home *** CD-ROM | disk | FTP | other *** search
/ synchro.net / synchro.net.tar / synchro.net / main / INTERNET / S2430IS.TXT < prev    next >
Encoding:
INI File  |  2000-04-12  |  23.0 KB  |  405 lines
  1. [Congressional Record: April 13, 2000 (Senate)]
  2. [Page S2729-S2771]
  3. From the Congressional Record Online via GPO Access [wais.access.gpo.gov]
  4. [DOCID:cr13ap00pt2-155]
  5.  
  6.  
  7.           STATEMENTS ON INTRODUCED BILLS AND JOINT RESOLUTIONS
  8.  
  9. [Excerpt]
  10.  
  11.       By Mr. LEAHY:
  12.   S. 2430. A bill to combat computer hacking through enhanced law
  13. enforcement and to protect the privacy and constitutional rights of
  14. Americans, and for other purposes; to the Committee on the Judiciary.
  15.  
  16.                      Internet Security Act of 2000
  17.  
  18.   Mr. LEAHY. Mr. President, as we head into the twenty-first century,
  19. computer-related crime is one of the greatest challenges facing law
  20. enforcement. Many of our critical infrastructures and our government
  21. depend upon the reliability and security of complex computer systems.
  22. We need to make sure that these essential systems are protected from
  23. all forms of attack. The legislation I am introducing today will help
  24. law enforcement investigate and prosecute those who jeopardize the
  25. integrity of our computer systems and the Internet.
  26.   Whether we work in the private sector or in government, we negotiate
  27. daily through a variety of security checkpoints designed to protect
  28. ourselves from being victimized by crime or targeted by terrorists. For
  29. instance, congressional buildings like this one use cement pillars
  30. placed at entrances, photo identification cards, metal detectors, x-ray
  31. scanners, and security guards to protect the physical space. These
  32. security steps and others have become ubiquitous in the private sector
  33. as well.
  34.   Yet all these physical barriers can be circumvented using the wires
  35. that run into every building to support the computers and computer
  36. networks that are the mainstay of how we communicate and do business.
  37. This plain fact was amply demonstrated by the recent hacker attacks on
  38. E-Trade, ZDNet, Datek, Yahoo, eBay, Amazon.com and other Internet
  39. sites. These attacks raise serious questions about Internet security--
  40. questions that we need to answer to ensure the long-term stability of
  41. electronic commerce. More importantly, a well-focused and more malign
  42. cyber-attack on computer networks that support telecommunications,
  43. transportation, water supply, banking, electrical power and other
  44. critical infrastructure systems could wreak havoc on our national
  45. economy or even jeopardize our national defense. We have learned that
  46. even law enforcement is not immune. Just recently we learned of a
  47. denial of service attack successfully perpetrated against a FBI web
  48. site, shutting down that site for several hours.
  49.   The cybercrime problem is growing. The reports of the CERT
  50. Coordination Center (formerly called the ``Computer Emergency Response
  51. Team''), which was established in 1988 to help the Internet community
  52. detect and resolve computer security incidents, provide chilling
  53. statistics on the vulnerabilities of the Internet and the scope of the
  54. problem. Over the last decade, the number of reported computer security
  55. incidents grew from 6 in 1988 to more than 8,000 in 1999. But that
  56. alone does not reveal the scope of the problem. According to CERT's
  57. most recent annual report, more than four million computer hosts were
  58. affected by the computer security incidents in 1999 alone by damaging
  59. computer viruses, with names like ``Melissa,'' ``Chernobyl,''
  60. ``ExploreZip,'' and by the other ways that remote intruders have found
  61. to exploit system vulnerabilities. Even before the recent headline-
  62. grabbing ``denial-of-service'' attacks, CERT documented that such
  63. incidents ``grew at rate around 50% per year'' which was ``greater than
  64. the  rate of growth of Internet hosts.''
  65.  
  66.   CERT has tracked recent trends in severe hacking incidents on the
  67. Internet and made the following observations, First, hacking techniques
  68. are getting more sophisticated. That means law enforcement is going to
  69. have to get smarter too, and we need to give them the resources to do
  70. this. Second, hackers have ``become increasingly difficult to locate
  71. and identify.'' These criminals are operating in many different
  72. locations and are using techniques that allow them to operate in
  73. ``nearly total obscurity.''
