Министерство обороны США объявило о пробном запуске программы Bug Bounty под названием «Hack the Pentagon» на платформе HackerOne.

Это пробная программа компенсации за сбор данных об уязвимостях, которая будет действовать с 18 апреля по 12 мая. Представители министерства уточнили, что только ряд публичных веб-ресурсов ведомства будут доступны в рамках кампании, а более точная информация о них, как и сведения о размере выплат, станет известна ближе к дате запуска. Общий размер призового фонда составит $150 тыс.

Кейти Муссурис (Katie Moussouris), официальный представитель HackerOne, заявила, что пробный запуск программы — огромный шаг вперед, и не только для правительства, которое чувствует необходимость в усилении мер безопасности после взлома OPM, но и для представителей ИБ-сообщества, которые могут «прощупать» оборону ИТ-систем правительства, не опасаясь преследования.

«Я вижу более далекие перспективы этого решения: цели, которые стоят перед сообществом, достаточно очевидны. Мы должны модернизировать подход к обеспечению безопасности, определить приоритетные направления деятельности на ближайшие годы, чтобы усилить безопасность и выявить выдающиеся умы, которые смогут занять нужные должности и в перспективе улучшить картину безопасности», — подчеркнула Муссурис.

К участию в программе допускаются граждане США, легализованные лица, временно пребывающие в стране, и иностранные граждане, имеющие рабочую визу. Они также должны иметь действительный код налогоплательщика или номер соцстрахования. Не допускаются к участию лица, включенные в санкционные списки министерства. Участники должны зарегистрироваться на официальной странице; если участник обнаружил уязвимость, о которой доложил надлежащим образом, после верификации отчета на комиссии претендента ждет дополнительная проверка со стороны службы безопасности.

«Кроме того, успешные участники, подавшие соответствующие всем требованиям отчеты об уязвимостях, должны будут пройти дополнительную проверку на наличие судимости; это позволит надлежащим образом распорядиться деньгами американских налогоплательщиков, — говорится в официальном заявлении министерства обороны. — Сведения о проверке будут предоставлены участникам заблаговременно, и у них будет возможность отказаться от проверки, но при этом они потеряют премию».

Муссурис, которая запустила ряд программ Bug Bounty для Microsoft, в том числе Bounty for Defense и Mitigation Bypass Bounty, сравнила новую инициативу с Лунной программой.

«Есть некоторые параллели между космической гонкой и гонкой в сфере кибербезопасности, — отметила она. — Эта инициатива должна вдохновить будущие поколения специалистов, как когда-то посадка на Луну вдохновила многих заняться наукой. Если талантливый исследователь не попадет в тюрьму за взлом Пентагона, а, наоборот, получит награду, это вдохновит многих ИБ-специалистов».

Президент США Барак Обама подписал ряд указов о кибербезопасности, большинство из которых поощряют обмен информацией об угрозах и атаках и призывают усилить безопасность объектов критической инфраструктуры и федеральных агентств. Атаки, подобные взлому OPM, в результате которого были скомпрометированы конфиденциальные данные о миллионах сотрудников федеральных агентств с 1982 года, а также утечке из Sony, подчеркнули опасность, которую представляют киберугрозы для персональных данных.

«Я думаю, они [правительство] поняли, что пора принять меры. Существующие методы не работают. Взлом OPM не оставил никаких сомнений насчет этого, — сказала Муссурис. — Мне кажется, что у правительства и крупных организаций схожие проблемы. Вы знаете, что вас атакуют. Вы знаете, что в вашей инфраструктуре имеются уязвимости, но при этом вам кажется, что, если вы приняли все, на ваш взгляд, необходимые меры, этого достаточно. Но киберпреступники не ограничивают себя в средствах. Если им что-то нужно, они не оставят попыток, пока не получат желаемое».

Категории: Главное, Кибероборона, Уязвимости, Хакеры