比利时的白帽黑客,终于实现了有法可依

Posted on by admin

晓旭速评:白帽黑客一周游走在法律的灰色地带,比利时的这次新的立法完善了一些法律盲区,通过一些约束条件规范了白帽黑客的行为。在新的法律中对白帽黑客提出了四个条件,满足这四个条件的白帽黑客将获得法律支持。

这四个条件分别是:1. 攻击行为不能造成伤害或不正当得利。2. 需尽快向CCB(比利时网络安全中心)报告。3. 不许扩大范围。4. 如需披露漏洞细节,有义务提前在CCB报备。

以下是机翻内容:

2023 年 2 月 15 日,比利时见证了一项新的“举报人”法生效,该法将“道德黑客”合法化,即使在被黑客实体不同意的情况下也是如此。为了从这种非刑事化中获益,法律为道德黑客规定了一些条件,必须满足这些条件才能使黑客免于承担任何刑事责任。在这篇博文中,我们概述了新的比利时举报人法,从其对道德黑客的定义到非刑事化的条件,并总结了该法律对比利时及其他地区网络安全状况的潜在影响。

什么时候黑客“道德”(白帽黑客)?

在 IT 环境中,黑客通常被理解为未经授权访问计算机系统或网络的人。这种未经授权的访问可能出于犯罪意图,例如,通过阻止被黑客访问他们的系统直到他们支付赎金(所谓的“勒索软件攻击”)来勒索钱财。此类黑客通常被称为“黑帽黑客”。然而,也有一些黑客出于其他考虑,例如当黑客入侵计算机系统或网络以展示可能被黑帽黑客利用的漏洞时。这些“有道德”的黑客也被称为“白帽黑客”。道德黑客的工作可以为管理计算机或网络系统的组织带来巨大优势,因为它们将能够在任何网络安全漏洞被利用之前解决它们,从而防止网络安全事件的发生。因此,这种道德黑客行为可以成为提高公司和公共当局 IT 系统网络安全的一种手段。

根据新的比利时法律,“道德”黑客(白帽黑客)何时合法?

在新的比利时举报人法出台之前,所有形式的黑客攻击,包括道德黑客攻击,都将根据比利时刑法受到惩罚,除非被黑客攻击的实体同意这样做。后一种例外已经使各种比利时组织能够利用道德黑客来提高他们的网络安全水平,例如,通过为帮助他们发现漏洞的道德黑客提供(财务)奖励,即所谓的“漏洞赏金”漏洞。道德黑客和组织之间的合作通常发生在“协调的脆弱性披露政策”的背景下(CVDP)。CVDP 是由管理 IT 系统的组织创建的一组规则,它为该组织与道德黑客之间的协作提供了一个法律框架。它必须在线发布,例如在某个组织的网站上。道德黑客可以尝试通过 CVDP 表明他们已同意他们的活动,以避免承担刑事责任。然而,CVDP 并不是逃避道德黑客责任的万无一失的方式,因此,此类活动总是伴随着刑事起诉的潜在风险进行。

新的比利时举报人法 ( Klokkenluiderswet ) 改变了比利时道德黑客的法律状况。自然人或法人现在有权调查比利时的组织是否存在潜在的网络安全漏洞,即使他们不同意此类调查。该授权取决于法律规定的四个条件的满足,因此不能被理解为为黑客提供了对所有形式的网络安全研究的“全权委托”。只有遵守这些条件,黑客行为才不再属于比利时刑法中对黑客行为的刑事禁令。

法律规定的第一个条件是道德黑客不能有造成伤害的意图或通过他们的活动获得不正当利益。因此,法律排除了道德黑客要求付款以揭示他们发现的任何潜在漏洞,除非事先达成一致,例如作为漏洞赏金计划或 CVDP 的一部分。敲诈勒索不是法律认可的活动。

第二个条件要求道德黑客尽快向比利时网络安全中心(CCB) 报告任何未发现的网络安全漏洞,该中心是比利时的国家计算机安全事件响应小组。道德黑客还需要向他们正在调查的组织报告他们的发现,最迟在他们就漏洞通知 CCB 时报告。

第三个条件要求有道德的黑客不要为了发现网络安全漏洞而进行超出必要和相称的黑客攻击。道德黑客必须将自己限制在那些对于通知网络安全漏洞的目标绝对必要的活动中。例如,如果可以通过比道德黑客选择的侵入手段更少的侵入手段发现漏洞,则违反该条件。还要求道德黑客确保他们的活动不会影响被调查组织的服务可用性。

最后一个条件是道德黑客有义务在未经 CCB 同意的情况下不向更广泛的公众披露有关已发现漏洞的信息。因此,道德黑客不能在媒体上报告未发现的网络安全漏洞,例如通过在博客文章中注明,除非他们获得 CCB 的授权。

比利时新的网络安全规则有何后果?

新的比利时举报人法仅适用于比利时。如果网络安全漏洞涉及比利时境外的 IT 系统,则黑客攻击可能会受到系统所在国家/地区的规则的约束。虽然比利时法律基于欧盟 (EU) 指令(指令 2019/1937),但比利时已决定超出要求,这意味着即使在欧盟内部,现在根据比利时法律合法的活动也存在风险当其领土边界被跨越时,情况就不再如此。因此,网络安全新规则的任何后果仅限于比利时。

尽管新法律存在这一固有局限性,但仍有望促进比利时道德黑客的工作,从而促进他们在发现网络安全漏洞方面的贡献。防止网络安全事件的发生仍然是网络安全的一个重要但难以实现的组成部分,它不仅可以使组织受益,因为它们可以使组织免受与严重网络安全事件相关的声誉和经济损失,而且还可以使个人受益,否则他们可能会遭受网络安全危害,例如识别盗窃。

话虽如此,关于合法(道德)黑客攻击与比利时刑法规定为犯罪的非法黑客攻击之间的确切界限仍然存在疑问。这是因为新法律使用了相当开放的术语“必要和相称”来描述现在允许的活动。必要性和相称性将始终取决于手头的具体情况,因此有时很难预测哪些技术可以和不能用于道德黑客攻击。此外,在向公众通报网络安全漏洞时,该法律没有提供某些细节。如前所述,没有 CCB 的许可,道德黑客不能发布他们的发现,但是对于 CCB 必须如何以及何时必须给予此类许可,没有其他规则。

最后,只有时间才能证明比利时将道德黑客合法化的开创性尝试在多大程度上实际上改善了比利时的网络安全。然而,它的规定可以被视为朝着增加比利时组织之间的预防性网络安全实践迈出的(小)一步。

Reference:

消息来源:https://www.law.kuleuven.be/citip/blog/belgium-legalises-ethical-hacking-a-threat-or-an-opportunity-for-cybersecurity/

关于比利时:

比利时王国,通称比利时,位于欧洲西部沿海,东与德国接壤,北与荷兰比邻,南与法国交界,东南与卢森堡毗连,西临北海与英国隔海相望。 比利时现今为高度发达的国家,是欧洲联盟和北大西洋公约组织创始会员国之一,也是世界十大商品进出口国之一,外贸为其经济命脉。拥有极其完善的工业体系,以及港口、运河、铁路以及公路等基础设施。

比利时的人均GDP约 5.2万美元,全球第19位。

作为对比,中国人均GDP 1.2万美元,全球第63位。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注