  74.   We have been aware of the vulnerabilities to terrorist attacks of our
  75. computer networks for more than a decade. It became clear to me, when I
  76. chaired a series of hearings in 1988 and 1989 by the Subcommittee on
  77. Technology and the Law in the Senate Judiciary Committee on the subject
  78. of high-tech terrorism and the threat of computer viruses, that merely
  79. ``hardening'' our physical space from potential attack would only
  80. prompt committed criminals and terrorists to switch tactics and use new
  81. technologies to reach vulnerable softer targets, such as our computer
  82. systems and other critical infrastructures. The government has a
  83. responsibility to work with those in the private sector to assess those
  84. vulnerabilities and defend them. That means making sure our law
  85. enforcement agencies have the tools they need, but also that the
  86. government does not stand in the way of smart technical solutions to
  87. defend our computer systems.
  88.   Targeting cybercrime with up-to-date criminal laws and tougher law
  89. enforcement is only part of the solution. While criminal penalties may
  90. deter some computer criminals, these laws usually come into play too
  91. late, after the crime has been committed and the injury inflicted. We
  92. should keep in mind the adage that the best defense is a good offense.
  93. Americans and American firms must be encouraged to take preventive
  94. measures to protect their computer information and systems. Just
  95. recently, internet providers and companies such as Yahoo! and
  96. Amazon.com Inc., and computer hardware companies such a Cisco Systems
  97. Inc., proved successful at stemming attacks within hours thereby
  98. limiting losses.
  99.   That is why, for years, I have advocated and sponsored legislation to
  100. encourage the widespread use of strong encryption. Encryption is an
  101. important tool in our arsenal to protect the security of our computer
  102. information and networks. The Administration made enormous progress
  103. earlier this year when it issued new regulations relaxing export
  104. controls on strong encryption. Of course, encryption technology cannot
  105. be the sole source of protection for our critical computer networks and
  106. computer-based infrastructure, but we need to make sure the government
  107. is encouraging--and not restraining--the use of strong encryption and
  108. other technical solutions to protecting our computer systems.
  109.   Congress has responded again and again to help our law enforcement
  110. agencies keep up with the challenges of new crimes being executed over
  111. computer networks. In 1984, we passed the Computer Fraud and Abuse Act,
  112. and  its amendments, to criminalize conduct when carried out by means
  113. of unauthorized access to a computer. In 1986, we passed the Electronic
  114. Communications Privacy Act (ECPA), which I was proud to sponsor, to
  115. criminalize tampering with electronic mail systems and remote data
  116. processing systems and to protect the privacy of computer users. In the
  117. 104th Congress, Senators Kyl, Grassley, and I worked together to enact
  118. the National Information Infrastructure Protection Act to increase
  119. protection under federal criminal law for both government and private
  120. computers, and to address an emerging problem of computer-age blackmail
  121. in which a criminal threatens to harm or shut down a computer system
  122. unless their extortion demands are met.
  123.  
  124. [[Page S2739]]
  125.  
  126.   In this Congress, I have introduced a bill with Senator DeWine, the
  127. Computer Crime Enforcement Act, S. 1314, to set up a $25 million grant
  128. program within the U.S. Department of Justice for states to tap for
  129. improved education, training, enforcement and prosecution of computer
  130. crimes. All 50 states have now enacted tough computer crime control
  131. laws. These state laws establish a firm groundwork for electronic
  132. commerce and Internet security. Unfortunately, too many state and local
  133. law enforcement agencies are struggling to afford the high cost of
  134. training and equipment necessary for effective enforcement of their
  135. state computer crime statutes. Our legislation, the Computer Crime
  136. Enforcement Act, would help state and local law enforcement join the
  137. fight to combat the worsening threats we face from computer crime.
  138.   Computer crime is a problem nationwide and in Vermont. I recently
  139. released a survey on computer crime in Vermont. My office surveyed 54
  140. law enforcement agencies in Vermont--43 police departments and 11
  141. State's attorney offices--on their experience investigating and
  142. prosecuting computer crimes. The survey found that more than half of
  143. these Vermont law enforcement agencies encounter computer crime, with
  144. many police departments and state's attorney offices handling 2 to 5
  145. computer crimes per month.
  146.   Despite this documented need, far too many law enforcement agencies
  147. in Vermont cannot afford the cost of policing against computer crimes.
  148. Indeed, my survey found that 98% of the responding Vermont law
  149. enforcement agencies do not have funds dedicated for use in computer
  150. crime enforcement.
  151.   My survey also found that few law enforcement officers in Vermont are
  152. properly trained in investigating computer crimes and analyzing cyber-
  153. evidence. According to my survey, 83% of responding law enforcement
  154. agencies in Vermont do not employ officers properly trained in computer
  155. crime investigative techniques. Moreover, my survey found that 52% of
  156. the law enforcement agencies that handle one or more computer crimes
  157. per month cited their lack of training as a problem encountered during
  158. investigations. Proper training is critical to ensuring success in the
  159. fight against computer crime.
