"บุคคลที่รายงานความเสี่ยงด้านไอทีมีความสำคัญ กระทรวงความมั่นคงและความปลอดภัยของเนเธอร์แลนด์ประกาศเมื่อวันพฤหัสบดีที่ผ่านมาประกาศแนวทางการลักลอบนำจริยธรรมที่ตีพิมพ์โดยศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติ (NCSC)

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

ด้วยคำแนะนำนี้รัฐบาลต้องการให้องค์กรต่างๆมีกรอบการทำงานในการดำเนินการดังกล่าว สร้างนโยบายของตัวเองในการเปิดเผยข้อมูลอย่างรับผิดชอบ Ivo Opstelten รัฐมนตรีว่าการกระทรวงความมั่นคงและความมั่นคงมีแผนที่จะสนับสนุนการใช้แนวทางการเปิดเผยข้อมูลอย่างเปิดเผยภายในรัฐบาลเขากล่าวในจดหมายที่ส่งถึงรัฐสภา

ในขณะที่แนวทางที่เผยแพร่นี้ไม่ส่งผลต่อกรอบกฎหมายที่มีอยู่ กระตุ้นให้ทุกฝ่ายทำงานร่วมกันเพื่อทำให้ระบบไอทีปลอดภัยยิ่งขึ้น NCSC กล่าวว่า บริษัท และรัฐบาลต่างๆสามารถเสนอรูปแบบออนไลน์ที่ได้มาตรฐานซึ่งนักวิจัยด้านความปลอดภัยสามารถใช้เพื่อแจ้งให้องค์กรทราบหากพบช่องโหว่ดังกล่าว

บริษัท และนักวิจัยสามารถตกลงที่จะเปิดเผยช่องโหว่ภายในระยะเวลาหนึ่งได้ กรอบ ช่วงเวลาที่ยอมรับได้สำหรับการเปิดเผยช่องโหว่ของซอฟต์แวร์คือ 60 วันในขณะที่ระยะเวลาที่เหมาะสมในการเปิดเผยข้อมูลเพื่อหาช่องโหว่ของฮาร์ดแวร์ยากขึ้นเป็นเวลา 6 เดือน NCSC กล่าวว่า เมื่อองค์กรตัดสินใจที่จะปฏิบัติตามหลักเกณฑ์เหล่านี้ควรรวมไว้ในนโยบายที่จะไม่ดำเนินการทางกฎหมายต่อแฮกเกอร์จริยธรรมที่ปฏิบัติตามกฎระเบียบดังกล่าว

สำนักงานอัยการสูงสุดของเนเธอร์แลนด์จะเก็บทางเลือกในการฟ้องร้องเมื่อ ผู้ต้องสงสัยว่ามีการก่ออาชญากรรมขึ้นกระทรวงยุติธรรมและความมั่นคงกล่าวว่า

ขั้นตอนที่แนะนำ

บุคคลที่ค้นพบช่องโหว่นี้ควรรายงานเรื่องนี้ให้กับเจ้าของระบบในลักษณะที่เป็นความลับโดยเร็วที่สุดและเร็วที่สุดเท่าที่จะเป็นไปได้ ดังนั้นการรั่วไหลไม่สามารถทำร้ายผู้อื่นได้ นอกจากนี้แฮ็กเกอร์จริยธรรมจะไม่ใช้เทคนิควิศวกรรมโซเชียลหรือติดตั้งลับๆหรือคัดลอกปรับเปลี่ยนหรือลบข้อมูลออกจากระบบตามที่ระบุไว้ของ NCSC หรือแฮ็กเกอร์อาจสร้างรายชื่อไดเรกทอรีไว้ในระบบแนวทางดังกล่าว

แฮกเกอร์ควรงดเว้นการแก้ไขระบบและไม่เข้าถึงระบบอีกครั้ง NCSC กล่าวว่าการใช้เทคนิค brute-force ในการเข้าถึงระบบยังเป็นที่น่าเสียดาย แฮ็กเกอร์จริยธรรมต่อไปต้องยอมรับว่าช่องโหว่จะถูกเปิดเผยหลังจากที่ได้รับการแก้ไขแล้วและได้รับความยินยอมจากองค์กรที่เกี่ยวข้องเท่านั้น ฝ่ายต่างๆยังสามารถตัดสินใจที่จะแจ้งให้กับชุมชนด้านไอทีที่กว้างขึ้นได้หากความเสี่ยงดังกล่าวเกิดขึ้นใหม่หรือสงสัยว่าระบบอื่น ๆ มีช่องโหว่เช่นเดียวกัน NCSC กล่าวในขณะที่ขั้นตอนการเปิดเผยข้อมูลอย่างรับผิดชอบเป็นเรื่องสำคัญสำหรับเครื่องตรวจจับและ องค์กรนี้ NCSC สามารถทำหน้าที่เป็นตัวกลางถ้าช่องโหว่ถูกรายงานโดยตรง

"ผมคิดว่านี่เป็นสิ่งที่ดีมากโดยเฉพาะอย่างยิ่งเมื่อ NCSC ทำหน้าที่เป็นตัวกลาง" โรนัลด์พรัทส์ซีอีโอของดัตช์กล่าว บริษัท Fox-IT หนึ่งในปัญหาที่แฮ็กเกอร์จริยธรรมเผชิญคือพวกเขามีเวลาที่ยากที่จะได้รับอย่างจริงจังถ้าพวกเขารายงานช่องโหว่ให้กับ บริษัท และพวกเขามีเวลาที่ยากลำบากถึงคนที่เหมาะสมเขากล่าวว่า <หากองค์กรได้รับการติดต่อเกี่ยวกับช่องโหว่ด้านความปลอดภัยโดยองค์กรภาครัฐอย่างเป็นทางการเช่น NCSC อาจมีการเตือนอย่างจริงจังเขากล่าวเสริม แบบฟอร์มออนไลน์ที่ใช้ในการรายงานช่องโหว่นี้โดยตรงกับบุคคลที่เหมาะสมภายในองค์กรอาจช่วยกระบวนการนี้ได้ด้วยเขาเสริม

ในขณะที่ Prins กล่าวว่าเขาเข้าใจว่าทำไมรัฐบาลถึงทำเช่นนั้น แฮ็กเกอร์ที่มีจริยธรรมไม่ให้ข้ามเส้นเขากล่าว "ฉันเห็นว่าบางคนผิดหวัง" เพราะอัยการยังคงได้รับอนุญาตให้ฟ้องร้องเมื่อเห็นว่าจำเป็น Prins กล่าว แต่มันเป็นไปไม่ได้ที่จะไม่ทำเช่นนี้เขาเพิ่ม "ฉันจะยินดีเป็นอย่างยิ่งถ้ามีคนรายงานปัญหาที่เขาพบ" เขากล่าว แต่ถ้าบุคคลนั้นใช้เวลาหลายวันในการเข้าสู่ระบบ Prins จะพิจารณายื่นคำร้องเรียนทางกฎหมายอย่างเคร่งครัดเขากล่าวว่า

Loek คือผู้สื่อข่าวจากอัมสเตอร์ดัมและครอบคลุมความเป็นส่วนตัวออนไลน์ทรัพย์สินทางปัญญาปัญหาโอเพ่นซอร์สและการชำระเงินทางออนไลน์สำหรับ IDG บริการข่าว ติดตามเขาทาง Twitter ที่ @loekessers หรือส่งอีเมลเคล็ดลับและความคิดเห็นไปที่ [email protected]