ប្រទេសអាឡឺម៉ង់រៀបចំសេចក្តីព្រាងច្បាប់សម្រាប់ការពារអ្នកស្រាវជ្រាវក្នុងការស្វែងរកបញ្ហាសុវត្ថិភាព (Security Flaws)

0

ក្រសួងយុត្តិធម៌សហព័ន្ធនៅប្រទេសអាឡឺម៉ង់បានរៀបចំសេចក្តីព្រាងច្បាប់ថ្មីសម្រាប់ការពារដល់អ្នកស្រាវជ្រាវសុវត្ថិភាព ដែលរកឃើញ និងរាយការណ៍ទាក់ទងនឹងភាពងាយរងគ្រោះទៅកាន់អ្នកលក់ (Vendors)។នៅពេលការស្រាវជ្រាវសុវត្ថិភាពត្រូវបានធ្វើឡើងនៅក្នុងព្រំដែនជាក់លាក់ អ្នកដែលទទួលខុសត្រូវទាំងនោះនឹងត្រូវបានដកចេញពីបទល្មើសព្រហ្មទណ្ឌ និងហានិភ័យនៃការកាត់ទោស។ រដ្ឋមន្រ្តីក្រសួងយុត្តិធម៌សហព័ន្ធបានថ្លែងថា អ្នកដែលចង់បិទចន្លោះសុវត្ថិភាព IT គួរតែត្រូវបានទទួលស្គាល់ ហើយមិនមែនជាពាក្យបណ្តឹងនោះទេ។

ជាមួយនឹងសេចក្តីព្រាងច្បាប់នេះ ក្រសួងនឹងលុបបំបាត់នូវហានិភ័យនៃការទទួលខុសត្រូវផ្នែកព្រហ្មទណ្ឌសម្រាប់អ្នកដែលធ្វើការផ្នែកនេះ បើយោងតាមរដ្ឋមន្រ្តីបានថ្លែងនៅក្នុងសន្ទរកថា។ ជាងនេះ សេចក្តីស្នើវិសោធនកម្មច្បាប់ព្រហ្មទណ្ឌក៏បានណែនាំការពិន័យកាន់តែតឹងរឹងសម្រាប់ករណីធ្ងន់ធ្ងរនៃការធ្វើចារកម្ម និងការស្ទាក់ចាប់ទិន្នន័យ ជាពិសេសនៅពេលដែលហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗត្រូវបានកំណត់គោលដៅ។

ការការពារអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ (Security Researchers): សេចក្តីព្រាងច្បាប់ថ្មីកែប្រែផ្នែក 202aនៃកូដឧក្រិដ្ឋកម្ម (Criminal Code) (StGB) ដើម្បីការពារអ្នកស្រាវជ្រាវ ក្រុមហ៊ុនសុវត្ថិភាព IT និងហេគឃ័រពីការដាក់ទណ្ឌកម្មក្រោមច្បាប់ឧក្រិដ្ឋកម្មកុំព្យូទ័រ។ ច្បាប់នេះអនុវត្តនៅពេលពួកគេរកឃើញ និងទប់ស្កាត់ (close) ភាពងាយរងគ្រោះសុវត្ថិភាព ដរាបណាពួកគេមិនត្រូវបានចាត់ទុកថា “គ្មានការអនុញ្ញាត”។

លក្ខណៈវិនិច្ឆ័យដែលត្រូវបានបំពេញសម្រាប់ការស្រាវជ្រាវសុវត្ថិភាពដូចខាងក្រោម៖

១. សកម្មភាពត្រូវតែធ្វើឡើងក្នុងគោលបំណងកំណត់នូវភាពងាយរងគ្រោះ ឬហានិភ័យផ្នែកសុវត្ថិភាពផ្សេងទៀតនៅក្នុងប្រព័ន្ធ IT

២. អ្នកស្រាវជ្រាវត្រូវតែរាយការណ៍ពីភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលត្រូវបានកំណត់ទៅអង្គភាពទទួលខុសត្រូវដែលមានសមត្ថភាពដោះស្រាយបញ្ហាដូចជា System Operator, Software Manufacturer ឬ Federal Office សម្រាប់ Information Security (BSI)។

