Homeland Security nodigt beveiligingsonderzoekers uit om 'DHS te hacken'

Het Department of Homeland Security (DHS) heeft deze week aangekondigd dat het een "Hack DHS" bug bounty-programma gaat uitvoeren.

Zoals meestal het geval is met dergelijke programma's, DHS nodigt beveiligingsonderzoekers uit om zijn systemen te testen en kwetsbaarheden in de cyberbeveiliging te identificeren. In ruil daarvoor zal DHS bug bounty-betalingen uitdelen na bevestiging van een levensvatbare kwetsbaarheid. In tegenstelling tot andere programma's is DHS echter van plan alleen doorgelichte cyberbeveiligingsonderzoekers toegang te geven tot "geselecteerde externe DHS-systemen".

Minister van Binnenlandse Veiligheid Alejandro Mayorkas legde uit: "Het Hack DHS-programma stimuleert hoogopgeleide hackers om cyberbeveiligingsproblemen in onze systemen te identificeren voordat ze kunnen worden uitgebuit door kwaadwillenden."

DHS wil duidelijk de regie houden over het Hack DHS-programma en rolt het in drie fases uit. In de eerste fase voeren (doorgelichte) hackers virtuele beoordelingen uit op bepaalde externe DHS-systemen. Fase twee is een live, persoonlijk hackevenement en fase drie is een beoordelingsfase voor DHS waar toekomstige bugpremies worden gepland. Wat betreft de beloningen, volgens Het record, wordt tussen de $ 500 en $ 5,000 toegekend voor elke kwetsbaarheid.

Waarom kiest DHS voor deze aanpak? Het is waarschijnlijk omdat er een langetermijndoel is om "een model te ontwikkelen dat door andere organisaties op elk overheidsniveau kan worden gebruikt om hun eigen veerkracht op het gebied van cyberbeveiliging te vergroten". Het is ook niet de eerste keer dat een dergelijk programma wordt uitgevoerd, met de DoD die in 2016 een "Hack the Pentagon" -programma lanceerde, wat resulteerde in meer dan 250 hackers die 138 kwetsbaarheden ontdekten.