Η ολλανδική κυβέρνηση στοχεύει στη διαμόρφωση πρακτικών αποκάλυψης δεοντολογικών χάκερ

Το κέντρο πληροφορικής της κυβέρνησης της ολλανδικής κυβέρνησης δημοσίευσε κατευθυντήριες γραμμές που ελπίζει ότι θα ενθαρρύνει τους ηθικούς χάκερ να αποκαλύψουν υπεύθυνα τα ευάλωτα σημεία ασφαλείας

. την κοινωνική ευθύνη », δήλωσε την Πέμπτη το ολλανδικό υπουργείο Ασφάλειας και Δικαιοσύνης, ανακοινώνοντας τις κατευθυντήριες γραμμές για ηθική hacking που δημοσιεύτηκαν από το Εθνικό Κέντρο για την Ασφάλεια στον κυβερνοχώρο (NCSC).

Οι hackers και οι ερευνητές στον τομέα της ασφάλειας παίζουν σημαντικό ρόλο στη διασφάλιση Τα συστήματα πληροφορικής εντοπίζοντας τρωτά σημεία, δήλωσε ο NCSC. Ωστόσο, το κέντρο υποστήριξε ότι οι ερευνητές στον τομέα της ασφάλειας μερικές φορές διστάζουν να αποκαλύψουν ευπάθειες στις επιχειρήσεις, αντί να χρησιμοποιούν τα μέσα μαζικής ενημέρωσης για να ανακοινώσουν τα τρωτά τους, κάτι που είναι μια ανεπιθύμητη πρακτική, διότι εκθέτει μια τρύπα προτού καθοριστεί. (Ανατρέξτε επίσης σε "Έξυπνοι" αντιδραστήρες κάνουν κοινωνική δήλωση, λέει ο υπότροφος.)

Με την καθοδήγηση, η κυβέρνηση θέλει να παρέχει στους οργανισμούς ένα πλαίσιο για να δημιουργήσουν τις δικές τους πολιτικές σχετικά με την υπεύθυνη αποκάλυψη. Ο υπουργός ασφάλειας και δικαιοσύνης, Ivo Opstelten, σχεδιάζει να ενθαρρύνει την ευρεία χρήση των κατευθυντήριων γραμμών για την υπεύθυνη γνωστοποίηση στην κυβέρνηση, ανέφερε σε επιστολή που απέστειλε στο κοινοβούλιο.

Ενώ οι δημοσιευμένες οδηγίες δεν επηρεάζουν το ισχύον νομικό πλαίσιο, ενθαρρύνει τα μέρη να συνεργαστούν για να καταστήσουν ασφαλέστερα τα συστήματα πληροφορικής, δήλωσε η NCSC. Οι εταιρείες και οι κυβερνήσεις θα μπορούσαν, για παράδειγμα, να προσφέρουν μια τυποποιημένη ηλεκτρονική φόρμα που να μπορούν να χρησιμοποιηθούν από ερευνητές ασφάλειας για να ειδοποιήσουν έναν οργανισμό αν διαπιστώσουν κάποια ευπάθεια.

Η εταιρεία και ο ερευνητής μπορούν επίσης να συμφωνήσουν να αποκαλύψουν το θέμα ευπάθειας εντός ορισμένου χρόνου πλαίσιο. Μια αποδεκτή περίοδος για την αποκάλυψη των τρωτών σημείων του λογισμικού είναι 60 ημέρες, ενώ μια εύλογη περίοδος για την αποκάλυψη δυσκολιών για τον εντοπισμό τρωτών σημείων υλικού είναι έξι μήνες, δήλωσε ο NCSC. Όταν ένας οργανισμός αποφασίζει να ακολουθήσει αυτές τις κατευθυντήριες γραμμές, θα πρέπει να συμπεριλάβει στην πολιτική του ότι δεν θα αναλάβει νομικές ενέργειες εναντίον ηθικών hackers που συμμορφώνονται με τους κανόνες, πρόσθεσε.

Η ολλανδική δημόσια εισαγγελία θα διατηρήσει τη δυνατότητα να ασκήσει δίωξη όταν

Συνιστώμενη διαδικασία

Το άτομο που ανακαλύπτει την ευπάθεια θα πρέπει να το αναφέρει άμεσα και το συντομότερο δυνατόν στον ιδιοκτήτη του συστήματος με εμπιστευτικό τρόπο, οπότε η διαρροή δεν μπορεί να καταστρατηγηθεί από άλλους. Επιπλέον, ο ηθικός χάκερ δεν θα χρησιμοποιήσει τεχνικές κοινωνικής μηχανικής ούτε να εγκαταστήσει backdoor ή να αντιγράψει, να τροποποιήσει ή να διαγράψει δεδομένα από το σύστημα, το NCSC που καθορίστηκε. Εναλλακτικά, ένας χάκερ θα μπορούσε να κάνει μια λίστα καταλόγων στο σύστημα, σύμφωνα με τις οδηγίες.

