק אובמה הציע חבילה של רפורמות חקיקה בנושא אבטחת סייבר כדי לשפר את הביטחון של אנשים אמריקאים, הממשל הפדרלי והתשתיות הקריטיות. שנה של דיונים ציבוריים ודיונים בקונגרס לאחר מכן, וכתוצאה מכך בית הנבחר העביר הצעת חוק לשיתוף מידע והסנאט פיתח הצעת חוק פשרה המבקשת לאזן בין ביטחון לאומי, פרטיות ואינטרסים עסקיים.

ביולי 2012, חוק אבטחת הסייבר של 2012 הוצע על ידי הסנאטורים ג’וזף ליברמן וסוזן קולינס. הצעת החוק הייתה דורשת יצירת “סטנדרטים מומלצים” מרצון להגנה על תשתיות מפתח מפני התקפות סייבר, שעסקים יעודדו לאמץ באמצעות תמריצים כגון הגנה על אחריות. הצעת החוק הועמדה להצבעה בסנאט אך לא עברה. אובמה הביע את תמיכתו בחוק בכתבה של וול סטריט ג’ורנל , והוא גם קיבל תמיכה מגורמים בצבא ובביטחון הלאומי כולל ג’ון או. ברנן, היועץ הראשי ללוחמה בטרור של הבית הלבן. לפי ה”וושינגטון פוסט”, מומחים אמרו כי אי העברת המעשה עלול להותיר את ארצות הברית “פגיעה לפריצה נרחבת או מתקפת סייבר חמורה”. המעשה התנגד על ידי סנאטורים רפובליקנים כמו ג’ון מקיין שחשש שהמעשה יכניס תקנות שלא יהיו אפקטיביות ויכולות להוות “נטל” לעסקים. לאחר ההצבעה בסנאט, הסנאטור הרפובליקני קיי ביילי האצ’יסון הצהיר כי ההתנגדות להצעת החוק אינה עניין מפלגתי אך היא אינה נוקטת בגישה הנכונה לאבטחת סייבר. ההצבעה בסנאט לא הייתה אך ורק לפי קווים מפלגתיים, שכן שישה דמוקרטים הצביעו נגדה, וחמישה רפובליקנים הצביעו בעדה. מבקרי הצעת החוק כללו את לשכת המסחר של ארה”ב, קבוצות הסברה כמו האיגוד האמריקני לחירויות האזרח והקרן האלקטרונית, מומחית אבטחת הסייבר ג’ודי ווסטבי ו- The Heritage Foundation, שניהם טענו כי למרות הממשלה חייבת לפעול בנושא אבטחת סייבר, הצעת החוק הייתה פגומה בגישתה וייצגה “תפקיד פדרלי מדי”.

בפברואר 2013, אובמה הציע את ההוראה המבצעת לשיפור אבטחת הסייבר של תשתיות קריטיות. זה מייצג את האיטרציה האחרונה של המדיניות, אך אינו נחשב לחוק מכיוון שהוא עדיין לא טופל על ידי הקונגרס. היא שואפת לשפר שותפויות ציבוריות-פרטיות קיימות על ידי שיפור העיתוי של זרימת המידע בין DHS וחברות תשתית קריטית. הוא מנחה סוכנויות פדרליות לשתף אזהרות מודיעין איומי סייבר לכל ישות במגזר הפרטי שזוהה כמטרה. היא גם מטילה על DHS לשפר את התהליך כדי לזרז את תהליכי הסיווג הביטחוני עבור ישויות רלוונטיות במגזר הציבורי והפרטי כדי לאפשר לממשלה הפדרלית לשתף מידע זה ברמות הרגישות והמסווגות המתאימות. הוא מנחה את הפיתוח של מסגרת להפחתת סיכוני סייבר, תוך שילוב שיטות עבודה מומלצות בתעשייה וסטנדרטים וולונטריים. לבסוף, הוא מטיל על הסוכנויות הפדרליות המעורבות בשילוב הגנות על פרטיות וחירויות אזרחיות בהתאם לעקרונות הוגן של נוהג מידע.

