Adam Bannister 15 Şubat 2023, 16:49 UTC
Güncellendi: 15 Şubat 2023, 17:30 UTC
Güvenlik araştırmacıları için yeni yasal korumalar, herhangi bir AB ülkesinin en güçlüsü olabilir
Ülkenin siber güvenlik kurumuna göre Belçika, etik korsanlar için ulusal, kapsamlı bir güvenli liman çerçevesini benimseyen ilk Avrupa ülkesi oldu.
Belçika Siber Güvenlik Merkezi (CCB), bireyleri veya kuruluşları Belçika’da bulunan herhangi bir sistemi, ağı veya uygulamayı etkileyen güvenlik açıklarını bildirdiklerinde – belirli “katı” koşulların karşılanmasına bağlı olarak – kovuşturmaya karşı koruyan bir mekanizmayı belgelemiştir.
Çerçeve, savunmasız teknolojilerin özel veya kamu sektörü kuruluşlarına ait olup olmadığına bakılmaksızın geçerlidir.
Şartlar ve koşullar
Belçika’nın bilgisayar acil durum müdahale ekibi (CSIRT) olan CCB’nin web sitesindeki bir güvenlik açığı ifşa politikasında (VDP) belirtildiği gibi, hata bildirenlerin faaliyetleri için yasal korumadan yararlanabilmeleri için beş katı koşula uymaları gerekir:
- Mümkün olan en kısa sürede (ve herhangi bir ceza davası başlamadan önce) CCB’ye yazılı bir güvenlik açığı raporu gönderin.
- Savunmasız teknolojinin sahibini mümkün olan en kısa sürede ve en geç CCB’ye bildirin
- Kötü niyetli veya hileli niyet olmaksızın iyi niyetle hareket edin
- Güvenlik açığının varlığını gerekli ve orantılı bir şekilde doğrulayın
- Güvenlik açığıyla ilgili bilgileri CCB’nin izni olmadan kamuya açıklamayın
İLGİLİ HackerOne, müşterilerini bilgisayar korsanlarını yasal sorunlardan korumak için standart bir politika benimsemeye teşvik ediyor
Bilgisayar korsanlarının, bir kuruluşun halihazırda bir VDP’ye sahip olduğu durumlarda CCB’yi bilgilendirmesine gerek yoktur, ancak güvenlik açığı VDP’leri olmayan diğer kuruluşları etkiliyorsa veya ifşa ve düzeltmeyle ilgili “güçlükler ortaya çıkarsa” bunu yapmayı seçebilir.
Çoğu VDP’de ve böcek ödül programlarında olduğu gibi, kimlik avı, sosyal mühendislik ve kaba kuvvet saldırıları gibi saldırgan teknikler “orantısız ve/veya gereksiz eylemler olarak kabul edilebilir”.
AB’nin diğer yerlerinde
Blok içindeki ulusal koordineli güvenlik açığı ifşası (CVD) politikalarına ilişkin 2022 AB Siber Güvenlik Ajansı (ENISA) raporu, Fransa, Litvanya ve Hollanda’nın da “CVD politika çalışması üstlendiğini ve politika gerekliliklerini uyguladığını” ortaya koydu.
Ancak CCB’nin hukuk görevlisi Valéry Vander Geeten’e göre, Belçika’nın politikası şimdiye kadarki en kapsamlı politika.
Söyledi günlük yudum Hollanda’nın “Cumhuriyet Savcılığının etik bilgisayar korsanlarını kovuşturmayacağını” belirttiği, Fransa ve Slovakya’nın “tam yasal koruma” konusunda yetersiz kaldığı ve Litvanya’nın yasal sığınağının “kritik altyapıyla sınırlı” olduğu.
Çok sayıda diğer AB üye devleti, bilgisayar korsanları için ülke çapında benzer korumalar geliştiriyor veya geliştirmeyi planlıyor.
normdan uzak
Telenet, Brüksel Havayolları ve Antwerp Limanı, VDP’lere sahip Belçikalı şirketler arasında yer alırken, VDP’ye sahip olmak normdan uzaktır. Fortune 500 arasında bile, görünüşe göre %20’den daha azının 2021 itibarıyla VDP’leri vardı (her ne kadar bu oran 2019’da %9’dan yükselmiş olsa da).
Belçika merkezli bug bounty platformu Intigriti’nin bilgisayar korsanları başkanı Inti De Ceukelaire, “Bunun gibi mevzuatın, şirketleri bunu benimsemeye etkili bir şekilde zorlayacak ‘GDPR’ etkisine sahip olacağını umuyorum” dedi. günlük yudum.
“Paradoksal olarak, çoğu güvenlik araştırmacısı artık dinlemek isteyen ve VDP gibi en son güvenlik trendlerini zaten benimsemiş şirketlere değer ve iyileştirmeler sağlıyor.
“Bunu bu konuda tamamen yeni olan şirketlere uygulamanın ilginç sonuçlar doğuracağına inanıyorum. Benzer yasalara sahip oldukları Hollanda’da, Twitter’da Victor Gevers (0xDUDE) adlı bir bilgisayar korsanı, bunun altında 5.000 güvenlik açığı bildirdi.”
KAÇIRMAYIN IoT sağlayıcıları, güvenlik açığı ifşa programlarının ayarlanmasında yavaş ilerleme nedeniyle hata yaptı