Nizozemská vláda si klade za cíl utvářet postupy etických hackerů v oblasti zveřejňování

Centrum pro kybernetickou bezpečnost nizozemské vlády vydalo pokyny, které doufají, že povzbudí etické hackery, aby zodpovědně odhalili slabé stránky zabezpečení.

" Osoby, které hlásí zranitelnost v oblasti IT, mají důležitou roli sociální zodpovědnost, "uvedl ve čtvrtek nizozemské ministerstvo bezpečnosti a spravedlnosti, které oznámilo pokyny pro etické hackery, které byly vydány národním centrem pro kybernetickou bezpečnost (NCSC).

Hackeři a bezpečnostní výzkumníci hrají důležitou roli při zajišťování IT systémy zjišťují zranitelnosti, řekl NCSC. Středisko však tvrdí, že vědci v oblasti bezpečnosti se někdy zdráhají zveřejňovat zranitelnosti vůči společnostem, místo toho, že používají média k oznámení slabých míst, což je nežádoucí praxe, protože před tím, než je opraveno, vystaví díru. (Viz též "Odvážní" činitelé dělají společenské prohlášení, říká Scholar.)

[Další informace: Jak odstranit malware z počítače se systémem Windows]

S příručkou chce vláda poskytnout organizacím rámec vytvořit vlastní politiku odpovědného zpřístupnění informací. Ivo Opstelten, ministr bezpečnosti a spravedlnosti, plánuje podpořit široké používání pokynů pro odpovědné zveřejňování v rámci vlády, uvedl v dopise poslaném parlamentu.

Zatímco vydané pokyny neovlivňují stávající právní rámec, vyzývá strany, aby společně pracovaly na tom, aby byly IT systémy bezpečnější, řekl NCSC. Společnosti a vlády by například mohly nabídnout standardizovaný on-line formulář, který mohou výzkumní pracovníci v oblasti bezpečnosti využívat, aby informovali organizaci, pokud zjistí, že je zranitelná.

Společnost a výzkumný pracovník mohou také souhlasit se zveřejněním této chyby v určitém čase rám. Přijatelné období pro odhalení zranitelností softwaru je 60 dní, zatímco přiměřená doba k odhalení tvrdších problémů v oblasti zabezpečení hardwaru je šest měsíců, uvedla NCSC. Když se organizace rozhodne dodržovat tyto pokyny, měla by ve své politice zahrnout, že nebude přijímat právní kroky proti etickým hackerům, kteří dodržují pravidla, dodal.

Nizozemská státní zastupitelství však bude mít možnost stíhat že <

Odporúčaný postup

Osoba, která tuto zranitelnost zjistí, by měla oznamovat přímo a co nejdříve vlastníkovi systému důvěrným způsobem, takže únik nelze zneužít jinými. Navíc etický hacker nepoužije techniku ​​sociálního inženýrství, ani nenainstaluje backdoor nebo nekopíruje, neupravuje nebo nevymaže data ze systému, NCSC. Jinak by mohl hacker vytvořit seznam adresářů v systému.

Hackeři by se také měli zdržet změny systému a ne opakovat přístup k systému. Použití techniky brute-force k přístupu k systému je také odrazeno, řekl NCSC. Etický hacker se dále musí shodnout na tom, že zranitelnosti budou zveřejněny až poté, co budou opraveny a pouze se souhlasem zúčastněné organizace. Strany se mohou také rozhodnout informovat širší komunitu IT, pokud je tato zranitelnost nová, nebo existuje podezření, že více systémů má stejnou zranitelnost, říká NCSC

Zatímco odpovědný postup zveřejňování je v zásadě záležitostí detektoru a NCSC může působit jako zprostředkovatel, pokud se o něm přímo hlásí zranitelnost.

"Myslím, že je to velmi dobrá věc, zvláště když NCSC působí jako zprostředkovatel," řekl Ronald Prins, generální ředitel nizozemské bezpečnosti firmou Fox-IT. Jeden z problémů, s nimiž se etické hackeři potýkají, je to, že mají těžké se brát vážně, pokud hlásí zranitelnost vůči společnosti a mají těžké chvíle, než se dostanou ke správné osobě, řekl.

Pokud se organizace obrátí na bezpečnostní zranitelnost oficiální vládní organizace, jako je NCSC, pravděpodobně bude varování brát vážněji, dodal. Online formuláře používané k hlášení zranitelnosti přímo správné osobě v rámci organizace by také mohly pomoci tomuto procesu, dodal.

Zatímco v rámci směrnic je etickým hackerům dána malá flexibilita, Prins uvedl, že pochopil, proč to vláda učinila. Zabraňuje etickým hackerům, aby překročili hranici, řekl.

"Vidím, že někteří lidé jsou zklamáni", protože státní zastupitelství je stále oprávněno stíhat, když to považují za nezbytné, řekl Prins. Je však nemožné to udělat, dodal. "Byl bych velmi rád, kdyby někdo hlásil problém, který našel," řekl. Ale pokud tato osoba strávila dny, kdy buší své systémy, aby se dostal dovnitř, Prins by rozhodně uvažoval o podání právní stížnosti.

Loek je Amsterdam Korespondent a pokrývá problematiku online soukromí, duševního vlastnictví, otevřených zdrojů a online plateb pro IDG Zprávy. Sledujte jej na Twitteru na stránkách @loekessers nebo e-mailové tipy a komentáře na adresu [email protected]