Η Πορτογαλία τροποποίησε τη νομοθεσία της για το έγκλημα στον κυβερνοχώρο για να δημιουργήσει ένα νόμιμο ασφαλές λιμάνι για καλή τη πίστη έρευνα ασφάλειας και να καταστήσει την πειρατεία ατιμώρητη υπό ορισμένες αυστηρές προϋποθέσεις.
Εντοπίστηκε για πρώτη φορά από Ντάνιελ Κάθμπερτα νέα διάταξη στο άρθρο 8.οΑμε τίτλο “Πράξεις που δεν τιμωρούνται λόγω δημόσιου συμφέροντος για την ασφάλεια στον κυβερνοχώρο”, παρέχει νομική εξαίρεση για ενέργειες που προηγουμένως είχαν χαρακτηριστεί ως παράνομη πρόσβαση στο σύστημα ή παράνομη υποκλοπή δεδομένων.
Η εξαίρεση ισχύει μόνο όταν οι ερευνητές ασφαλείας ενεργούν με σκοπό τον εντοπισμό τρωτών σημείων και τη συμβολή στην ασφάλεια στον κυβερνοχώρο. Οι βασικές προϋποθέσεις που πρέπει να πληρούνται για να προστατευτεί η μέλισσα από ποινική ευθύνη είναι:
- Η έρευνα πρέπει να στοχεύει αποκλειστικά στον εντοπισμό τρωτών σημείων που δεν δημιουργούνται από τον ερευνητή και στη βελτίωση της ασφάλειας στον κυβερνοχώρο μέσω της αποκάλυψης.
- Ο ερευνητής δεν μπορεί να αναζητήσει ή να λάβει οποιοδήποτε οικονομικό όφελος πέρα από την κανονική επαγγελματική αποζημίωση.
- Ο ερευνητής πρέπει να αναφέρει αμέσως την ευπάθεια στον κάτοχο του συστήματος, σε οποιονδήποτε σχετικό υπεύθυνο επεξεργασίας δεδομένων και στο CNCS.
- Οι ενέργειες πρέπει να περιορίζονται αυστηρά σε ό,τι είναι απαραίτητο για τον εντοπισμό της ευπάθειας και δεν πρέπει να διακόπτουν τις υπηρεσίες, να τροποποιούν ή να διαγράφουν δεδομένα ή να προκαλούν βλάβη.
- Η έρευνα δεν πρέπει να περιλαμβάνει οποιαδήποτε παράνομη επεξεργασία προσωπικών δεδομένων βάσει του GDPR.
- Ο ερευνητής δεν πρέπει να χρησιμοποιεί απαγορευμένες τεχνικές όπως επιθέσεις DoS ή DDoS, κοινωνική μηχανική, phishing, κλοπή κωδικού πρόσβασης, σκόπιμη αλλαγή δεδομένων, βλάβη συστήματος ή ανάπτυξη κακόβουλου λογισμικού.
- Οποιαδήποτε δεδομένα αποκτηθούν κατά τη διάρκεια της έρευνας πρέπει να παραμείνουν εμπιστευτικά και να διαγραφούν εντός 10 ημερών από τη διόρθωση της ευπάθειας.
- Οι πράξεις που εκτελούνται με τη συγκατάθεση του κατόχου του συστήματος εξαιρούνται επίσης από τιμωρία, αλλά τυχόν ευπάθειες που εντοπίζονται πρέπει να αναφέρονται στο CNCS.
Το νέο άρθρο ορίζει με σαφήνεια τα όρια της έρευνας για την ασφάλεια, και ταυτόχρονα παρέχει νομική προστασία για καλοπροαίρετους χάκερ.
Τον Νοέμβριο του 2024, το Ομοσπονδιακό Υπουργείο Δικαιοσύνης στη Γερμανία παρουσίασε ένα σχέδιο νόμου που παρείχε παρόμοια προστασία σε ερευνητές ασφαλείας που ανακαλύπτουν και αναφέρουν υπεύθυνα ελαττώματα ασφαλείας στους προμηθευτές.
Νωρίτερα, τον Μάιο του 2022, το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ) ανακοίνωσε αναθεωρήσεις των πολιτικών του ομοσπονδιακής δίωξης σχετικά με παραβιάσεις του νόμου περί απάτης και κατάχρησης υπολογιστών (CFAA), προσθέτοντας μια εξαίρεση για την έρευνα «καλής πίστης».
Σύμφωνα με αυτά τα νομικά πλαίσια, η έρευνα για την ασφάλεια όχι μόνο αναγνωρίζεται αλλά και παρέχεται ο ασφαλής χώρος για προληπτική διερεύνηση συστημάτων, αποκάλυψη τρωτών σημείων και αναφορά τους χωρίς φόβο για νομικές συνέπειες.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
Related Posts
Πέντε παραδέχονται ένοχοι ότι βοήθησαν Βορειοκορεάτες να διεισδύσουν σε αμερικανικές εταιρείες
Πέντε άτομα παραδέχονται την ενοχή τους ότι βοήθησαν Βορειοκορεάτες να διεισδύσουν σε αμερικανικές εταιρείες ως «απομακρυσμένοι εργαζόμενοι στον τομέα της πληροφορικής»
Ο διακανονισμός FTC απαιτεί το Illuminate να διαγράψει τα περιττά δεδομένα μαθητών
