home *** CD-ROM | disk | FTP | other *** search
/ Telecom / 1996-04-telecom-walnutcreek.iso / security-fraud / sentencing.guidelines < prev    next >
Encoding:
Internet Message Format  |  1993-01-31  |  15.0 KB
  1. From telecom@delta.eecs.nwu.edu Mon Feb  1 10:12:37 1993
  2. Received: from delta.eecs.nwu.edu by gaak.LCS.MIT.EDU via TCP with SMTP
  3.     id AA00606; Mon, 1 Feb 93 10:12:31 EST
  4. Received: by delta.eecs.nwu.edu id AA13053
  5.   (5.65c/IDA-1.4.4 for ptownson@gaak.lcs.mit.edu); Mon, 1 Feb 1993 09:11:45 -0600
  6. Date: Mon, 1 Feb 1993 09:11:45 -0600
  7. From: TELECOM Moderator <telecom@delta.eecs.nwu.edu>
  8. Message-Id: <199302011511.AA13053@delta.eecs.nwu.edu>
  9. To: ptownson@gaak.LCS.MIT.EDU
  10. Subject: computer crime put in security files
  11. Status: R
  12.  
  13.  
  14. Path: telecom-request@eecs.nwu.edu
  15. From: TELECOM Moderator
  16. Newsgroups: comp.dcom.telecom
  17. Subject: Federal Crackdown on Computer Abuse and Misuse 
  18. Message-ID: <02.01.93.1@eecs.nwu.edu>
  19. Date: Mon, 1 Feb 1993 09:10:00 CST
  20. Sender: telecom@eecs.nwu.edu
  21. Reply-To: TELECOM Moderator <telecom@eecs.nwu.edu>
  22. Organization: TELECOM Digest
  23. Lines: 314 
  24. Approved: Telecom@eecs.nwu.edu
  25. X-Submissions-To: telecom@eecs.nwu.edu
  26. X-Administrivia-To: telecom-request@eecs.nwu.edu
  27.  
  28. I received this file over the weekend and am passing it along FYI to
  29. TELECOM Digest readers. It appears the government wants to see time in
  30. prison for anyone/everyone found guilty of numerous crimes involving
  31. the use of computers, based on the sentencing guidelines proposed.
  32.  
  33. Comments should be directed to the CPSR, the Sentencing Commission, or
  34. one of the newsgroups/mailing lists where the discussion will no doubt
  35. be continuing, such as Computer Underground Digest. 
  36.  
  37.  
  38. PAT
  39.  
  40.    Organization: Computer Professionals for Social Responsibility
  41.    From: Dave Banisar <banisar@washofc.cpsr.org>
  42.    Date: Sat, 30 Jan 1993 15:12:11 EST    
  43.    Subject: Revised Computer Crime Sentencing Guidelines
  44.  
  45.    From Jack King (gjk@well.sf.ca.us)
  46.  
  47. The U.S. Dept. of Justice has asked the U.S. Sentencing Commission to
  48. promulgate a new federal sentencing guideline, Sec. 2F2.1,
  49. specifically addressing the Computer Fraud and Abuse Act of 1988 (18
  50. USC 1030), with a base offense level of 6 and enhancements of 4 to 6
  51. levels for violations of specific provisions of the statute.  The new
  52. guideline practically guarantees some period of confinement, even for
  53. first offenders who plead guilty.
  54.  
  55. For example, the guideline would provide that if the defendant
  56. obtained ``protected'' information (defined as ``private information,
  57. non-public government information, or proprietary commercial
  58. information), the offense level would be increased by two; if the
  59. defendant disclosed protected information to any person, the offense
  60. level would be increased by four levels, and if the defendant
  61. distributed the information by means of "a general distribution
  62. system," the offense level would go up six levels.
  63.  
  64. The proposed commentary explains that a "general distribution system"
  65. includes "electronic bulletin board and voice mail systems,
  66. newsletters and other publications, and any other form of group
  67. dissemination, by any means."
  68.  
