Homeland Security inviterer sikkerhetsforskere til å "hakke DHS"

Department of Homeland Security (DHS) har denne uken annonsert at de kommer til å kjøre et "Hack DHS"-bug-bounty-program.

Som vanligvis er tilfellet med slike programmer, DHS inviterer sikkerhetsforskere å teste systemene sine og identifisere sårbarheter i cybersikkerhet. Til gjengjeld vil DHS dele ut bug-premieutbetalinger ved bekreftelse på en levedyktig sårbarhet. I motsetning til andre programmer har DHS til hensikt å bare gi godkjente cybersikkerhetsforskere tilgang til "utvalgte eksterne DHS-systemer."

Secretary for Homeland Security, Alejandro Mayorkas, forklarte: "Hack DHS-programmet oppmuntrer svært dyktige hackere til å identifisere cybersikkerhetssvakheter i systemene våre før de kan utnyttes av dårlige aktører."

DHS ønsker tydeligvis å beholde tett kontroll over Hack DHS-programmet og ruller det ut i tre faser. Den første fasen ser (godkjente) hackere utføre virtuelle vurderinger på visse eksterne DHS-systemer. Fase to er en live, personlig hacking-begivenhet, og fase tre er en vurderingsfase for DHS hvor fremtidige feilpremier vil bli planlagt. Når det gjelder belønningene, iht The Record, mellom $500 og $5,000 vil bli tildelt for hver sårbarhet.

Hvorfor bruker DHS denne tilnærmingen? Det er sannsynligvis fordi det er et langsiktig mål om å "utvikle en modell som kan brukes av andre organisasjoner på tvers av alle myndighetsnivåer for å øke deres egen cybersikkerhetsmotstandskraft." Det er heller ikke første gang et slikt program har blitt kjørt, og DoD lanserte et "Hack the Pentagon"-program tilbake i 2016 som resulterte i at over 250 hackere oppdaget 138 sårbarheter.