I Tyskland denna vecka, den juridiska limbo som definierar cyberrymden runt om i världen visades för fullt.

Landets förbundskontor för IT -säkerhet (BSI för dess tyska initialer) hade följt en cyberattack riktad mot några av landets parlamentariker sedan början av december. Det ledde till slut till offentliggörandet av mobiltelefonnummer, kreditkortsinformation och ID -kortuppgifter för hundratals riksdagsledamöter, och andra offentliga personer.

Bara några parlamentsledamöter informerades av BSI om attackerna, medan andra fick veta om dem först efter att detaljerna publicerats i media. MP var upprörda över att BSI inte hade underrättat dem om att deras personuppgifter var riktade, trots att man visste om element i attacken i upp till fyra veckor.

En djupare oro, uppfostrad av några parlamentsledamöter, var det under samma period, BSI (som inte är en brottsbekämpande myndighet) informerade inte den tyska polisen om att ett politiskt brott av denna allvarlighet kan ha begåtts. En gång förlovad, polisen hittade snabbt en misstänkt som enligt uppgift erkände.

Dataintrång, om uppgifter äventyras offentligt, är ett brott i de flesta länder. Brottet består helt enkelt av olaglig åtkomst till data eller maskiner. Men få länder har lagar som kräver att deras cyberbyråer som övervakar hackning rapporterar kriminella handlingar - antingen till tredje parts offer eller till polisen.

Detta juridiska vakuum måste åtgärdas snarast.

Är hackning ett "allvarligt brott"?

Utmaningen för cyberbyråer eller privata företag som upptäcker ett hack är att dessa händelser är mycket vanliga. Miljontals äger rum varje dag, och komplex rättsmedicinsk information måste samlas för att bedöma vilka incidenter som är tillräckligt allvarliga för att kräva anmälan. Detta skapar en defacto, men dåligt definierat, skillnad mellan "småbrott" (de flesta hack) och "allvarlig brottslighet".

Vad detta innebär i verkligheten kan illustreras av praxis i den australiensiska staten New South Wales. I NSW, det finns en skyldighet enligt brottslagen att rapportera grova brott. Dessa definieras som de som drar till sig straff på fem år eller mer i fängelse. Men när det gäller cyberhacking, Det är ofta inte omedelbart klart om omfattningen av ett hack skulle utlösa en sådan straffgräns.

Denna osäkerhet spelade i det tyska hacket, med BSI som motiverade sitt underlåtenhet att meddela med påståendet försökte han fortfarande analysera det, och visste inte hela omfattningen av det.

Även efter att ha gripit den misstänkte och känt till omfattningen av attacken, chefen för cybersäkerhet vid Federal Police Office (BKA) sa att det fortfarande är oklart om hacket var ett allvarligt brott inspirerat av politiska motiv. Misstanken att det kan ha varit politiskt motiverad härrör från det faktum att det enda politiska parti vars parlamentsledamöter inte var riktade mot extrempartiet, AfD.

Vad 'obligatorisk rapportering' betyder i Australien

År 2018, efter en lång offentlig debatt, Australien införde systemet för anmälningsbara dataintrång (NDB) som en ändring av integritetslagen. NDB kräver att företag meddelar informationskommissionären (inte polisen). liksom alla offer, om personuppgifter de innehar äventyras på ett sätt som utgör en allvarlig kränkning av integriteten.

Denna civilrättsliga bestämmelse är mycket svag pga. till viss del, till att det tillåter det berörda företaget eller byrån att själv bedöma allvaret i överträdelsen under en 30-dagarsperiod innan anmälningsskyldigheten börjar.

Det är också svagt eftersom det finns ett omfattande undantag för brottsbekämpning, och för regeringens sekretessbehov. Australiska cyberbyråer, såsom Australian Signals Directorate och Australian Center for Cyber ​​Security, verkar ha noll skyldighet att antingen berätta för polisen eller offren att det har skett ett hack eller ett dataintrång.

Det betyder, om australiensiska cyberbyråer fick veta att en utländsk regering hade hackat en australiensisk medborgare, offret får aldrig bli berättat. Eller om familjefoton av ett oklädd barn hackades från en familjedator av en pedofil, offrets familj kanske aldrig vet.

En rätt att veta?

I många länder, cyberbyråer meddelar stora företag om vissa hackattacker, oavsett typ eller skala. Det finns flera motiv för denna mestadels frivilliga övning. Det ena är att hjälpa företag att inse allvaret i statssponserat spionage mot dem. En annan är att hjälpa cyberbyrån själv att samordna en undersökning av hacket, och ta reda på vad som kan ha gått förlorat.

Det är inte samma sak som polisen som utreder brottet.

I de flesta länder, endast polisbyråer är behöriga att utreda brott i syfte att väcka åtal. Få jurisdiktioner, om någon, har formellt förtydligat hur polis och domstolar kan förlita sig på information om cyberhacks som samlas in av cyberbyråer eller säkerhetsföretag.

Australien har ännu inte haft en seriös debatt om cyberbrottsrapportering, och dess rättsmedicinska komplexitet:vem är ansvarig för vad, och var prioriteringarna ska ligga. Det är minst ett decennium försenat.

Samtidigt som man inser att det måste göras en skillnad mellan små och allvarliga cyberbrott, en sådan debatt bör erkänna medborgarnas rätt att bli informerad av våra cyberbyråer när de har blivit överfallna i cyberutrymme och, om möjligt, av vem.

Denna artikel publiceras från The Conversation under en Creative Commons -licens. Läs originalartikeln.