  69. So, in effect, a person who obtains information from the computer of
  70. another, and gives that information to another gets a base offense
  71. level of 10; if he used a 'zine or BBS to disseminate it, he would get
  72. a base offense level of 12. The federal guidelines prescribe 6-12
  73. months in jail for a first offender with an offense level of 10, and
  74. 10-16 months for same with an offense level of 12.  Pleading guilty
  75. can get the base offense level down by two levels; probation would
  76. then be an option for the first offender with an offense level of 10
  77. (reduced to 8).  But remember: there is no more federal parole.  The
  78. time a defendant gets is the time s/he serves (minus a couple days a
  79. month "good time").
  80.  
  81. If, however, the offense caused an economic loss, the offense level
  82. would be increased according to the general fraud table (Sec. 2F1.1).
  83. The proposed commentary explains that computer offenses often cause
  84. intangible harms, such as individual privacy rights or by impairing
  85. computer operations, property values not readily translatable to the
  86. general fraud table. The proposed commentary also suggests that if the
  87. defendant has a prior conviction for "similar misconduct that is not
  88. adequately reflected in the criminal history score, an upward
  89. departure may be warranted." An upward departure may also be
  90. warranted, DOJ suggests, if "the defendant's conduct has affected or
  91. was likely to affect public service or confidence" in "public
  92. interests" such as common carriers, utilities, and institutions.
  93.  
  94. Based on the way U.S. Attorneys and their computer experts have
  95. guesstimated economic "losses" in a few prior cases, a convicted
  96. tamperer can get whacked with a couple of years in the slammer, a
  97. whopping fine, full "restitution" and one to two years of supervised
  98. release (which is like going to a parole officer). (Actually, it *is*
  99. going to a parole officer, because although there is no more federal
  100. parole, they didn't get rid of all those parole officers. They have
  101. them supervise convicts' return to society.)
  102.  
  103. This, and other proposed sentencing guidelines, can be found at 57 Fed
  104. Reg 62832-62857 (Dec. 31, 1992).
  105.  
  106. The U.S. Sentencing Commission wants to hear from YOU.  Write: U.S.
  107. Sentencing Commission, One Columbus Circle, N.E., Suite 2-500,
  108. Washington DC 20002-8002, Attention: Public Information.  Comments
  109. must be received by March 15, 1993.
  110.  
  111.  
  112.                                   * * *
  113.  
  114. Actual text of relevant ammendments:
  115.  
  116.                 UNITED STATES SENTENCING COMMISSION
  117.             AGENCY: United States Sentencing Commission.
  118.                           57  FR  62832
  119.  
  120.                         December 31, 1992
  121.  
  122.    Sentencing Guidelines for United States Courts
  123.  
  124. ACTION: Notice of proposed amendments to sentencing guidelines, policy
  125. statements, and commentary. Request for public comment.  Notice of
  126. hearing.
  127.  
  128. SUMMARY: The Commission is considering promulgating certain amendments
  129. to the sentencing guidelines, policy statements, and commentary. The
  130. proposed amendments and a synopsis of issues to be addressed are set
  131. forth below. The Commission may report amendments to the Congress on
  132. or before May 1, 1993. Comment is sought on all proposals, alternative
  133. proposals, and any other aspect of the sentencing guidelines, policy
  134. statements, and commentary.
  135.  
  136. DATES: The Commission has scheduled a public hearing on these proposed
  137. amendments for March 22, 1993, at 9:30 a.m. at the Ceremonial
  138. Courtroom, United States Courthouse, 3d and Constitution Avenue, NW.,
  139. Washington, DC 20001.
  140.  
  141.    Anyone wishing to testify at this public hearing should notify
  142. Michael Courlander, Public Information Specialist, at (202) 273-4590
  143. by March 1, 1993.
  144.  
  145.    Public comment, as well as written testimony for the hearing,
  146. should be received by the Commission no later than March 15, 1993, in
  147. order to be considered by the Commission in the promulgation of
  148. amendments due to the Congress by May 1, 1993.
  149.  
  150. ADDRESSES: Public comment should be sent to: United States Sentencing
  151. Commission, One Columbus Circle, NE., suite 2-500, South Lobby,
  152. Washington, DC 20002-8002, Attention: Public Information.
  153.  
  154. FOR FURTHER INFORMATION CONTACT: Michael Courlander, Public
  155. Information Specialist, Telephone: (202) 273-4590.
  156.  
  157. * * *
  158.  
