摘要: 据比利时网络安全机构称,比利时已成为第一个为道德黑客采用国家综合安全港框架的欧洲国家。 比利时网络安全中心(CCB)宣布了一项机制,当个人或组织报告影响位于比利时的任何系统、网络或应用程序的安全漏洞时,可以保护他们不被起诉,但必须满足某些 "严格 "条件。 ...
据比利时网络安全机构称,比利时已成为第一个为道德黑客采用国家综合安全港框架的欧洲国家。
比利时网络安全中心(CCB)宣布了一项机制,当个人或组织报告影响位于比利时的任何系统、网络或应用程序的安全漏洞时,可以保护他们不被起诉,但必须满足某些 "严格 "条件。
无论脆弱的技术是由私人或公共部门组织拥有,该框架均适用。
条款和条件
根据其网站上的国家协调漏洞披露政策(CVDP)规定的程序,CCB--比利时的计算机应急响应小组(CSIRT)——现在可以接收关于IT漏洞的报告,这些报告给予安全研究人员法律保护,但要满足以下条件:
尽快通知有漏洞的技术的所有者,并且至少与CCB同时通知他们;
尽快按照规定的格式向CCB提交书面漏洞报告;
行动时没有欺诈意图或伤害意图;
严格按照必要和相称的方式行事,以证明漏洞的存在;
未经CCB的同意,不要公开披露有关漏洞和脆弱系统的信息。
CCB还有2020年通过的指导方针,鼓励比利时的组织采用自己的CVDP或漏洞赏金计划。
在一个组织已经有VDP的情况下,黑客不需要通知CCB,但如果该漏洞影响到其他没有VDP的组织,或者在披露和补救方面 "出现困难",黑客可以选择这样做。
与大多数VDP和漏洞赏金计划一样,攻击性技术,如网络钓鱼、社会工程和暴力攻击,"可能被认为是不相称的和/或不必要的行动"。
在欧盟的其他地方
2022年欧盟网络安全局(ENISA)关于集团内国家协调漏洞披露(CVD)政策的报告显示,法国、立陶宛和荷兰也在 "开展CVD政策工作,并已实施政策要求"。
然而,据CCB的法律官员Valéry Vander Geeten说,比利时的政策是迄今为止最全面的。
他告诉The Daily Swig,荷兰表示 "检察官办公室不会起诉道德黑客",法国和斯洛伐克没有达到 "全面的法律保护",而立陶宛的法律安全港 "仅限于关键基础设施"。
他还强调,它保护漏洞报告者,无论他们是否为技术受到影响的组织工作。
众多其他欧盟成员国正在制定或计划制定类似的全国性黑客保护措施。
远离常规
虽然Telenet、布鲁塞尔航空公司和安特卫普港是拥有VDP的比利时公司之一,但拥有VDP远非常规。即使在财富500强中,截至2021年,显然只有不到20%的蓝筹股拥有VDP(尽管这比2019年的9%有所上升)。
"我确实希望这样的立法能够产生'GDPR'效应,有效地迫使企业采用这种方式,"总部位于比利时的漏洞赏金平台Intigriti的黑客主管Inti De Ceukelaire告诉《每日新闻》。
"矛盾的是,大多数安全研究人员现在都在向那些想要倾听并已经加入最新安全趋势的公司提供价值和改进,例如VDP。
"我相信,将这一点应用于那些完全陌生的公司将产生有趣的结果。在荷兰,他们有类似的立法,推特上一个名叫Victor Gevers(0xDUDE)的黑客已经根据这个报告了5000个漏洞。"
原文地址:https://baijiahao.baidu.com/s?id=1758939190669465671