डच सरकार का उद्देश्य नैतिक हैकर्स के प्रकटीकरण प्रथाओं को आकार देना है

डच सरकार के साइबर सुरक्षा केंद्र ने दिशानिर्देश प्रकाशित किए हैं कि उम्मीद है कि नैतिक हैकर्स को जिम्मेदार तरीके से सुरक्षा भेद्यता का खुलासा करने के लिए प्रोत्साहित किया जाएगा।

"जो व्यक्ति आईटी भेद्यता की रिपोर्ट करते हैं, वे एक महत्वपूर्ण हैं सामाजिक जिम्मेदारी, "डच मंत्रालय ने सुरक्षा और न्याय मंत्रालय ने गुरुवार को देश के राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी) द्वारा प्रकाशित नैतिक हैकिंग के लिए दिशानिर्देशों की घोषणा की।

व्हाइट-टोपी हैकर्स और सुरक्षा शोधकर्ता सुरक्षित करने में एक महत्वपूर्ण भूमिका निभाते हैं एनसीएससी ने कहा कि कमजोरियों को ढूंढकर आईटी सिस्टम। हालांकि, केंद्र ने बनाए रखा कि सुरक्षा शोधकर्ता कभी-कभी कमजोरियों की घोषणा करने के लिए मीडिया आउटलेट का उपयोग करके कंपनियों को कमजोरियों का खुलासा करने के लिए अनिच्छुक होते हैं, जो एक अवांछित अभ्यास है क्योंकि यह तय होने से पहले एक छेद का खुलासा करता है। (यह भी देखें "'अशिष्ट' हैक्टविस्ट सामाजिक वक्तव्य बनाते हैं, विद्वान कहते हैं।")

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

गाइड के साथ, सरकार संगठनों को ढांचे के साथ प्रदान करना चाहता है जिम्मेदार प्रकटीकरण पर अपनी नीतियां बनाएं। संसद को भेजे गए एक पत्र में उन्होंने कहा कि सुरक्षा और न्याय मंत्री इवो ओपस्टेलटन सरकार के भीतर जिम्मेदार प्रकटीकरण दिशानिर्देशों के व्यापक उपयोग को प्रोत्साहित करने की योजना बना रहे हैं।

जारी किए गए मार्गदर्शन मौजूदा कानूनी ढांचे को प्रभावित नहीं करते हैं, एनसीएससी ने कहा कि आईटी सिस्टम को सुरक्षित बनाने के लिए पार्टियों को मिलकर काम करने के लिए प्रोत्साहित किया जाता है। कंपनियां और सरकारें उदाहरण के लिए एक मानक ऑनलाइन फॉर्म प्रदान कर सकती हैं जिसका उपयोग सुरक्षा शोधकर्ताओं द्वारा किसी संगठन को सूचित करने के लिए किया जा सकता है यदि उन्हें भेद्यता मिलती है।

कंपनी और शोधकर्ता एक निश्चित समय के भीतर भेद्यता का खुलासा करने के लिए भी सहमत हो सकते हैं फ्रेम। एनसीएससी ने कहा कि सॉफ्टवेयर भेद्यता के प्रकटीकरण के लिए एक स्वीकार्य अवधि 60 दिन है, जबकि हार्डवेयर भेद्यता को ठीक करने के लिए कठिन परिस्थितियों का खुलासा करने के लिए उचित अवधि छह महीने है। जब कोई संगठन इन दिशानिर्देशों का पालन करने का निर्णय लेता है, तो उसे अपनी नीति में शामिल करना चाहिए कि नियमों का अनुपालन करने वाले नैतिक हैकरों के खिलाफ कानूनी कार्रवाई नहीं होगी।

डच सार्वजनिक अभियोजन सेवा हालांकि मुकदमा चलाने का विकल्प रखेगी यह संदेह करता है कि अपराध किए गए हैं, सुरक्षा और न्याय मंत्रालय ने कहा।

