ABD Savunma Bakanlığı'na bağlı Siber Suç Merkezi (DC3), Kasım 2016'daki başlangıcından bu yana 5.635 araştırmacı tarafından sunulan 50.000'inci güvenlik açığı raporunu işleme alma aşamasına geldiğini açıkladı.
Federal kurum, siber savunmasını güçlendirmeye yardımcı olabilecek kalabalık kaynaklı güvenlik açığı raporlarını kullanmak için 'Pentagon'u Hack' adlı bir hata ödül etkinliğinin ardından 7,5 yıl önce Güvenlik Açığı Açıklama Programını (VDP) başlattı.
DC3'ün duyurusunda, “Kısa süreli hata ödüllerinin aksine, VDP'nin kitle kaynaklı etik bilgisayar korsanları, derinlemesine savunma yaklaşımının bir parçası olarak güvenlik açıklarını sürekli olarak rapor ediyor” deniyor.
“Güvenlik açığı raporlarının alınmasında odak noktası olma işlevi sayesinde DC3 VDP, Savunma Bakanlığı'nın genel güvenliğine önemli ölçüde katkıda bulunmaya devam ediyor.”
2018 yılında program, gönderilen raporlar için otomatik bir izleme ve işleme sistemi sunarak çerçevenin verimliliğini ve etik bilgisayar korsanlarının katılımından elde ettiği deneyimi büyük ölçüde artırdı.
Zamanla VDP, Müşterek Kuvvet Karargahı Savunma Bakanlığı Bilgi Ağı'nın sahip olduğu ve işlettiği, kamuya açık tüm BT varlıklarındaki, web sitelerindeki ve uygulamalardaki güvenlik açıklarını kapsayacak şekilde kapsamını genişletti.
2021'de DC3 ve Savunma Karşı İstihbarat ve Güvenlik Teşkilatı, 400 önemli güvenlik açığının keşfedilmesine ve azaltılmasına yol açan 12 aylık özel bir programda birlikte çalışarak vergi mükelleflerine bildirilen 61 milyon dolar tasarruf sağladı.
VDP'nin 2023'teki başarısına bakıldığında, ajansın henüz yıllık raporunu yayınlamamış olmasına rağmen, tam bir yıl önce 45.000 kusur raporu kilometre taşına ulaştığını duyurmasına dayanarak, geçen yıl 5.000 raporun işlendiği sonucunu çıkarmak mümkün.
Bu, 2022'de bildirilen 7.349 güvenlik açığından daha düşük ve bunların %8'i kritik ancak yine de önemli bir katkı olmaya devam ediyor.
Savunma Bakanlığı'nın HackerOne'daki hata ödül programı, ajansın son 90 günde 1.231 rapor alırken toplam 27.000'den fazla sorunu çözdüğünü gösteriyor.
“DC3 VDP'nin başarısı, küresel etik hacker topluluğuyla güçlü bir ilişkinin, siber savunmaların tutarlı bir şekilde güçlendirilmesine nasıl dönüştüğünün güçlü bir örneğidir.” – Alex Rice, HackerOne'un CTO'su
Şu anda VDP'nin HackerOne'daki programı, kapsamı “kamuya açık tüm bilgi sistemleri, web mülkleri veya Savunma Bakanlığı'nın sahip olduğu, işlettiği veya kontrol ettiği veriler” olarak tanımlıyor.
VDP aracılığıyla Savunma Bakanlığı siber güvenliğine katkıda bulunmak isteyen etik bilgisayar korsanları buradaki tüm yönergeleri inceleyebilir.