Το Ομοσπονδιακό Υπουργείο Δικαιοσύνης στη Γερμανία έχει συντάξει νόμο για την παροχή νομικής προστασίας σε ερευνητές ασφαλείας που ανακαλύπτουν και αναφέρουν υπεύθυνα, ελαττώματα ασφαλείας στους προμηθευτές.
Δείτε επίσης: Ενημέρωση Chrome διορθώνει πολλαπλά κρίσιμα ελαττώματα
Όταν η έρευνα για την ασφάλεια διεξάγεται εντός των καθορισμένων ορίων, οι υπεύθυνοι θα αποκλείονται από την ποινική ευθύνη και τον κίνδυνο δίωξης.
Επιπλέον, η προτεινόμενη τροποποίηση του ποινικού νόμου εισάγει αυστηρότερες κυρώσεις για σοβαρές περιπτώσεις κατασκοπείας και υποκλοπής δεδομένων, ιδίως όταν στοχεύουν υποδομές ζωτικής σημασίας.
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
Το νέο σχέδιο νόμου τροποποιεί το άρθρο 202a του Ποινικού Κώδικα (StGB) για να προστατεύσει τους ερευνητές ασφαλείας, τις εταιρείες και τους λεγόμενους «ethical hacker» από τιμωρία, σύμφωνα με το ποινικό δίκαιο των υπολογιστών.
Αυτό ισχύει όταν οι ενέργειές τους εκτελούνται για τον εντοπισμό και το κλείσιμο μιας ευπάθειας ασφαλείας, εφόσον δεν θεωρούνται “μη εξουσιοδοτημένες“.
Δείτε ακόμα: Η CISA προειδοποιεί για κρίσιμα ελαττώματα σε συστήματα ICS
Τα κριτήρια που πρέπει να πληρούνται για την έρευνα ασφάλειας είναι τα ακόλουθα:
- Η ενέργεια πρέπει να εκτελείται με στόχο τον εντοπισμό ευπάθειας ή άλλου κινδύνου ασφάλειας σε ένα σύστημα πληροφορικής.
- Ο ερευνητής πρέπει να σκοπεύει να αναφέρει την ευπάθεια ασφαλείας που έχει εντοπιστεί σε μια υπεύθυνη οντότητα ικανή να αντιμετωπίσει το ζήτημα, όπως ο χειριστής συστήματος, ο κατασκευαστής λογισμικού ή η Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών (BSI).
- Η πράξη πρόσβασης στο σύστημα πρέπει να είναι απαραίτητη για τον εντοπισμό της ευπάθειας. Αυτό διασφαλίζει ότι η εξαίρεση ισχύει μόνο στο βαθμό που απαιτείται για δοκιμές ασφαλείας, χωρίς περιττή ή υπερβολική πρόσβαση.
Η ίδια εξαίρεση από την ποινική ευθύνη εφαρμόζεται επίσης σε αδικήματα που αφορούν υποκλοπή (§ 202b StGB) και τροποποίηση δεδομένων (§ 303a StGB) εφόσον οι σχετικές ενέργειες θεωρούνται επιτρεπόμενες. Ταυτόχρονα, ο νόμος εισάγει μια ποινή που κυμαίνεται από τρεις μήνες έως πέντε χρόνια φυλάκισης για σοβαρές περιπτώσεις κακόβουλης κατασκοπείας και υποκλοπής δεδομένων από τους ερευνητές ασφαλείας(§ 202a StGB).
Περισσότερες λεπτομέρειες για το σχέδιο νόμου και τις προτεινόμενες τροπολογίες είναι διαθέσιμες εδώ.
Δείτε επίσης: Η Yahoo αποκαλύπτει ελαττώματα του NetIQ iManager που επιτρέπουν RCE
Η προστασία των ερευνητών που αποκαλύπτουν ελαττώματα ασφάλειας είναι ζωτικής σημασίας για την προώθηση της κυβερνοασφάλειας και τη διαφύλαξη της ψηφιακής υποδομής. Οι ερευνητές ασφάλειας που συχνά αναφέρονται ως ethical hacker, διαδραματίζουν ουσιαστικό ρόλο στον εντοπισμό των τρωτών σημείων προτού μπορέσουν να αποτελέσουν αντικείμενο κακόβουλης εκμετάλλευσης. Για να διασφαλιστεί ότι η συνεισφορά των ερευνητών ασφαλείας αναγνωρίζεται και οι ίδιοι προστατεύονται, είναι ζωτικής σημασίας να θεσπιστούν σαφείς νόμοι και κατευθυντήριες γραμμές του κλάδου που τους προστατεύουν από πιθανές νομικές επιπτώσεις. Οι εταιρείες και οι οργανισμοί μπορούν να ενθαρρύνουν την υπεύθυνη αποκάλυψη προσφέροντας νομική ασυλία υπό ορισμένες προϋποθέσεις, παρέχοντας χρηματικές ανταμοιβές μέσω προγραμμάτων επιβράβευσης σφαλμάτων και αναπτύσσοντας μια διαφανή διαδικασία για την αναφορά τρωτών σημείων. Με την προώθηση ενός περιβάλλοντος όπου οι ερευνητές ασφάλειας υποστηρίζονται και εκτιμώνται, η κοινωνία μπορεί να ενισχύσει την ανθεκτικότητά της έναντι των απειλών στον κυβερνοχώρο και να προωθήσει την καινοτομία στις πρακτικές ασφάλειας.
Πηγή: bleepingcomputer