2月17日消息,比利时政府网络安全机构称,该国已经成为首个采用国家全面安全港框架的欧洲国家。比利时网络安全中心(CCB)公布了一项新制度,将在符合特定“严格”条件的前提下,保护那些上报可能影响比利时各类系统、网络或应用程序的安全漏洞的个人或组织免受起诉。无论易受攻击的系统/技术属于私营或公共部门,这套框架都适用。
安全港框架具体细则
根据新规要求,按照国家协调漏洞披露政策(CVDP)中规定的程序,作为国家计算机应急响应团队(CSIRT),比利时网络安全中心现可收取关于IT漏洞的报告,并在符合以下条件时为安全研究人员提供合法保护:
尽快通知易受攻击系统/技术的所有者,至少不晚于通知比利时网络安全中心;
尽快按照规定的格式向比利时网络安全中心提交书面漏洞报告;
不存在欺诈或故意破坏等行为;
严格以必要和相称的方式行动,以证明脆弱性的客观存在;
未经比利时网络安全中心同意,不公开关于漏洞和脆弱系统的信息。
比利时网络安全中心曾在2020年制定了相关指南,鼓励国内组织采取漏洞披露政策或漏洞奖励计划。如果相关组织已经拥有漏洞披露政策(VDP),那么白帽黑客无需通知比利时网络安全中心;但如果该漏洞会影响到其他不具备漏洞披露政策的组织,或者在披露和补救中“出现困难”,可以选择上报。根据大多数漏洞披露和漏洞奖励计划的认定,网络钓鱼、社会工程和暴力破解攻击等进攻性技术“被视为不相称及/或不必上报的行为”。
欧盟其他国家的进度
欧洲网络与信息安全局(ENISA)2022年发布的一份关于国家协调漏洞披露(CVD)政策的报告显示,法国、立陶宛和荷兰当前也在“开展漏洞披露工作,并实施了政策要求”。但根据比利时网络安全中心法律官员Valéry Vander Geeten的说法,比利时的政策全面程度达到了迄今为止的最高水平。他在接受外媒The Daily Swig采访时称,荷兰的态度是“检察官办公室不会起诉道德黑客”,法国和斯洛伐克尚未提供“全面的法律保护”,而立陶宛的法律安全港则“仅限于关键基础设施领域”。他还强调,无论是否为受影响系统/技术所在的组织工作,比利时都会保护这些上报脆弱性问题的研究人员。目前,其他多个欧盟成员国也在开发或有意开发类似的道德黑客保护方案。
漏洞披露远非常态
尽管比利时电信公司Telenet、布鲁塞尔航空和安特卫普港等知名机构都拥有漏洞披露政策,但这远非常态。截至2021年,即使在财富500强企业当中,也只有不到20%具备漏洞披露政策(但仍已远高于2019年的9%)。比利时漏洞奖励平台Intigriti黑客事务负责人Inti De Ceukelaire告诉The Daily Swig,“我希望相关立法能带来类似「GDPR」的效应,最终迫使更多企业采用这项政策。”“但矛盾的是,大多数安全研究人员为之贡献价值和改进意见的企业,正是那些愿意主动倾听的组织。这些组织往往早已参与到最新的安全趋势当中,包括漏洞披露政策。”“不过我也相信,如果能把这项政策引入其他组织,也会产生有趣的结果。荷兰就提出了类似的立法,推特上有位名叫Victor Gevers(ID:0xDUDE)的黑客就据此上报了5000个漏洞。”
参考资料:portswigger
领取优惠
提交成功!