[أفكار تقنية] نظرة سريعة على مكافآت اكتشاف الثغرات والقرصنة الأخلاقية في DICT

أصدرت وزارة تكنولوجيا المعلومات والاتصالات في 14 يناير التعميم الإداري HRA-002، الذي وضع المبادئ التوجيهية والقواعد واللوائح المنقحة والموحدة بشأن الإفصاح عن الثغرات الأمنية وسياسة الملاذ الآمن وبرنامج مكافآت البونص للأخطاء في البلاد.

حتى أن وزير DICT هنري أغودا ذهب إلى مؤتمر Rootcon للقرصنة العام الماضي بغرض الإعلان عن هذا التطور، قائلاً إن قراصنة البلاد يجب عليهم استخدام مهاراتهم "للحماية، وليس للتدمير."

تحقيقاً لهذه الغاية، يجب أن يكون إنشاء سياسة الملاذ الآمن وبرنامج مكافأة الأخطاء (SHPBBP) ملاحظة مرحب بها لأولئك الذين يمتلكون المهارات المناسبة، حيث يحاول تحفيز الإفصاحات المسؤولة عن أمن المعلومات للخدمات الحكومية.

دعونا ننظر إلى ما يعنيه كل هذا، خاصة إذا لم تكن قد سمعت عن هذا التطور.

القراصنة الأخلاقيون ومكافآت الأخطاء وسياسات الملاذ الآمن

القرصنة الأخلاقية هي العملية التي يحدد من خلالها محترف أمن المعلومات، المعروف أيضاً باسم القبعة البيضاء، الثغرات الأمنية في التطبيقات أو الأنظمة أو التقنيات ويساعد في إصلاحها قبل أن يتم استخدام تلك الثغرة بشكل ضار من قبل قراصنة غير أخلاقيين، أو القبعة السوداء.

على هذا النحو، تحاكي القرصنة الأخلاقية الهجمات الإلكترونية في العالم الحقيقي لتقييم مخاطر النظام بحيث يمكن تحسين الأنظمة المعنية أو تعزيزها في أمن المعلومات.

لجعل القرصنة الأخلاقية مجزية لقراصنة القبعة البيضاء، فإن برامج مكافآت الأخطاء هي هياكل تنظيمية تم إنشاؤها لتقييم وتقديم تعويضات مالية للعمل على الكشف عن الثغرات الأمنية وتسليمها بمسؤولية إلى الأشخاص الذين يطورون الأنظمة التي تم اختراقها. وهذا لكي يمكن تحسين أمن المعلومات لهذه الأنظمة.

غالباً ما تأتي برامج مكافآت الأخطاء مع حماية للقراصنة للقيام بعملهم.

تم تصميم سياسات الملاذ الآمن هذه لحماية قراصنة القبعة البيضاء أو باحثي أمن المعلومات من المسؤولية الإدارية أو المدنية أو الجنائية في حالة عثورهم على شيء ما في عملية البحث عن الأخطاء، طالما أنهم يكشفون عن أبحاثهم بشكل صحيح وفقاً لخصوصيات برنامج مكافأة الأخطاء المحدد.

ما هو تعميم SHPBBP الخاص بـ DICT؟

يحدد SHPBBP الخاص بـ DICT الحماية والمتطلبات اللازمة للمشاركة في برنامج مكافأة الأخطاء الخاص بـ DICT.

الآن، قد تتساءل عما إذا كان يمكن لأي شخص المشاركة في مكافأة الأخطاء.

لأغراض تعميم DICT، يجب أن تكون، على الأقل، باحثاً محترفاً في أمن المعلومات للمشاركة. يجب عليك أيضاً تسجيل نفسك بموجب إجراء اعرف مساهمك (KYC) لتكون مؤهلاً حتى للحصول على مكافأة من مكافأة الأخطاء.

على وجه التحديد، قال التعميم إنه ينطبق على ما يلي:

• جميع الوكالات الحكومية الوطنية التابعة للسلطة التنفيذية، بما في ذلك الشركات المملوكة والمسيطر عليها من قبل الحكومة والشركات التابعة لها، والمؤسسات المالية الحكومية، وجامعات وكليات الدولة، بما في ذلك تلك الموجودة تحت نطاق *.gov.ph والمنصات التي تديرها DICT;
• يُشجع بشدة الكونغرس الفلبيني والسلطة القضائية واللجان الدستورية المستقلة ومكتب أمين المظالم ووحدات الحكومة المحلية على اعتماد هذا التعميم;
• الكيانات الخاصة المسجلة طوعاً في برنامج الشراكة بين القطاعين العام والخاص لأمن المعلومات التابع لـ DICT;
• مشغلو البنية التحتية للمعلومات الحرجة (CII)، كما هو محدد في إطار خطة أمن المعلومات الوطنية (NCSP)؛ و
• باحثو أمن المعلومات المسؤولون عن تحديد وتحليل التهديدات المحتملة لشبكة وأنظمة المنظمة.