  159.    59. Synopsis of Amendment: This amendment creates a new guideline
  160. applicable to violations of the Computer Fraud and Abuse Act of 1988
  161. (18 U.S.C. 1030). Violations of this statute are currently subject to
  162. the fraud guidelines at S. 2F1.1, which rely heavily on the dollar
  163. amount of loss caused to the victim. Computer offenses, however,
  164. commonly protect against harms that cannot be adequately quantified by
  165. examining dollar losses. Illegal access to consumer credit reports,
  166. for example, which may have little monetary value, nevertheless can
  167. represent a serious intrusion into privacy interests. Illegal
  168. intrusions in the computers which control telephone systems may
  169. disrupt normal telephone service and present hazards to emergency
  170. systems, neither of which are readily quantifiable. This amendment
  171. proposes a new Section 2F2.1, which provides sentencing guidelines
  172. particularly designed for this unique and rapidly developing area of
  173. the law.
  174.  
  175.    Proposed Amendment: Part F is amended by inserting the following
  176. section, numbered S.  2F2.1, and captioned "Computer Fraud and Abuse,"
  177. immediately following Section 2F1.2:
  178.  
  179. "S.  2F2.1. Computer Fraud and Abuse
  180.  
  181.    (a) Base Offense Level: 6
  182.  
  183.    (b) Specific Offense Characteristics
  184.  
  185.    (1) Reliability of data. If the defendant altered information,
  186. increase by 2 levels; if the defendant altered protected information,
  187. or public records filed or maintained under law or regulation,
  188. increase by 6 levels.
  189.  
  190.    (2) Confidentiality of data. If the defendant obtained protected
  191. information, increase by 2 levels; if the defendant disclosed
  192. protected information to any person, increase by 4 levels; if the
  193. defendant disclosed protected information to the public by means of a
  194. general distribution system, increase by 6 levels.
  195.  
  196.    Provided that the cumulative adjustments from (1) and (2), shall
  197. not exceed 8.
  198.  
  199.    (3) If the offense caused or was likely to cause
  200.  
  201.    (A) interference with the administration of justice (civil or
  202. criminal) or harm to any person's health or safety, or
  203.  
  204.    (B) interference with any facility (public or private) or
  205. communications network that serves the public health or safety,
  206. increase by 6 levels.
  207.  
  208.    (4) If the offense caused economic loss, increase the offense
  209. level according to the tables in S.  2F1.1 (Fraud and Deceit). In
  210. using those tables, include the following:
  211.  
  212.    (A) Costs of system recovery, and
  213.  
  214.    (B) Consequential losses from trafficking in passwords.
  215.  
  216.    (5) If an offense was committed for the purpose of malicious
  217. destruction or damage, increase by 4 levels.
  218.  
  219.    (c) Cross References
  220.  
  221.    (1) If the offense is also covered by another offense guideline
  222. section, apply that offense guideline section if the resulting level
  223. is greater. Other guidelines that may cover the same conduct include,
  224. for example: for 18 U.S.C. 1030(a)(1), S.  2M3.2 (Gathering National
  225. Defense Information); for 18 U.S.C. 1030(a)(3), S.  2B1.1 (Larceny,
  226. Embezzlement, and Other Forms of Theft), S.  2B1.2 (Receiving,
  227. Transporting, Transferring, Transmitting, or Possessing Stolen
  228.  
  229. Property), and S.  2H3.1 (Interception of Communications or
  230. Eavesdropping); for 18 U.S.C. 1030(a)(4), S.  2F1.1 (Fraud and
  231. Deceit), and S.  2B1.1 (Larceny, Embezzlement, and Other Forms of
  232. Theft); for 18 U.S.C. S.  1030(a)(5), S.  2H2.1 (Obstructing an
  233. Election or Registration), S.  2J1.2 (Obstruction of Justice), and S.
  234. 2B3.2 (Extortion); and for 18 U.S.C. S.  1030(a)(6), S.  2F1.1 (Fraud
  235. and Deceit) and S.  2B1.1 (Larceny, Embezzlement, and Other Forms of
  236. Theft).
  237.  
  238. Commentary
  239.  
  240.    Statutory Provisions: 18 U.S.C. 1030(a)(1)-(a)(6)
  241.  
  242.    Application Notes:
  243.  
