比利時(shí)為白帽黑客提供安全港法律保護(hù)框架

發(fā)布時(shí)間 2023-02-18

比利時(shí)政府網(wǎng)絡(luò)安全機(jī)構(gòu)稱,該國已經(jīng)成為首個(gè)采用國家全面安全港框架的歐洲國家。


比利時(shí)網(wǎng)絡(luò)安全中心(CCB)公布了一項(xiàng)新制度,將在符合特定“嚴(yán)格”條件的前提下,保護(hù)那些上報(bào)可能影響比利時(shí)各類系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的安全漏洞的個(gè)人或組織免受起訴。無論易受攻擊的系統(tǒng)/技術(shù)屬于私營或公共部門,這套框架都適用。


安全港框架具體細(xì)則


根據(jù)新規(guī)要求,按照國家協(xié)調(diào)漏洞披露政策(CVDP)中規(guī)定的程序,作為國家計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)(CSIRT),比利時(shí)網(wǎng)絡(luò)安全中心現(xiàn)可收取關(guān)于IT漏洞的報(bào)告,并在符合以下條件時(shí)為安全研究人員提供合法保護(hù):


  • 盡快通知易受攻擊系統(tǒng)/技術(shù)的所有者,至少不晚于通知比利時(shí)網(wǎng)絡(luò)安全中心;

  • 盡快按照規(guī)定的格式向比利時(shí)網(wǎng)絡(luò)安全中心提交書面漏洞報(bào)告;

  • 不存在欺詐或故意破壞等行為;

  • 嚴(yán)格以必要和相稱的方式行動(dòng),以證明脆弱性的客觀存在;

  • 未經(jīng)比利時(shí)網(wǎng)絡(luò)安全中心同意,不公開關(guān)于漏洞和脆弱系統(tǒng)的信息。


比利時(shí)網(wǎng)絡(luò)安全中心曾在2020年制定了相關(guān)指南,鼓勵(lì)國內(nèi)組織采取漏洞披露政策或漏洞獎(jiǎng)勵(lì)計(jì)劃。


如果相關(guān)組織已經(jīng)擁有漏洞披露政策(VDP),那么白帽黑客無需通知比利時(shí)網(wǎng)絡(luò)安全中心;但如果該漏洞會(huì)影響到其他不具備漏洞披露政策的組織,或者在披露和補(bǔ)救中“出現(xiàn)困難”,可以選擇上報(bào)。


根據(jù)大多數(shù)漏洞披露和漏洞獎(jiǎng)勵(lì)計(jì)劃的認(rèn)定,網(wǎng)絡(luò)釣魚、社會(huì)工程和暴力破解攻擊等進(jìn)攻性技術(shù)“被視為不相稱及/或不必上報(bào)的行為”。