៣. សកម្មភាពនៃការចូលទៅកាន់ប្រព័ន្ធត្រូវតែចាំបាច់ ដើម្បីកំណត់ភាពងាយរងគ្រោះ។ គោលការណ៍នេះត្រូវធានាថា ការលើកលែងអនុវត្តចំពោះវិសាលភាពដែលត្រូវការសម្រាប់ការធ្វើតេស្តសុវត្ថិភាព ដែលចាំបាច់ ឬមិនហួសហេតុពេក។

ការលើកលែងដូចគ្នាចំពោះការទទួលខុសត្រូវផ្នែកព្រហ្មទណ្ឌក៏ត្រូវបានអនុវត្តចំពោះបទល្មើសដែលទាក់ទងនឹងការស្ទាក់ចាប់ទិន្នន័យ (§ 202b StGB) និងការកែប្រែទិន្នន័យ (§ 303a StGB) ដរាបណាសកម្មភាពដែលពាក់ព័ន្ធត្រូវបានចាត់ទុកថា អនុញ្ញាត។ នៅពេលជាមួយគ្នានោះដែរ សេចក្តីព្រាងច្បាប់ក៏មានណែនាំទោសជាប់ពន្ធនាគារពី ៣ខែទៅ ៥ឆ្នាំក្នុងករណីធ្វើចារកម្មទិន្នន័យអាក្រក់ និងការស្ទាក់ចាប់ទិន្នន័យ (§ 202a StGB)។

ទាក់ទងនឹងករណីធ្ងន់ធ្ងរ សេចក្តីព្រាងច្បាប់បានលើកឡើងដូចខាងក្រោម៖

– បទល្មើសនាំឱ្យខូចខាតទ្រព្យសម្បត្តិហិរញ្ញវត្ថុធ្ងន់ធ្ងរ

– ក្នុងគោលបំណងដើម្បីស្វែងរកប្រាក់ចំណេញ ធ្វើឡើងក្នុងកម្រិតពាណិជ្ជកម្ម ឬជាផ្នែកមួយនៃអង្គភាពឧក្រិដ្ឋកម្ម

– ករណីដែលមានការវាយប្រហារទៅលើ ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ (ដូចជាមន្ទីរពេទ្យ រោងចក្រផ្គត់ផ្គង់ថាមពល ឬបណ្តាញដឹកជញ្ជូន) ឬប៉ះពាល់ដល់សុវត្ថិភាពរបស់ប្រទេស ឬរដ្ឋណាមួយរបស់អាឡឺម៉ង់ រួមមានការវាយប្រហារដែលមានប្រភពមកពីក្រៅប្រទេស។រដ្ឋសហព័ន្ធ និងសមាគមន៍ពាក់ព័ន្ធទទួលសេចក្តីព្រាងច្បាប់សម្រាប់ការត្រួតពិនិត្យ ហើយត្រូវបានទុកពេលឱ្យរហូតដល់ថ្ងៃទី១៣ ខែធ្នូ ឆ្នាំ២០២៤ ដើម្បីចូលរួមផ្តល់នូវមតិកែលម្អ មុនពេលច្បាប់នេះត្រូវបានដាក់ចេញទៅសភាអាឡឺម៉ង់ (Bundestag) សម្រាប់ការពិភាក្សា។ក្រសួងយុត្តិធម៌អាមេរិកបានប្រកាសពីការកែសម្រួលស្រដៀងគ្នានេះដែរលើច្បាប់ស្តីពីការបំពាន និងការក្លែងបន្លំកុំព្យូទ័រ (CFAA) កាលពីខែឧសភា ឆ្នាំ២០២២ ដែលណែនាំពីការលើកលែងទោសចំពោះអ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពល្អ (Good-faith)។

https://www.bleepingcomputer.com/news/security/germany-drafts-law-to-protect-researchers-who-find-security-flaws/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៦ ខែវិច្ឆិកា ឆ្នាំ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here