  244.    1. This guideline is necessary because computer offenses often harm
  245. intangible values, such as privacy rights or the unimpaired operation
  246. of networks, more than the kinds of property values which the general
  247. fraud table measures. See S.  2F1.1, Note 10. If the defendant was
  248. previously convicted of similar misconduct that is not adequately
  249. reflected in the criminal history score, an upward departure may be
  250. warranted.
  251.  
  252.    2. The harms expressed in paragraph (b)(1) pertain to the
  253. reliability and integrity of data; those in (b)(2) concern the
  254. confidentiality and privacy of data. Although some crimes will cause
  255. both harms, it is possible to cause either one alone. Clearly a
  256. defendant can obtain or distribute protected information without
  257. altering it. And by launching a virus, a defendant may alter or
  258. destroy data without ever obtaining it. For this reason, the harms are
  259. listed separately and are meant to be cumulative.
  260.  
  261.    3. The terms "information," "records," and "data" are
  262. interchangeable.
  263.  
  264.    4. The term "protected information" means private information,
  265. non-public government information, or proprietary commercial
  266. information.
  267.  
  268.    5. The term "private information" means confidential information
  269. (including medical, financial, educational, employment, legal, and tax
  270. information) maintained under law, regulation, or other duty (whether
  271. held by public agencies or privately) regarding the history or status
  272. of any person, business, corporation, or other organization.
  273.  
  274.    6. The term "non-public government information" means unclassified
  275. information which was maintained by any government agency, contractor
  276. or agent; which had not been released to the public; and which was
  277. related to military operations or readiness, foreign relations or
  278. intelligence, or law enforcement investigations or operations.
  279.  
  280.    7. The term "proprietary commercial information" means non-public
  281. business information, including information which is sensitive,
  282. confidential, restricted, trade secret, or otherwise not meant for
  283. public distribution. If the proprietary information has an
  284. ascertainable value, apply paragraph (b) (4) to the economic loss
  285. rather than (b) (1) and (2), if the resulting offense level is
  286. greater.
  287.  
  288.    8. Public records protected under paragraph (b) (1) must be filed
  289. or maintained under a law or regulation of the federal government, a
  290. state or territory, or any of their political subdivisions.
  291.  
  292.    9. The term "altered" covers all changes to data, whether the
  293. defendant added, deleted, amended, or destroyed any or all of it.
  294.  
  295.    10. A "general distribution system" includes electronic bulletin
  296. board and voice mail systems, newsletters and other publications, and
  297. any other form of group dissemination, by any means.
  298.  
  299.    11. The term "malicious destruction or damage" includes injury to
  300. business and personal reputations.
  301.  
  302.    12. Costs of system recovery: Include the costs accrued by the
  303. victim in identifying and tracking the defendant, ascertaining the
  304. damage, and restoring the system or data to its original condition.
  305. In computing these costs, include material and personnel costs, as
  306. well as losses incurred from interruptions of service. If several
  307. people obtained unauthorized access to any system during the same
  308. period, each defendant is responsible for the full amount of recovery
  309. or repair loss, minus any costs which are clearly attributable only to
  310. acts of other individuals.
  311.  
  312.    13. Consequential losses from trafficking in passwords: A defendant
  313. who trafficked in passwords by using or maintaining a general
  314. distribution system is responsible for all economic losses that
  315. resulted from the use of the password after the date of his or her
  316. first general distribution, minus any specific amounts which are
  317. clearly attributable only to acts of other individuals. The term
  318. "passwords" includes any form of personalized access identification,
  319. such as user codes or names.
  320.  
  321.    14. If the defendant's acts harmed public interests not adequately
  322. reflected in these guidelines, an upward departure may be warranted.
  323. Examples include interference with common carriers, utilities, and
  324. institutions (such as educational, governmental, or financial
  325. institutions), whenever the defendant's conduct has affected or was
  326. likely to affect public service or confidence".
  327.  
  328.  
  329. * * *
  330.  
  331.                     -------------------
  332.  
  333. This file has been provided FYI to TELECOM Digest readers. Comments
  334. should be directed to either the CPSR or the Sentencing Commission or
  335. other newsgroups or mailing lists (such as Computer Underground
  336. Digest) where the discussion will no doubt be continuing.
  337.  
  338.  
  339. PAT
  340.  
  341.  
  342.