Gynybos departamentas: „Hack the Pentagon“, prašome!

Federalinė vyriausybė nori įdarbinti įsilaužėlių, kad padidintų saugumą.

Krašto apsaugos departamentas ketvirtadienį paskelbė, kad programuotojai gali užsiregistruoti į savo „Hack Pentagon“ projektą, naują partnerystę su „HackerOne“, kuri išnaudos kai kuriuos DOD saugumo poreikius.

Bandomoji programa „Bug bounty“ veiks nuo balandžio 18 d. Iki gegužės 12 d., O registracija šiuo metu gyvena. Piratai gali kreiptis dėl atrankos pagal „HackerOne“, kuri kuruoja atrankos procesą.

Tad kodėl vyriausybė nuomoja įsilaužėlių, kad padidintų saugumą? Tai nieko naujo. Daugybė kompanijų priima hackathons, siūlančius prizus bet kuriam programuotojui, kuris yra pakankamai ryškus ir kruopščiai, kad sukurtų skyles programinėje įrangoje. Kai kurie iš jų galiausiai siūlomi darbo vietų, jei jie yra pakankamai geri.

„Hack Pentagono pilotas yra modeliuojamas pagal panašius iššūkius, kuriuos atliko kai kurios šalies didžiausios įmonės, kad pagerintų tinklų, produktų ir skaitmeninių paslaugų saugumą ir pristatymą“, - sako Pentagono spaudos sekretorius Peteras Cook. „Suteikdami teisinį kelią atsakingai atskleisti saugumo spragas, klaidų skyrimas įtraukia įsilaužėlių bendruomenę prisidėti prie interneto saugumo.“

„HackerOne“ yra ypač garbinga įmonė, kuri, kaip sakė „Cook“, su šimtais klientų, įskaitant „Twitter“, „Yahoo!

Pasak CTO ir „HackerOne“ įkūrėjo, Alex Rice Inversinis kad kelis šimtus įsilaužėlių bus įtraukti į bandomąją programą - paraiškos yra atviros iki balandžio vidurio, todėl galutinio skaičiaus nėra. „HackerOne“ prijungs DOD prie patikrinto, tik pakviestų įsilaužėlių bendruomenės, kuri dirbs, kad nustatytų pažeidžiamumo sritis DOD.

Net ir organizacijoms, turinčioms didelį saugumo biudžetą, pažeidžiamumas vis dar daro, Rice sakė. „Vis dar trūksta didelių kibernetinio saugumo talentų ir įrankių. DOD yra kaip ir bet kuri kita organizacija, kuri susiduria su tikrove, kad egzistuoja atotrūkis tarp tradicinės „geriausios“ praktikos ir tada, ką žmogus gali iš tikrųjų daryti. Taigi šios bounty programos yra pirmaujančios, bandydamos uždaryti šią spragą, taikant šiems pažeidžiamumams geriausią žmogiškąjį intelektą.

„Net DOD negali samdyti pakankamai saugumo asmenų, kad apsaugotų nuo priešininkų, kuriuos jie priešinasi. Taigi tai DOD sako “mes jau turime geriausią saugumo komandą, tačiau mes pripažįstame, kad to nepakanka.“ Tiesiog gera praktika paklausti, kas gali būti praleista ir kuo daugiau akių. “

Bug bounty programos, kuriose kūrėjai skatina įsilaužėlių surasti klaidas ir nesaugumą savo programinėje įrangoje, jau seniai plačiai naudojami technologijų įmonėse. Tai bus pirmas kartas, kai tokią programą naudos federalinė vyriausybė.

„Tai gana fenomenalus matyti Jungtinių Valstijų vyriausybę žengiant šį žingsnį prieš tiek daug privačių pramonės šakų“, - sako Rice, kuris „HackerOne“ pradėjo paleisti „Facebook“ produkto paslaugų saugumo komandą. „Jau daugelį metų tai buvo pirmaujanti technologijų kompanijų praktika, ir jūs pradėsite matyti, kaip ją diegti kitose pramonės šakose, tačiau dauguma privačiojo sektoriaus vertikalių vertybių atsilieka nuo JAV vyriausybės. Tai neįtikėtina, kad matote juos naujovėmis šioje erdvėje. Tikiuosi, kad tai yra ateities ženklas. “