比利时推出全国性安全港政策保护道德黑客

根据比利时网络安全机构（CCB）的公告，比利时已成为首个采用全国性综合安全港框架的欧洲国家，旨在保护道德黑客。该机制为个人或组织在报告位于比利时的系统、网络或应用程序的安全漏洞时提供法律保护，前提是满足某些“严格”条件。

政策条款与条件

根据CCB网站上发布的全国协调漏洞披露政策（CVDP），比利时的计算机应急响应团队（CSIRT）现在可以接收IT漏洞报告，并为安全研究人员提供法律保护，但需满足以下条件：

• 尽快并至少与CCB同时通知漏洞技术所有者
• 按规定格式尽快向CCB提交书面漏洞报告
• 无欺诈意图或损害目的
• 严格以必要和相称的方式证明漏洞存在
• 未经CCB同意，不公开披露漏洞及相关系统信息

CCB还采纳了2020年的指南，鼓励比利时组织采用自己的CVDP或漏洞赏金计划。

与其他欧盟国家的比较

2022年欧盟网络安全局（ENISA）关于成员国协调漏洞披露政策的报告显示，法国、立陶宛和荷兰也在进行CVD政策工作并实施了政策要求。然而，据CCB法律官员Valéry Vander Geeten表示，比利时的政策是目前最全面的。

他指出，荷兰的政策表明“公诉机关不会起诉道德黑客”，法国和斯洛伐克缺乏“全面的法律保护”，而立陶宛的法律安全港“仅限于关键基础设施”。他还强调，该政策保护漏洞报告者，无论他们是否受雇于受影响技术的组织。

行业现状与展望

尽管Telenet、布鲁塞尔航空和安特卫普港等比利时公司已有漏洞披露计划（VDP），但这远非常态。即使在财富500强企业中，截至2021年，仅有不到20%的蓝筹公司拥有VDP（尽管这一比例从2019年的9%有所上升）。

比利时漏洞赏金平台Intigriti的黑客负责人Inti De Ceukelaire表示，希望此类立法能产生“GDPR效应”，有效迫使公司采纳这一政策。他提到，在拥有类似立法的荷兰，一位名为Victor Gevers（0xDUDE）的黑客已据此报告了5000个漏洞。

本文于2月16日更新，以澄清CVDP的某些术语和术语。