Правительство Нидерландов нацелено на формирование практики раскрытия этических хакеров

Центр кибербезопасности голландского правительства опубликовал рекомендации, которые, как он надеется, побудят этических хакеров к раскрытию уязвимостей безопасности ответственным образом.

«Лица, которые сообщают об уязвимости ИТ, имеют важное социальной ответственности », - говорится в четверг в министерстве безопасности и юстиции Нидерландов, в котором сообщается о руководящих принципах этического взлома, опубликованных Национальным центром кибербезопасности страны (NCSC).

Белые хаки и исследователи безопасности играют важную роль в обеспечении безопасности ИТ-системы, обнаружив уязвимости, сказал NCSC. Тем не менее, центр утверждал, что исследователи безопасности иногда неохотно раскрывают уязвимости для компаний, вместо этого используют средства массовой информации для объявления уязвимостей, что является нежелательной практикой, поскольку оно выдает дыру до ее исправления. (См. Также «« Одинаковые »хактивисты делают социальное заявление, говорит ученый.»)

[Читать дальше: Как удалить вредоносное ПО с вашего ПК с Windows]

В этом руководстве правительство хочет предоставить организациям рамки для создать свою собственную политику в отношении ответственного раскрытия. Иво Опстелтен, министр по вопросам безопасности и правосудия, планирует поощрять широкое использование руководящих принципов раскрытия информации в правительстве, сказал он в письме, направленном в парламент.

Хотя опубликованное руководство не затрагивает существующие правовые рамки, оно призывает стороны работать вместе, чтобы сделать ИТ-системы более безопасными, сказал NCSC. Компании и правительства могли бы, например, предоставить стандартную онлайн-форму, которая может быть использована исследователями безопасности для уведомления организации, если они обнаружили уязвимость.

Компания и исследователь могут также согласиться раскрывать уязвимость в течение определенного времени Рамка. Допустимый период для раскрытия уязвимостей программного обеспечения составляет 60 дней, тогда как разумный срок для раскрытия жестких исправлений аппаратных уязвимостей составляет шесть месяцев, сообщает NCSC. Когда организация решает следовать этим руководящим принципам, она должна включить в свою политику, что она не будет принимать судебные иски против этических хакеров, которые соблюдают правила, добавила она.

Голландская прокуратура, однако, сохранит возможность преследовать в судебном порядке, когда он подозревает, что преступления были совершены, говорится в сообщении министерства безопасности и юстиции.

Рекомендуемая процедура

Лицо, обнаруживающее уязвимость, должно сообщать об этом напрямую и как можно скорее владельцу системы конфиденциальным образом, поэтому утечка не может быть использована другими людьми. Кроме того, этический хакер не будет использовать методы социальной инженерии и не устанавливать бэкдор или копировать, изменять или удалять данные из системы, как указано NCSC. В качестве альтернативы хакер может сделать список каталогов в системе, говорится в рекомендациях.

Хакеры также должны воздерживаться от изменения системы и не разного доступа к системе. NCCP сказал, что использование методов грубой силы для доступа к системе также не рекомендуется. Этический хакер должен также согласиться с тем, что уязвимости будут раскрываться только после их фиксации и только с согласия вовлеченной организации. Стороны могут также принять решение об информировании более широкого ИТ-сообщества, если эта уязвимость является новой или подозревается, что другие системы имеют одинаковую уязвимость, - сказал NCSC.

В то время как ответственная процедура раскрытия информации в принципе является вопросом для детектора и организации, NCSC может выступать в качестве посредника, если об этом сообщается напрямую.

«Я думаю, что это очень хорошо, особенно когда NCSC выступает в качестве посредника», - сказал Рональд Принс, генеральный директор голландской безопасности фирма Fox-IT. Одна из проблем, с которой сталкиваются этические хакеры, заключается в том, что им тяжело относиться серьезно, если они сообщают об уязвимости для компании, и им трудно добраться до нужного человека, сказал он.

Если организация связывается с уязвимостью безопасности со стороны официальной правительственной организации, такой как NCSC, она, вероятно, воспримет это предупреждение более серьезно, добавил он. Он также добавил, что онлайновые формы, используемые для сообщения об уязвимости непосредственно правильному человеку в организации, могут помочь этому процессу.

Хотя в руководящих принципах этические хакеры мало гибки, Принс сказал, что он понимает, почему правительство это сделал.

«Я вижу, что некоторые люди разочарованы», потому что прокуратуре по-прежнему разрешено преследовать в судебном порядке, когда они считают это необходимым, сказал Принс. Но это невозможно сделать, добавил он. «Я был бы очень доволен, если бы кто-то сообщил о проблеме, которую он нашел», - сказал он. Но если этот человек проводит дни, избивая свои системы, чтобы войти, Принс определенно рассмотрит вопрос о подаче юридической жалобы, сказал он.

Loek - корреспондент Амстердама и рассматривает вопросы конфиденциальности в Интернете, интеллектуальной собственности, открытых источников и онлайн-платежей для IDG Служба новостей. Следуйте за ним в Twitter на @loekessers или напишите советы и комментарии на [email protected]