比利时为“白帽”黑客启动全国安全港

据该国网络安全机构称,比利时已成为第一个为白帽黑客采用全国性综合安全港框架的欧洲国家。比利时网络安全中心(CCB)记录了一种机制,该机制可保护个人或组织在报告影响位于比利时的任何系统、网络或应用程序的安全漏洞时免于起诉(视满足某些“严格”条件而定)。无论易受攻击的技术属于私营部门还是公共部门组织,该框架都适用。

条款和条件:
正如CCB比利时计算机应急响应小组(CSIRT)网站上的漏洞披露政策(VDP)中所述,错误报告者必须遵守五个严格条件才能为其活动提供法律保护:

1.尽快以规定的格式向 CCB 提交书面漏洞报告(并在任何刑事诉讼开始之前)
2.尽快通知易受攻击技术的所有者,最晚不晚于 CCB
3.善意行事,无恶意或欺诈意图
4.以必要的、相称的方式验证安全漏洞的存在
5.未经建行同意,不得公开披露漏洞信息

如果组织已经拥有VDP,黑客无需通知CCB,但如果漏洞影响其他没有VDP的组织,或者“如果在披露和修复方面出现困难”,黑客可能会选择通知CCB。

与大多数VDP和漏洞赏金计划一样,网络钓鱼、社会工程和暴力攻击等攻击性技术“可能被视为不相称和/或不必要的行为”。

2022年欧盟网络安全机构(ENISA)关于欧盟国家协调漏洞披露(CVD)政策的报告显示,法国、立陶宛和荷兰也在“开展CVD政策工作并已实施政策要求”。

然而,根据CCB法律官员Valéry Vander Geeten的说法,比利时的政策是迄今为止最全面的。

荷兰表示“检察官办公室不会起诉白帽黑客”,法国和斯洛伐克缺乏“全面的法律保护”,立陶宛的法律安全港“仅限于关键基础设施”。

许多其他欧盟成员国正在或计划制定类似的全国性黑客保护措施。

虽然Telenet、布鲁塞尔航空公司和安特卫普港都属于拥有VDP的比利时公司,但拥有VDP远非常态。即使在财富500强中,截至2021年,显然也只有不到20%的公司拥有VDP(尽管这一比例高于2019年的9%)。

比利时漏洞赏金平台Intigriti的黑客负责人Inti De Ceukelaire说:“我确实希望像这样的立法会产生‘GDPR’效应,从而有效地迫使公司采用它。 ”

“自相矛盾的是,大多数安全研究人员现在都在为想要倾听并已经加入最新安全趋势(例如VDP)的公司提供价值和改进。

“我相信,将其应用于完全陌生的公司将会产生有趣的结果。在荷兰,他们有类似的立法,一位在Twitter上名为Victor Gevers (0xDUDE)的黑客已经报告了5000个漏洞。”

发表评论

评论已关闭。

相关文章