A holland kormány célja az etikus hackerek közzétételi gyakorlatának kialakítása

A holland kormány internetes biztonsági központja kiadott iránymutatásokat, amelyek reményei szerint ösztönözni fogja az etikus hackereket, hogy felelősségteljesen hozzák nyilvánosságra a biztonsági réseket.

"Az IT-sérülékenységet bejelentő személyek fontosnak tartják a biztonsági réseket. társadalmi felelősségvállalásról "- jelentette be a holland biztonsági és igazságügyi minisztérium csütörtökön, amelyben az etnikai hackelésre vonatkozó iránymutatásokat tett közzé, amelyeket az ország Nemzeti Cyber ​​Security Center (NCSC) tett közzé.

A hatalmas hackerek és a biztonsági kutatók fontos szerepet játszanak a Az informatikai rendszereket a sebezhetőségek felkutatásával - mondta az NCSC. A központ azonban azt állította, hogy a biztonsági kutatók néha vonakodnak a vállalati sérülékenységek felfedezésére, ahelyett, hogy a médiát használják a sebezhetőségek bejelentésére, ami nemkívánatos gyakorlat, mivel egy lyukat helyez ki a rögzítés előtt.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Az útmutató segítségével a kormány olyan kereteket kíván nyújtani a szervezetek számára, amelyek a következőkre vonatkoznak: hozzon létre saját felelősségteljes nyilvánosságra vonatkozó politikát. Ivo Opstelten biztonsági és igazságügyi miniszter azt tervezi, hogy ösztönözni fogja a felelősségteljes nyilvánosságra hozatali iránymutatások széles körű használatát a kormányon belül, azt mondta a parlamentnek küldött levélben.

Bár a kiadott útmutató nem érinti a meglévő jogi keretet, arra ösztönzi a feleket, hogy működjenek együtt az informatikai rendszerek biztonságosabbá tétele érdekében - mondta az NCSC. A vállalatok és a kormányok például szabványosított online űrlapot kínálhatnak, amelyet a biztonsági kutatók arra használhatnak, hogy értesítsék a szervezetet, ha találtak sebezhetőséget. "

A vállalat és a kutató egyaránt beleegyezik abba, hogy egy bizonyos idő alatt felfedje a biztonsági rést keret. A szoftveres sebezhetőségek nyilvánosságra hozatalának határideje 60 nap, míg a hardveres sebezhetőségek javításának nehézsége 6 hónap alatt van, az NCSC szerint. Ha egy szervezet úgy dönt, hogy követi ezeket az iránymutatásokat, akkor annak politikájába kell foglalnia, hogy nem fog jogi lépéseket tenni az etikai hackerek ellen, akik betartják a szabályokat.

A holland ügyészség azonban továbbra is lehetőséget fog tenni arra, azt gyanítja, hogy a bűncselekményeket elkövették, a biztonsági és igazságügyi minisztérium kijelentette:

Ajánlott eljárás

A sérülékenységet felfedező személynek közvetlenül és a lehető leghamarabb bizalmasan kell bejelentenie a rendszer tulajdonosát, így a szivárgást nem szabad visszaélni másokkal. Ráadásul az etikus hacker nem használ társadalmi konstrukciós technikákat, nem telepít hátfalat, vagy nem másolja, módosítja vagy törli az adatokat a rendszerből, az NCSC megszabta. Alternatív megoldásként a hacker egy könyvtárat jegyezhet be a rendszerben, az iránymutatások szerint.

A hackereknek is tartózkodniuk kell a rendszer megváltoztatásától és nem ismételten hozzáférést a rendszerhez. Hiányos erőszakos technikákat alkalmaznak a rendszerhez való hozzáféréshez is, az NCSC azt mondta. Az etikus hackernek továbbá egyet kell értenie abban, hogy a sérülékenységeket csak akkor rögzítik, ha rögzítettek, és csak az érintett szervezet beleegyezésével. A felek úgy is dönthetnek, hogy tájékoztatják a tágabb informatikai közösséget, ha a sérülékenység új vagy gyanúja van, hogy több rendszer ugyanazokkal a sérülékenységgel rendelkezik, mint az NCSC.

Bár a felelős közzétételi eljárás elvileg az érzékelő és a szervezet, az NCSC közvetítő szerepet tölthet be, ha közvetlen sebezhetőségről számolnak be.

"Azt hiszem, ez nagyon jó dolog, különösen, ha az NCSC közreműködik," mondta Ronald Prins, a holland biztonsági vezérigazgató Fox-IT cég. Az etikus hackerek egyik problémája az, hogy komolyan veszik komolyan, ha egy vállalatot érintő sérülékenységről számolnak be, és nehézségekbe ütköznek a megfelelő személy elérése érdekében.

Ha egy szervezettel kapcsolatba kerül egy hatósági kormányzati szervezet biztonsági kockázataival, mint az NCSC, valószínűleg komolyan veszi a figyelmeztetést, tette hozzá. A sérülékenységet közvetlenül a megfelelő személynek a szervezeten belüli bejelentésére használt online űrlapok is segíthetnek ebben a folyamatban.

Bár az iránymutatásokban kevés a rugalmasság az etikai hackerek számára, Prins azt mondta, hogy megértette, miért tette ezt a kormány. Megakadályozza az etikus hackerek átkelését, azt mondta: "Látom, hogy néhány ember csalódott", mert az ügyészség továbbra is büntetőeljárást folytathat, ha szükségesnek tartja, mondta Prins. De lehetetlen ezt nem tenni, tette hozzá. "Nagyon örülnék, ha valaki olyan problémát jelentene, amit talált," mondta. De ha ez a személy napokat töltötte be, hogy bejusson a rendszerbe, Prins nyilvánvalóan jogi panaszt jelentene, azt mondta.

Loek az Amszterdami levelező, és lefedi az online magánéletet, szellemi tulajdont, nyílt forrású és online fizetési kérdéseket az IDG-nek Hírszolgáltatás. Kövesse őt a Twitteren a @loekessers oldalon, vagy e-mailben tippeket és megjegyzéseket a [email protected]

-hoz