Агентство по кибербезопасности и безопасности инфраструктуры запустило программу раскрытия уязвимостей, позволяющую этичным хакерам сообщать о недостатках безопасности в федеральные агентства.
Платформа, запущенная с помощью компаний по кибербезопасности Bugcrowd и Endyna, позволит гражданским федеральным агентствам получать, сортировать и исправлять уязвимости безопасности от более широкого сообщества специалистов по безопасности.
Переход к запуску платформы произошел менее чем через год после того, как федеральное агентство по кибербезопасности, более известное как CISA, поручило гражданским федеральным агентствам, которые оно курирует, разработать и опубликовать свои собственные политики раскрытия уязвимостей. Эти политики предназначены для того, чтобы установить правила взаимодействия для исследователей безопасности, описывая, какие (и как) онлайн-системы можно тестировать, а какие нет.
Частные компании нередко запускают программы VDP, позволяющие хакерам сообщать об ошибках, часто в сочетании с вознаграждением за ошибку, чтобы платить хакерам за их работу. Министерство обороны США в течение многих лет благосклонно относилось к хакерам, а гражданское федеральное правительство не спешило с этим.
Bugcrowd, который в прошлом году собрал 30 миллионов долларов на Серии D, заявил, что платформа «предоставит агентствам доступ к тем же коммерческим технологиям, опыту мирового уровня и глобальному сообществу полезных этических хакеров, которые в настоящее время используются для выявления пробелов в безопасности корпоративного бизнеса».
Платформа также поможет CISA обмениваться информацией о недостатках безопасности между другими агентствами.
Платформа запускается после нескольких месяцев негативных последствий для государственной кибербезопасности, включая шпионскую кампанию под руководством России против как минимум девяти агентств федерального правительства США путем взлома программного обеспечения SolarWinds, а также связанную с Китаем кибератаку, в которой были задействованы тысячи людей. Microsoft Серверы Exchange, в том числе в федеральном правительстве.