Hackervriendelijke wetten: vereniging van Parijs wil beveiligingsonderzoekers beschermen


Beveiligingsonderzoeker is vaak een nogal ondankbare baan: sommige bedrijven reageren ofwel helemaal niet op het melden van beveiligingslekken in hun systemen, of ze dreigen onmiddellijk met een advocaat en een rechtszaak in plaats van productief en snel te werken om hun systemen te beveiligen. Hoewel veel bedrijven nu bug bounty-programma’s aanbieden en zeer positief zijn over beveiligingsonderzoekers en hun inspanningen in het openbaar, is de realiteit achter de schermen vaak nog anders. Met name onafhankelijke beveiligingsonderzoekers zonder een groot bedrijf of organisatie achter zich hebben nog vaak te maken met pogingen tot intimidatie en de dreiging van juridische stappen. Een non-profit belangengroep van beveiligingsonderzoekers werkt nu samen met een wereldwijde coalitie van partners om juridische bescherming te bieden aan dergelijke onafhankelijke white hat-hackers.

Zoals het in Parijs gevestigde Cybersecurity Advisors Network (CyAN) nu aangekondigd, het doel van het initiatief is om wetswijzigingen teweeg te brengen. Deze zijn bedoeld om beveiligingsonderzoekers te beschermen tegen juridische gevolgen als ze systemen van derden hacken om beveiligingslacunes op te sporen en – in het algemeen belang – te melden aan de verantwoordelijken voordat de kwetsbaarheden worden misbruikt. Het Zero Day Legislative Project, zoals de nieuwe werkgroep zichzelf noemt, wil samenwerken met beveiligingsonderzoekers om modelwetten te ontwikkelen die lobbyisten vervolgens in parlementen kunnen brengen om lokale rechtsgrondslagen te creëren voor de bescherming van white hat-hackers.

Het initiatief wordt onder meer ondersteund door de bekende beveiligingsonderzoeker Katie Moussouris, die een belangrijke rol speelde bij het opbouwen van een constructieve samenwerking met de hackergemeenschap bij Microsoft, en Casey Ellis, die het crowdsource-bugbountyplatform Bugcrowd oprichtte. Ook de Franse regering heeft toegezegd het CyAN-initiatief te steunen. En de OESO, de Organisatie voor Economische Samenwerking en Ontwikkeling, heeft zich begin dit jaar aangemeld uitgesproken voor de ontwikkeling van soortgelijke modelwetten om beveiligingsonderzoekers te beschermen.

Volgens het hoofd van het Zero Day Legislative Project, Peter Coroneos, is het idee om zo’n werkgroep op te richten ontstaan ​​uit een enquête tijdens een virtuele bijeenkomst van ruim 150 beveiligingsonderzoekers. Ze hebben juridische bedreigingen geïdentificeerd als een van de grootste problemen die hen ervan weerhouden hun werk te doen. Coroneos vertelde de Britse nieuwssite Het register in een gesprek. Bij CyAN waren ze aanvankelijk verbaasd dat dit tegenwoordig nog een probleem is. En toen besloten er iets aan te doen. “Onderzoekers vinden vaak een zwak punt en brengen de fabrikant op de hoogte. Het volgende dat ze krijgen is een staakt-het-vuren of een dreigbrief”, zegt Coroneos.

Bij heise beveiliging In het verleden hadden we vaak te maken met beveiligingsonderzoekers die de ene of de andere juridische bedreiging hadden gekregen en zich vervolgens tot ons wendden. Iedereen die (tot nu toe) niet is getroffen en een indruk wil krijgen van bijvoorbeeld dergelijke dreigbrieven, wordt in een corresponderend Verzameling op GitHub vind het.


(geweldig)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: