Пентестеры теперь могут обнаруживать уязвимости без страха быть обвинёнными во взломе.
Коалиция компаний и организаций в сфере кибербезопасности обнародовала несколько инициатив, призванных побудить этичных хакеров обнаруживать и раскрывать уязвимости и защищать их от юридических проблем, если они это сделают.
Google вместе с различными ИБ-компаниями объявили о создании фонда правовой защиты для поддержки исследователей кибербезопасности и пентестеров, а также группы защиты интересов Hacking Policy Council, которая будет лоббировать разумные правила раскрытия информации об уязвимостях.
Эрик Гольдштейн, исполнительный помощник директора по кибербезопасности в CISA, заявил, что «существует только 2 варианта» для любой уязвимости: её найдёт либо добросовестный, либо недобросовестный исследователь.
«Сегодня во многих случаях уязвимости попадают в руки недобросовестных специалистов. На данный момент такие специалисты обладают полной свободой действий, а у этичных хакеров присутствует слишком много барьеров, страхов и сдерживающих факторов. Мы должны изменить это», - отметил Гольдштейн.
Фонд правовой защиты
Фонд правовой защиты исследований в области кибербезопасности будет управляться некоммерческим Центром политики и права в области кибербезопасности с помощью начального финансирования от Google. Центр будет предоставлять юридические консультации исследователям кибербезопасности и пентестерам, которые «несправедливо преследуются за обнаружение уязвимостей или взломы».
Авторы предложения также отметили, что компании, у которых есть программы вознаграждения за ошибки (Bug Bounty), иногда вынуждают исследователей ждать продолжительные периоды времени, прежде чем разрешить им публично раскрывать проблемы. Это часто используется как способ купить «молчание» вместо того, чтобы заплатить специалистам вознаграждение.
Совет по политике взлома
Google совместно с несколькими ИБ-компаниями основали группу Hacking Policy Council, которая будет обеспечивать, чтобы новые политики и правила поддерживали лучшие практики управления уязвимостями и их раскрытия. Среди членов-основателей группы находятся HackerOne, Bugcrowd, Intel, Intigriti и Luta Security.
«Совет стремится отстаивать результаты политик, которые наилучшим образом обеспечат обнаружение и раскрытие уязвимостей, а также защитят хакеров, работающих над повышением безопасности продуктов и систем, которые мы все используем», — сказала Илона Коэн, главный специалист по политике и правовым вопросам HackerOne.
Генеральный директор BugCrowd Дэйв Джерри добавил, что более совершенные методы отчетности об уязвимостях помогут защитить потребителей, предприятия и общество, повысив вероятность того, что недостатки будут устранены до того, как ими воспользуются злоумышленники.
Одно найти легче, чем другое. Спойлер: это не темная материя