Car-tech

Den nederlandske regjeringen har til hensikt å forme etisk hackers utlysningspraksis.

nederlandske gutteeer lere norsk^^

nederlandske gutteeer lere norsk^^

Innholdsfortegnelse:

Anonim

Den nederlandske regjeringens sikkerhetssenter har offentliggjort retningslinjer som det håper vil oppfordre etiske hackere til å avsløre sikkerhetsproblemer på en ansvarlig måte.

"Personer som rapporterer en IT-sårbarhet, har en viktig rolle sosialt ansvar, sier det nederlandske departementet for sikkerhet og rettferdighet på torsdag, og utlyser retningslinjer for etisk hacking som ble publisert av landets nasjonale cyber sikkerhetssenter (NCSC).

Hvithatt hackere og sikkerhetsforskere spiller en viktig rolle i sikringen IT-systemer ved å finne sårbarheter, sa NCSC. Senteret hevdet imidlertid at sikkerhetsforskere noen ganger er uvillige til å avsløre sårbarheter for bedrifter, i stedet ved hjelp av medier, for å kunngjøre sårbarheter, noe som er en uønsket praksis fordi den utsetter et hull før det blir løst. (Se også "Audacious 'Hactivists Lag sosialerklæring, Scholar Says.")

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Med veiledningen ønsker regjeringen å gi organisasjoner et rammeverk til Lag egne retningslinjer for ansvarlig avsløring. Ivo Opstelten, sikkerhets- og justisminister, planlegger å oppmuntre til en bred bruk av de ansvarlige retningslinjene for offentliggjøring i regjeringen, sa han i et brev sendt til parlamentet.

Selv om den utgitte veiledningen ikke påvirker gjeldende rettsramme, er det oppfordrer partene til å jobbe sammen for å gjøre IT-systemer sikrere, sa NCSC. Bedrifter og regjeringer kan for eksempel tilby et standardisert elektronisk skjema som kan brukes av sikkerhetsforskere til å varsle en organisasjon hvis de fant et sårbarhet, sa det.

Selskapet og forskeren kan også være enige om å avsløre sårbarheten innen en viss tid ramme. En akseptabel periode for avsløring av programvaresårbarheter er 60 dager, mens en rimelig periode for å avsløre det vanskeligere å fikse maskinvareproblemer er seks måneder, sa NCSC. Når en organisasjon bestemmer seg for å følge disse retningslinjene, bør det i sin politikk inneholde at det ikke vil treffe rettslige skritt mot etiske hackere som overholder reglene som det legger til.

Den nederlandske anklagemyndigheten vil imidlertid ha mulighet til å påtale seg når Den mistenker at forbrytelser har blitt begått, sier departementet for sikkerhet og rettferdighet.

Anbefalt prosedyre

Den personen som oppdager sårbarheten, bør rapportere det direkte og så fort som mulig til eieren av systemet på en konfidensiell måte, slik at lekkasjen ikke kan misbrukes av andre. Videre vil den etiske hacker ikke bruke sosialteknikkteknikker, og heller ikke installere en bakdør eller kopiere, endre eller slette data fra systemet, spesifisert NCSC. Alternativt kan en hacker lage en katalogoppføring i systemet, sier retningslinjene.

Hackere bør også avstå fra å endre systemet og ikke gjenta systemet flere ganger. Bruke brute-force teknikker for å få tilgang til et system er også motet, sa NCSC. Den etiske hacker må videre være enig i at sårbarheter kun vil bli avslørt etter at de er løst og bare med samtykke fra den involverte organisasjonen. Partene kan også bestemme seg for å informere det bredere IT-fellesskapet hvis sårbarheten er ny eller det er mistanke om at flere systemer har samme sårbarhet, sa NCSC.

Selv om ansvarlig informasjonsprosedyre i prinsippet er et spørsmål for detektoren og organisasjon kan NCSC fungere som mellommann dersom det rapporteres et sårbarhet direkte.

"Jeg tror dette er veldig bra, spesielt når NCSC fungerer som mellommann," sier Ronald Prins, administrerende direktør for den nederlandske sikkerheten fast Fox-IT. Et av problemene med etiske hackere er at de har det vanskelig å bli tatt seriøst hvis de rapporterer et sårbarhet for et selskap, og de har det vanskelig å nå den rette personen, sa han.

Hvis en organisasjon blir kontaktet om et sikkerhetsproblem ved en offisiell regjeringsorganisasjon som NCSC, vil den trolig ta advarselen mer seriøst, la han til. Online skjemaer som brukes til å rapportere sikkerhetsproblemet direkte til den rette personen i en organisasjon, kan også hjelpe denne prosessen, la han til.

Mens det er liten fleksibilitet gitt til etiske hackere i retningslinjene, sa Prins at han forsto hvorfor regjeringen gjorde det. Det forhindrer etiske hackere i å krysse linjen, sa han. «Jeg ser at noen mennesker er skuffet» fordi prosedyre fortsatt får lov til å retsforfølge når de anser det nødvendig, sa Prins. Men det er umulig å ikke gjøre dette, la han til. "Jeg ville være veldig fornøyd hvis noen rapporterer et problem som han fant," sa han. Men hvis den personen tilbringer dager som banker hans systemer for å komme inn, ville Prins definitivt vurdere å legge inn en juridisk klage. Han sa.

Loek er Amsterdam Correspondent og dekker online personvern, immaterielle rettigheter, åpen kildekode og online betalingsproblemer for IDG News Service. Følg ham på Twitter på @loekessers eller email tips og kommentarer til [email protected]