歐盟首個！比利時為白帽黑客提供安全港法律保護框架

安全內參2月17日消息，比利時政府網絡安全機構稱，該國已經成為首個采用國家全面安全港框架的歐洲國家。

比利時網絡安全中心（CCB）公布了一項新制度，將在符合特定“嚴格”條件的前提下，保護那些上報可能影響比利時各類系統、網絡或應用程序的安全漏洞的個人或組織免受起訴。

無論易受攻擊的系統/技術屬于私營或公共部門，這套框架都適用。

安全港框架具體細則

根據新規要求，按照國家協調漏洞披露政策（CVDP）中規定的程序，作為國家計算機應急響應團隊（CSIRT），比利時網絡安全中心現可收取關于IT漏洞的報告，并在符合以下條件時為安全研究人員提供合法保護：

• 盡快通知易受攻擊系統/技術的所有者，至少不晚于通知比利時網絡安全中心；
• 盡快按照規定的格式向比利時網絡安全中心提交書面漏洞報告；
• 不存在欺詐或故意破壞等行為；
• 嚴格以必要和相稱的方式行動，以證明脆弱性的客觀存在；
• 未經比利時網絡安全中心同意，不公開關于漏洞和脆弱系統的信息。

比利時網絡安全中心曾在2020年制定了相關指南，鼓勵國內組織采取漏洞披露政策或漏洞獎勵計劃。

如果相關組織已經擁有漏洞披露政策（VDP），那么白帽黑客無需通知比利時網絡安全中心；但如果該漏洞會影響到其他不具備漏洞披露政策的組織，或者在披露和補救中“出現困難”，可以選擇上報。

根據大多數漏洞披露和漏洞獎勵計劃的認定，網絡釣魚、社會工程和暴力破解攻擊等進攻性技術“被視為不相稱及/或不必上報的行為”。

歐盟其他國家的進度

歐洲網絡與信息安全局（ENISA）2022年發布的一份關于國家協調漏洞披露（CVD）政策的報告顯示，法國、立陶宛和荷蘭當前也在“開展漏洞披露工作，并實施了政策要求”。

但根據比利時網絡安全中心法律官員Valéry Vander Geeten的說法，比利時的政策全面程度達到了迄今為止的最高水平。

他在接受外媒The Daily Swig采訪時稱，荷蘭的態度是“檢察官辦公室不會起訴道德黑客”，法國和斯洛伐克尚未提供“全面的法律保護”，而立陶宛的法律安全港則“僅限于關鍵基礎設施領域”。

他還強調，無論是否為受影響系統/技術所在的組織工作，比利時都會保護這些上報脆弱性問題的研究人員。

目前，其他多個歐盟成員國也在開發或有意開發類似的道德黑客保護方案。

漏洞披露遠非常態

盡管比利時電信公司Telenet、布魯塞爾航空和安特衛普港等知名機構都擁有漏洞披露政策，但這遠非常態。截至2021年，即使在財富500強企業當中，也只有不到20%具備漏洞披露政策（但仍已遠高于2019年的9%）。

比利時漏洞獎勵平臺Intigriti黑客事務負責人Inti De Ceukelaire告訴The Daily Swig，“我希望相關立法能帶來類似「GDPR」的效應，最終迫使更多企業采用這項政策。”

“但矛盾的是，大多數安全研究人員為之貢獻價值和改進意見的企業，正是那些愿意主動傾聽的組織。這些組織往往早已參與到最新的安全趨勢當中，包括漏洞披露政策。”

“不過我也相信，如果能把這項政策引入其他組織，也會產生有趣的結果。荷蘭就提出了類似的立法，推特上有位名叫Victor Gevers（ID：0xDUDE）的黑客就據此上報了5000個漏洞。”