[Tech Thoughts] Программы bug bounty и этичный хакинг DICT с первого взгляда

Департамент информационных и коммуникационных технологий 14 января выпустил ведомственный циркуляр HRA-002, в котором изложены пересмотренные и консолидированные руководящие принципы, правила и положения о раскрытии уязвимостей, а также политика безопасной гавани страны и программа вознаграждений за обнаружение ошибок.

Секретарь DICT Генри Агуда даже посетил хакерскую конференцию Rootcon в прошлом году с целью рекламы этого нововведения, заявив, что хакеры страны должны использовать свои навыки "для защиты, а не для разрушения".

С этой целью введение Политики безопасной гавани и программы вознаграждений за обнаружение ошибок (SHPBBP) должно стать хорошей новостью для тех, кто обладает необходимыми навыками, поскольку она направлена на стимулирование ответственного раскрытия информации о кибербезопасности для государственных служб.

Давайте рассмотрим, что все это означает, особенно если вы не слышали об этом нововведении.

Этичные хакеры, программы вознаграждений за обнаружение ошибок и политика безопасной гавани

Этичный хакинг - это процесс, при котором профессионал в области кибербезопасности, также известный как белый хакер, выявляет и помогает устранить уязвимости в приложениях, системах или технологиях до того, как эта уязвимость может быть использована злонамеренно неэтичным, или черным, хакером.

Таким образом, этичный хакинг имитирует реальные кибератаки для оценки рисков системы, чтобы данные системы могли быть улучшены или иным образом усилены в плане безопасности.

Чтобы сделать этичный хакинг выгодным для белых хакеров, программы вознаграждений за обнаружение ошибок представляют собой организационные структуры, созданные для оценки и предложения финансовой компенсации за работу по обнаружению и ответственной передаче уязвимостей людям, разрабатывающим взломанные системы. Это делается для того, чтобы безопасность указанных систем могла быть улучшена.

Программы вознаграждений за обнаружение ошибок часто предоставляют защиту для хакеров, чтобы они могли выполнять свою работу.

Эти политики безопасной гавани предназначены для защиты белых хакеров или исследователей безопасности от административной, гражданской или уголовной ответственности в случае, если они обнаружат что-то в процессе поиска ошибок, при условии, что они надлежащим образом раскрывают свои исследования в соответствии с особенностями данной программы вознаграждений за обнаружение ошибок.

О чем циркуляр SHPBBP DICT?

SHPBBP DICT описывает защиту и требования, необходимые для участия в программе вознаграждений за обнаружение ошибок DICT.

Теперь вы можете задаться вопросом, может ли кто-нибудь участвовать в программе вознаграждений за обнаружение ошибок.

Для целей циркуляра DICT вы должны, как минимум, быть профессиональным исследователем кибербезопасности, чтобы участвовать. Вы также должны зарегистрироваться в рамках процедуры "Подтверждение личности" (KYC), чтобы иметь право на получение вознаграждения за обнаружение ошибок.

Конкретно, циркуляр сказал, что он применяется к следующим:

• Все национальные государственные агентства исполнительной власти, включая государственные корпорации и их дочерние компании, государственные финансовые институты и государственные университеты и колледжи, включая те, которые находятся под доменом *.gov.ph и платформами, управляемыми DICT;
• Конгресс Филиппин, судебная власть, независимые конституционные комиссии, офис омбудсмена и местные органы власти настоятельно рекомендуется принять этот циркуляр;
• Частные организации, добровольно зарегистрированные в рамках Программы государственно-частного партнерства в области кибербезопасности DICT;
• Операторы критической информационной инфраструктуры (CII), определенные в рамках Национального плана кибербезопасности (NCSP); и
• Исследователи кибербезопасности, которые отвечают за выявление и анализ потенциальных угроз для сети и систем организации.

Защита безопасной гавани будет применяться только в том случае, если вы исследователь безопасности, который тестирует только системы, объявленные в рамках программы вознаграждений за обнаружение ошибок; вы не совершаете никакого несанкционированного извлечения данных, изменения или нарушения работы служб; вы сообщаете об уязвимостях ответственно и конфиденциально в DICT или уполномоченную организацию; и вы сохраняете свои результаты в тайне и не раскрываете их до тех пор, пока обнаруженная вами проблема не будет решена или вам не будет разрешено обсудить это публично.

Как это все работает?

Вам может быть интересно, как это работает на практике, поэтому вот как это обычно происходит.

Исследователь безопасности подает заявку на присоединение к инициативе DICT через процедуру "Подтверждение личности", упомянутую выше. Они должны завершить весь процесс и быть приняты, чтобы иметь право на денежные вознаграждения. Конфликты интересов — например, персонал DICT и сторонние поставщики услуг, привлеченные DICT — дисквалифицируют потенциальных заявителей от участия в этих программах вознаграждений за обнаружение ошибок.

Программа вознаграждений за обнаружение ошибок будет иметь свои вознаграждения, установленные участвующими организациями, а именно государственными агентствами, нуждающимися в помощи, или государственными партнерами, которые хотят установить свое собственное вознаграждение. Финансирование для работы этого циркуляра "должно быть списано с существующего бюджета охватываемого агентства или учреждения, а также таких других соответствующих источников финансирования, которые может определить Департамент бюджета и управления, с соблюдением соответствующих законов, правил и положений".

Эти вознаграждения — включая то, какие сайты или службы и какие аспекты указанных сайтов и служб нуждаются в тестировании — перечислены на портале программы раскрытия уязвимостей (VDPP), веб-сайте, посвященном поиску ошибок и сообщению о них. Он размещается и поддерживается бюро кибербезопасности DICT.

Ошибки и проблемы, должным образом сообщенные в VDPP, могут подпадать под четыре возможных сценария безопасности, начиная от критического, высокого, среднего и низкого, с потенциальными выплатами на основе отраслевых ставок в зависимости от отчетов и их серьезности.

Бюро кибербезопасности DICT будет проверять отчеты и предоставит тем, у кого есть проверенные отчеты, "соответствующий сертификат/признание за вклад исследователя в сообщение и/или
решение проверенной уязвимости". Участвующие организации частного сектора, после координации с бюро кибербезопасности DICT, могут предоставить соответствующие денежные вознаграждения или стимулы на основе структурированных механизмов стимулирования, изложенных в VDPP.

Помимо денежных вознаграждений, есть также статус, связанный с ответственным раскрытием информации, которое получает некоторое время в центре внимания правительства. Вознаграждения включают цифровые и печатные сертификаты, публичное признание на VDPP и включение в другие цитаты DICT, согласно циркуляру.

Крайне необходимое нововведение

Национальная программа вознаграждений за обнаружение ошибок с определенными правилами участия в процессе является хорошей новостью и крайне необходимым нововведением в области кибербезопасности, поскольку она должна помочь стимулировать этичный хакинг в долгосрочной перспективе, одновременно улучшая государственные системы в настоящее время.

Если вы начинающий профессионал в области кибербезопасности, это может быть хорошим способом войти в отрасль, если вы знаете, что делаете, и выполняете работу, необходимую для ответственного раскрытия информации.

Ознакомьтесь с циркуляром по ссылке здесь для получения подробной информации и присоединяйтесь. Вы можете помочь улучшить безопасность правительства от некоторых плохих людей. – Rappler.com