[Tech Thoughts] Program napiwek za błędy i etyczny hacking DICT w pigułce

Departament Technologii Informacyjnych i Komunikacyjnych 14 stycznia wydał okólnik departamentu HRA-002, który ustanowił zrewidowane i skonsolidowane wytyczne, zasady i przepisy dotyczące ujawniania luk w zabezpieczeniach oraz krajowej polityki bezpiecznej przystani i programu nagród za błędy.

Sekretarz DICT Henry Aguda udał się nawet na konferencję hakerską Rootcon w zeszłym roku w celu promowania tego rozwiązania, mówiąc, że hakerzy w kraju powinni wykorzystywać swoje umiejętności „do ochrony, a nie do niszczenia".

W tym celu ustanowienie Polityki Bezpiecznej Przystani i Programu Nagród za Błędy (SHPBBP) powinno być dobrą wiadomością dla osób posiadających odpowiednie umiejętności, ponieważ ma na celu zachęcanie do odpowiedzialnego ujawniania luk w cyberbezpieczeństwie w usługach rządowych.

Przyjrzyjmy się, co to wszystko oznacza, zwłaszcza jeśli nie słyszeliście o tym rozwiązaniu.

Etyczni hakerzy, nagrody za błędy i polityki bezpiecznej przystani

Etyczne hakowanie to proces, w którym specjalista ds. cyberbezpieczeństwa, znany również jako haker w białym kapeluszu, identyfikuje i pomaga naprawić luki w aplikacjach, systemach lub technologiach, zanim ta luka zostanie złośliwie wykorzystana przez nieetycznego hakera w czarnym kapeluszu.

W związku z tym etyczne hakowanie symuluje rzeczywiste cyberataki w celu oceny zagrożeń systemu, dzięki czemu dany system można ulepszyć lub wzmocnić jego bezpieczeństwo.

Aby etyczne hakowanie było opłacalne dla hakerów w białych kapeluszach, programy nagród za błędy to struktury organizacyjne stworzone w celu oceny i oferowania rekompensaty finansowej za pracę polegającą na odkrywaniu i odpowiedzialnym przekazywaniu informacji o lukach osobom rozwijającym zhakowane systemy. Dzieje się tak po to, aby można było poprawić bezpieczeństwo tych systemów.

Programy nagród za błędy często zawierają zabezpieczenia dla hakerów do wykonywania ich pracy.

Te polityki bezpiecznej przystani mają na celu ochronę hakerów w białych kapeluszach lub badaczy bezpieczeństwa przed odpowiedzialnością administracyjną, cywilną lub karną w przypadku, gdy odkryją coś w procesie poszukiwania błędów, o ile odpowiednio ujawnią swoje badania zgodnie ze specyfiką danego programu nagród za błędy.

Czego dotyczy okólnik SHPBBP DICT?

SHPBBP DICT określa zabezpieczenia i wymagania potrzebne do uczestnictwa w programie nagród za błędy DICT.

Teraz możecie się zastanawiać, czy każdy może uczestniczyć w nagrodach za błędy.

W celach okólnika DICT musicie być co najmniej profesjonalnym badaczem cyberbezpieczeństwa, aby uczestniczyć. Musicie również zarejestrować się w ramach procedury Poznaj Swojego Współpracownika (KYC), aby w ogóle kwalifikować się do nagrody za błędy.

Konkretnie jednak okólnik stwierdza, że dotyczy on następujących podmiotów:

• Wszystkich krajowych agencji rządowych w ramach władzy wykonawczej, w tym korporacji państwowych i kontrolowanych przez rząd oraz ich spółek zależnych, rządowych instytucji finansowych oraz uniwersytetów państwowych i uczelni, w tym tych w domenie *.gov.ph i platform zarządzanych przez DICT;
• Kongres Filipin, władza sądownicza, niezależne komisje konstytucyjne, Biuro Rzecznika Praw Obywatelskich i jednostki samorządu lokalnego są mocno zachęcane do przyjęcia tego okólnika;
• Podmioty prywatne dobrowolnie zapisane do Programu Partnerstwa Publiczno-Prywatnego w zakresie Cyberbezpieczeństwa DICT;
• Operatorzy krytycznej infrastruktury informacyjnej (CII), zidentyfikowani w ramach Krajowego Planu Cyberbezpieczeństwa (NCSP); oraz
• Badacze cyberbezpieczeństwa odpowiedzialni za identyfikację i analizę potencjalnych zagrożeń dla sieci i systemów organizacji.

Ochrona bezpiecznej przystani będzie miała zastosowanie tylko wtedy, gdy jesteście badaczem bezpieczeństwa testującym wyłącznie systemy zadeklarowane w zakresie nagród za błędy; nie popełniacie żadnego rodzaju nieautoryzowanej eksfiltracji danych, modyfikacji ani zakłócenia usług; zgłaszacie luki odpowiedzialnie i prywatnie do DICT lub upoważnionego podmiotu; oraz utrzymujecie swoje ustalenia w tajemnicy i nie ujawniacie ich, dopóki problem, który znaleźliście, nie zostanie rozwiązany lub nie otrzymacie pozwolenia na publiczne omówienie.

Jak to wszystko działa?

Możecie być ciekawi, jak to działa w praktyce, więc oto, jak to zazwyczaj przebiega.

Badacz bezpieczeństwa składa wniosek o przystąpienie do inicjatywy DICT poprzez wspomnianą wcześniej procedurę Poznaj Swojego Klienta. Muszą ukończyć cały proces i zostać zaakceptowani, aby kwalifikować się do nagród pieniężnych. Konflikty interesów — na przykład personel DICT i zewnętrzni dostawcy usług zaangażowani przez DICT — dyskwalifikują potencjalnych kandydatów z uczestnictwa w tych nagrodach za błędy.

Program nagród za błędy będzie miał nagrody ustalone przez uczestniczące podmioty, a mianowicie agencje rządowe potrzebujące pomocy lub partnerów rządowych, którzy chcą ustanowić własną nagrodę. Finansowanie umożliwiające działanie tego okólnika „będzie obciążać istniejący budżet objętej agencji lub instytucji oraz inne odpowiednie źródła finansowania, które może określić Departament Budżetu i Zarządzania, z zastrzeżeniem odpowiednich przepisów, zasad i regulacji".

Te nagrody — w tym, jakie strony lub usługi oraz jakie aspekty tych stron i usług wymagają testowania — są wymienione w portalu programu ujawniania luk (VDPP), witrynie internetowej poświęconej poszukiwaniu błędów i zgłaszaniu ich. Jest ona hostowana i utrzymywana przez biuro cyberbezpieczeństwa DICT.

Błędy i problemy prawidłowo zgłoszone do VDPP mogą należeć do czterech możliwych scenariuszy bezpieczeństwa w zakresie od krytycznego, wysokiego, średniego i niskiego, z potencjalnymi wypłatami opartymi na stawkach branżowych w zależności od raportów i ich powagi.

Biuro cyberbezpieczeństwa DICT zweryfikuje raporty i przyzna osobom z zweryfikowanymi raportami „odpowiedni certyfikat/uznanie za wkład badacza w zgłaszanie i/lub
rozwiązanie zweryfikowanej luki". Podmioty uczestniczące z sektora prywatnego, po koordynacji z biurem cyberbezpieczeństwa DICT, mogą przyznać odpowiednie nagrody pieniężne lub zachęty oparte na ustrukturyzowanych mechanizmach motywacyjnych określonych w VDPP.

Oprócz nagród pieniężnych istnieje również prestiż związany z odpowiedzialnym ujawnianiem, które zyskuje uwagę rządu. Nagrody obejmują certyfikaty cyfrowe i drukowane, publiczne uznanie w VDPP oraz włączenie do innych wyróżnień DICT, zgodnie z okólnikiem.

Bardzo potrzebne rozwiązanie

Krajowy program nagród za błędy z określonymi zasadami zaangażowania w proces to dobra wiadomość i bardzo potrzebne rozwiązanie w przestrzeni cyberbezpieczeństwa, ponieważ powinno pomóc zachęcić do etycznego hakowania na dłuższą metę, jednocześnie poprawiając systemy rządowe już teraz.

Jeśli jesteście wschodzącym specjalistą ds. cyberbezpieczeństwa, może to być dobra droga do branży, o ile wiecie, co robicie, i wykonujecie pracę wymaganą do odpowiedzialnego ujawniania.

Sprawdźcie okólnik dostępny tutaj, aby uzyskać szczegółowe informacje i zaangażować się. Możecie pomóc w poprawie bezpieczeństwa rządowego przed złymi ludźmi. – Rappler.com