בינואר 2015 הכריז אובמה על הצעת חקיקה חדשה בנושא אבטחת סייבר. ההצעה הועלתה במאמץ להכין את ארה”ב מהמספר המתרחב של פשעי סייבר. בהצעה, אובמה תיאר שלושה מאמצים עיקריים לפעול למען מרחב סייבר מאובטח יותר עבור ארה”ב. המאמץ העיקרי הראשון הדגיש את החשיבות של מתן אפשרות לשיתוף מידע בנושא אבטחת סייבר. בכך שאפשרה זאת, עודדה ההצעה שיתוף מידע בין הממשלה למגזר הפרטי. זה יאפשר לממשלה לדעת עם אילו איומי סייבר עיקריים מתמודדות חברות פרטיות, ואז יאפשר לממשלה לספק הגנה על אחריות לאותן חברות ששיתפו את המידע שלהן. יתר על כן, זה ייתן לממשלה מושג טוב יותר מפני מה צריך להגן על ארה”ב. מאמץ עיקרי נוסף שהודגש בהצעה זו היה מודרניזציה של רשויות אכיפת החוק כדי להפוך אותן לציידות יותר להתמודדות נכונה עם פשעי סייבר על ידי מתן הכלים הדרושים להם על מנת לעשות זאת. זה גם יעדכן סיווגים של פשעי סייבר והשלכות. דרך אחת לעשות זאת תהיה על ידי הפיכתו לפשע על מכירת מידע פיננסי בחו”ל. מטרה נוספת של המאמץ היא להעמיד פשעי סייבר לדין. המאמץ הגדול האחרון של הצעת החקיקה היה לחייב עסקים לדווח על הפרת נתונים לצרכנים אם המידע האישי שלהם הוקרב. על ידי דרישה מחברות לעשות זאת, הצרכנים מודעים למתי הם נמצאים בסכנה של גניבת זהות.

בפברואר 2016, אובמה פיתח תוכנית פעולה לביטחון לאומי של סייבר (CNAP). התוכנית נוצרה כדי ליצור פעולות ואסטרטגיות ארוכות טווח במאמץ להגן על ארה”ב מפני איומי סייבר. מוקד התוכנית היה ליידע את הציבור על האיום הגובר של פשעי סייבר, לשפר את הגנת אבטחת הסייבר, להגן על מידע אישי של אמריקאים, ולהודיע ​​לאמריקאים כיצד לשלוט באבטחה דיגיטלית. אחד מנקודות השיא של תוכנית זו כולל יצירת “ועדה לשיפור אבטחת הסייבר הלאומית”. המטרה של זה היא ליצור ועדה המורכבת מקבוצה מגוונת של הוגים עם נקודות מבט שיכולות לתרום להמלצות כיצד ליצור אבטחת סייבר חזקה יותר עבור המגזר הציבורי והפרטי. גולת הכותרת השנייה של התוכנית היא שינוי IT ממשלתי. ה-IT החדש של הממשלה יהפוך את זה כך שניתן יהיה להקים IT מאובטח יותר. גולת הכותרת השלישית של התוכנית היא לתת לאמריקאים ידע כיצד הם יכולים לאבטח את חשבונותיהם המקוונים ולהימנע מגניבת המידע האישי שלהם באמצעות אימות רב-גורמי.
גולת הכותרת הרביעית של התוכנית היא להשקיע 35% יותר כסף שהושקע ב-2016 באבטחת סייבר.

