近日,德国联邦司法部起草了一项法律,目的在于为白帽黑客提供法律保护,白帽黑客在检测并弥补IT安全漏洞时的行为将不再承担刑事责任,也不会面临被起诉的风险。
关注此类消息的朋友应该知道,德国不是第一个立法保护白帽黑客的国家,2022年美国司法部就对《计算机欺诈和滥用法》(CFAA)进行了修订,明确指出网络安全研究人员,即白帽黑客有着“改善技术”的良好愿景,因此司法部门将不再以CFAA的名义起诉他们;2023年比利时也通过了一项“吹哨人”法案,将“白帽黑客行为”赋予了正当性并且免除任何刑事责任,即使是在未获攻击目标同意的情况下。
不是恶意行为者的免费通行证
可以看出,各国法律对白帽黑客的“松绑”已成趋势,但这是否意味着他们真的就完全自由?细看了以上几个国家的相关条规,会发现白帽黑客的行为仍要符合以下几个大的条件,才不会被追究责任。
1.善意目的性:行为必须是出于善意测试、调查和/或纠正安全漏洞;
2.漏洞需上报:必须有意向将发现的安全漏洞报告给能够解决问题的相关实体;
3.行为必需性:对系统的访问必须仅限于识别漏洞所必需的程度。
还有一个值得注意的点是,德国的法律中还有一条明确规定:同样的刑事责任豁免也适用于与数据拦截和数据相关的犯罪行为,但涉及到数据修改或者删减的行为需要经过授权。
这些标准为界定“善意”黑客行为提供了明确的指导,旨在保护那些真正出于提高网络安全目的而进行的安全研究行为,同时也能排除一些以研究为名进行恶意活动的个体。
攻守兼备完善网络安全生态链
模糊的法律条款在过去给善意发现和披露安全漏洞的白帽黑客带来了极大的障碍,松弛有度的条款更新可以避免因担心法律后果而导致的“寒蝉效应”,促使更多的安全研究人员参与到网络安全保护中来。
正如没有一个防御战局是纯粹由防御因素组成的,也没有一个进攻战局是纯粹由进攻因素组成的,更加完善的网络安全生态链需要更多攻守兼备的白帽力量。