Savunma Bakanlığı (MoD), etik hackleme ve penetrasyon testi uzmanı HackerOne ile mevcut savunma güvenliği girişimini bazı önemli tedarikçilerini de içerecek şekilde genişlettiğini açıkladı.
Savunma Bakanlığı’nın savunma güvenliği programının orijinal kapsamı, HackerOne aracılığıyla hata ödülleri ödeyen ve Birleşik Krallık hükümetinin en kritik dijital varlıklarından bazılarının güvenliğinin sağlanmasına yardımcı olmak için bilgisayar korsanlığı topluluğunun yaratıcılığından ve uzmanlığından yararlanan bir güvenlik açığı açıklama programını (VDP) içeriyordu.
2021’deki lansmanından bu yana 100’den fazla etik bilgisayar korsanı, Savunma Bakanlığı’nın sistemlerine “saldırmakla”, siber güvenlik duruşunu geliştirmek için güvenlik açıklarını tespit edip düzeltmekle meşgul.
Savunma Bakanlığı’nın güvenlik açığı araştırma proje yöneticisi Paul Joyce, “HakerOne ile ortak olma ve etik hackerlar topluluğundan yararlanma kararı, ulusal güvenliği geliştirmek için şeffaflık ve işbirliği kültürü oluşturmaya yönelik kuruluş çapındaki taahhüdün bir parçasıydı” dedi. “Hacker ortaklarımız, savunmamızı güçlendirmemiz ve kritik dijital varlıklarımızı kötü niyetli tehditlerden korumamız gereken alanları belirlememize yardımcı oluyor.”
Savunma Bakanlığı CISO’su Christine Maxwell şunları ekledi: “Etik bilgisayar korsanlığı topluluğuyla çalışmak, varlıklarımızı korumak ve savunmak için daha çeşitli bakış açıları getirmemize olanak tanıyor. Güvenlik açıklarımızın nerede olduğunu anlamak ve bunları tespit edip düzeltmek için daha geniş bir etik hack topluluğuyla birlikte çalışmak, siber riski azaltma ve dayanıklılığı artırma konusunda önemli bir adımdır.”
MoD, önemli tedarikçileri VDP’ye dahil ederek, tedarik zinciri boyunca en iyi uygulamaların yayılmasını teşvik etmeye yardımcı olabileceğini ve belki de kendi programlarını uygulayabileceğini umuyor. Uzun vadeli hedefinin, ortak olduğu tüm firmaların kendi VDP’lerini yürütmesi olduğunu söyledi.
Genişletilmiş programa halihazırda dahil olan tedarikçiler arasında, kamu ve üçüncü sektör kuruluşlarına hizmet olarak bulut yazılımı işbirliği platformu hizmetleri sağlayan Kahootz da yer alıyor.
Kuruluşun CTO’su Peter Jackson, “Kahootz’un VDP’si, kullanıcılar için en yüksek güvenlik standartlarını sürdürmek amacıyla potansiyel güvenlik zayıflıklarını derhal tespit etme ve ele alma konusundaki proaktif kararlılığımızı gösteriyor” dedi.
“VDP, güvenlik açıklarını kötü niyetli bir şekilde kullanılmadan önce tespit etmemize ve gidermemize olanak sağladı. MoD ve HackerOne ile olan işbirliğimiz, siber güvenlik alanında bilgi paylaşımını ve en iyi uygulamaları kolaylaştırdı, sürekli iyileştirmeye ve müşterilerimizin güvenini artırmaya katkıda bulundu.
“Programımızda bilgisayar korsanlarıyla, düzeltmeleri hızlandıran, güveni artıran ve güvenliği artıran işbirliğine dayalı bir yaklaşım geliştirdik. Kahootz, şeffaflık ve güvenlik topluluğuyla sürekli etkileşim yoluyla platformumuzun güvenliğini güçlendirmeye kararlı olmaya devam ediyor” diye ekledi Jackson.
HackerOne CEO’su Marten Mickos şunları söyledi: “MoD, siber güvenlik uygulamalarında öncüdür. Savunma Bakanlığı, güvenlik sorunlarını çözmek ve tehdit aktörlerini alt etmek için en güçlü savunucuların (etik bilgisayar korsanlarının) yardımına başvurdu. Güvenlik açığı açıklama programından canlı hata ödülü mücadelesine kadar, bilgisayar korsanları, Savunma Bakanlığı’nın, düşmanlar bunları tespit edip istismar etmeden önce güvenlik açıklarını bulmasına ve düzeltmesine yardımcı oldu.”
Savunma Akademisi mücadelesi
Genişletilen program aynı zamanda Savunma Bakanlığı’nın Swindon’daki Savunma Akademisi’nde düzenlenen kişisel bir hata ödülü yarışmasını da içeriyordu. Program üzerinde çalışan en iyi performans gösteren hackerlardan bazıları (toplam 15 kişi), Savunma Akademisi’nin güvenlik duruşunu değerlendirmek ve geliştirmek üzere davet edildi.
Etkinlikte bilgisayar korsanları, internetin ve internete açık olmayan sistemlerin geniş saldırı yüzeyine karşı beceri setlerini ve yanal düşünmelerini göstermeye, ayrıca eski düşünme biçimlerine meydan okumaya ve engelleri yıkmaya odaklandılar.
Etkinlik, burada açıklanamayan bir takım güvenlik açıklarını ortaya çıkarmanın ve bunlarla ilgili tavsiyelerde bulunmanın yanı sıra, bilgisayar korsanlarının denediği yaklaşımları ayrıntılı olarak gösteren storyboard raporları aracılığıyla Savunma Bakanlığı’na mevcut siber önlemlerine ilişkin daha fazla güvence de sundu. Savunma Bakanlığı, bunların çoğunun mevcut savunma önlemleri sayesinde sonuçta başarısız olduğunu söyledi.
Programa dahil olan bir bilgisayar korsanı, “MoD üzerinde test yapmak büyüleyici bir mücadeledir ve asla sıkılmazsınız” dedi. “MoD, siber güvenliğe yaklaşımı konusunda ileriyi düşünüyor ve Savunma Akademisi’ndeki ekiple zaman geçirebilmek, Savunma Bakanlığı’nın sistemlerini nasıl güvence altına aldığı hakkında daha fazla bilgi edinmek için eşsiz bir fırsattı.
“Bir hükümet programında bir hata bulduğumda vatandaşları doğrudan etkilediğimi, dijital yaşamlarını biraz daha güvenli hale getirdiğimi biliyorum ve bu iyi hissettiriyor” dediler.