Eurovaalit 2019: YLE Pienpuoluetentti (FiNSUB)
Sisällysluettelo:
Alankomaiden hallituksen tietoturvakeskuksessa on julkaistu ohjeita, joita se toivoo kannustavan eettisiä hakkereita ilmaisemaan tietoturvahaavoittuvuuksia vastuullisesti.
"Henkilöt, jotka raportoivat IT-haavoittuvuudesta, ovat tärkeitä tietoturvahaavoittuvuuksia. yhteiskunnallinen vastuu ", Hollannin turvallisuus- ja oikeusministeriö sanoi torstaina ilmoittamalla eettisen hakkeroinnin ohjeista, jotka julkaistiin maan kansallisen tietoturvakeskuksen (National Cyber Security Center, NCSC).
Valkovenäjän hakkerit ja turvallisuus tutkijat ovat tärkeässä asemassa IT-järjestelmät löytämällä haavoittuvuuksia, NCSC sanoi. Keskus kuitenkin väitti, että tietoturva-tutkijat ovat joskus haluttomia paljastamaan haavoittuvuuksia yrityksille, sen sijaan, että tiedotusvälineet ilmoittavat haavoittuvuuksista, mikä on epätoivottavaa käytäntöä, koska se altistaa reiän ennen kuin se on kiinteä.
Oppaan avulla hallitus haluaa tarjota organisaatioille puitteet luoda omat vastuullisen paljastuksen toimintatavat. Turvallisuus- ja oikeusministeri Ivo Opstelten pyrkii kannustamaan vastuullista julkistamisohjeiden laajaa käyttöä hallituksessa, mutta hän sanoi parlamentille lähettämässään kirjeessä.
Vaikka julkaistut ohjeet eivät vaikuta nykyiseen oikeudelliseen kehykseen, se kannustaa osapuolia työskentelemään yhdessä IT-järjestelmien turvallisuuden parantamiseksi, NCSC sanoi. Yritykset ja hallitukset voisivat esimerkiksi tarjota standardoidun online-lomakkeen, jota turvallisuustieteilijät voivat käyttää ilmoittaakseen organisaatiolle, jos he löysivät haavoittuvuuden.
Yhtiö ja tutkija voivat myös suostua paljastamaan haavoittuvuuden tietyn ajan kuluessa kehys. Hyväksyttävä määräaika ohjelmistojen haavoittuvuuksien paljastamiselle on 60 päivää, ja kohtuullinen määräaika, jonka kuluessa laitteiden haavoittuvuuksien selvittäminen on vaikeampaa, on kuusi kuukautta, NCSC totesi. Kun organisaatio päättää noudattaa näitä suuntaviivoja, sen tulisi sisällyttää politiikkansa siihen, että se ei ryhdy oikeustoimiin eettisten hakkereiden kanssa, jotka noudattavat sääntöjä.
Alankomaiden syyttäjälaitos kuitenkin säilyttää mahdollisuuden syytteeseen, kun
Suositeltu menettely
Haavoittuvuuden havaitseva henkilö ilmoittaa siitä välittömästi ja mahdollisimman pian järjestelmän omistajalle luottamuksellisesti, mutta epäillyt, että rikokset on tehty, joten muut eivät voi vääristää vuotoa. Eettinen hakkeri ei myöskään käytä sosiaalisen tekniikan tekniikoita, eikä asenna takaporttia tai kopioi, muokkaa tai poista tietoja järjestelmästä, NCSC on määritelty. Vaihtoehtoisesti hakkeri voi tehdä hakemistoluettelon järjestelmässä, ohjeet sanoivat.
Hakkereiden pitäisi myös pidättäytyä muuttamasta järjestelmää eikä toistuvasti käytä järjestelmää. Käyttämällä brute force -tekniikoita järjestelmän käyttämiseen on myös lannistunut, NCSC sanoi. Eettisen hakkerin on edelleen syytä olla samaa mieltä siitä, että haavoittuvuudet julkistetaan vasta sen jälkeen, kun ne ovat kiinteitä ja vain mukana olevan organisaation suostumuksella. Osapuolet voivat myös päättää ilmoittaa laajemmalle tietotekniikkayhteisölle, jos haavoittuvuus on uusi tai epäillään, että useammilla järjestelmillä on sama haavoittuvuus, NCSC totesi.
Vaikka vastuullinen ilmoitusmenettely on lähtökohtaisesti ilmaisimen ja organisaatio, NCSC voi toimia välittäjänä, jos haavoittuvuus raportoidaan suoraan.
"Mielestäni tämä on erittäin hyvä asia, varsinkin kun NCSC toimii välittäjänä", totesi Alankomaiden turvallisuusjohtamisen toimitusjohtaja Ronald Prins yritys Fox-IT. Eräs ongelmista, joita eettiset hakkerit kohtaavat, on se, että heillä on vaikeuksia ottaa vakavasti, jos he raportoivat haavoittuvuudesta yritykselle, ja heillä on vaikeuksia päästä oikeaan henkilöön, hän sanoi.
Jos organisaatioon otetaan yhteys NCSC: n kaltaiseen viralliseen hallintoelimeen, se todennäköisesti ottaa varoituksen vakavammin, hän lisäsi. Verkkolomakkeet, joiden avulla haavoittuvuus raportoidaan suoraan organisaation oikealle henkilölle, voivat myös auttaa tätä prosessia, hän lisäsi.
Vaikka ohjeiden eettisten hakkerien joustavuus on vähäinen, Prins sanoi ymmärtävänsä, miksi hallitus teki sen. Se estää eettisiä hakkereita ylittämästä linjaa, hän sanoi.
"Näen, että jotkut ovat pettyneitä", koska syyttäjäviranomaisella on silti mahdollisuus syyttää, kun he katsovat sen tarpeelliseksi, Prins sanoi. Mutta on mahdotonta olla tekemättä, hän lisäsi. "Olisin erittäin tyytyväinen, jos joku ilmoittaa ongelmasta, jonka hän löysi", hän sanoi. Mutta jos tämä henkilö viettää päiviä, kun hänet päätyy järjestelmään, Prins luultavasti harkitsisi laillisen valituksen tekemistä.
Loek on Amsterdamin kirjeenvaihtaja ja kattaa IDG: n online-tietosuojaa, henkistä omaisuutta, avoimia lähdekoodeja ja verkkomaksuja Uutispalvelu. Seuraa häntä Twitterissä osoitteessa @loekessers tai sähköpostin vinkkejä ja kommentteja [email protected]
Haittaohjelmat pyrkivät muuttamaan todellisuutesi
Päivän haittaohjelmat käyttävät hienovaraisia temppuja, kuten muokattua Google-sivua, rakeiksi laittomiin voittoihin.
EBay vaatii kehittäjät muuttamaan tilin salasanoja
EBay vaatii, että kaikki sovellusympäristöohjelmassa olevat kehittäjät muuttavat salasanansa estääkseen petosten pääsyn tiliinsä .
Samsung ei loukkaa Applen multitouch-patenttia, Alankomaiden tuomioistuinten säännöt
Samsungin Galaxy-laitteet eivät loukkaa Apple-multitouchia patentti, jossa kuvataan tekniikkaa, joka estää älypuhelinten käyttäjiä työntämästä samanaikaisesti kahta näyttönupainiketta, Haagin tuomioistuin päätti keskiviikkona.