מאמצים ממשלתיים אחרים
בנוסף לרגולציה, הממשלה הפדרלית ניסתה לשפר את אבטחת הסייבר על ידי הקצאת משאבים נוספים למחקר ושיתוף פעולה עם המגזר הפרטי לכתיבת תקנים. בשנת 2003, האסטרטגיה הלאומית של הנשיא לאבטחת המרחב הקיברנטי הפכה את המחלקה לביטחון המולדת (DHS) אחראית על המלצות אבטחה וחקר פתרונות לאומיים. התוכנית קוראת למאמצי שיתוף פעולה בין הממשלה לתעשייה “ליצור מערכת תגובת חירום להתקפות סייבר ולצמצם את הפגיעות של המדינה לאיומים כאלה” בשנת 2004, הקונגרס האמריקני הקצה 4.7 מיליארד דולר לטובת אבטחת סייבר והשגת רבים מהפעולות המטרות המוצהרות באסטרטגיה הלאומית של הנשיא לאבטחת המרחב הקיברנטי. כמה מומחי אבטחה בתעשייה מצהירים שהאסטרטגיה הלאומית של הנשיא לאבטחת המרחב הקיברנטי היא צעד ראשון טוב אך אינה מספקת. ברוס שנייר הצהיר, “האסטרטגיה הלאומית לאבטחת המרחב הקיברנטי עדיין לא הבטיחה דבר.” עם זאת, האסטרטגיה הלאומית של הנשיא קובעת בבירור כי המטרה היא לספק מסגרת לבעלי מערכות מחשוב לשיפור אבטחתן ולא שהממשלה תשתלט על הבעיה ותפתור אותה. עם זאת, חברות המשתתפות במאמצי שיתוף הפעולה המתוארים באסטרטגיה אינן נדרשות לאמץ את פתרונות האבטחה שהתגלו.

בארצות הברית, הקונגרס האמריקאי מנסה להפוך את המידע לשקוף יותר לאחר שחוק אבטחת הסייבר משנת 2012, שהיה יוצר סטנדרטים וולונטאריים להגנה על תשתיות חיוניות, לא הצליח לעבור בסנאט. בפברואר 2013 הוציא הבית הלבן צו ביצוע, שכותרתו “שיפור אבטחת הסייבר של תשתיות קריטיות”, המאפשר לרשות המבצעת לחלוק מידע על איומים עם חברות ואנשים נוספים. באפריל 2013 העביר בית הנבחרים את חוק השיתוף וההגנה על מודיעין סייבר (CISPA), הקורא להגן מפני תביעות משפטיות המכוונות לחברות שחושפות מידע על הפרה.
ממשל אובמה אמר שהוא עשוי להטיל וטו על הצעת החוק.

הודו
לאור הפריצה לאתר האינטרנט של הזרוע המסחרית של סוכנות החלל ההודית ב-2015, הודיעה תאגיד אנטריקס ותוכנית Digital India של הממשלה, מומחה לענייני סייבר ועורך דין בבית המשפט העליון של הודו, Pavan Duggal, כי “סייבר ייעודי חקיקת אבטחה כדרישת מפתח עבור הודו.
זה לא מספיק רק לשים את אבטחת הסייבר כחלק מחוק ה-IT.
אנחנו צריכים לראות את אבטחת הסייבר לא רק מנקודת המבט המגזרית, אלא גם מנקודת המבט הלאומית”.

האיחוד האירופי
תקני אבטחת סייבר היו בולטות מאוד בעסקים מונעי הטכנולוגיה של ימינו. כדי למקסם את הרווחים שלהם, תאגידים ממנפים את הטכנולוגיה על ידי הפעלת רוב הפעילות שלהם דרך האינטרנט. כיוון שקיימים מספר רב של סיכונים הכרוכים בפעולות של עבודה באינטרנט, פעולות כאלה חייבות להיות מוגנת בתקנות מקיפות ונרחבות. תקנות אבטחת סייבר קיימות מכסות כולן היבטים שונים של פעילות עסקית ולעתים קרובות משתנות לפי אזור או מדינה שבה העסק פועל. בגלל ההבדלים בחברה, בתשתית ובערכים של מדינה, תקן אבטחת סייבר אחד אינו אופטימלי להפחתת סיכונים. בעוד שתקנים אמריקאים מספקים בסיס לפעילות, האיחוד האירופי יצר רגולציה מותאמת יותר לעסקים הפועלים במיוחד בתוך האיחוד האירופי. כמו כן, לאור הברקזיט, חשוב לשקול כיצד בחרה בריטניה לדבוק בתקנות אבטחה מסוג זה.

שלוש תקנות עיקריות בתוך האיחוד האירופי כוללות את ENISA, את ה-NIS Directive ואת ה-EU GDPR.
הם חלק מאסטרטגיית השוק היחיד הדיגיטלי.

