Kerajaan Belanda bertujuan untuk membentuk amalan pendedahan penggodam etika

Pusat keselamatan siber kerajaan Belanda telah menerbitkan garis panduan yang diharapkan akan menggalakkan penggodam etika untuk mendedahkan kelemahan keselamatan dengan cara yang bertanggungjawab.

"Orang yang melaporkan kerentanan IT mempunyai kepentingan yang penting tanggungjawab sosial, "kata Kementerian Keselamatan dan Keadilan Belanda pada hari Khamis, mengumumkan garis panduan pengauditan etika yang diterbitkan oleh Pusat Keselamatan Siber Nasional (NCSC) negara.

Peretas dan penyelidik keselamatan putih memainkan peranan penting dalam mengamankan Sistem IT dengan mencari kelemahan, kata NCSC. Walau bagaimanapun, pusat ini mengekalkan bahawa penyelidik keselamatan kadang-kadang enggan mendedahkan kelemahan kepada syarikat, sebaliknya menggunakan saluran media untuk mengumumkan kelemahan, yang merupakan amalan yang tidak diingini kerana ia mendedahkan lubang sebelum ia ditetapkan. (Lihat juga "Hactivists 'Audacious Membuat Kenyataan Sosial, Kata Cendekiawan.")

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Dengan panduan, kerajaan ingin menyediakan organisasi dengan rangka kerja mewujudkan dasar mereka sendiri mengenai pendedahan yang bertanggungjawab. Ivo Opstelten, Menteri Keselamatan dan Keadilan, merancang untuk menggalakkan penggunaan garis panduan pendedahan yang bertanggungjawab di dalam kerajaan, katanya dalam satu surat yang dihantar ke parlimen.

Walaupun panduan yang dikeluarkan tidak mempengaruhi rangka kerja perundangan yang ada, menggalakkan pihak untuk bekerjasama untuk menjadikan sistem IT selamat, kata NCSC. Syarikat-syarikat dan kerajaan boleh misalnya menawarkan bentuk dalam talian yang standard yang boleh digunakan oleh penyelidik keselamatan untuk memberitahu organisasi jika mereka mendapati kelemahan, katanya.

Syarikat dan penyelidik juga boleh bersetuju untuk mendedahkan kelemahan dalam masa tertentu bingkai. Tempoh yang boleh diterima untuk pendedahan kelemahan perisian adalah 60 hari, manakala tempoh yang munasabah untuk mendedahkan lebih keras untuk memperbaiki kelemahan perkakasan adalah enam bulan, kata NCSC. Apabila organisasi memutuskan untuk mematuhi garis panduan ini, ia harus termasuk dalam dasarnya bahawa ia tidak akan mengambil tindakan undang-undang terhadap penggodam etika yang mematuhi peraturan tersebut.

Layanan Pendakwaan Orang Belanda Walau bagaimanapun akan tetap memilih untuk mendakwa ia mengesyaki bahawa jenayah telah dilakukan, Kementerian Keselamatan dan Keadilan berkata

Prosedur yang disyorkan

Orang yang mengetahui kerentanan itu harus melaporkannya secara langsung dan secepat mungkin kepada pemilik sistem secara rahsia, jadi kebocoran tidak boleh disalahgunakan oleh orang lain. Selain itu, penggodam etika tidak akan menggunakan teknik kejuruteraan sosial, atau memasang pintu belakang atau menyalin, mengubah atau memadam data dari sistem, yang ditentukan oleh NCSC. Selain itu, penggodam boleh membuat senarai direktori dalam sistem, kata pedoman tersebut.

Hacker juga harus menahan diri daripada mengubah sistem dan tidak berulang kali mengakses sistem. Menggunakan teknik kekerasan untuk mengakses sistem juga tidak digalakkan, kata NCSC. Peretas etika selanjutnya harus bersetuju bahawa kelemahan hanya akan didedahkan setelah mereka tetap dan hanya dengan persetujuan organisasi yang terlibat. Pihak-pihak juga boleh membuat keputusan untuk memberitahu komuniti IT yang lebih luas jika kelemahan itu adalah baru atau disyaki bahawa lebih banyak sistem mempunyai kerentanan yang sama, kata NCSC.

Walaupun prosedur pendedahan yang bertanggungjawab pada dasarnya adalah satu perkara untuk pengesan dan "NCSC bertindak sebagai perantara," kata Ronald Prins, Ketua Pegawai Eksekutif keselamatan Belanda. "Saya fikir ini adalah perkara yang sangat baik, terutama apabila NCSC bertindak sebagai perantara," kata Ronald Prins firma Fox-IT. Salah satu masalah yang dihadapi oleh para penggodam etika adalah mereka menghadapi masalah keras jika mereka melaporkan kerentanan kepada syarikat, dan mereka mempunyai masa yang sukar untuk mencapai orang yang tepat, katanya.

Sekiranya organisasi dihubungi mengenai kelemahan keselamatan oleh organisasi kerajaan rasmi seperti NCSC, ia mungkin akan mengambil amaran lebih serius, katanya. Bentuk-bentuk dalam talian yang digunakan untuk melaporkan kelemahan secara langsung kepada orang yang tepat dalam organisasi juga boleh membantu proses ini, katanya.

Walaupun terdapat sedikit kelonggaran yang diberikan kepada penggodam etika dalam garis panduan, Prins berkata dia memahami mengapa kerajaan melakukannya. Ia menghalang penggodam etika daripada menyeberang, katanya. "Saya melihat beberapa orang kecewa" kerana Perkhidmatan Pendakwaan Awam masih dibenarkan untuk mendakwa apabila mereka menganggap perlu, kata Prins. Tetapi mustahil untuk tidak melakukan ini, katanya. "Saya sangat gembira jika seseorang melaporkan masalah yang ditemuinya," katanya. Tetapi jika orang itu menghabiskan hari berdebar-debar sistemnya untuk masuk, Prins pasti akan mempertimbangkan memfailkan aduan undang-undang, katanya.

Loek adalah Koresponden Amsterdam dan meliputi privasi dalam talian, harta intelektual, sumber terbuka dan isu pembayaran dalam talian untuk IDG Perkhidmatan Berita. Ikuti dia di Twitter di @loekessers atau tip e-mel dan komen ke [email protected]