Kotimaan turvallisuus kutsuu turvallisuustutkijat "hakkeroimaan DHS:ää"

Department of Homeland Security (DHS) on tällä viikolla ilmoittanut käynnistävänsä "Hack DHS" -virhepalkkioohjelman.

Kuten tällaisten ohjelmien kanssa yleensä, DHS kutsuu turvallisuustutkijoita testaamaan järjestelmiään ja tunnistamaan kyberturvallisuuden haavoittuvuuksia. Vastineeksi DHS jakaa bugipalkkioita, kun vahvistetaan toimiva haavoittuvuus. Toisin kuin muut ohjelmat, DHS aikoo kuitenkin antaa vain tarkastetuille kyberturvallisuustutkijoille pääsyn "valittuihin ulkoisiin DHS-järjestelmiin".

Kotimaan turvallisuusministeri Alejandro Mayorkas selitti: "Hack DHS -ohjelma kannustaa korkeasti koulutettuja hakkereita tunnistamaan järjestelmiemme kyberturvallisuuden heikkouksia ennen kuin huonot toimijat voivat hyödyntää niitä."

DHS haluaa selvästi pitää Hack DHS -ohjelman tiukasti hallinnassa ja ottaa sen käyttöön kolmessa vaiheessa. Ensimmäisessä vaiheessa (tarkastetut) hakkerit suorittavat virtuaalisia arviointeja tietyissä ulkoisissa DHS-järjestelmissä. Vaihe kaksi on suora, henkilökohtainen hakkerointitapahtuma, ja vaihe kolme on DHS:n arviointivaihe, jossa suunnitellaan tulevia bugipalkkioita. Mitä tulee palkkioihin, mukaan Levy, 500–5,000 XNUMX dollaria palkitaan jokaisesta haavoittuvuudesta.

Miksi DHS noudattaa tätä lähestymistapaa? Se johtuu todennäköisesti siitä, että pitkän aikavälin tavoitteena on "kehittää malli, jota muut organisaatiot voivat käyttää kaikilla hallintotasoilla oman kyberturvallisuuden sietokyvyn lisäämiseksi". Se ei myöskään ole ensimmäinen kerta, kun tällaista ohjelmaa on ajettu, sillä DoD käynnisti "Hack the Pentagon" -ohjelman jo vuonna 2016, minkä seurauksena yli 250 hakkeria löysi 138 haavoittuvuutta.