ENISA
סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) היא סוכנות שלטונית שהוקמה במקור על ידי תקנה (EC) מס’ 460/2004 של הפרלמנט האירופי ושל המועצה מה-10 במרץ 2004 למטרת העלאת רשת ואבטחת מידע ₪) עבור כל פעולות העבודה באינטרנט באיחוד האירופי.
ENISA פועלת כיום תחת תקנה (EU) מס’ 526/2013, אשר החליפה את הרגולציה המקורית בשנת 2013.
ENISA פועלת באופן פעיל עם כל המדינות החברות באיחוד האירופי כדי לספק מגוון שירותים.

מיקוד הפעילות שלהם הוא בשלושה גורמים:

המלצות למדינות החברות על דרכי הפעולה עבור פרצות אבטחה
תמיכה בקביעת מדיניות ויישום עבור כל המדינות החברות באיחוד האירופי
תמיכה ישירה עם ENISA הנוקטת בגישה מעשית לעבודה עם צוותים מבצעיים באיחוד האירופי
ENISA מורכבת מדירקטוריון ניהול המסתמך על תמיכת המנהל המבצע וקבוצת מחזיקי העניין הקבועים. עם זאת, רוב הפעולות מנוהלות על ידי ראשי מחלקות שונות.

ENISA פרסמה פרסומים שונים המכסים את כל הנושאים העיקריים בנושא אבטחת סייבר. יוזמות העבר והנוכחיות של ENISA כוללות את אסטרטגיית הענן של האיחוד האירופי, תקנים פתוחים בטכנולוגיית תקשורת מידע, אסטרטגיית אבטחת סייבר של האיחוד האירופי וקבוצת תיאום אבטחת סייבר.
ENISA עובדת גם בשיתוף פעולה עם ארגוני תקן בינלאומיים קיימים כמו ה- ISO וה- ITU.

הוראת NIS
ב-6 ביולי 2016, הפרלמנט האירופי קבע את מדיניות ההנחיה בנושא אבטחת רשתות ומערכות מידע הדירקטיבה של NIS.

ההנחיה נכנסה לתוקף באוגוסט 2016, ולכל המדינות החברות באיחוד האירופי ניתנו 21 חודשים לשלב את תקנות ההוראה בחוקים הלאומיים שלהן. מטרת הוראת ה-NIS היא ליצור רמה כללית גבוהה יותר של אבטחת סייבר באיחוד האירופי. ההוראה משפיעה באופן משמעותי על ספקי שירותים דיגיטליים (DSP) ומפעילי שירותים חיוניים (OES). מפעילי שירותים חיוניים כוללים כל ארגון שפעילותם תושפע במידה רבה במקרה של פרצת אבטחה אם הם יעסקו בפעילויות חברתיות או כלכליות קריטיות. גם DSPs וגם OES אחראים כעת לדיווח על אירועי אבטחה גדולים לצוותי תגובה לאירועי אבטחת מחשבים (CSIRT). בעוד ש-DSPs אינם כפופים לתקנות מחמירות כמו מפעילי שירותים חיוניים, DSPs שאינם מוקמים באיחוד האירופי אך עדיין פועלים באיחוד האירופי עדיין עומדים בפני תקנות. גם אם DSPs ו-OES מיקור חוץ את תחזוקת מערכות המידע שלהם לצדדים שלישיים, הוראת ה-NIS עדיין מחייבת אותם לכל אירועי אבטחה.

המדינות החברות באיחוד האירופי נדרשות ליצור אסטרטגיית הנחיית שקל, הכוללת את ה-CSIRTs, בנוסף לרשויות מוסמכות לאומיות (NCA) ונקודות מגע יחידות (SPOCs). משאבים כאלה מקבלים את האחריות לטפל בהפרות אבטחת סייבר באופן שממזער את ההשפעה. בנוסף, כל המדינות החברות באיחוד האירופי מעודדות לשתף מידע על אבטחת סייבר.

דרישות האבטחה כוללות אמצעים טכניים המנהלים את הסיכונים של פרצות אבטחת סייבר באופן מונע. גם DSP וגם OES חייבים לספק מידע המאפשר הערכה מעמיקה של מערכות המידע ומדיניות האבטחה שלהם. יש להודיע ​​ל-CSIRT על כל האירועים המשמעותיים. אירועי אבטחת סייבר משמעותיים נקבעים לפי מספר המשתמשים שהושפעו מפרצת האבטחה וכן אורך החיים של האירוע והטווח הגיאוגרפי של האירוע. 2 ₪ בהתהוות.

רק 23 מדינות חברות יישמו במלואן את הצעדים הכלולים בהנחיית ה-NIS. הליכי הפרה נגדם לאכיפת ההנחיה לא התקיימו והם לא צפויים להתקיים בזמן הקרוב.
יישום כושל זה הוביל לפיצול יכולות אבטחת הסייבר ברחבי האיחוד האירופי, כאשר סטנדרטים שונים, דרישות דיווח על אירועים ודרישות אכיפה מיושמות במדינות חברות שונות.

חוק אבטחת הסייבר של האיחוד האירופי
חוק אבטחת הסייבר של האיחוד האירופי קובע מסגרת הסמכת אבטחת סייבר לכל האיחוד האירופי עבור מוצרים, שירותים ותהליכים דיגיטליים.
הוא משלים את הוראת השקל.
ל-ENISA יהיה תפקיד מפתח בהקמת ותחזוקת מסגרת הסמכת אבטחת הסייבר האירופית.

GDPR של האיחוד האירופי
תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR) נקבעה ב-14 באפריל 2016, אך תאריך האכיפה הנוכחי נקבע ל-25 במאי 2018. מטרת ה-GDPR היא להביא תקן אחד להגנה על מידע בין כל החברים מדינות באיחוד האירופי. השינויים כוללים הגדרה מחדש של גבולות גיאוגרפיים. הוא חל על גופים הפועלים באיחוד האירופי או עוסקים בנתונים של כל תושב באיחוד האירופי. ללא קשר למקום שבו הנתונים מעובדים, אם הנתונים של אזרח האיחוד האירופי מעובדים, הישות כפופה כעת ל-GDPR.

הקנסות הם גם הרבה יותר מחמירים תחת ה-GDPR ויכולים להסתכם ב-20 מיליון אירו או 4% מהמחזור השנתי של ישות, הגבוה מביניהם. בנוסף, כמו בתקנות קודמות, יש לחשוף את כל הפרות הנתונים המשפיעות על הזכויות והחירויות של אנשים המתגוררים באיחוד האירופי תוך 72 שעות.

המועצה הכוללת, מועצת הגנת הנתונים של האיחוד האירופי, EDP, אחראית על כל הפיקוח שנקבע על ידי ה-GDPR.

הסכמה משחקת תפקיד מרכזי ב-GDPR. חברות שמחזיקות נתונים בנוגע לאזרחי האיחוד האירופי חייבות כעת להציע להן גם את הזכות לסגת משיתוף הנתונים באותה קלות כמו כשהן הסכימו לשיתוף נתונים.

בנוסף, אזרחים יכולים גם להגביל את העיבוד של הנתונים המאוחסנים בהם ויכולים לבחור לאפשר לחברות לאחסן את הנתונים שלהן אך לא לעבד אותם, מה שיוצר בידול ברור.
בניגוד לתקנות קודמות, ה-GDPR מגביל גם את העברת הנתונים של אזרח מחוץ לאיחוד האירופי או לצד שלישי ללא הסכמה מראש של אזרח.

ב-16 בינואר 2023, הפרלמנט והמועצה של האיחוד האירופי אימצו את 2022/2555 של הפרלמנט האירופי והמועצה מה-14 בדצמבר 2022 בדבר אמצעים לרמה משותפת גבוהה של אבטחת סייבר ברחבי האיחוד, תוך תיקון תקנה (EU) מס’ 910/2014 ודירקטיבה (EU) 2018/1972, וביטול הוראה (EU) 2016/1148 (הוראה 2 ש”ח).
הנחיה חדשה זו נועדה להרחיב את היקף החובות על גופים הנדרשים לנקוט באמצעים להגברת יכולות אבטחת הסייבר שלהם.
ההנחיה גם שמה לה למטרה להתאים את גישת האיחוד האירופי להודעות על אירועים, דרישות אבטחה, אמצעי פיקוח ושיתוף מידע.