अनुशंसित प्रक्रिया

जो व्यक्ति भेद्यता को खोजता है उसे उसे सीधे और जल्द से जल्द सिस्टम के मालिक को गोपनीय तरीके से रिपोर्ट करना चाहिए, तो रिसाव दूसरों द्वारा दुर्व्यवहार नहीं किया जा सकता है। इसके अलावा, नैतिक हैकर सामाजिक इंजीनियरिंग तकनीकों का उपयोग नहीं करेगा, न ही एनसीएससी निर्दिष्ट प्रणाली से डेटा का बैकडोर स्थापित या कॉपी, संशोधित या हटा देगा। वैकल्पिक रूप से एक हैकर सिस्टम में निर्देशिका सूची बना सकता है, दिशानिर्देशों ने कहा।

हैकर्स को सिस्टम को बदलने से रोकना चाहिए और बार-बार सिस्टम तक नहीं पहुंचना चाहिए। एनसीएससी ने कहा कि एक प्रणाली तक पहुंचने के लिए ब्रूट-फोर्स तकनीक का उपयोग भी निराश किया जाता है। नैतिक हैकर को आगे यह मानना ​​है कि भेद्यता केवल तभी तय की जाएगी जब वे तय किए जाएंगे और केवल शामिल संगठन की सहमति के साथ ही। एनसीएससी ने कहा कि पार्टियां व्यापक आईटी समुदाय को सूचित करने का फैसला कर सकती हैं कि अगर भेद्यता नई है या यह संदेह है कि अधिक प्रणालियों में समान भेद्यता है।

जबकि जिम्मेदार प्रकटीकरण प्रक्रिया सिद्धांत रूप में डिटेक्टर और मामले के लिए महत्वपूर्ण है संगठन, एनसीएससी एक मध्यस्थ के रूप में कार्य कर सकता है अगर एक भेद्यता सीधे इसकी सूचना दी जाती है।

"मुझे लगता है कि यह एक बहुत अच्छी बात है, खासकर जब एनसीएससी मध्यस्थ के रूप में कार्य करती है," डच सुरक्षा के सीईओ रोनाल्ड प्रिंस ने कहा फर्म फॉक्स-आईटी। नैतिक हैकर्स चेहरे की समस्याओं में से एक यह है कि अगर वे किसी कंपनी को भेद्यता की रिपोर्ट करते हैं तो उन्हें गंभीरता से लिया जा रहा है, और उनके पास सही व्यक्ति तक पहुंचने में कठिन समय है।

यदि एनसीएससी जैसे आधिकारिक सरकारी संगठन द्वारा सुरक्षा भेद्यता के बारे में किसी संगठन से संपर्क किया जाता है, तो शायद यह चेतावनी अधिक गंभीरता से ले जाएगा। उन्होंने कहा कि एक संगठन के भीतर सीधे सही व्यक्ति को भेद्यता की रिपोर्ट करने के लिए इस्तेमाल किए जाने वाले ऑनलाइन फॉर्म भी इस प्रक्रिया में मदद कर सकते हैं।

दिशानिर्देशों के भीतर नैतिक हैकर्स को थोड़ी लचीलापन दी गई है, लेकिन प्रिंस ने कहा कि उन्हें समझ में आया कि सरकार ने ऐसा क्यों किया। प्रिंस ने कहा कि यह नैतिक हैकर्स को लाइन पार करने से रोकता है।

"मुझे लगता है कि कुछ लोग निराश हैं" क्योंकि सार्वजनिक अभियोजन सेवा को तब भी मुकदमा चलाने की इजाजत है जब उन्हें आवश्यक समझा जाता है। लेकिन ऐसा करना असंभव है, उन्होंने कहा। उन्होंने कहा, "अगर कोई ऐसी समस्या की रिपोर्ट करता है तो उसे बहुत प्रसन्नता होगी।" लेकिन अगर वह व्यक्ति अपने सिस्टम को बढ़ाने के लिए दिन बिताता है, तो प्रिंस निश्चित रूप से कानूनी शिकायत दर्ज करने पर विचार करेंगे।

लोक एम्स्टर्डम संवाददाता है और आईडीजी के लिए ऑनलाइन गोपनीयता, बौद्धिक संपदा, खुले स्रोत और ऑनलाइन भुगतान के मुद्दों को शामिल करता है समाचार सेवा @loekessers पर ट्विटर पर उसका अनुसरण करें या [email protected]