  160.   This bill will help our computer crime laws up to date as an
  161. important backstop and deterrent. I believe that our current computer
  162. crime laws can be enhanced and that the time to act is now. We should
  163. pass legislation designed to improve our law enforcement efforts while
  164. at the same time protecting the privacy rights of American citizens.
  165.   The bill I offer today will make it more efficient for law
  166. enforcement to use tools that are already available--such as pen
  167. registers and trap and trace devices--to track down computer criminals
  168. expeditiously. It will ensure that law enforcement can investigate and
  169. prosecute hacker attacks even when perpetrators use foreign-based
  170. computers to facilitate their crimes. It will implement criminal
  171. forfeiture provisions to ensure that cybercriminals are forced to
  172. relinquish the tools of their trade upon conviction. It will also close
  173. a current loophole in our wiretap laws that prevents a law enforcement
  174. officer from monitoring an innocent-host computer with the consent of
  175. the computer's owner and without a wiretap order to track down the
  176. source of denial-of-service attacks. Finally, this legislation will
  177. assist state and local police departments in their parallel efforts to
  178. combat cybercrime, in recognition of the fact that this fight is not
  179. just at the federal level.
  180.   The key provisions of the bill are:
  181.   Jurisdictional and Definitional Changes to the Computer Fraud and
  182. Abuse Act: The Computer Fraud and Abuse Act, 18 U.S.C. Sec. 1030, is
  183. the primary federal criminal statute prohibiting computer frauds and
  184. hacking. This bill would amend the statute to clarify the appropriate
  185. scope of federal jurisdiction. First, the bill adds a broad definition
  186. of ``loss'' to the definitional section. Calculation of loss is
  187. important both in determining whether the $5,000 jurisdictional hurdle
  188. in the statute is met, and, at sentencing, in calculating the
  189. appropriate guideline range and restitution amount.
  190.   Second, the bill amends the definition of ``protected computer,'' to
  191. expressly include qualified computers even when they are physically
  192. located outside of the United States. This clarification will preserve
  193. the ability of the United States to assist in international hacking
  194. cases. A ``Sense of Congress'' provision specifies that federal
  195. jurisdiction is justified by the ``interconnected and interdependent
  196. nature of computers used in interstate or foreign commerce.''
  197.   Finally, the bill expands the jurisdiction of the United States
  198. Secret Service to encompass investigations of all violations of 18
  199. U.S.C. Sec. 1030. Prior to the 1996 amendments to the Computer Fraud
  200. and Abuse Act, the Secret Service was authorized to investigate any and
  201. all violations of section 1030, pursuant to an agreement between the
  202. Secretary of Treasury and the Attorney General. The 1996 amendments,
  203. however, concentrated Secret Service jurisdiction on certain specified
  204. subsections of section 1030. The current amendment would return full
  205. jurisdiction to the Secret Service and would allow the Justice and
  206. Treasury Departments to decide on the appropriate work-sharing balance
  207. between the two.
  208.   Elimination of Mandatory Minimum Sentence for Certain Violations of
  209. Computer Fraud and Abuse Act: Currently, a directive to the Sentencing
  210. Commission requires that all violations, including misdemeanor
  211. violations, of  certain provisions of the Computer Fraud and Abuse Act
  212. be punished with a term of imprisonment of at least six months. The
  213. bill would change this directive to the Sentencing Commission so that
  214. no such mandatory minimum would be required.
  215.  
  216.   Additional Criminal Forfeiture Provisions: The bill adds a criminal
  217. forfeiture provision to the Computer Fraud and Abuse Act, requiring
  218. forfeiture of physical property used in or to facilitate the offense as
  219. well as property derived from proceeds of the offense. It also
  220. supplements the current forfeiture provision in 18 U.S.C. 2318, which
  221. prohibits trafficking in, among other things, counterfeit computer
  222. program documentation and packaging, to require the forfeiture of
  223. replicators and other devices used in the production of such
  224. counterfeit items.
