Một vụ tiết lộ bảo mật gần đây liên quan đến nền tảng Keigoan của Phần Lan đã gây ra cuộc thảo luận sôi nổi về cách tiếp cận có vấn đề của Belgium đối với việc báo cáo lỗ hổng an ninh mạng. Cuộc trò chuyện này tiết lộ một mô hình đáng lo ngại khi các nhà nghiên cứu bảo mật có thiện ý phải đối mặt với các mối đe dọa pháp lý và trở ngại quan liêu khi cố gắng giúp các tổ chức khắc phục các lỗ hổng bảo mật.
Yêu cầu Pháp lý Khắt khe Ngăn cản Tiết lộ có Trách nhiệm
Belgium đã thực hiện các luật an ninh mạng tạo ra nghĩa vụ pháp lý tự động cho bất kỳ ai phát hiện lỗ hổng trong các hệ thống của Belgium . Những yêu cầu này bao gồm thời hạn nghiêm ngặt 24 giờ để báo cáo các phát hiện độc quyền cho các cơ quan chức năng Belgium , kèm theo nhật ký chi tiết về tất cả các hoạt động nghiên cứu. Các quy tắc này áp dụng bất kể quốc tịch hay vị trí của nhà nghiên cứu, tạo ra một cái bẫy pháp lý cho các chuyên gia bảo mật quốc tế.
Khía cạnh đáng lo ngại nhất là các nhà nghiên cứu thường không thể chia sẻ thông tin lỗ hổng với các tổ chức bị ảnh hưởng không phải là Belgium , khiến họ dễ bị tổn thương trong khi các quy trình quan liêu diễn ra. Cách tiếp cận này hoàn toàn hiểu sai cách thức hoạt động của an ninh mạng hiện đại trong một thế giới kết nối với nhau.
Yêu cầu Công bố Lỗ hổng Bảo mật của Belgium:
- Thời hạn 24 giờ để báo cáo cho các cơ quan chức năng Belgium
- Báo cáo độc quyền (không được thông báo cho các bên bị ảnh hưởng khác)
- Yêu cầu nhật ký chi tiết về tất cả các hoạt động nghiên cứu
- Áp dụng cho tất cả các nhà nghiên cứu bất kể quốc tịch hay vị trí địa lý
- Thường không được cấp phép chia sẻ thông tin công khai
Rào cản Văn hóa Làm trầm trọng thêm các Vấn đề Pháp lý
Ngoài các trở ngại pháp lý, các nhà nghiên cứu báo cáo phải đối mặt với văn hóa phủ nhận và thù địch khi cố gắng tiết lộ có trách nhiệm ở Belgium . Nhiều chuyên gia bảo mật mô tả các cuộc gặp gỡ với các tổ chức Belgium phản ứng với các báo cáo lỗ hổng bằng các mối đe dọa thay vì lòng biết ơn. Tư thế phòng thủ này mở rộng ra ngoài an ninh mạng vào các thực hành kinh doanh chung, tạo ra cái mà một số người gọi là thuế kiêu ngạo ngăn cản nghiên cứu bảo mật hợp pháp.
Càng làm cho việc tiết lộ có trách nhiệm khó khăn thì việc tiết lộ vô trách nhiệm càng trở nên hấp dẫn, và đủ dễ dàng để thực hiện một cách ẩn danh.
Lĩnh vực ngân hàng, vốn nên ưu tiên bảo mật do vai trò quan trọng của mình, dường như đặc biệt kháng cự với sự hỗ trợ bảo mật từ bên ngoài. Các nhà nghiên cứu mô tả các ngân hàng là một trong những tác nhân không trung thực nhất khi nói đến việc thừa nhận và giải quyết các lỗ hổng bảo mật.
Tác động đến cộng đồng nghiên cứu bảo mật:
- Các nhà nghiên cứu tích cực tránh xa các hệ thống của Belgium
- Các mối đe dọa hành động pháp lý thường xuyên xảy ra sau khi tiết lộ có trách nhiệm
- "Thuế kiêu ngạo" làm nản lòng công việc bảo mật hợp pháp
- Lĩnh vực ngân hàng đặc biệt thù địch với các báo cáo lỗ hổng
- Tiết lộ ẩn danh đang trở thành lựa chọn thay thế hấp dẫn hơn
Hậu quả đối với An ninh Quốc gia
Môi trường thù địch này tạo ra các động cơ sai lệch cuối cùng làm tổn hại đến tư thế an ninh mạng của Belgium . Khi các nhà nghiên cứu hợp pháp tránh xa các hệ thống Belgium , các lỗ hổng vẫn không được phát hiện cho đến khi các tác nhân độc hại tìm thấy chúng. Chính sách này bắt nguồn từ tư duy quan liêu tập trung vào bảo vệ trách nhiệm pháp lý thay vì cải thiện bảo mật thực tế.
Một số nhà nghiên cứu có kinh nghiệm hiện tích cực tránh hoàn toàn các hệ thống Belgium , coi các rủi ro pháp lý và văn hóa là quá cao. Sự chảy máu chất xám này khiến cơ sở hạ tầng số của Belgium dễ bị tổn thương hơn trước các cuộc tấn công thực tế trong khi trừng phạt những người đang cố gắng giúp đỡ.
Tình hình này làm nổi bật sự hiểu biết sai lầm cơ bản về an ninh mạng hiện đại trong số các nhà hoạch định chính sách. Bảo mật hiệu quả đòi hỏi sự hợp tác giữa các tổ chức và các nhà nghiên cứu, không phải các mối quan hệ đối kháng đẩy lùi chuyên môn. Cho đến khi Belgium cải cách cả khung pháp lý và cách tiếp cận văn hóa đối với việc tiết lộ lỗ hổng, nước này sẽ tiếp tục tụt hậu trong việc sẵn sàng an ninh mạng.
Tham khảo: Keigoan CV9 is deeply broken