Οι χάκερς πρέπει επίσης να μην αλλάξουν το σύστημα και να μην έχουν επανειλημμένα πρόσβαση στο σύστημα. Η χρήση τεχνικών ωμής βίας για την πρόσβαση σε ένα σύστημα αποθαρρύνεται, δήλωσε ο NCSC. Ο ηθικός χάκερ πρέπει περαιτέρω να συμφωνήσει ότι τα τρωτά σημεία θα αποκαλυφθούν μόνο αφού καθοριστούν και μόνο με τη συναίνεση του εμπλεκόμενου οργανισμού. Τα συμβαλλόμενα μέρη μπορούν επίσης να αποφασίσουν να ενημερώσουν την ευρύτερη κοινότητα ΤΠ εάν η ευπάθεια είναι νέα ή υπάρχει υποψία ότι περισσότερα συστήματα έχουν την ίδια ευπάθεια, δήλωσε η NCSC

Ενώ η υπεύθυνη διαδικασία γνωστοποίησης είναι καταρχήν υπόθεση του ανιχνευτή και του μπορεί να λειτουργήσει ως διαμεσολαβητής σε περίπτωση άμεσης δήλωσης ευπάθειας.

"Νομίζω ότι αυτό είναι πολύ καλό, ειδικά όταν το NCSC ενεργεί ως ενδιάμεσος", δήλωσε ο Ronald Prins, Διευθύνων Σύμβουλος της Ολλανδικής Υπηρεσίας Ασφάλειας επιχείρηση Fox-IT. Ένα από τα προβλήματα που αντιμετωπίζουν οι ηθικοί χάκερ είναι ότι έχουν δύσκολο χρόνο να ληφθούν σοβαρά υπόψη, αν αναφέρουν μια ευάλωτη θέση σε μια επιχείρηση, και έχουν έναν δύσκολο χρόνο να φτάσουν στο σωστό πρόσωπο, είπε.

Εάν κάποιος οργανισμός επικοινωνήσει για μια ευπάθεια ασφαλείας από μια επίσημη κυβερνητική οργάνωση όπως το NCSC, πιθανότατα θα πάρει την προειδοποίηση σοβαρότερα, πρόσθεσε. Οι ηλεκτρονικές φόρμες που χρησιμοποιούνται για την αναφορά της ευπάθειας απευθείας στο σωστό άτομο μέσα σε έναν οργανισμό θα μπορούσαν επίσης να βοηθήσουν αυτή τη διαδικασία, πρόσθεσε.

Παρόλο που παρέχεται ελάχιστη ευελιξία στους ηθικούς χάκερ στις κατευθυντήριες γραμμές, ο Prins είπε ότι κατάλαβε γιατί η κυβέρνηση το έκανε αυτό. «Δεν βλέπω ότι μερικοί άνθρωποι είναι απογοητευμένοι» γιατί η εισαγγελική αρχή εξακολουθεί να έχει τη δυνατότητα να ασκεί δίωξη όταν το κρίνει απαραίτητο, είπε ο Prins. Αλλά είναι αδύνατο να μην γίνει αυτό, πρόσθεσε. «Θα ήμουν πολύ ευχαριστημένος εάν κάποιος αναφέρει ένα πρόβλημα που βρήκε», είπε. Αλλά αν το πρόσωπο αυτό περνάει μέρες χτυπάει τα συστήματά του για να εισέλθει, ο Prins σίγουρα θα σκεφτόταν να υποβάλει ένα νομικό παράπονο, δήλωσε.

Το Loek είναι Ανώτατος Αντισυμβαλλόμενος και καλύπτει ζητήματα ηλεκτρονικής ιδιωτικής ζωής, πνευματικής ιδιοκτησίας, ανοιχτού κώδικα και ηλεκτρονικής πληρωμής για το IDG Υπηρεσία ειδήσεων. Τον ακολουθήστε στο Twitter σε @loekessers ή συμβουλές και σχόλια ηλεκτρονικού ταχυδρομείου στη διεύθυνση [email protected]