比利時為白帽黑客提供安全港法律保護框架

發(fā)布時間 2023-02-18

比利時政府網(wǎng)絡安全機構稱,該國已經(jīng)成為首個采用國家全面安全港框架的歐洲國家。


比利時網(wǎng)絡安全中心(CCB)公布了一項新制度,將在符合特定“嚴格”條件的前提下,保護那些上報可能影響比利時各類系統(tǒng)、網(wǎng)絡或應用程序的安全漏洞的個人或組織免受起訴。無論易受攻擊的系統(tǒng)/技術屬于私營或公共部門,這套框架都適用。


安全港框架具體細則


根據(jù)新規(guī)要求,按照國家協(xié)調(diào)漏洞披露政策(CVDP)中規(guī)定的程序,作為國家計算機應急響應團隊(CSIRT),比利時網(wǎng)絡安全中心現(xiàn)可收取關于IT漏洞的報告,并在符合以下條件時為安全研究人員提供合法保護:


  • 盡快通知易受攻擊系統(tǒng)/技術的所有者,至少不晚于通知比利時網(wǎng)絡安全中心;

  • 盡快按照規(guī)定的格式向比利時網(wǎng)絡安全中心提交書面漏洞報告;

  • 不存在欺詐或故意破壞等行為;

  • 嚴格以必要和相稱的方式行動,以證明脆弱性的客觀存在;

  • 未經(jīng)比利時網(wǎng)絡安全中心同意,不公開關于漏洞和脆弱系統(tǒng)的信息。


比利時網(wǎng)絡安全中心曾在2020年制定了相關指南,鼓勵國內(nèi)組織采取漏洞披露政策或漏洞獎勵計劃。


如果相關組織已經(jīng)擁有漏洞披露政策(VDP),那么白帽黑客無需通知比利時網(wǎng)絡安全中心;但如果該漏洞會影響到其他不具備漏洞披露政策的組織,或者在披露和補救中“出現(xiàn)困難”,可以選擇上報。


根據(jù)大多數(shù)漏洞披露和漏洞獎勵計劃的認定,網(wǎng)絡釣魚、社會工程和暴力破解攻擊等進攻性技術“被視為不相稱及/或不必上報的行為”。