[افکار فناوری] جوایز باگ و هک اخلاقی DICT در یک نگاه

وزارت فناوری اطلاعات و ارتباطات در 14 ژانویه بخشنامه HRA-002 را منتشر کرد که دستورالعمل‌ها، قوانین و مقررات بازنگری‌شده و تلفیق‌شده در مورد افشای آسیب‌پذیری‌ها و سیاست پناهگاه امن کشور و برنامه پاداش باگ را مشخص می‌کند.

وزیر DICT، هنری آگودا، حتی سال گذشته به کنفرانس هک Rootcon رفت تا این توسعه را تبلیغ کند و گفت که هکرهای کشور باید از مهارت‌های خود "برای محافظت، نه تخریب" استفاده کنند.

برای این منظور، تأسیس سیاست پناهگاه امن و برنامه پاداش باگ (SHPBBP) باید یک خبر خوشایند برای کسانی باشد که مجموعه مهارت‌های مناسب را دارند، زیرا تلاش می‌کند افشای مسئولانه امنیت سایبری را برای خدمات دولتی تشویق کند.

بیایید ببینیم این همه چه معنایی دارد، به‌خصوص اگر در مورد این توسعه چیزی نشنیده‌اید.

هکرهای اخلاقی، پاداش‌های باگ و سیاست‌های پناهگاه امن

هک اخلاقی فرآیندی است که طی آن یک متخصص امنیت سایبری، که به‌عنوان هکر کلاه سفید نیز شناخته می‌شود، آسیب‌پذیری‌ها را در برنامه‌ها، سیستم‌ها یا فناوری‌ها شناسایی و به رفع آن‌ها کمک می‌کند، قبل از اینکه آن آسیب‌پذیری بتواند به‌طور مخرب توسط یک هکر غیراخلاقی یا کلاه سیاه استفاده شود.

به این ترتیب، هک اخلاقی حملات سایبری دنیای واقعی را شبیه‌سازی می‌کند تا خطرات یک سیستم را ارزیابی کند تا سیستم‌های مورد نظر بتوانند بهبود یابند یا در غیر این صورت در امنیت تقویت شوند.

برای اینکه هک اخلاقی برای هکرهای کلاه سفید پاداش‌دهنده باشد، برنامه‌های پاداش باگ ساختارهای سازمانی هستند که برای ارزیابی و ارائه غرامت مالی برای کار کشف و تحویل مسئولانه آسیب‌پذیری‌ها به افرادی که سیستم‌هایی را که هک شده‌اند توسعه می‌دهند، تنظیم شده‌اند. این کار به این دلیل است که امنیت سیستم‌های مذکور بتواند بهبود یابد.

برنامه‌های پاداش باگ اغلب با محافظت‌هایی برای هکرها برای انجام کار خود همراه هستند.

این سیاست‌های پناهگاه امن برای محافظت از هکرهای کلاه سفید یا محققان امنیتی از مسئولیت اداری، مدنی یا کیفری طراحی شده‌اند، در صورتی که آن‌ها در فرآیند شکار باگ‌ها چیزی پیدا کنند، تا زمانی که تحقیقات خود را طبق مشخصات یک برنامه پاداش باگ معین به‌درستی افشا کنند.

بخشنامه SHPBBP دیکشنری در مورد چیست؟

SHPBBP از DICT حفاظت‌ها و الزامات مورد نیاز برای شرکت در برنامه پاداش باگ DICT را مشخص می‌کند.

حالا، ممکن است تعجب کنید که آیا هر کسی می‌تواند در یک پاداش باگ شرکت کند.

برای اهداف بخشنامه DICT، شما باید، حداقل، یک محقق امنیت سایبری حرفه ای باشید تا شرکت کنید. همچنین باید خود را تحت یک رویه مشتری خودت را بشناس (KYC) ثبت‌نام کنید تا حتی واجد شرایط دریافت پاداش از یک پاداش باگ باشید.

به‌طور خاص، بخشنامه گفت که برای موارد زیر اعمال می‌شود:

• تمام آژانس های دولتی ملی تحت شعبه اجرایی، از جمله شرکت‌های دولتی و تحت کنترل دولت و شرکت های تابعه آن‌ها، موسسات مالی دولتی و دانشگاه‌ها و کالج‌های دولتی، از جمله آن‌هایی که تحت دامنه *.gov.ph و پلتفرم های مدیریت شده توسط DICT هستند؛
• کنگره فیلیپین، قوه قضائیه، کمیسیون‌های مستقل قانون اساسی، دفتر بازرس کل و واحدهای حکومت محلی به شدت تشویق می‌شوند که این بخشنامه را اتخاذ کنند؛
• نهادهای خصوصی که به‌طور داوطلبانه در برنامه مشارکت امنیت سایبری عمومی-خصوصی DICT ثبت‌نام کرده‌اند؛
• اپراتورهای زیرساخت اطلاعات حیاتی (CII)، همان‌طور که تحت برنامه ملی امنیت سایبری (NCSP) شناسایی شده‌اند؛ و
• محققان امنیت سایبری که مسئول شناسایی و تجزیه و تحلیل تهدیدهای بالقوه به شبکه و سیستم‌های یک سازمان هستند.

