Rejestracja Praktyki Zawodowej ? Rejestracja Praktyki Zawodowej (odc. 4)
Spisu treści:
Centrum bezpieczeństwa cybernetycznego rządu holenderskiego opublikowało wytyczne, które mają nadzieję, że zachęcą etycznych hakerów do ujawniania luk bezpieczeństwa w odpowiedzialny sposób.
"Osoby, które zgłaszają lukę w zabezpieczeniach IT mają ważne odpowiedzialność społeczna ", podało w czwartek holenderskie ministerstwo bezpieczeństwa i sprawiedliwości, ogłaszając wytyczne dotyczące hakerskich działań etycznych, które zostały opublikowane przez Krajowe Centrum Cyber Security (NCSC).
Hackerzy i analitycy bezpieczeństwa odgrywają ważną rolę w zabezpieczaniu Systemy informatyczne poprzez znajdowanie słabych punktów, powiedział NCSC. Jednak centrum utrzymywało, że badacze zajmujący się bezpieczeństwem czasami niechętnie ujawniają luki w zabezpieczeniach firmom, zamiast tego używają mediów do ogłaszania luk w zabezpieczeniach, co jest niepożądaną praktyką, ponieważ ujawnia lukę zanim zostanie naprawiona. (Zobacz także "Audacious" Hactivists Sporządź oświadczenie społeczne, Scholar Says. ")
Z przewodnikiem, rząd chce zapewnić organizacjom ramy do stworzyć własne zasady dotyczące odpowiedzialnego ujawniania. Ivo Opstelten, minister bezpieczeństwa i sprawiedliwości, planuje zachęcać do szerokiego korzystania z zasad odpowiedzialnego ujawniania informacji w rządzie, powiedział w piśmie skierowanym do parlamentu.
Mimo że opublikowane wytyczne nie mają wpływu na obowiązujące ramy prawne, Zachęca strony do współpracy w celu zwiększenia bezpieczeństwa systemów IT - powiedziała NCSC. Firmy i rządy mogłyby na przykład zaoferować wystandaryzowaną formę online, która może zostać wykorzystana przez badaczy bezpieczeństwa, aby powiadomić organizację, jeśli wykryli lukę w zabezpieczeniach.
Firma i badacz mogą również zgodzić się na ujawnienie luki w określonym czasie rama. Dopuszczalny okres ujawniania usterek w oprogramowaniu wynosi 60 dni, a rozsądny okres na ujawnienie trudniejszej do usunięcia luki w zabezpieczeniach sprzętu to sześć miesięcy - podało NCSC. Kiedy organizacja decyduje się postępować zgodnie z tymi wytycznymi, powinna zawrzeć w swojej polityce, że nie podejmie działań prawnych przeciwko hakerom etycznym, którzy przestrzegają zasad, dodała.
Holenderska prokuratura zachowuje jednak możliwość wniesienia oskarżenia, gdy podejrzewa, że popełniono przestępstwa, podało Ministerstwo Bezpieczeństwa i Sprawiedliwości
Zalecana procedura
Osoba, która odkryje tę lukę, powinna zgłosić ją bezpośrednio i jak najszybciej właścicielowi systemu w sposób poufny, więc przeciek nie może być nadużywany przez innych. Co więcej, haker etyczny nie użyje technik inżynierii społecznej ani nie zainstaluje backdoora lub nie skopiuje, nie zmodyfikuje ani nie usunie danych z systemu, określonego przez NCSC. Ewentualnie haker mógłby utworzyć wykaz w systemie, zgodnie z wytycznymi.
Hakerzy powinni również powstrzymać się od zmieniania systemu i wielokrotnego uzyskiwania dostępu do systemu. Korzystanie z technik brutalnej siły w celu uzyskania dostępu do systemu również jest odradzane, powiedział NCSC. Etyczny haker musi także zgodzić się, że luki w zabezpieczeniach zostaną ujawnione dopiero po ich naprawieniu i tylko za zgodą zaangażowanej organizacji. Strony mogą również podjąć decyzję o poinformowaniu szerszej społeczności IT, jeżeli luka w zabezpieczeniach jest nowa lub podejrzewa się, że większa liczba systemów ma tę samą lukę, NCSC stwierdziła.
Podczas gdy odpowiedzialna procedura ujawniania jest w zasadzie sprawą dla wykrywacza i organizacji, NCSC może działać jako pośrednik, jeśli luka jest bezpośrednio zgłaszana.
"Myślę, że to bardzo dobrze, zwłaszcza gdy NCSC działa jako pośrednik," powiedział Ronald Prins, dyrektor naczelny holenderskiego bezpieczeństwa firma Fox-IT. Jednym z problemów, przed którymi stoją etyczni hakerzy, jest to, że ciężko im potraktować poważnie, jeśli zgłoszą lukę w firmie i mają trudności z dotarciem do właściwej osoby, powiedział.
Jeśli skontaktujemy się z organizacją w sprawie luki w zabezpieczeniach przez oficjalną organizację rządową, taką jak NCSC, prawdopodobnie potraktuje to ostrzeżenie bardziej poważnie - dodał. Internetowe formularze używane do zgłaszania luki bezpośrednio odpowiedniej osobie w organizacji również mogą pomóc w tym procesie, dodał.
Podczas gdy w wytycznych nie ma elastyczności etycznych hakerów, Prins powiedział, że rozumie, dlaczego rząd to zrobił. To zapobiegło przekraczaniu linii przez etycznych hakerów. "
" Widzę, że niektórzy ludzie są zawiedzeni ", ponieważ prokuratura nadal może wnosić oskarżenie, gdy uzna to za konieczne, powiedział Prins. Ale nie można tego nie zrobić, dodał. "Byłbym bardzo zadowolony, gdyby ktoś zgłosił problem, który znalazł" - powiedział. Ale jeśli ta osoba spędza dni na wbijaniu swoich systemów, Prins na pewno rozważy złożenie skargi prawnej, powiedział.
Loek jest korespondentem w Amsterdamie i zajmuje się kwestiami prywatności, własności intelektualnej, otwartego oprogramowania i płatności internetowych dla IDG. Serwis wiadomości. Śledź go na Twitterze w @loekessers lub wysyłaj porady i komentarze na adres [email protected]
Singapur w celu opracowania bardziej rygorystycznych zasad ujawniania blogów
Urząd ds. Rozwoju mediów w Singapurze będzie "dalej studiować", wydając bardziej rygorystyczne zasady ujawniania przez blogerów płatności i prezentów od firmy.
Aplikacje Office rząd USA 365 w celu zwiększenia bezpieczeństwa w chmurze
Skupienie tego eBooka od Microsoft na bezpieczeństwo online zatytułowane The Modern Workplace Watchdog jest na w jaki sposób usługa Office 365 US Government pomaga chronić dane.
Safe Computing Porady, praktyk i zwyczajów dla użytkowników Windows
Ten post oferuje kilka Porady Safe Computing, praktyki, zwyczaje, wytyczne i wskazówki dla dzieci także dorośli, starsi i seniorzy. Dowiedz się, jak zachować bezpieczeństwo w Internecie.