Правительство Италии хочет ужесточить наказание для хакеров
Правительство одобрило законопроект, ужесточающий наказание до 12 лет лишения свободы для тех, кто организует хакерскую атаку, и предусматривающий поблажки для тех, кто сотрудничает с правоохранительными органами.
Совет министров одобрил законопроект об усилении мер безопасности против киберпреступности. Поскольку это законопроект, а не указ, для вступления в силу он должен быть сначала обсужден, а затем одобрен парламентом, где в любом случае правительство пользуется поддержкой солидного большинства. Если законопроект будет принят в нынешнем виде, то будут ужесточены наказания, предусмотренные уголовным кодексом, расширено обязательство сообщать об атаках на государственную администрацию и введены льготы для тех, кто предоставит информацию, полезную для обнаружения виновных в кибератаках. По сути, преступные группировки, атакующие и шантажирующие государственные органы и компании, будут поставлены в один ряд с организованной преступностью.
В последние годы в Италии и во многих странах мира участились кибератаки. В основном объектами атак становятся крупные компании, больницы, университеты и местные органы власти. Наиболее распространенным методом, используемым преступниками, является атака с целью получения выкупа. Ransomware - это программа, которая после установки в компьютерную систему делает ее недоступной: используется криптографическая система, не позволяющая владельцу системы получить доступ к данным, и если компания или человек, подвергшийся кибератаке, хочет получить их обратно, он должен заплатить выкуп.
По данным Clusit, наиболее авторитетной итальянской ассоциации, занимающейся вопросами компьютерной безопасности, в первой половине 2023 года в Италии было зафиксировано 132 кибератаки, что на 40 % больше, чем за тот же период 2022 года. В частности, увеличилось количество атак на сектор здравоохранения, один из самых уязвимых: больницы и медицинские компании фактически управляют ценными данными и являются идеальной мишенью, поскольку они более доступны для шантажа, чем обычные компании. Промышленное производство можно временно остановить, а заботу о людях - нет.
Одно из главных нововведений нового законопроекта касается наказаний в Уголовно-процессуальном кодексе. Статья 615-ter, то есть неправомерный доступ к компьютеру или телематической системе, предусматривала наказание до трех лет с максимальным сроком до пяти, с некоторыми отягчающими обстоятельствами, такими как уничтожение данных. Новый законопроект увеличивает наказание до десяти лет с возможностью добавления еще двух лет, таким образом, в общей сложности до двенадцати, в случае необратимого повреждения или прерывания компьютерных услуг. Наказания могут быть увеличены и за другие правонарушения, такие как незаконное владение и распространение кодов доступа к компьютерным системам, незаконный перехват и владение инструментами для подслушивания. Киберпреступникам, помогающим правоохранительным органам, срок заключения может быть сокращен от половины до двух третей, если они предоставят информацию следователям или избегут неэффективной работы.
По словам заместителя секретаря президиума Совета Альфредо Мантовано, это не просто ужесточение наказаний, а изменение подхода к этим преступлениям и к расследованиям в целом с целью выявления киберпреступников. "Все эти преступления подпадают под категорию преступлений, связанных с организованной преступностью, и поэтому позволяют не только использовать более эффективные инструменты для расследования и выявления, но и координировать свои действия через окружное управление по борьбе с мафией (DDA) и Национальную прокуратуру по борьбе с мафией, поскольку речь идет о преступлениях без территории", - сказал он. Мантовано отметил, что это вмешательство было необходимо, поскольку действующим законам уже почти 20 лет.
Если законопроект вступит в силу без изменений, обязательство уведомлять о кибератаках будет распространено и на государственную администрацию: национальное агентство кибербезопасности (NCA) должно быть уведомлено в течение 24 часов с момента атаки. Обязательство, которое уже действует для различных категорий компаний в различных формах, будет распространено на муниципалитеты с населением более 100 000 жителей, столицы регионов, городские компании общественного транспорта с населением не менее 100 000 жителей и местные органы здравоохранения. Все эти местные органы власти также должны будут нанять сотрудника по информационной безопасности. Кроме того, для тех, кто не соблюдает обязательства, предусмотрены штрафы в размере от 25 до 125 тысяч евро.