تهدف الحكومة الهولندية إلى تشكيل ممارسات الكشف عن القراصنة الأخلاقية

قام مركز الأمن السيبراني التابع للحكومة الهولندية بنشر مبادئ توجيهية يأمل أن تشجع المخترقين الأخلاقين على الكشف عن نقاط الضعف الأمنية بطريقة مسؤولة.

"الأشخاص الذين يبلغون عن ثغرة في تكنولوجيا المعلومات لديهم أهمية وقالت وزارة الأمن والعدل الهولندية يوم الخميس ، معلنة عن المبادئ التوجيهية للقرصنة الأخلاقية التي نشرها المركز الوطني للامن الإلكتروني (NCSC) في البلاد.

القراصنة البيضاء والباحثين الأمن تلعب دورا هاما في تأمين نظم تكنولوجيا المعلومات من خلال إيجاد نقاط الضعف ، وقال NCSC. ومع ذلك ، أكد المركز أن الباحثين الأمنيين يترددون في بعض الأحيان في الكشف عن نقاط الضعف أمام الشركات ، بدلاً من استخدام المنافذ الإعلامية للإعلان عن نقاط الضعف ، وهي ممارسة غير مرغوب فيها لأنها تكشف عن ثقب قبل أن يتم إصلاحه. (أنظر أيضا "Hactivists" الجريئة "جعل البيان الاجتماعي" ، يقول الباحث. ")

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

مع الدليل ، تريد الحكومة تزويد المنظمات بإطار عمل إنشاء سياسات خاصة بهم بشأن الكشف المسؤول. يخطط إيفو أوبستلتن ، وزير الأمن والعدل ، لتشجيع الاستخدام الواسع لمبادئ الإفصاح المسؤولة في الحكومة ، كما قال في خطاب أرسل إلى البرلمان.

بينما لا يؤثر التوجيه الصادر على الإطار القانوني الحالي ، وتشجع الأطراف على العمل معًا لجعل أنظمة تقنية المعلومات أكثر أمانًا. يمكن للشركات والحكومات على سبيل المثال تقديم نموذج موحد عبر الإنترنت يمكن أن يستخدمه الباحثون الأمنيون لإخطار منظمة ما إذا وجدوا نقطة ضعف.

يمكن للشركة والباحث أيضًا الموافقة على الكشف عن الثغرة في وقت معين. الإطار. إن فترة مقبولة للإفصاح عن ثغرات البرامج هي 60 يومًا ، في حين أن فترة معقولة للكشف عن نقاط ضعف لإصلاح نقاط ضعف الأجهزة هي ستة أشهر. عندما تقرر إحدى المنظمات اتباع هذه الإرشادات ، يجب عليها أن تدرج في سياستها أنها لن تتخذ إجراءً قانونيًا ضد المتسللين الأخلاقيين الذين يمتثلون للقواعد.

إلا أن النيابة العامة الهولندية ستحتفظ بالخيار للمقاضاة عندما يشتبه في أن جرائم قد ارتكبت ، وقالت وزارة الأمن والعدل.

الإجراء الموصى به

يجب على الشخص الذي يكتشف الضعف إبلاغه مباشرة وبأسرع وقت ممكن لمالك النظام بطريقة سرية ، لذلك لا يمكن إساءة التسرب من قبل الآخرين. علاوة على ذلك ، فإن المتسلل الأخلاقي لن يستخدم تقنيات الهندسة الاجتماعية ، ولا يركب خلفيته أو ينسخ أو يحذف أو يحذف البيانات من النظام ، كما حدد NCSC. وبدلاً من ذلك ، يمكن للهاكر إدخال قائمة دليل في النظام ، على حد قول المبادئ التوجيهية.

يجب على المتسللين أيضًا الامتناع عن تغيير النظام وعدم الوصول إلى النظام بشكل متكرر. وقالت اللجنة إن استخدام أساليب القوة الغاشمة للوصول إلى نظام ما لا يشجعها أيضا. يجب أن يوافق الهاكر الأخلاقي على أنه سيتم الكشف عن نقاط الضعف فقط بعد أن يتم إصلاحها وفقط بموافقة المنظمة المعنية. كما يمكن للأطراف أن تقرر إبلاغ مجتمع تكنولوجيا المعلومات الأوسع إذا كان الضعف جديدًا أو إذا كان هناك شك في أن المزيد من الأنظمة تعاني من نفس الضعف ، على حد قول NCSC

في حين أن إجراء الكشف المسؤول هو من حيث المبدأ مسألة للكشف عن منظمة ، يمكن لل NCSC بمثابة وسيط إذا تم الإبلاغ عن الضعف له مباشرة.

"أعتقد أن هذا أمر جيد للغاية ، وخاصة عندما يعمل NCSC كوسيط" ، وقال رونالد برينس ، الرئيس التنفيذي للأمن الهولندي شركة فوكس-آي تي. ويقول أحد المشكلات التي يواجهها المتسللون الأخلاقيون هي أنهم يواجهون صعوبة في أخذها على محمل الجد إذا أبلغوا عن وجود ضعف في الشركة ، وأنهم يواجهون صعوبة في الوصول إلى الشخص المناسب.واضاف انه اذا تم الاتصال بمنظمة ما بشأن ثغرة أمنية من قبل منظمة حكومية رسمية مثل المركز الوطني للاحصاء ، فمن المحتمل ان تأخذ التحذير على محمل الجد. وقال إن النماذج على الإنترنت المستخدمة للإبلاغ عن الضعف مباشرة إلى الشخص المناسب داخل المنظمة يمكن أن تساعد أيضا في هذه العملية.

في حين أن هناك القليل من المرونة الممنوحة للمتسللين الأخلاقيين ضمن المبادئ التوجيهية ، قال برينز إنه يفهم سبب قيام الحكومة بذلك. وقال برينس إنه يمنع المتسللين الأخلاقيين من عبور الخط.

"أرى أن بعض الناس أصيبوا بخيبة أمل" لأن النيابة العامة ما زالت تسمح لهم بالمقاضاة عندما يرون ذلك ضروريًا. وأضاف أنه من المستحيل عدم القيام بذلك. وقال "سأكون مسرورا جدا إذا ما أبلغ أحد عن مشكلة وجدها". ولكن إذا قضى هذا الشخص أيامًا في ضرب أنظمته ليتمكن من الدخول ، فإن برينز سوف يفكر في تقديم شكوى قانونية.

Loek هو مراسل أمستردام ويغطي قضايا الخصوصية على الإنترنت ، والملكية الفكرية ، والمصدر المفتوح ، والدفع عبر الإنترنت لشركة IDG. خدمة الأخبار. اتبعه على Twitter علىloekessers أو على البريد الإلكتروني نصائح وتعليقات إلى [email protected]