การเปิดเผยข้อมูลความปลอดภัยล่าสุดที่เกี่ยวข้องกับแพลตฟอร์ม Keigoan ของ Finland ได้จุดประกายการอภิปรายอย่างเข้มข้นเกี่ยวกับแนวทางที่มีปัญหาของ Belgium ในการรายงานช่องโหว่ด้านไซเบอร์ความปลอดภัย การสนทนาเผยให้เห็นรูปแบบที่น่าวิตกซึ่งนักวิจัยความปลอดภัยที่มีเจตนาดีต้องเผชิญกับการคุกคามทางกฎหมายและอุปสรรคทางระบบราชการเมื่อพยายามช่วยองค์กรต่างๆ แก้ไขข้อบกพร่องด้านความปลอดภัย
ข้อกำหนดทางกฎหมายที่เข้มงวดขัดขวางการเปิดเผยอย่างรับผิดชอบ
Belgium ได้ออกกฎหมายไซเบอร์ความปลอดภัยที่สร้างภาระผูกพันทางกฎหมายโดยอัตโนมัติสำหรับทุกคนที่ค้นพบช่องโหว่ในระบบของ Belgium ข้อกำหนดเหล่านี้รวมถึงกำหนดเวลา 24 ชั่วโมงที่เข้มงวดในการรายงานผลการค้นพบโดยเฉพาะกับเจ้าหน้าที่ Belgium พร้อมด้วยบันทึกรายละเอียดของกิจกรรมการวิจัยทั้งหมด กฎเหล่านี้ใช้ได้โดยไม่คำนึงถึงสัญชาติหรือที่ตั้งของนักวิจัย ทำให้เกิดสนามกับระเบิดทางกฎหมายสำหรับผู้เชี่ยวชาญด้านความปลอดภัยระหว่างประเทศ
ส่วนที่น่าวิตกที่สุดคือนักวิจัยมักจะไม่สามารถแบ่งปันข้อมูลช่องโหว่กับองค์กรที่ได้รับผลกระทบซึ่งไม่ใช่ชาว Belgium ทำให้พวกเขายังคงมีความเสี่ยงในขณะที่กระบวนการระบบราชการดำเนินไป แนวทางนี้เข้าใจผิดโดยพื้นฐานเกี่ยวกับวิธีการทำงานของไซเบอร์ความปลอดภัยสมัยใหม่ในโลกที่เชื่อมต่อกัน
ข้อกำหนดการเปิดเผยช่องโหว่ของ Belgium :
- กำหนดเวลา 24 ชั่วโมงในการรายงานต่อหน่วยงานของ Belgium
- การรายงานแบบเฉพาะเจาะจง (ไม่สามารถแจ้งให้ฝ่ายอื่นที่ได้รับผลกระทบทราบได้)
- ต้องมีบันทึกรายละเอียดของกิจกรรมการวิจัยทั้งหมด
- ใช้กับนักวิจัยทุกคนไม่ว่าจะมีสัญชาติหรืออยู่ในสถานที่ใด
- โดยทั่วไปจะไม่ได้รับอนุญาตให้เผยแพร่ข้อมูลต่อสาธารณะ
อุปสรรคทางวัฒนธรรมทำให้ปัญหาทางกฎหมายซับซ้อนยิ่งขึ้น
นอกเหนือจากอุปสรรคทางกฎหมายแล้ว นักวิจัยรายงานว่าต้องเผชิญกับวัฒนธรรมของการปฏิเสธและความเป็นศัตรูเมื่อพยายามเปิดเผยอย่างรับผิดชอบใน Belgium ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนอธิบายถึงการเผชิญหน้ากับองค์กรของ Belgium ที่ตอบสนองต่อรายงานช่องโหว่ด้วยการคุกคามมากกว่าความขอบคุณ ท่าทีป้องกันนี้ขยายไปเกินกว่าไซเบอร์ความปลอดภัยไปสู่แนวปฏิบัติทางธุรกิจทั่วไป สร้างสิ่งที่บางคนเรียกว่าภาษีความเย่อหยิ่งที่ขัดขวางการวิจัยความปลอดภัยที่ถูกต้อง
