The Ministerstwo Obrony (MON) ujawniło, iż rozszerzyło istniejącą inicjatywę dotyczącą bezpieczeństwa obronnego o specjalistę ds. etycznego hakowania i testów penetracyjnych HackerOne włączenie niektórych kluczowych dostawców.
Pierwotny zakres programu bezpieczeństwa obronnego MON obejmował m.in program ujawniania podatności (VDP) wypłaca nagrody za błędy za pośrednictwem HackerOne, wykorzystując kreatywność i wiedzę społeczności hakerów, aby pomóc zabezpieczyć niektóre z najważniejszych zasobów cyfrowych rządu Wielkiej Brytanii.
Od premiery w 2021 rponad 100 etycznych hakerów było zajętych „atakowaniem” systemów Ministerstwa Obrony, identyfikowaniem i naprawianiem luk w zabezpieczeniach w celu poprawy poziomu bezpieczeństwa cybernetycznego.
„Decyzja o nawiązaniu współpracy z HackerOne i wykorzystaniu społeczności etycznych hakerów była częścią ogólnoorganizacyjnego zaangażowania w budowanie kultury przejrzystości i współpracy w celu poprawy bezpieczeństwa narodowego” – powiedział Paul Joyce, kierownik projektu badania podatności na zagrożenia w Ministerstwie Obrony. „Nasi partnerzy-hakerzy pomagają nam identyfikować obszary, w których musimy wzmocnić nasze mechanizmy obronne i chronić nasze krytyczne zasoby cyfrowe przed złośliwymi zagrożeniami”.
CISO Ministerstwa Obrony Christine Maxwell dodała: „Współpraca ze społecznością zajmującą się etycznymi hakerami pozwala nam przedstawić bardziej zróżnicowane perspektywy w celu ochrony i obrony naszych zasobów. Zrozumienie, gdzie znajdują się nasze słabe punkty i kooperacja z szerszą społecznością hakerów zajmujących się etyką w celu ich zidentyfikowania i naprawienia, to istotny krok w kierunku zmniejszenia ryzyka cybernetycznego i poprawy odporności”.
Ministerstwo Obrony ma nadzieję, iż włączając kluczowych dostawców do VDP, może pomóc w zachęcaniu do przepływu najlepszych praktyk w całym łańcuchu dostaw, a być może wdrożyć własne programy. Stwierdził, iż jego długoterminowym celem jest prowadzenie własnych VDP przez wszystkie firmy, z którymi współpracuje.
Wśród dostawców, którzy byli już zaangażowani w rozszerzony program jest m.in Kahootzktóra świadczy usługi platformy współpracy w postaci systemu w chmurze na rzecz organizacji publicznych i trzeciego sektora.
„VDP firmy Kahootz pokazuje nasze proaktywne zaangażowanie w szybkie identyfikowanie i eliminowanie potencjalnych słabych punktów bezpieczeństwa w celu utrzymania najwyższych standardów bezpieczeństwa dla użytkowników” – powiedział Peter Jackson, dyrektor ds. technicznych organizacji.
„VDP umożliwiło nam identyfikowanie i eliminowanie luk w zabezpieczeniach, zanim będą mogły zostać wykorzystane w złośliwy sposób. Nasza kooperacja z Ministerstwem Obrony i HackerOne ułatwiła dzielenie się wiedzą i najlepszymi praktykami w zakresie cyberbezpieczeństwa, przyczyniając się do ciągłego doskonalenia i zwiększania zaufania naszych klientów.
„W ramach naszego programu opracowaliśmy podejście oparte na współpracy z hakerami, które przyspiesza wprowadzanie poprawek, buduje zaufanie i zwiększa bezpieczeństwo. Kahootz pozostaje zaangażowany we wzmacnianie bezpieczeństwa naszej platformy poprzez przejrzystość i stałą współpracę ze społecznością zajmującą się bezpieczeństwem” – dodał Jackson.
Marten Mickos, dyrektor generalny HackerOne, powiedział: „MON jest pionierem w praktykach bezpieczeństwa cybernetycznego. Ministerstwo Obrony zwróciło się o pomoc do najgroźniejszych obrońców – etycznych hakerów – w celu rozwiązania problemów związanych z bezpieczeństwem i przechytrzenia cyberprzestępców. Od programu ujawniania luk po wyzwanie Live Bug Bounty – hakerzy pomogli Ministerstwu Obrony znaleźć i naprawić luki, zanim przeciwnicy będą mogli je wykryć i wykorzystać”.
Wyzwanie Akademii Obrony
Rozszerzony program obejmował także osobiste wyzwanie z nagrodami za błędy organizowane w Ministerstwie Obrony Akademia Obrony w Swindon. Kilku najskuteczniejszych hakerów pracujących nad tym programem, w sumie 15, zostało zaproszonych do oceny i ulepszenia stanu bezpieczeństwa Akademii Obrony.
Podczas wydarzenia hakerzy skupili się na zademonstrowaniu swoich umiejętności i myślenia lateralnego przeciwko szerokiej powierzchni ataku systemów internetowych i innych, a także kwestionowaniu starych sposobów myślenia i przełamywaniu barier.
Oprócz odkrycia i doradztwa w sprawie szeregu luk w zabezpieczeniach – których nie można tutaj ujawnić – wydarzenie to zapewniło także Ministerstwu Obrony większą pewność co do istniejących środków cybernetycznych dzięki raportom scenorysowym szczegółowo opisującym podejścia wypróbowane przez hakerów. Ministerstwo Obrony stwierdziło, iż wiele z nich zakończyło się ostatecznie niepowodzeniem ze względu na istniejące środki obronne.
„Testowanie na MoD to fascynujące wyzwanie, które nigdy się nie nudzi” – powiedział haker zaangażowany w program. „MON myśli przyszłościowo w swoim podejściu do cyberbezpieczeństwa, a możliwość spędzenia czasu z zespołem w Akademii Obrony była wyjątkową okazją, aby dowiedzieć się więcej o tym, w jaki sposób MON zabezpiecza swoje systemy.
„Wiem, iż gdy znajdę błąd w programie rządowym, mam bezpośredni wpływ na obywateli, czyniąc ich cyfrowe życie nieco bezpieczniejszym, i to jest dobre” – powiedzieli.
