Homeland Security zaprasza badaczy bezpieczeństwa do „hackowania DHS”

Departament Bezpieczeństwa Wewnętrznego (DHS) ogłosił w tym tygodniu, że zamierza uruchomić program nagród za błędy „Hack DHS”.

Jak zwykle w przypadku takich programów, DHS zaprasza badaczy bezpieczeństwa do testowania swoich systemów i identyfikowania luk w cyberbezpieczeństwie. W zamian DHS przekaże wypłaty za bug bounty po potwierdzeniu realnej luki w zabezpieczeniach. Jednak w przeciwieństwie do innych programów, DHS zamierza zezwolić tylko zweryfikowanym badaczom cyberbezpieczeństwa na dostęp do „wybranych zewnętrznych systemów DHS”.

Sekretarz ds. Bezpieczeństwa Wewnętrznego Alejandro Mayorkas wyjaśnił: „Program Hack DHS zachęca wysoko wykwalifikowanych hakerów do identyfikowania słabości cyberbezpieczeństwa w naszych systemach, zanim będą mogły zostać wykorzystane przez złych aktorów”.

DHS wyraźnie chce zachować ścisłą kontrolę nad programem Hack DHS i wdraża go w trzech fazach. W pierwszej fazie hakerzy (sprawdzeni) przeprowadzają wirtualne oceny niektórych systemów zewnętrznych DHS. Faza druga to wydarzenie hakerskie na żywo, a faza trzecia to faza oceny dla DHS, w której planowane są przyszłe nagrody za błędy. Jeśli chodzi o nagrody, według Rekord, za każdą lukę zostanie przyznane od 500 do 5,000 USD.

Dlaczego DHS stosuje takie podejście? Jest tak prawdopodobnie dlatego, że istnieje długoterminowy cel „opracowania modelu, który może być używany przez inne organizacje na każdym szczeblu administracji w celu zwiększenia ich własnej odporności na cyberbezpieczeństwo”. Nie jest to również pierwszy taki program, a Departament Obrony uruchomił w 2016 r. program „Hack the Pentagon”, w wyniku którego ponad 250 hakerów odkryło 138 luk w zabezpieczeniach.