前情回顾·白帽黑客保护动态

安全内参11月7日消息,德国联邦司法部已起草一项法律,旨在为那些发现安全漏洞并负责任地向供应商报告的安全研究人员提供法律保护。

在规定的范围内进行安全研究时,相关人员将不承担刑事责任,也不会面临起诉风险。

联邦司法部长Marco Buschmann博士表示:“那些致力于弥补IT安全漏洞的人,应该得到的是表彰,而不是检察官的诉讼通知。”

部长在同一声明中还指出:“通过这项法律草案,我们将消除从事这一重要工作的人员所面临的刑事责任风险。”

此外,这项刑法修正案还引入了针对严重数据间谍和拦截行为的更严厉处罚,尤其是在关键基础设施遭受攻击的情况下。

保护安全研究人员

新法律草案修改了德国《刑法》第202a条,以保护IT安全研究人员、公司以及所谓的“黑客”,免于因计算机犯罪法而受到惩罚。

这一保护适用于他们的行为是为了发现并修补安全漏洞的情况,前提是这些行为不会被视为“未经授权”。

进行安全研究需满足以下标准:

  • 行为必须旨在识别IT系统中的漏洞或其他安全风险。

  • 研究人员必须有意向将发现的安全漏洞报告给能够解决问题的相关实体,如系统运营商、软件制造商或德国联邦信息安全局(BSI)。

  • 对系统的访问必须仅限于识别漏洞所必需的程度。这确保了豁免仅适用于安全测试所需的范围,而不会导致不必要或过度的访问。

同样的刑事责任豁免也适用于与数据拦截(《刑法》第202b条)和数据修改(《刑法》第303a条)相关的犯罪行为,只要这些行为被认为是经过授权的。

恶意行为需入刑

与此同时,草案还为恶意的数据间谍和数据拦截的严重案件引入了三个月至五年的监禁刑罚(《刑法》第202a条)。

关于何种情形构成严重案件,草案提到了以下情况:

  • 犯罪导致了重大经济损失。

  • 该行为出于牟利动机、大规模商业活动,或作为犯罪组织的一部分进行。

  • 案件涉及关键基础设施,如医院、能源供应商或交通网络,或影响到德国或其联邦州安全的情况,包括来自国外的攻击。

有关该法律草案及其提议修正案的更多详细信息可查阅官网网站。

目前,德国联邦各州和相关协会已收到该草案进行审查,并被要求在2024年12月13日之前提交反馈意见,之后该草案将提交联邦议院进行议会审议。

值得注意的是,美国司法部也在2022年5月宣布对《计算机欺诈和滥用法》(CFAA)进行类似修订,为“善意”安全研究人员引入了起诉豁免。

参考资料:https://www.bleepingcomputer.com/news/security/germany-drafts-law-to-protect-researchers-who-find-security-flaws/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。