Question Period: Carbon tax plan, Saudi arms deal — October 25, 2018
Table des matières:
Le centre de cybersécurité du gouvernement néerlandais a publié des lignes directrices qui, selon lui, encourageront les pirates informatiques à divulguer les failles de sécurité de manière responsable.
"Les personnes qui signalent une vulnérabilité informatique ont un intérêt Le ministère néerlandais de la Sécurité et de la Justice a annoncé jeudi des lignes directrices sur le piratage éthique publiées par le National Cyber Security Center (NCSC) du pays.
Les pirates informatiques et les chercheurs en sécurité jouent un rôle important Systèmes informatiques en trouvant des vulnérabilités, a déclaré le NCSC. Cependant, le centre a maintenu que les chercheurs en sécurité hésitent parfois à divulguer des vulnérabilités aux entreprises, utilisant plutôt les médias pour annoncer des vulnérabilités, ce qui est une pratique indésirable parce qu'il expose un trou avant qu'il ne soit corrigé. (Voir aussi "Audacieux" Les activistes font une déclaration sociale, dit l'universitaire.)
Avec ce guide, le gouvernement veut fournir aux organisations un cadre pour créer leurs propres politiques en matière de divulgation responsable. Ivo Opstelten, ministre de la Sécurité et de la Justice, prévoit d'encourager une large utilisation des lignes directrices sur la divulgation responsable au sein du gouvernement, at-il dit dans une lettre envoyée au parlement.
Bien que les directives publiées n'affectent pas le cadre juridique existant, encourage les parties à travailler ensemble pour rendre les systèmes informatiques plus sûrs, a déclaré le NCSC. Les entreprises et les gouvernements pourraient par exemple offrir un formulaire en ligne standardisé qui pourrait être utilisé par les chercheurs en sécurité pour avertir une organisation s'ils ont trouvé une vulnérabilité.
L'entreprise et le chercheur peuvent également accepter de divulguer la vulnérabilité dans un certain délai Cadre. Une période acceptable pour la divulgation des vulnérabilités logicielles est de 60 jours, alors qu'une période raisonnable pour divulguer les vulnérabilités matérielles plus difficiles à résoudre est de six mois, a indiqué le NCSC. Lorsqu'une organisation décide de suivre ces lignes directrices, elle devrait inclure dans sa politique qu'elle n'engagera pas de poursuites judiciaires contre les pirates éthiques qui respectent les règles, ajoute-t-elle.
Le ministère public néerlandais gardera cependant l'option de poursuivre lorsque
Procédure recommandée
La personne qui découvre la vulnérabilité doit le signaler directement et le plus rapidement possible au propriétaire du système de manière confidentielle, donc la fuite ne peut pas être abusée par d'autres. En outre, le pirate éthique n'utilisera pas les techniques d'ingénierie sociale, ni installera une porte dérobée, ni ne copiera, ne modifiera ou ne supprimera des données du système, a précisé le NCSC. Sinon, un pirate pourrait faire une liste de répertoires dans le système, selon les directives.
Les pirates devraient également s'abstenir de modifier le système et ne pas accéder de façon répétée au système. L'utilisation de techniques de force brute pour accéder à un système est également découragée, a déclaré le NCSC. Le pirate éthique doit en outre convenir que les vulnérabilités ne seront divulguées qu'après leur fixation et uniquement avec le consentement de l'organisation concernée. Les parties peuvent également décider d'informer la communauté informatique plus large si la vulnérabilité est nouvelle ou si elle soupçonne que plusieurs systèmes ont la même vulnérabilité, a déclaré le NCSC.
Bien que la procédure de divulgation responsable relève en principe du détecteur et de la organisation, le NCSC peut servir d'intermédiaire si une vulnérabilité lui est directement rapportée.
"Je pense que c'est une très bonne chose, surtout quand le NCSC agit comme intermédiaire", a déclaré Ronald Prins, PDG de la la firme Fox-IT. L'un des problèmes auxquels sont confrontés les pirates informatiques éthiques est qu'ils ont du mal à être pris au sérieux s'ils signalent une vulnérabilité à une entreprise, et ils ont du mal à atteindre la bonne personne, a-t-il déclaré.
Si une organisation gouvernementale officielle comme la NCSC contacte une organisation au sujet d'une faille de sécurité, elle prendra probablement plus au sérieux l'avertissement, a-t-il ajouté. Les formulaires en ligne utilisés pour signaler la vulnérabilité directement à la bonne personne au sein d'une organisation pourraient également aider ce processus, ajoute-t-il.
Bien qu'il y ait peu de flexibilité accordée aux pirates éthiques dans les lignes directrices, Prins dit comprendre pourquoi le gouvernement a fait cela. "Je vois que certaines personnes sont déçues" parce que le ministère public est toujours autorisé à poursuivre quand il le juge nécessaire, a dit Prins. Mais il est impossible de ne pas le faire, at-il ajouté. "Je serais très heureux si quelqu'un signale un problème qu'il a trouvé", at-il dit. Prins aurait certainement envisagé de déposer une plainte, at-il dit.
Loek est correspondant d'Amsterdam et couvre la vie privée en ligne, la propriété intellectuelle, les questions de paiement open-source et en ligne pour l'IDG. Service de nouvelles. Suivez-le sur Twitter à @loekessers ou par e-mail à [email protected]
La Federal Trade Commission américaine pourrait commencer à appliquer des règles de neutralité du net et prendre des mesures contre les mauvaises pratiques de gestion des réseaux lorsque les fournisseurs de services à large bande ne respectent pas les promesses qu'ils font aux consommateurs. Pour informer les consommateurs sur les vitesses de téléchargement qu'ils fournissent et les types de pratiques de gestion de réseau qu'ils déploient, Jon Leibowitz, président de FTC, a déclaré sur le progra
Bloque le contenu Web qui entre en concurrence avec son propre contenu ou le contenu d'un partenaire, ce qui pourrait également soulever des «problèmes antitrust», ce qui pourrait inciter l'action FTC, a déclaré Leibowitz, nommé président en mars après plus de
"MDA étudiera plus en détail la question des règles de divulgation pour les blogueurs dans ses examens périodiques des politiques." MDA reconnaît qu'une telle divulgation dans les revues de produits et de services profite aux consommateurs, leur permettant de faire des choix éclairés ".
La décision de MDA d'étudier de telles mesures fait suite à la publication d'un nouvel ensemble de règles par la Federal Communication Commission des États-Unis. n qui oblige les blogueurs à divulguer des paiements et des cadeaux lorsqu'ils sont payés pour endosser des produits. Ces règles ne s'appliquent que lorsqu'un paiement est directement lié à une révision de produit et n'inclut pas la publicité générale qui n'est pas directement liée à la revue de produit.
Le gouvernement néerlandais a présenté aujourd'hui un projet de loi visant à doter les forces de l'ordre du pouvoir de pirater les systèmes informatiques - y compris ceux situés dans des pays étrangers - pour faire des recherches, rassembler et copier des preuves ou bloquer l'accès à certaines données.
Le gouvernement néerlandais a présenté jeudi un projet de loi visant à donner aux forces de l'ordre le pouvoir de pirater Les autorités policières devraient être autorisées à bloquer l'accès à la pornographie juvénile, à lire les courriels contenant des informations échangées entre criminels, et à être autorisés à faire des recherches, à rassembler et à copier des preuves. en mesure de placer des robinets sur la communication, selon un projet de loi publié jeudi et signé par Ivo Opstelten, le mi