حفاظت‌های پناهگاه امن فقط در صورتی اعمال می‌شوند، در حالی که اگر شما یک محقق امنیتی هستید که فقط سیستم‌های اعلام‌شده در محدوده پاداش‌های باگ را آزمایش می‌کنید؛ شما هیچ نوع استخراج داده‌های غیرمجاز، تغییر یا اختلال خدمات انجام نمی‌دهید؛ آسیب‌پذیری‌ها را به‌طور مسئولانه و خصوصی به DICT یا نهاد مجاز گزارش می‌دهید؛ و یافته‌های خود را خصوصی نگه می‌دارید و آن‌ها را تا زمانی که مسئله‌ای که یافته‌اید حل نشده یا به شما اجازه داده نشده تا به‌طور عمومی در مورد آن بحث کنید، افشا نمی‌کنید.

این همه چگونه کار می‌کند؟

ممکن است کنجکاو باشید که این چگونه در عمل کار می‌کند، بنابراین در اینجا نحوه اجرای کلی آن آورده شده است.

یک محقق امنیتی برای پیوستن به ابتکار DICT از طریق رویه مشتری خودت را بشناس که در بالا ذکر شد، درخواست می‌دهد. آن‌ها باید کل فرآیند را تکمیل کنند و پذیرفته شوند تا واجد شرایط دریافت جایزه نقدی باشند. تضاد منافع - به عنوان مثال، پرسنل DICT و ارائه‌دهندگان خدمات شخص ثالث که توسط DICT درگیر شده‌اند - متقاضیان بالقوه را از شرکت در این پاداش‌های باگ محروم می‌کند.

برنامه پاداش باگ پاداش‌های خود را توسط نهادهای شرکت‌کننده تعیین خواهد کرد، یعنی آژانس های دولتی که به کمک نیاز دارند، یا شرکای دولتی که می‌خواهند پاداش خود را تعیین کنند. تامین مالی برای اجرای این بخشنامه "باید در مقابل بودجه موجود آژانس یا موسسه تحت پوشش و چنین منابع تامین مالی مناسب دیگری که وزارت بودجه و مدیریت ممکن است شناسایی کند، با توجه به قوانین، قوانین و مقررات مربوطه محاسبه شود."

این پاداش‌ها - از جمله چه سایت‌ها یا خدماتی و چه جنبه‌هایی از آن سایت‌ها و خدمات نیاز به آزمایش دارند - در پورتال برنامه افشای آسیب‌پذیری (VDPP) فهرست شده‌اند، یک وب‌سایت اختصاص‌داده‌شده به شکار باگ‌ها و گزارش آن‌ها. این توسط دفتر امنیت سایبری DICT میزبانی و نگهداری می‌شود.

باگ‌ها و مسائلی که به‌درستی به VDPP گزارش می‌شوند می‌توانند تحت چهار سناریوی امنیتی احتمالی قرار گیرند که از بحرانی، بالا، متوسط و پایین متغیر است، با پرداخت‌های بالقوه بر اساس نرخ‌های صنعت بسته به گزارش‌ها و شدت آن‌ها.

دفتر امنیت سایبری DICT گزارش‌ها را تأیید خواهد کرد و به کسانی که گزارش‌های تأیید‌شده دارند "گواهینامه/شناخت مناسب برای مشارکت محقق در گزارش و/یا
حل آسیب‌پذیری تأیید‌شده" خواهد داد. نهادهای بخش خصوصی شرکت‌کننده، پس از هماهنگی با دفتر امنیت سایبری DICT، ممکن است جایزه یا مشوق‌های پولی مناسب را بر اساس مکانیسم‌های مشوق ساختاریافته مشخص‌شده در VDPP ارائه دهند.

به‌غیر از جایزه پولی، جایگاهی نیز وجود دارد که در آن افشاهای مسئولانه مدتی را در کانون توجه دولت قرار می‌گیرند. جایزه شامل گواهینامه‌های دیجیتال و چاپی، تقدیر عمومی در VDPP و گنجاندن در استنادهای دیگر DICT است، طبق بخشنامه.

توسعه بسیار مورد نیاز

یک برنامه ملی پاداش باگ با قوانین تعریف‌شده برای درگیر شدن در فرآیند یک خبر خوب و یک توسعه بسیار مورد نیاز در فضای امنیت سایبری است، زیرا باید به تشویق هک اخلاقی در بلندمدت کمک کند در حالی که سیستم‌های دولتی را در حال حاضر بهبود می‌بخشد.

اگر شما یک متخصص امنیت سایبری در حال رشد هستید، این می‌تواند یک راه خوب برای ورود به صنعت باشد، تا زمانی که بدانید چه کاری انجام می‌دهید و کار مورد نیاز برای افشاهای مسئولانه را انجام دهید.

بخشنامه پیوند شده در اینجا را برای جزئیات بررسی کنید و درگیر شوید. شما می‌توانید به بهبود امنیت دولتی از برخی افراد بد کمک کنید. – Rappler.com