Homeland Security inviterer sikkerhedsforskere til at 'hacke DHS'

Department of Homeland Security (DHS) har i denne uge annonceret, at det vil køre et "Hack DHS" bug-bounty-program.

Som det normalt er tilfældet med sådanne programmer, DHS inviterer sikkerhedsforskere at teste sine systemer og identificere cybersikkerhedssårbarheder. Til gengæld vil DHS uddele bug-bounty-betalinger ved bekræftelse af en levedygtig sårbarhed. I modsætning til andre programmer har DHS dog til hensigt kun at give godkendte cybersikkerhedsforskere adgang til "udvalgte eksterne DHS-systemer."

Homeland Security Secretary Alejandro Mayorkas forklarede: "Hack DHS-programmet tilskynder højtuddannede hackere til at identificere cybersikkerhedssvagheder i vores systemer, før de kan udnyttes af dårlige aktører."

DHS ønsker tydeligvis at bevare stram kontrol over Hack DHS-programmet og ruller det ud i tre faser. Den første fase ser (godkendte) hackere udføre virtuelle vurderinger på visse DHS eksterne systemer. Fase to er en live, personlig hackerbegivenhed, og fase tre er en vurderingsfase for DHS, hvor fremtidige bug-bounties vil blive planlagt. Hvad angår belønningerne, iflg The Record, mellem $500 og $5,000 vil blive tildelt for hver sårbarhed.

Hvorfor tager DHS denne tilgang? Det er sandsynligvis, fordi der er et langsigtet mål om at "udvikle en model, der kan bruges af andre organisationer på tværs af alle regeringsniveauer for at øge deres egen cybersikkerhedsmodstandsdygtighed." Det er heller ikke første gang, et sådant program er blevet kørt, hvor DoD lancerede et "Hack the Pentagon"-program tilbage i 2016, hvilket resulterede i, at over 250 hackere opdagede 138 sårbarheder.