  225.   Pen Registers and Trap and Trace Devices: The bill makes it easier
  226. for law enforcement to use these investigative techniques in the area
  227. of cybercrime, and institutes corresponding privacy protections. On the
  228. law enforcement side, the bill gives nationwide effect to pen register
  229. and trap and trace orders obtained by Government attorneys, thus
  230. obviating the need to obtain identical orders in multiple federal
  231. jurisdictions. It also clarifies that such devices can be used on all
  232. electronic communication lines, not just telephone lines. On the
  233. privacy side, the bill provides for greater judicial review of
  234. applications for pen registers and trap and trace devices and
  235. institutes a minimization requirement for the use of such devices. The
  236. bill also amends the reporting requirements for applications for such
  237. devices by specifying the information to be reported.
  238.   Denial of Service Investigations: Currently, a person whose computer
  239. is accessed by a hacker as a means for the hacker to reach a third
  240. computer cannot simply consent to law enforcement monitoring of his
  241. computer. Instead, because this person is not technically a party to
  242. the communication, law enforcement needs wiretap authorization under
  243. Title III to conduct such monitoring. The bill will close this loophole
  244. by explicitly permitting such monitoring without a wiretap if prior
  245. consent is obtained from the person whose computer is being hacked
  246. through and used to send ``harmful interference to a lawfully operating
  247. computer system.''
  248.   Encryption Reporting: The bill directs the Attorney General to report
  249. the number of wiretap orders in which encryption was encountered and
  250. whether such encryption precluded law enforcement from obtaining the
  251. plaintext of intercepted communications.
  252.   State and Local Computer Crime Enforcement: The bill directs the
  253. Office of Federal Programs to make grants to assist State and local law
  254. enforcement in the investigation and prosecution of computer crime.
  255.   Legislation must be balanced to protect our privacy and other
  256. constitutional rights. I am a strong proponent
  257.  
  258. [[Page S2740]]
  259.  
  260. of the Internet and a defender of our constitutional rights to speak
  261. freely and to keep private our confidential affairs from either private
  262. sector snoops or unreasonable government searches. These principles can
  263. be respected at the same time we hold accountable those malicious
  264. mischief makers and digital graffiti sprayers, who use computers to
  265. damage or destroy the property of others. I have seen Congress react
  266. reflexively in the past to address concerns over anti-social behavior
  267. on the Internet with legislative proposals that would do more harm than
  268. good. A good example of this is the Communications Decency Act, which
  269. the Supreme Court declared unconstitutional. We must make sure that our
  270. legislative efforts are precisely targeted on stopping destructive acts
  271. and that we avoid scattershot proposals that would threaten, rather
  272. than foster, electronic commerce and sacrifice, rather than promote,
  273. our constitutional rights.
  274.   Technology has ushered in a new age filled with unlimited potential
  275. for commerce and communications. But the Internet age has also ushered
  276. in new challenges for federal, state and local law enforcement
  277. officials. Congress and the Administration need to work together to
  278. meet these new challenges while preserving the benefits of our new era.
  279. The legislation I offer today is a step in that direction.
  280.   Mr. President, I ask unanimous consent that the text of the bill be
  281. printed in the Record.
  282.   There being no objection, the bill was ordered to be printed in the
  283. Record, as follows:
  284.  
  285.                                 S. 2430
  286.  
  287.        Be it enacted by the Senate and House of Representatives of
  288.      the United States of America in Congress assembled,
  289.  
  290.      SECTION 1. SHORT TITLE.
  291.  
  292.        This Act may be cited as the ``Internet Security Act of
  293.      2000''.
  294.  
  295.      SEC. 2. AMENDMENTS TO THE COMPUTER FRAUD AND ABUSE ACT.
  296.  