ยิ่งคุณทำให้การเปิดเผยอย่างรับผิดชอบยากขึ้นเท่าไหร่ การเปิดเผยอย่างไม่รับผิดชอบก็จะยิ่งดูน่าสนใจมากขึ้นเท่านั้น และทำได้ง่ายพอที่จะทำแบบไม่เปิดเผยตัวตน
ภาคการธนาคารซึ่งควรให้ความสำคัญกับความปลอดภัยเนื่องจากมีบทบาทสำคัญ ดูเหมือนจะต่อต้านความช่วยเหลือด้านความปลอดภัยจากภายนอกเป็นพิเศษ นักวิจัยอธิบายว่าธนาคารเป็นหนึ่งในผู้กระทำที่ไม่ซื่อสัตย์ที่สุดเมื่อต้องยอมรับและแก้ไขข้อบกพร่องด้านความปลอดภัย
ผลกระทบต่อชุมชนนักวิจัยด้านความปลอดภัย:
- นักวิจัยหลีกเลี่ยงระบบของ Belgian อย่างแข็งขัน
- การขู่ว่าจะดำเนินการทางกฎหมายเป็นเรื่องปกติหลังจากการเปิดเผยอย่างมีความรับผิดชอบ
- "ภาษีความเย่อหยิ่ง" ที่ทำให้งานด้านความปลอดภัยที่ถูกต้องตามกฎหมายท้อแท้
- ภาคธนาคารมีท่าทีที่เป็นปรปักษ์ต่อรายงานช่องโหว่เป็นพิเศษ
- การเปิดเผยแบบไม่เปิดเผยตัวตนกลายเป็นทางเลือกที่น่าสนใจมากขึ้น
ผลที่ตามมาต่อความมั่นคงแห่งชาติ
สภาพแวดล้อมที่ไม่เป็นมิตรนี้สร้างแรงจูงใจที่บิดเบี้ยวซึ่งท้ายที่สุดแล้วทำร้ายท่าทีไซเบอร์ความปลอดภัยของ Belgium เมื่อนักวิจัยที่ถูกต้องหลีกเลี่ยงระบบของ Belgium ช่องโหว่ต่างๆ ยังคงไม่ถูกค้นพบจนกว่าผู้กระทำที่มีเจตนาร้ายจะพบมัน นโยบายนี้เกิดจากความคิดแบบระบบราชการที่มุ่งเน้นการป้องกันความรับผิดมากกว่าการปรับปรุงความปลอดภัยที่แท้จริง
นักวิจัยที่มีประสบการณ์หลายคนตอนนี้หลีกเลี่ยงระบบของ Belgium โดยสิ้นเชิง โดยมองว่าความเสี่ยงทางกฎหมายและวัฒนธรรมสูงเกินไป การสูญเสียสมองนี้ทำให้โครงสร้างพื้นฐานดิจิทัลของ Belgium มีความเสี่ยงต่อการโจมตีที่แท้จริงมากขึ้น ในขณะที่ลงโทษผู้ที่พยายามช่วยเหลือ
สถานการณ์นี้เน้นย้ำถึงความเข้าใจผิดโดยพื้นฐานเกี่ยวกับไซเบอร์ความปลอดภัยสมัยใหม่ในหมู่ผู้กำหนดนโยบาย ความปลอดภัยที่มีประสิทธิภาพต้องการความร่วมมือระหว่างองค์กรและนักวิจัย ไม่ใช่ความสัมพันธ์แบบเป็นศัตรูที่ขับไล่ความเชี่ยวชาญออกไป จนกว่า Belgium จะปฏิรูปทั้งกรอบทางกฎหมายและแนวทางทางวัฒนธรรมต่อการเปิดเผยช่องโหว่ ประเทศนี้จะยังคงล้าหลังในด้านความพร้อมรับมือไซเบอร์ความปลอดภัยต่อไป
อ้างอิง: Keigoan CV9 is deeply broken