- 22,768
- 46
- 8 Ноя 2022
Многолетние мольбы IT-сообщества наконец были услышаны.
Португалия расширила правовые рамки в сфере цифровой безопасности, закрепив защиту для добросовестных специалистов, изучающих уязвимости в информационных системах. Обновлённая норма стала ответом на давний запрос отрасли, стремящейся работать открыто и без риска столкнуться с уголовными обвинениями за технические действия, выполняемые в интересах кибербезопасности.
Изменения затронули статью 8.º-A, в которой появилось положение об интересе общества в укреплении защиты цифровой инфраструктуры. Оно освобождает от наказания тех, кто получает доступ к системам или данным исключительно ради выявления слабых мест и последующего уведомления ответственных лиц. Правила при этом строго сформулированы.
Действия допускаются лишь для обнаружения уязвимостей, не созданных самим исследователем , без получения выгоды сверх обычного вознаграждения. Обнаруженные проблемы необходимо оперативно направлять владельцу ресурса, ответственному за обработку данных, и национальному центру кибербезопасности CNCS.
Работу предписано ограничивать только тем, что требуется для диагностики, без вмешательства в функционирование сервисов, изменения информации или нанесения ущерба. Запрещено применение методов, связанных с отказом в обслуживании, социальной инженерией, хищением паролей, изменением данных или распространением вредоносных программ. Любые полученные сведения подлежат удалению в течение десяти дней после устранения проблемы. Отдельно уточнено, что при согласии владельца системы найденные уязвимости всё равно должны быть переданы в CNCS.
Страна таким образом очерчивает границы допустимых методов и одновременно предоставляет правовые гарантии тем, кто действует в общественных интересах. Похожие инициативы ранее появились в Германии, где Министерство юстиции представило проект законодательства с аналогичными положениями, а также в США, где Минюст внёс изменения в подход к преследованию по закону CFAA.
Все эти меры формируют условия, при которых добросовестные специалисты могут открыто работать с уязвимостями и сообщать о них, не опасаясь уголовных последствий.
Португалия расширила правовые рамки в сфере цифровой безопасности, закрепив защиту для добросовестных специалистов, изучающих уязвимости в информационных системах. Обновлённая норма стала ответом на давний запрос отрасли, стремящейся работать открыто и без риска столкнуться с уголовными обвинениями за технические действия, выполняемые в интересах кибербезопасности.
Изменения затронули статью 8.º-A, в которой появилось положение об интересе общества в укреплении защиты цифровой инфраструктуры. Оно освобождает от наказания тех, кто получает доступ к системам или данным исключительно ради выявления слабых мест и последующего уведомления ответственных лиц. Правила при этом строго сформулированы.
Действия допускаются лишь для обнаружения уязвимостей, не созданных самим исследователем , без получения выгоды сверх обычного вознаграждения. Обнаруженные проблемы необходимо оперативно направлять владельцу ресурса, ответственному за обработку данных, и национальному центру кибербезопасности CNCS.
Работу предписано ограничивать только тем, что требуется для диагностики, без вмешательства в функционирование сервисов, изменения информации или нанесения ущерба. Запрещено применение методов, связанных с отказом в обслуживании, социальной инженерией, хищением паролей, изменением данных или распространением вредоносных программ. Любые полученные сведения подлежат удалению в течение десяти дней после устранения проблемы. Отдельно уточнено, что при согласии владельца системы найденные уязвимости всё равно должны быть переданы в CNCS.
Страна таким образом очерчивает границы допустимых методов и одновременно предоставляет правовые гарантии тем, кто действует в общественных интересах. Похожие инициативы ранее появились в Германии, где Министерство юстиции представило проект законодательства с аналогичными положениями, а также в США, где Минюст внёс изменения в подход к преследованию по закону CFAA.
Все эти меры формируют условия, при которых добросовестные специалисты могут открыто работать с уязвимостями и сообщать о них, не опасаясь уголовных последствий.
- Источник новости
- www.securitylab.ru