  297.        Section 1030 of title 18, United States Code, is amended--
  298.        (1) in subsection (a)--
  299.        (A) in paragraph (5)--
  300.        (i) by inserting ``(i)'' after ``(A)'' and redesignating
  301.      subparagraphs (B) and (C) as clauses (ii) and (iii),
  302.      respectively;
  303.        (ii) in subparagraph (A)(iii), as redesignated, by adding
  304.      ``and'' at the end; and
  305.        (iii) by adding at the end the following:
  306.        ``(B) the conduct described in clause (i), (ii), or (iii)
  307.      of subparagraph (A)--
  308.        ``(i) caused loss aggregating at least $5,000 in value
  309.      during a 1-year period to 1 or more individuals;
  310.        ``(ii) modified or impaired, or potentially modified or
  311.      impaired, the medical examination, diagnosis, treatment, or
  312.      care of 1 or more individuals;
  313.        ``(iii) caused physical injury to any person; or
  314.        ``(iv) threatened public health or safety;''; and
  315.        (B) in paragraph (6), by adding ``or'' at the end;
  316.        (2) in subsection (c)--
  317.        (A) in paragraph (2)--
  318.        (i) in subparagraph (A), by striking ``and'' at the end;
  319.      and
  320.        (ii) in subparagraph (B), by inserting ``or an attempted
  321.      offense'' after ``in the case of an offense''; and
  322.        (B) by adding at the end the following:
  323.        ``(4) forfeiture to the United States in accordance with
  324.      subsection (i) of the interest of the offender in--
  325.        ``(A) any personal property used or intended to be used to
  326.      commit or to facilitate the commission of the offense; and
  327.        ``(B) any property, real or personal, that constitutes or
  328.      that is derived from proceeds traceable to any violation of
  329.      this section.'';
  330.        (3) in subsection (d)--
  331.        (A) by striking ``subsections (a)(2)(A), (a)(2)(B), (a)(3),
  332.      (a)(4), (a)(5), and (a)(6) of''; and
  333.        (B) by striking ``which shall be entered into by'' and
  334.      inserting ``between'';
  335.        (4) in subsection (e)--
  336.        (A) in paragraph (2)(B), by inserting ``, including
  337.      computers located outside the United States'' before the
  338.      semicolon;
  339.        (B) in paragraph (4), by striking the period at the end and
  340.      inserting a semicolon;
  341.        (C) in paragraph (7), by striking ``and'' at the end;
  342.        (D) in paragraph (8), by striking ``, that'' and all that
  343.      follows through ``; and'' and inserting a semicolon;
  344.        (E) in paragraph (9), by striking the period at the end and
  345.      inserting ``; and''; and
  346.        (F) by adding at the end the following:
  347.        ``(10) the term `loss' includes--
  348.        ``(A) the reasonable costs to any victim of--
  349.        ``(i) responding to the offense;
  350.        ``(ii) conducting a damage assessment; and
  351.        ``(iii) restoring the system and data to their condition
  352.      prior to the offense; and
  353.        ``(B) any lost revenue or costs incurred by the victim as a
  354.      result of interruption of service.'';
  355.        (5) in subsection (g), by striking ``Damages for violations
  356.      involving damage as defined in subsection (c)(8)(A)'' and
  357.      inserting ``losses specified in subsection (a)(5)(B)(i)'';
  358.      and
  359.        (6) by adding at the end the following:
  360.        ``(i) Provisions Governing Forfeiture.--Property subject to
  361.      forfeiture under this section, any seizure and disposition
  362.      thereof, and any administrative or judicial proceeding in
  363.      relation thereto, shall be governed by subsection (c) and
  364.      subsections (e) through (p) of section 413 of the
  365.      Comprehensive Drug Abuse Prevention and Control Act of 1970
  366.      (21 U.S.C. 853).''.
  367.  
  368.      SEC. 3. SENSE OF CONGRESS.
  369.  
  370.        It is the sense of Congress that--
  371.        (1) acts that damage or attempt to damage computers used in
  372.      the delivery of critical infrastructure services such as
  373.      telecommunications, energy, transportation, banking and
  374.      financial services, and emergency and government services
  375.      pose a serious threat to public health and safety and cause
  376.      or have the potential to cause losses to victims that include
  377.      costs of responding to offenses, conducting damage
  378.      assessments, and restoring systems and data to their
  379.      condition prior to the offense, as well as lost revenue and
  380.      costs incurred as a result of interruptions of service; and
  381.        (2) the Federal Government should have jurisdiction to
  382.      investigate acts affecting protected computers, as defined in
  383.      section 1030(e)(2)(B) of title 18, United States Code, as
  384.      amended by this Act, even if the effects of such acts occur
  385.      wholly outside the United States, as in such instances a
  386.      sufficient Federal nexus is conferred through the
  387.      interconnected and interdependent nature of computers used in
  388.      interstate or foreign commerce or communication.
  389.  
  390.      SEC. 4. MODIFICATION OF SENTENCING COMMISSION DIRECTIVE.
  391.  
  392.        Pursuant to its authority under section 994(p) of title 28,
  393.      United States Code, the United States Sentencing Commission
  394.      shall amend the Federal sentencing guidelines to ensure that
  395.      any individual convicted of a violation of paragraph (4) or
  396.      (5) of section 1030(a) of title 18, United States Code, can
  397.      be subjected to appropriate penalties, without regard to any
  398.      mandatory minimum term of imprisonment.
  399.  
  400.      SEC. 5. FORFEITURE OF DEVICES USED IN COMPUTER SOFTWARE
  401.                    COUNTERFEITING.
  402.  
  403.        Section 2318(d) of title 18, United States Code, is amended
  404.      by--
  405.        (1) inserting