白帽黑客的法律保护之路
WORK REPORT
四叶草安全
近日,某国网络安全中心公布了一项新制度,将在符合规定的前提下,保护个人或组织上报可能影响该国各类系统、网络或应用程序的安全漏洞时免受起诉。
至此,该国已经成为首个采用国家全面安全港框架的欧洲国家,且达到了迄今为止的最高水平。
01
任重而道远的
白帽黑客合法化之路
white hat
欧洲某信息安全局2022年发布的一份关于国家协调漏洞披露(CVD)政策的报告显示,多国当前也在开展漏洞披露工作,并实施了相关政策要求。报告指出,所有数据安全事件均在48小时内得到解决。
该国安全中心工作人员强调,无论是否为受影响系统或技术所在的组织工作,他们都会保护这些上报脆弱性问题的研究人员。甚至影响到其他多个欧盟成员国也在有意开发类似的白帽黑客保护方案。
安全漏洞的严重程度主要取决于事件对国家安全、国家利益、个人或企业实体的具体影响,由低到高非常严重共分为五个等级。因此,该国于2020年成立了数据安全联络中心,在运营的第一年,联络中心就收到119份报告,其中6起被评为需要进一步调查的重要数据安全事件。
2021年,第32届夏季奥林匹克运动会在日本东京召开,在距离东京奥运会和残奥会开幕还有约半年的时间,东京奥组委就已经培养了220名“白帽黑客”,作为应对网络攻击的工作人员。
当时,东京奥组委以发生大规模系统故障的平昌冬奥会为教训(2018年韩国平昌冬奥会在开幕式当天发生系统故障,导致原定演出部分取消,电视直播紧急切换成彩排时录制画面),设想了开幕式等场景下遭到攻击的情景,并针对此类情况培养人才,保障赛事运营。
02
《计算机欺诈和滥用法》
CFAA
2022年5月19日,某国司法部宣布修改《计算机欺诈和滥用法》(CFAA)违规指控的政策。其中规定“善意的安全研究和研究人员不能根据CFAA受到指控,因为它们有助于提高网络安全标准。”
该国司法部曾明确指出,CFAA执法的目标是通过维护个人、网络所有者、运营商和其他人确保其信息中存储的信息的机密性、完整性和可用性的合法权利来促进隐私和网络安全。
当时,一些安全研究人员和漏洞猎人、漏洞赏金平台就开始欢呼,以为从此白帽黑客将获得渗透测试、挖洞、研究的通行证。但也有研究者表示谨慎:因为诚信研究或善意研究,与恶意的或不诚信的研究,这之间的界限可能没那么容易界定。
白帽黑客是网络安全产业的重要组成力量,法律保护道路的完善无疑在加速促进网络安全产业的健康发展,各种新兴法律的修订、保护政策的出台和实施,亦被视为白帽黑客任重而道远的合法化之路。
部分信息来源|安全内参
图源|网络
小草近期资讯(点击跳转)
四叶草安全
原文始发于微信公众号(四叶草安全):救赎之道|白帽黑客的法律保护之路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论