政府系統漏洞披露的現狀揭示了不同國家在與道德駭客進行網路安全合作時的鮮明對比。最近圍繞荷蘭政府T恤衫獎勵制度的討論,引發了人們對安全研究人員適當補償和認可的更廣泛討論。
各國政府對安全研究人員的不同回應
雖然荷蘭 NCSC 已經實施了包括T恤衫和正式感謝信在內的系統性回應機制,但全球範圍內的情況要複雜得多。社群討論突出了一些令人擔憂的事件,例如2018年在挪威,一位未成年人發現了市政學校平臺的嚴重安全漏洞。然而,這位年輕的研究人員非但沒有得到認可,反而遭到了警方突擊搜查,這表明一些政府部門仍然以敵意而非感激來回應。
政府漏洞賞金專案的經濟考量
關於安全研究人員適當補償水平的爭論已經浮出水面。一些人認為像T恤衫這樣的象徵性獎勵低估了重要的安全工作,而另一些人則指出政府漏洞賞金專案的實際限制。
你要麼用高額現金獎勵自己的公民,要麼就等著俄羅斯/中國免費探索你的資料。這就是所謂的因小失大。
 |
|---|
| 一名研究人員因報告安全漏洞而收到荷蘭政府的象徵性獎勵 |
正式流程與象徵性表示
NCSC-NL 的方法將正式檔案與象徵性認可相結合。他們的規範流程包括60天的解決時間表、保密承諾,以及對遵循適當披露協議的研究人員提供法律保護。雖然T恤衫看似微不足道,但它是一個更廣泛的結構化響應系統的一部分,包括正式認可和基於漏洞嚴重程度的潛在額外獎勵。
NCSC-NL 漏洞披露流程:
- 1個工作日內作出初步回應
- 3個工作日內提供評估結果
- 最長60天的解決時限
- 保密性保證
- 合規報告的法律保護
- 獎勵範圍從T恤衫到禮品卡不等
對公共部門安全的未來影響
這場討論揭示了政府系統中漏洞披露標準化、專業化方法的日益增長的需求。雖然一些研究人員欣賞象徵性表示,但社群越來越倡導對安全研究工作給予更實質性的認可,這表明政府機構可能需要改進其獎勵系統,以維持與道德駭客的有效安全合作關係。
來源引用:I hacked the Dutch government and all I got was this t-shirt