比利时为白帽黑客提供安全港法律保护框架

发布时间 2023-02-18

比利时政府网络安全机构称,该国已经成为首个采用国家全面安全港框架的欧洲国家。


比利时网络安全中心(CCB)公布了一项新制度,将在符合特定“严格”条件的前提下,保护那些上报可能影响比利时各类系统、网络或应用程序的安全漏洞的个人或组织免受起诉。无论易受攻击的系统/技术属于私营或公共部门,这套框架都适用。


安全港框架具体细则


根据新规要求,按照国家协调漏洞披露政策(CVDP)中规定的程序,作为国家计算机应急响应团队(CSIRT),比利时网络安全中心现可收取关于IT漏洞的报告,并在符合以下条件时为安全研究人员提供合法保护:


  • 尽快通知易受攻击系统/技术的所有者,至少不晚于通知比利时网络安全中心;

  • 尽快按照规定的格式向比利时网络安全中心提交书面漏洞报告;

  • 不存在欺诈或故意破坏等行为;

  • 严格以必要和相称的方式行动,以证明脆弱性的客观存在;

  • 未经比利时网络安全中心同意,不公开关于漏洞和脆弱系统的信息。


比利时网络安全中心曾在2020年制定了相关指南,鼓励国内组织采取漏洞披露政策或漏洞奖励计划。


如果相关组织已经拥有漏洞披露政策(VDP),那么白帽黑客无需通知比利时网络安全中心;但如果该漏洞会影响到其他不具备漏洞披露政策的组织,或者在披露和补救中“出现困难”,可以选择上报。


根据大多数漏洞披露和漏洞奖励计划的认定,网络钓鱼、社会工程和暴力破解攻击等进攻性技术“被视为不相称及/或不必上报的行为”。