Armia i Służby
Pentagon stawia na współpracę z cywilnymi ekspertami od cyberbezpieczeństwa
Fot. Global Panorama/Flickr, CC BY 2.0
Sukces programu „Zhakuj Pentagon” zachęcił urzędników z departamentu obrony do rozbudowy programu współpracy z cywilnymi ekspertami od cyberbezpieczeństwa. Tym razem poszukiwacze podatności zajmą się bardziej wrażliwymi sieciami departamentu i najważniejszych agencji federalnych.
Pilotażowy system departamentu to typowy Bug Bounty: program nagród przyznawanych odkrywcom błędów (czyli tak zwanych „bugów”). Zazwyczaj polega on na zlecaniu otwartych testów penetracyjnych przez firmy, bądź na znajdowaniu przez łowców błędów w systemach lub stronach www. Pierwszy rządowy program tego typu urzędnicy z departamentu obrony uruchomili w kwietniu tego roku. W akcji „Zhakuj Pentagon – Hack the Pentagon" wzięło udział 1,4 tys. speców od cyberbezpieczeństwa. Na pierwszy program Pentagon wydał 150 tysięcy dolarów. Eksperci sprawdzali pięć stron zarządzanych przez departament obrony. Pierwsze raporty o podatnościach spłynęły już po 13 minutach od uruchomienia programu. Eksperci zgarniali od 100 do 15 tys. dolarów za znalezione bugi. Liczba luk odkrytych w ciągu dwóch miesięcy wyniosła 138.
Te wyniki zachęciły oficjeli do rozwoju systemu Bug Bounty na wzór tych prowadzonych przez prywatne firmy. Pentagon chce rekrutować ekspertów na zasadzie crowdsourcingu – czyli zlecania zadań bardzo szerokiej grupie ludzi w formie open call. Ma to zapewnić napływ świeżych pomysłów od ekspertów do tej pory nie związanych z wojskiem. Specjaliści, którzy znajdą luki bezpieczeństwa w rządowych sieciach mogą liczyć na finansową gratyfikację – aczkolwiek raczej nie będą to kwoty porównywalne z tymi oferowanymi przez biznes i internetowych gigantów.
Dyrektor biura ochrony cyfrowej w Departamencie Obrony Chris Lynch stwierdził, iż liczy na rozwój programu który obejmie kolejne systemy rządowe – nawet jeśli będzie to oznaczało przyznanie hakerom większych uprawnień do poruszania się po wewnętrznych sieciach administracji USA. Nowy model Bug Bounty zostanie przedstawiony w ciągu najbliższych miesięcy.
Program prowadzony przez Deparament Obrony jest pierwszą taką inicjatywą w historii amerykańskiego rządu. Sekretarz obrony Ashton Carter podczas konferencji prasowej przyznał, że administracja rządowa od dawna jest świadoma zagrożeń ze strony hakerów, także tych sponsorowanych przez wrogie państwa. Prawdziwym zaskoczeniem dla rządu było odkrycie, jak wielu hakerów typu "white – hat” jest gotowych pracować na rzecz swojego kraju. Ten potencjał będzie wykorzystywany w przyszłości – być może także poza Departamentem Obrony.
Czytaj też: Pentagon dał się zhakować specjalistom od cyberbezpieczeństwa