لن تنطبق حماية الملاذ الآمن، في غضون ذلك، إلا إذا كنت باحثاً في أمن المعلومات تختبر فقط الأنظمة المعلنة ضمن نطاق مكافآت الأخطاء؛ لا ترتكب أي نوع من استخراج البيانات غير المصرح به أو التعديل أو تعطيل الخدمة؛ تقوم بالإبلاغ عن الثغرات الأمنية بمسؤولية وبشكل خاص إلى DICT أو الكيان المعتمد؛ وتحتفظ بنتائجك خاصة ولا تكشف عنها حتى يتم حل المشكلة التي وجدتها أو يُسمح لك بمناقشتها علناً.

كيف يعمل كل هذا؟

قد تكون فضولياً حول كيفية عمل هذا عملياً، لذا إليك كيف سيتم ذلك بشكل عام.

يتقدم باحث أمن المعلومات للانضمام إلى مبادرة DICT من خلال إجراء اعرف عميلك (KYC) المذكور أعلاه. يجب عليهم إكمال العملية بأكملها وقبولهم ليكونوا مؤهلين للحصول على المكافآت النقدية. تضارب المصالح - على سبيل المثال، موظفو DICT ومزودو الخدمات من منصات الطرف الثالث الذين تتعامل معهم DICT - يستبعد المتقدمين المحتملين من المشاركة في مكافآت الأخطاء هذه.

سيكون لبرنامج مكافأة الأخطاء مكافآته التي تحددها الكيانات المشاركة، وهي الوكالات الحكومية التي تحتاج إلى مساعدة، أو الشركاء الحكوميين الذين يرغبون في تحديد مكافأة خاصة بهم. التمويل لجعل هذا التعميم يعمل "يجب أن يتم تحصيله من الميزانية الحالية للوكالة أو المؤسسة المشمولة، وغيرها من مصادر التمويل المناسبة كما قد تحددها وزارة الميزانية والإدارة، مع مراعاة القوانين والقواعد واللوائح ذات الصلة."

يتم إدراج هذه المكافآت - بما في ذلك المواقع أو الخدمات وما هي جوانب تلك المواقع والخدمات المذكورة التي تحتاج إلى اختبار - على بوابة برنامج الإفصاح عن الثغرات الأمنية (VDPP)، وهو موقع ويب مخصص لمطاردة الأخطاء والإبلاغ عنها. تتم استضافة هذا وصيانته من قبل مكتب أمن المعلومات التابع لـ DICT.

يمكن أن تندرج الأخطاء والمشكلات المبلغ عنها بشكل صحيح إلى VDPP تحت أربعة سيناريوهات أمنية محتملة تتراوح من حرجة وعالية ومتوسطة ومنخفضة، مع مدفوعات محتملة بناءً على معدلات الصناعة اعتماداً على التقارير وشدتها.

سيقوم مكتب أمن المعلومات التابع لـ DICT بالتحقق من صحة التقارير، وسيمنح أولئك الذين لديهم تقارير معتمدة "شهادة/تقدير مناسب لمساهمة الباحث في الإبلاغ و/أو
حل الثغرة الأمنية المعتمدة." قد تقدم كيانات القطاع الخاص المشاركة، بعد التنسيق مع مكتب أمن المعلومات التابع لـ DICT، مكافآت نقدية أو حوافز مناسبة بناءً على آليات الحوافز المنظمة الموضحة في VDPP.

بصرف النظر عن المكافآت النقدية، هناك أيضاً المكانة المعنية حيث تحظى الإفصاحات المسؤولة ببعض الوقت في الأضواء الحكومية. تشمل المكافآت الشهادات الرقمية والمطبوعة، والاعتراف العام على VDPP، والإدراج في الاستشهادات الأخرى لـ DICT، وفقاً للتعميم.

تطور مطلوب بشدة

يعد برنامج مكافأة الأخطاء الوطني مع قواعد محددة للمشاركة في العملية أخباراً جيدة وتطوراً مطلوباً بشدة في مجال أمن المعلومات، حيث يجب أن يساعد في تحفيز القرصنة الأخلاقية على المدى الطويل مع تحسين الأنظمة الحكومية الآن.

إذا كنت محترفاً ناشئاً في أمن المعلومات، فقد تكون هذه طريقة جيدة للدخول إلى الصناعة، طالما أنك تعرف ما تفعله وتقوم بالعمل المطلوب للإفصاحات المسؤولة.

تحقق من التعميم المرتبط هنا للحصول على التفاصيل وشارك. يمكن أن تساعد في تحسين أمن المعلومات الحكومي من بعض الأشخاص السيئين. – Rappler.com