חוק החוסן התפעולי הדיגיטלי (DORA)
DORA יוצרת מסגרת רגולטורית על חוסן תפעולי דיגיטלי לפיה כל החברות צריכות לוודא שהן יכולות לעמוד, להגיב ולהתאושש מכל סוגי ההפרעות והאיומים הקשורים ל-ICT.
דרישות אלה הומוגניות בכל המדינות החברות באיחוד האירופי.
ההוראה תחול החל מה-17 בינואר 2025 עבור גופים פיננסיים רלוונטיים וספקי שירותי ICT של צד שלישי.

חוק חוסן סייבר
חוק חוסן הסייבר (CRA) הוא תקנה שהוצעה ב-15 בספטמבר 2022 על ידי הנציבות האירופית המתארת ​​תקני אבטחת סייבר משותפים למוצרי חומרה ותוכנה באיחוד האירופי.

תגובות
בעוד מומחים מסכימים ששיפורי אבטחת הסייבר נחוצים, קיימת אי הסכמה אם הפתרון הוא יותר רגולציה ממשלתית או יותר חדשנות במגזר הפרטי.

תמיכה
פקידי ממשל רבים ומומחי אבטחת סייבר סבורים שהמגזר הפרטי לא הצליח לפתור את בעיית אבטחת הסייבר ויש צורך ברגולציה. ריצ’רד קלארק קובע כי “התעשייה מגיבה רק כאשר אתה מאיים על הרגולציה. אם התעשייה לא מגיבה , אתה צריך לבצע את זה”. הוא מאמין שיש לאלץ חברות תוכנה לייצר תוכניות מאובטחות יותר. ברוס שנייר גם תומך ברגולציה המעודדת חברות תוכנה לכתוב קוד מאובטח יותר באמצעות תמריצים כלכליים.
נציג ארה”ב ריק בוצ’ר D- VA מציע לשפר את אבטחת הסייבר על ידי הפיכת חברות תוכנה לאחריות לפגמי אבטחה בקוד שלהן.
בנוסף, לשיפור אבטחת התוכנה, קלארק מאמין שתעשיות מסוימות, כגון שירותים וספקיות אינטרנט, דורשות רגולציה.

התנגדות
מצד שני, מנהלים ולוביסטים רבים מהמגזר הפרטי מאמינים שיותר רגולציה תגביל את יכולתם לשפר את אבטחת הסייבר. האריס מילר, לוביסט ונשיא איגוד טכנולוגיות המידע של אמריקה, מאמין שרגולציה מעכבת חדשנות. גם ריק ווייט, עורך דין תאגידי לשעבר ונשיא ומנכ”ל קבוצת הלובי TechNet, מתנגד לרגולציה נוספת. הוא קובע כי “המגזר הפרטי חייב להמשיך להיות מסוגל לחדש ולהסתגל בתגובה לשיטות תקיפה חדשות במרחב הסייבר, ולשם כך אנו משבחים את הנשיא בוש והקונגרס על הפעלת איפוק רגולטורי”.

סיבה נוספת לכך שמנהלים רבים במגזר הפרטי מתנגדים לרגולציה היא שהיא יקרה וכרוכה בפיקוח ממשלתי על יזמות פרטית. חברות דואגות להקטנת הרווחים של רגולציה בדיוק כמו שהן מודאגות מהרגולציה המגבילה את הגמישות שלהן כדי לפתור את בעיית אבטחת הסייבר ביעילות.

במיוחד סביב ה-CRA, הדאגה מובעת על רוחב ההשפעה של ארגוני תוכנה חופשיים וקוד פתוח בולטים : Eclipse Foundation, Internet Society ו- Python Software Foundation. ארגונים אלו מעלים מספר השלכות שאינן מפורטות ברגולציה, שהם מסיקים שהם פוגעים מהותית בתנועת הקוד הפתוח. הם מציעים שינויים שיאפשרו שימוש בקוד פתוח באיחוד האירופי מבלי להיות מוסדר באותו אופן כפי שיהיה על מפתחי תוכנה מסחריים.