Holländska regeringar syftar till att forma etiska hackers upplysningsförfaranden

Den nederländska regeringens säkerhetscenter har publicerat riktlinjer som man hoppas kommer att uppmuntra etiska hackare att på ett ansvarsfullt sätt avslöja säkerhetsrisker.

"Personer som rapporterar en IT-sårbarhet har en viktig roll socialt ansvar ", meddelade det nederländska ministeriet för säkerhet och rättvisa på torsdagen, som meddelade riktlinjer för etisk hacking som publicerades av landets nationella Cyber ​​Security Center (NCSC).

Hackhackare och säkerhetsforskare spelar en viktig roll för att säkra IT-system genom att hitta sårbarheter, sa NCSC. Centret hävdade dock att säkerhetsforskare ibland är ovilliga att avslöja sårbarheter för företag, istället genom att använda mediautbud för att tillkännage sårbarheter, vilket är en oönskad praxis eftersom den utsätter ett hål innan det är fixerat. (Se även "Audacious" Hactivists Gör Sociala Anmärkningar, Scholar Says. ")

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Med guiden vill regeringen ge organisationer en ram för skapa sin egen policy för ansvarsfullt utlämnande Ivo Opstelten, minister för säkerhet och rättvisa, planerar att uppmuntra en bred användning av de ansvarsfulla riktlinjerna för offentliggörande inom regeringen, sade han i ett brev som skickades till parlamentet.

Även om den släppta vägledningen inte påverkar den befintliga rättsliga ramen, uppmuntrar parter att arbeta tillsammans för att göra IT-system säkrare, sade NCSC. Företag och regeringar kan till exempel erbjuda en standardiserad onlineformulär som kan användas av säkerhetsforskare att anmäla en organisation om de upptäckte en sårbarhet, säger den.

Företaget och forskaren kan också gå med på att avslöja sårbarheten inom en viss tid ram. En acceptabel period för att avslöja programvara sårbarheter är 60 dagar, medan en rimlig period att avslöja hårdare för att fixa hårdhetsproblem är sex månader, sa NCSC. När en organisation beslutar sig för att följa dessa riktlinjer, bör det i sin policy innehålla att det inte kommer att vidta rättsliga åtgärder mot etiska hackare som följer de regler som den lagt till.

Den nederländska åklagarmyndigheten kommer dock att kunna välja att väcka talan när den misstänker att brott har begåtts, sade säkerhets- och justitieministeriet.

Rekommenderat förfarande

Den som upptäcker sårbarheten bör rapportera det direkt och så fort som möjligt till ägaren av systemet på ett konfidentiellt sätt, så läckan kan inte missbrukas av andra. Vidare kommer den etiska hackaren inte använda samhällstekniksteknik eller installera en bakdörr eller kopiera, ändra eller radera data från systemet, den angivna NCSC. Alternativt kan en hackare göra en kataloglista i systemet, sade riktlinjerna.

Hackers bör också avhålla sig från att ändra systemet och inte upprepade gånger komma åt systemet. Med hjälp av brute-force tekniker för att komma åt ett system är också avskräckt, sa NCSC. Den etiska hackaren måste vidare komma överens om att sårbarheter endast kommer att avslöjas efter att de har fastställts och endast med samtycke från den berörda organisationen. Parterna kan också besluta att informera det bredare IT-samhället om sårbarheten är ny eller det är misstänkt att fler system har samma sårbarhet, säger NCSC.

Även om det ansvariga upplysningsförfarandet i princip är en fråga för detektorn och organisation, kan NCSC fungera som mellanhand om en sårbarhet rapporteras direkt till den.

"Jag tycker att det här är mycket bra, särskilt när NCSC fungerar som mellanhand", säger Ronald Prins, VD för den nederländska säkerheten fast Fox-IT. Ett av de problem som etiska hackare står inför är att de har svårt att bli allvarligt om de rapporterar en sårbarhet mot ett företag, och de har svårt att nå rätt person, sade han.

Om en organisation kontaktas om en säkerhetsproblem hos en officiell myndighetsorganisation som NCSC, kommer den antagligen att ta varningen mer allvarligt, tillade han. Online formulär som används för att rapportera sårbarheten direkt till rätt person inom en organisation kan också hjälpa till med denna process, tillade han.

Medan liten flexibilitet ges till etiska hackare i riktlinjerna, sade Prins att han förstod varför regeringen gjorde det. Det förhindrar etiska hackare att korsa linjen, sade han. "Jag ser att vissa människor är besvikna" eftersom åklagarmyndigheten fortfarande får åtalas när de anser det nödvändigt, sade Prins. Men det är omöjligt att inte göra det, tillade han. "Jag skulle vara mycket nöjd om någon rapporterar ett problem som han fann", sa han. Men om den personen tillbringar dagar som döljer sina system för att komma in, skulle Prins definitivt överväga att lämna in ett lagligt klagomål, sa han.

Loek är Amsterdam Correspondent och täcker privatlivets fred, immateriella rättigheter, öppen källkod och online betalningsfrågor för IDG News Service. Följ honom på Twitter på @loekessers eller email tips och kommentarer till [email protected]