?B Á Ł Ė Ñ Ç Ì Â G Ã?
目次:
オランダ政府のサイバーセキュリティセンターは、倫理的ハッカーが責任を持ってセキュリティ脆弱性を開示することを奨励するためのガイドラインを公開しています。
「IT脆弱性を報告する人は、オランダの保安司法省は9日、ナショナルサイバーセキュリティセンター(NCSC)が公表した倫理的ハッキングのガイドラインを発表したと発表した。
ホワイトハットのハッカーとセキュリティ研究者は、 ITシステムの脆弱性を発見することで、NCSCは言った。しかし、セキュリティセンターの研究者は、企業に脆弱性を開示することに消極的であり、メディアアウトレットを使用して脆弱性を発表するのではなく、固定される前に穴が開いてしまうという望ましくない方法です。
このガイドでは、政府は組織にフレームワークを提供したいと考えています。責任ある開示に関する独自のポリシーを作成する。 Ivo Opstelten、セキュリティ・司法担当大臣は、政府内の責任ある開示指針の幅広い利用を奨励する計画だと、議会に送付された手紙の中で述べた。
リリースされた指針は既存の法的枠組みに影響を与えないが、 NCSCは、締約国がITシステムをより安全にするために協力していくことを奨励している。たとえば、企業や政府機関は、セキュリティ研究者が脆弱性を発見した場合に組織に通知するために使用できる標準化されたオンライン形式を提供することができると同氏は述べている。
同社と研究者は、フレーム。 NCSCは、ソフトウェア脆弱性の公開期間は60日間で、ハードウェアの脆弱性を修正するための合理的な期間は6ヵ月と言います。組織がこれらのガイドラインに従うことを決めるとき、規則に従う倫理的なハッカーに対して法的措置を講じないことをポリシーに含めるべきである、と付け加えた。
オランダの検察庁は、
推奨処置
脆弱性を発見した人は、システムの所有者にできるだけ早く機密に報告する必要があります。この脆弱性は、漏れは他人に悪用されることはありません。さらに、倫理的ハッカーはソーシャルエンジニアリング技術を使用したり、バックドアやコピーをインストールしたり、システムからデータを修正または削除したりすることはありません。また、ハッカーはシステムにディレクトリリストを作成する可能性があると指摘している。
ハッカーはシステムを変更したり、システムに繰り返しアクセスしたりしないでください。ブルーツフォース技術を使ってシステムにアクセスすることも推奨されていないとNCSCは述べている。倫理的なハッカーはさらに、脆弱性が修正された後にのみ、関連する組織の同意を得て公開されることに同意する必要があります。当事者は、脆弱性が新しいか、より多くのシステムが同じ脆弱性があると疑われる場合には、より幅広いITコミュニティに通知することも決定する可能性があるとNCSCは述べている。 NCSCは脆弱性が直接報告された場合に仲介者として行動することができます
「これは特にNCSCが仲介者として機能するときには非常に良いことだと思います」とオランダのセキュリティ担当最高経営責任者(CEO)会社Fox-IT。倫理的なハッカーが直面する問題の1つは、会社に脆弱性があると報告しても、真剣に取り組むのが難しく、適切な人に手を差し伸べるのが難しいということです。NCSCのような公式の政府機関によるセキュリティ上の脆弱性について組織に連絡を取った場合、警告がより真剣に受けられる可能性があると同氏は付け加えた。また、組織内の適切な人に脆弱性を直接報告するために使用されるオンラインフォームも、このプロセスに役立つと同氏は付け加えた。
ガイドラインの倫理的ハッカーには柔軟性はほとんどないが、なぜ政府がそれを行ったのか理解している。彼は、倫理的なハッカーの犯行を阻止している、と彼は言いました。
検察庁は、必要と判断したときに刑事告発を依頼することができるため、一部の人々は失望しています。しかし、これをしないことは不可能だと彼は付け加えた。 「誰かが見つけた問題を報告すれば非常に満足している」と彼は語った。
Loekはアムステルダム特派員であり、IDGのオンラインプライバシー、知的財産権、オープンソースおよびオンライン決済に関する問題を扱っています。彼は、その人が侵入するためにシステムを叩く日を過ごすと、ニュースサービス。 @loekessersでTwitterでフォローするか、[email protected]へのヒントやコメントを電子メールでお送りください