欧盟首个！比利时为白帽黑客提供安全港法律保护框架

前情回顾·白帽黑客法律保护动态

(资料图片仅供参考)

白帽黑客行为合法化任重而道远！从CFAA修订政策谈起

重磅！美国司法部修订法律，不再起诉白帽黑客行为

为应对网络攻击，东京奥组委培养220名“白帽黑客”

新加坡政府漏洞奖励计划年度总结：半数上报漏洞真实有效

安全内参2月17日消息，比利时政府网络安全机构称，该国已经成为首个采用国家全面安全港框架的欧洲国家。

比利时网络安全中心（CCB）公布了一项新制度，将在符合特定“严格”条件的前提下，保护那些上报可能影响比利时各类系统、网络或应用程序的安全漏洞的个人或组织免受起诉。

无论易受攻击的系统/技术属于私营或公共部门，这套框架都适用。

安全港框架具体细则

根据新规要求，按照国家协调漏洞披露政策（CVDP）中规定的程序，作为国家计算机应急响应团队（CSIRT），比利时网络安全中心现可收取关于IT漏洞的报告，并在符合以下条件时为安全研究人员提供合法保护：

尽快通知易受攻击系统/技术的所有者，至少不晚于通知比利时网络安全中心；

尽快按照规定的格式向比利时网络安全中心提交书面漏洞报告；

不存在欺诈或故意破坏等行为；

严格以必要和相称的方式行动，以证明脆弱性的客观存在；

未经比利时网络安全中心同意，不公开关于漏洞和脆弱系统的信息。

比利时网络安全中心曾在2020年制定了相关指南，鼓励国内组织采取漏洞披露政策或漏洞奖励计划。

如果相关组织已经拥有漏洞披露政策（VDP），那么白帽黑客无需通知比利时网络安全中心；但如果该漏洞会影响到其他不具备漏洞披露政策的组织，或者在披露和补救中“出现困难”，可以选择上报。

根据大多数漏洞披露和漏洞奖励计划的认定，网络钓鱼、社会工程和暴力破解攻击等进攻性技术“被视为不相称及/或不必上报的行为”。

欧盟其他国家的进度

欧洲网络与信息安全局（ENISA）2022年发布的一份关于国家协调漏洞披露（CVD）政策的报告显示，法国、立陶宛和荷兰当前也在“开展漏洞披露工作，并实施了政策要求”。

但根据比利时网络安全中心法律官员Valéry Vander Geeten的说法，比利时的政策全面程度达到了迄今为止的最高水平。

他在接受外媒The Daily Swig采访时称，荷兰的态度是“检察官办公室不会起诉道德黑客”，法国和斯洛伐克尚未提供“全面的法律保护”，而立陶宛的法律安全港则“仅限于关键基础设施领域”。

他还强调，无论是否为受影响系统/技术所在的组织工作，比利时都会保护这些上报脆弱性问题的研究人员。

目前，其他多个欧盟成员国也在开发或有意开发类似的道德黑客保护方案。

漏洞披露远非常态

尽管比利时电信公司Telenet、布鲁塞尔航空和安特卫普港等知名机构都拥有漏洞披露政策，但这远非常态。截至2021年，即使在财富500强企业当中，也只有不到20%具备漏洞披露政策（但仍已远高于2019年的9%）。

比利时漏洞奖励平台Intigriti黑客事务负责人Inti De Ceukelaire告诉The Daily Swig，“我希望相关立法能带来类似「GDPR」的效应，最终迫使更多企业采用这项政策。”

“但矛盾的是，大多数安全研究人员为之贡献价值和改进意见的企业，正是那些愿意主动倾听的组织。这些组织往往早已参与到最新的安全趋势当中，包括漏洞披露政策。”

“不过我也相信，如果能把这项政策引入其他组织，也会产生有趣的结果。荷兰就提出了类似的立法，推特上有位名叫Victor Gevers（ID：0xDUDE）的黑客就据此上报了5000个漏洞。”

参考资料：portswigger.net

标签： 网络安全 法律保护 研究人员