Den nederlandske regering har til formål at forme etisk hackers oplysningspraksis.

Den nederlandske regeringens cybersikkerhedscenter har offentliggjort retningslinjer, som det håber vil opfordre etiske hackere til at oplyse sikkerhedsrisici på en ansvarlig måde.

"Personer, der rapporterer om it-sårbarhed, har en vigtig rolle social ansvarlighed ", sagde det nederlandske sikkerheds- og justitsministerium torsdag, hvor der blev offentliggjort retningslinjer for etisk hacking, som blev offentliggjort af landets nationale cyber-sikkerhedscenter (NCSC).

Hvidhatt hackere og sikkerhedsforskere spiller en vigtig rolle i sikringen IT-systemer ved at finde sårbarheder, sagde NCSC. Centret hævdede imidlertid, at sikkerhedsforskere i nogle tilfælde er tilbageholdende med at oplyse sårbarheder for virksomheder, i stedet ved at bruge medierne til at annoncere sårbarheder, hvilket er en uønsket praksis, fordi den udsætter et hul, før det er fastgjort. (Se også "Audacious 'Hactivists Udfærdig Social Erklæring, Scholar Says.")

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Med vejledningen ønsker regeringen at give organisationer en ramme for oprette deres egne politikker for ansvarlig offentliggørelse. Ivo Opstelten, minister for sikkerhed og retfærdighed, planlægger at fremme en bred anvendelse af de ansvarlige retningslinjer for offentliggørelse inden for regeringen, sagde han i et brev sendt til parlamentet.

Mens den frigivne vejledning ikke berører den eksisterende lovramme, er det opfordrer parter til at arbejde sammen om at gøre it-systemer sikrere, sagde NCSC. Virksomheder og regeringer kunne f.eks. Tilbyde en standardiseret onlineformular, der kan bruges af sikkerhedsforskere til at underrette en organisation, hvis de fandt en sårbarhed, sagde den.

Virksomheden og forskeren kan også være enige om at afsløre sårbarheden inden for en bestemt periode ramme. En acceptabel periode til offentliggørelse af software sårbarheder er 60 dage, mens en rimelig periode til at afsløre sværere at reparere hardware sårbarheder er seks måneder, sagde NCSC. Når en organisation beslutter sig for at følge disse retningslinjer, bør den i sin politik inddrage, at den ikke vil anlægge sag mod ethiske hackere, der overholder de regler, den har tilføjet.

Den nederlandske anklagemyndighed vil dog fortsat have mulighed for at retsforfølge når Den mistanke om, at forbrydelser er begået, sagde sikkerheds- og justitsministeriet.

Anbefalet procedure

Den person, der opdager sårbarheden, bør rapportere det direkte og hurtigst muligt til ejeren af ​​systemet på en fortrolig måde, så lækage kan ikke misbruges af andre. Desuden vil den etiske hacker ikke anvende social engineering teknikker eller installere en bagdør eller kopiere, ændre eller slette data fra systemet, den angivne NCSC. Alternativt kan en hacker lave en mappeliste i systemet, sagde retningslinjerne.

Hackere bør også afholde sig fra at ændre systemet og ikke gentagne gange få adgang til systemet. Brug af brute-force teknikker til at få adgang til et system er også afskrækket, sagde NCSC. Den etiske hacker skal endvidere være enig i, at sårbarheder kun vil blive afsløret, efter at de er rettet og kun med samtykke fra den involverede organisation. Parterne kan også beslutte at informere det bredere IT-samfund, hvis sårbarheden er ny, eller det er mistanke om, at flere systemer har samme sårbarhed, sagde NCSC.

Selv om den ansvarlige oplysningsprocedure i princippet er et spørgsmål for detektoren og organisation kan NCSC fungere som en mellemmand, hvis der rapporteres en sårbarhed direkte til det.

"Jeg synes det er en meget god ting, især når NCSC fungerer som mellemmand", siger Ronald Prins, administrerende direktør for den nederlandske sikkerhed firma Fox-IT. Et af de problemer, som etiske hackere står over for, er, at de har svært ved at blive taget alvorligt, hvis de rapporterer en sårbarhed for et firma, og de har svært ved at nå den rigtige person, sagde han.

Hvis en organisation bliver kontaktet om en sikkerhedsproblem ved en officiel statslig organisation som NCSC, vil den nok tage advarslen mere alvorligt, tilføjede han. Online-formularer, der bruges til at rapportere sårbarheden direkte til den rigtige person i en organisation, kunne også hjælpe denne proces, tilføjede han.

Mens der er ringe fleksibilitet til ethiske hackere inden for retningslinjerne, sagde Prins, at han forstod, hvorfor regeringen gjorde det. Det forhindrer etiske hackere i at krydse linjen, sagde han.

"Jeg ser, at nogle mennesker er skuffede", fordi anklagemyndigheden stadig har lov til at retsforfølge, når de anser det for nødvendigt, sagde Prins. Men det er umuligt ikke at gøre det, tilføjede han. "Jeg ville være meget tilfreds, hvis nogen rapporterer et problem, som han fandt," sagde han. Men hvis den person tilbringer dage, der dræber sine systemer for at komme ind, ville Prins bestemt overveje at indgive en juridisk klage, sagde han.

Loek er Amsterdam Correspondent og dækker online privatliv, intellektuel ejendomsret, open source og online betalingsproblemer for IDG News Service. Følg ham på Twitter på @loekessers eller email tips og kommentarer til [email protected]