“白帽駭客”合法化——比利時新法律規定滲透測試無需攻擊物件同意

Editor發表於2023-05-08

比利時今年透過了一項最新的“吹哨人”法案,該法將“白帽駭客行為”賦予了正當性並且免除任何刑事責任——即使是在未獲攻擊目標同意的情況下。


在業界,駭客通常是指那些未經授權訪問計算機系統或網路的人。這類未經授權的訪問有很多是出於犯罪意圖,例如透過加密、竊取資料等向攻擊目標索要贖金(即所謂的“勒索軟體攻擊”)——此類駭客通常被稱為”黑帽駭客”。


同時,也有部分駭客是出於其他考慮,例如替企業檢測是否存在有可能會被不法分子利用的漏洞——這些駭客通常被稱為“白帽駭客”。白帽駭客的工作能夠使安全漏洞在被利用之前得到解決,從而防止網路安全事件的發生,因此他們的攻擊行為實際上是屬於改善公司和公共機構IT系統網路安全的一種手段。


但“黑帽駭客”和“白帽駭客”的行為方式近乎一樣,很難對其進行區分,因此白帽駭客總是冒著潛在的刑事起訴風險進行活動。在比利時這項新“吹哨人”法出臺之前,根據比利時刑法,所有形式的駭客行為(包括白帽駭客行為在內),都將受到懲罰,除非已經提前得到受攻擊實體的同意。


如今駭客有權主動調查比利時的機構是否存在潛在的網路安全漏洞,並且無需該機構同意。但這並不意味著駭客就完全自由了,白帽駭客行為仍需要符合法律規定的四個條件,才不會被追究責任。


法律規定的第一個條件是,白帽駭客不能有意圖造成侵害或透過其活動獲得非法利益。敲詐勒索不為法律所認可,白帽駭客不得以漏洞向機構索要錢財,除非已得到對方的事先同意,例如漏洞賞金計劃。


第二個條件則要求白帽駭客必須儘快向比利時網路安全中心(CCB)報告任何發現的網路安全漏洞。同時,白帽駭客亦需要將其發現報告給其攻擊目標。


第三個條件要求白帽駭客在攻擊中不得超出必要和相稱的程度。白帽駭客還需要確保他們的攻擊活動不會影響被測試機構的正常運營。


最後一個條件是白帽駭客不得在未經CCB同意的情況下向公眾披露有關漏洞的資訊。


可以看到,這項法律在某些地方使用了相當曖昧的詞語,例如“必要和相稱”,實際上是很難預測哪些技術可以用於白帽駭客攻擊,而哪些又不可以的——這意味著在實際操作中,如何界定合法攻擊與非法攻擊這件事情上仍會存在一些問題。另外,未經CCB許可,白帽駭客不能釋出他們的測試結果,這項規定可能會損害白帽駭客在機構不願意或無法解決漏洞的情況下警告廣大公眾的能力。


但不管怎麼說,比利時至少在網路安全上邁出了嶄新一步,時間自會證明這項開創性嘗試的價值。



編輯:左右裡

資訊來源:https://www.law.kuleuven.be

轉載請註明出處和本文連結

相關文章