比利时将道德黑客合法化：对网络安全是威胁还是机遇？

2023年2月15日，比利时见证了一项新的“举报人”法生效，该法将“道德黑客”合法化，即使在被黑实体不同意的情况下。为了从这种非刑事化中获益，法律为道德黑客规定了一些条件，必须满足这些条件才能使黑客免于承担任何刑事责任。在这篇文章中，我们概述了比利时新的举报人法，从其对道德黑客的定义到非刑事化的条件，并总结了该法律对比利时及其他地区网络安全状况的潜在影响。

什么时候黑客行为是“道德”的？

在IT领域，黑客通常被理解为未经授权进入计算机系统或网络的人。这种未经授权的访问可能是出于犯罪动机，例如，通过阻止被黑客访问他们的系统直到他们支付赎金（所谓的“勒索软件攻击”）来勒索钱财。此类黑客通常被称为“黑帽黑客”。然而，也有一些黑客出于其他考虑，例如，当黑客入侵一个计算机系统或网络，以展示一个可能被黑帽黑客利用的漏洞。这些“有道德”的黑客也被称为“白帽黑客”。道德黑客的工作对于管理计算机或网络系统的组织来说可能具有很大的优势，因为他们将能够在任何网络安全漏洞被利用之前解决它们，从而防止网络安全事件的发生。因此，这种道德黑客行为可以成为改善公司和公共机构的IT系统网络安全的一种手段。

根据新的比利时法律，“道德”的黑客行为什么时候是合法的？

在新的比利时举报人法出台之前，所有形式的黑客攻击，包括道德黑客攻击，都将根据比利时刑法受到惩罚，除非被黑客攻击的实体同意不这样做。后一种例外已经使各种比利时组织能够利用道德黑客来提高他们的网络安全水平，例如，通过为帮助他们发现漏洞的道德黑客提供（经济）奖励，即所谓的“漏洞赏金”漏洞。道德黑客和组织之间的合作通常是在“协调漏洞披露政策”（CVDP）的背景下进行的。CVDP是由管理IT系统的组织制定的一套规则，它为该组织和道德黑客之间的合作提供了一个法律框架。它必须在线发布，例如在一个组织的网站上。道德黑客可以尝试通过CVDP表明他们的活动得到了同意，以避免刑事责任。然而，CVDP并不是道德黑客逃避责任的万全之策，因此，这种活动总是在潜在的刑事起诉风险下进行。

新的比利时举报人法(Klokkenluiderswet)改变了比利时道德黑客的法律状况。自然人或法人现在有权渗透测试比利时的组织是否存在潜在的网络安全漏洞，即使他们不同意此类测试。该授权取决于法律规定的四个条件的满足，因此不能被理解为为黑客提供了对所有形式的网络安全研究的“全权委托”。只有遵守这些条件，黑客行为才不再属于比利时刑法中对黑客行为的刑事禁令。

法律规定的第一个条件是，道德黑客不能有造成破坏的意图或通过他们的活动获得不正当利益。因此，法律排除了道德黑客为揭示他们发现的任何潜在漏洞而要求付款的情况，除非事先已达成协议，例如作为漏洞赏金计划或CVDP的一部分。敲诈勒索不是法律认可的活动。

第二个条件规定，道德黑客应尽快向比利时网络安全中心（CCB）报告任何发现的网络安全漏洞，该中心是比利时的国家计算机安全事件反应小组。道德黑客还需要向他们所调查的组织报告他们的发现，最迟在他们通知CCB关于漏洞的时候。

第三个条件要求道德黑客在发现网络安全漏洞时，不能超出必要和相称的范围进行黑客攻击。道德黑客必须将自己限制在那些对于通知网络安全漏洞的目标来说是绝对必要的活动。例如，如果可以通过比道德黑客选择的入侵手段更少的方式发现漏洞却没有这么做，则违反该条件。道德黑客还被要求确保他们的活动不影响被调查组织的服务可用性。。

最后一个条件是道德黑客有义务在未经CCB同意的情况下，不向更广泛的公众披露所发现的漏洞信息。因此，道德黑客不能在媒体上报道所发现的网络安全漏洞，例如在博客文章中指出它，除非他们得到CCB的授权。

比利时新的网络安全规则有什么影响？

比利时新的举报人法只适用于比利时境内。如果网络安全漏洞涉及比利时以外的IT系统，黑客攻击可能会被系统所在国的规则所涵盖。虽然比利时的法律是基于欧盟（EU）的指令（2019/1937号指令），但比利时已经决定超越要求，这意味着即使在欧盟内部，也有风险，现在比利时法律下的合法活动在跨越其领土边界时不再如此。因此，新规则对网络安全的任何后果都只限于比利时的范围。

尽管新的法律有这种内在的局限性，但它仍可望促进比利时道德黑客的工作，从而促进他们在发现网络安全漏洞方面的贡献。防止网络安全事件的发生仍然是网络安全的一个重要但难以实现的组成部分，它不仅有利于组织，使其免受严重的网络安全事件带来的声誉和经济损失，也有利于个人，否则他们可能遭受网络安全的伤害，如身份盗窃。

话虽如此，关于合法（道德）黑客攻击与比利时刑法规定为犯罪的非法黑客攻击之间的确切界限仍然存在疑问。这是因为新法律使用了相当开放的术语“必要和相称”来描述现在允许的活动。必要性和相称性将始终取决于手头的具体情况，因此有时很难预测哪些技术可以用于道德黑客活动，哪些不能。此外，当涉及到向公众通报网络安全漏洞时，法律还遗漏了某些细节。如前所述，未经CCB许可，道德黑客不能公布他们的发现，但对于CCB如何以及何时给予这种许可，并没有额外的规定。这可能会损害道德黑客在组织不愿意或没有能力解决漏洞的情况下向广大公众发出警告的能力。

最后，只有时间能告诉我们，比利时在道德黑客合法化方面的先锋尝试在多大程度上实际改善了比利时的网络安全。然而，它的规定可以被视为朝着增加比利时组织之间的预防性网络安全实践迈出的（小）一步。