Ένα νέο χρυσό πρότυπο για προστασία από καλόπιστους χάκερ

Ο χειριστής του προγράμματος επιβράβευσης σφαλμάτων και της πλατφόρμας ηθικής εισβολής HackerOne κυκλοφόρησε μια δήλωση Gold Standard Safe Harbor (GSSH) για τους πελάτες του, προκειμένου να τους βοηθήσει να αποδείξουν ότι μπορούν και θα προστατεύσουν τους ηθικούς χάκερ από την ευθύνη όταν παραβιάζουν με καλή πίστη.

Οποιαδήποτε πολιτική αποκάλυψης ευπάθειας ή λειτουργικό πρόγραμμα επιβράβευσης σφαλμάτων πρέπει τώρα να περιλαμβάνει μια δήλωση ασφαλούς λιμένα για να περιγράψει τις νομικές προστασίες που μπορούν να περιμένουν οι ηθικοί χάκερ, αλλά το HackerOne πιστεύει ότι δημιουργώντας ένα τυποποιημένο πρότυπο, οι πελάτες μπορούν γρήγορα να υιοθετήσουν ένα σύντομο, ευρύ και εύκολο στη χρήση κατανοούν το πρότυπο και οι χάκερ δεν χρειάζεται πλέον να αναλύουν τους διάφορους όρους και προϋποθέσεις πολλών διαφορετικών δηλώσεων.

«Με τις αυξανόμενες επιφάνειες επιθέσεων, η υγιής εμπλοκή των χάκερ δεν ήταν ποτέ πιο σημαντική για τον μετριασμό του κινδύνου», δήλωσε ο Chris Evans, CISO και Chief Hacking Officer στο HackerOne.

«Εμείς στη HackerOne θέλουμε να καθιερώσουμε ένα ενιαίο πρότυπο αριστείας που μπορούν να αγκαλιάσουν οι πελάτες μας, το οποίο βοηθά τους χάκερ να αισθάνονται ασφαλείς και να εκτιμώνται στα προγράμματα πελατών. Όταν οι χάκερ είναι χαρούμενοι και αφοσιωμένοι, οι οργανισμοί είναι πιο ανθεκτικοί στις επιθέσεις».

Το GSSH δοκιμάζεται οδικώς από τρεις πελάτες του HackerOne, το ταξιδιωτικό γραφείο Kayak, το GitLab και το Yahoo, για να «επιδείξουν τη δέσμευσή τους για την προστασία της καλής πίστης της έρευνας ασφάλειας» και την ενίσχυση της δέσμευσης των χάκερ με τα αντίστοιχα προγράμματα επιβράβευσης σφαλμάτων.

Ο επικεφαλής επιστήμονας του Kayak Matthias Keller δήλωσε: «Η δήλωση Safe Harbor της Gold Standard μας βοηθά να διαφοροποιηθούμε πιο ξεκάθαρα ως το κορυφαίο πρόγραμμα επιβράβευσης σφαλμάτων.

Αυτό είναι σύμφωνο με άλλες βέλτιστες πρακτικές που ακολουθούμε, όπως το pay-for-sort και το pay-for-value, για να διασφαλίσουμε ότι οι καλύτεροι χάκερ συνεργάζονται μαζί μας για να προστατεύσουμε τον οργανισμό.”

Ο Dominique Couture, μηχανικός ασφαλείας στο προσωπικό ασφαλείας εφαρμογών στο GitLab, πρόσθεσε: «Το GitLab είναι στην ευχάριστη θέση να αποδεχτεί τη δήλωση Safe Harbor Gold Standard. Ελπίζουμε ότι αυτό θα μειώσει το φόρτο πληροφοριών για τους χάκερ και θα κάνει πιο απρόσκοπτη την εμπειρία τους στο bug bounty, υποστηρίζοντας την αποστολή μας στην οποία μπορούν να συνεισφέρουν όλοι».

Η μεταγενέστερη, ακόμη αδημοσίευτη Έκθεση Hacker του HackerOne διαπίστωσε ότι πάνω από το 50% των ηθικών χάκερ ανακάλυψαν μια ευπάθεια την οποία δεν ανέφεραν για λόγους, όπως ο οργανισμός που δυσκολεύεται να συνεργαστεί ή απειλείται με νομικές συνέπειες .

Η απειλή της νομικής δράσης ή ακόμα και του χρόνου φυλάκισης κρέμεται από ηθικούς χάκερ για όσο διάστημα υπάρχει η έννοια της δοκιμής διείσδυσης, και με την αυξανόμενη εμβέλεια και κλίμακα του τοπίου των απειλών στον κυβερνοχώρο τα τελευταία χρόνια, όλο και περισσότεροι χάκερ θέλουν να δείτε τη δράση επί του θέματος από κανονιστική άποψη.

Στο Ηνωμένο Βασίλειο, δίνεται μεγάλη έμφαση στην ανάγκη μεταρρύθμισης του 32χρονου νόμου περί κατάχρησης υπολογιστών (CMA), ο οποίος ορίζει το αδίκημα της μη εξουσιοδοτημένης πρόσβασης σε έναν υπολογιστή, ποινικοποιώντας ουσιαστικά πολλές τυπικές ηθικές πρακτικές hacking.

The CyberUp Coalition, ένας όμιλος εταιρειών, εμπορικών ενώσεων, nκυβερνητικοί οργανισμοί (ΜΚΟ) και δικηγόροι από όλη την κοινότητα της κυβερνοασφάλειας κάνουν εκστρατεία στο Westminster για αυτό το θέμα. Λέει ότι το CMA αποτρέπει τους επαγγελματίες ασφάλειας στον κυβερνοχώρο και τους χάκερ από το να μπορούν να προστατεύουν τους οργανισμούς του Ηνωμένου Βασιλείου από επιθέσεις στον κυβερνοχώρο χωρίς να κινδυνεύουν να διωχθούν για μη εξουσιοδοτημένη πρόσβαση σε υπολογιστή.

Η κυβέρνηση είχε αρχίσει να μιλά για το ενδεχόμενο μεταρρύθμισης το 2021, αλλά αυτή η διαδικασία βρίσκεται επί του παρόντος κάπως σε αδιέξοδο.

Ελλείψει νομικής μεταρρύθμισης, η HackerOne είπε ότι η υιοθέτηση του GSSH θα βοηθήσει τους οργανισμούς να αποδείξουν ότι εγκρίνουν τις τελευταίες νομικές και κανονιστικές εξελίξεις που διέπουν την έρευνα για την ασφάλεια και επιτρέπουν την καλή τη πίστη έρευνα. Ελπίζεται ότι η GSSH μπορεί τελικά να βοηθήσει ακόμη και να διευκρινιστεί η νομική διάκριση μεταξύ πειρατείας για έρευνα ή δοκιμές διείσδυσης και κακόβουλων επιθέσεων στον κυβερνοχώρο ή καταγεγραμμένων παραβιάσεων δεδομένων.

Οι οργανισμοί που υιοθετούν το GSSH, το οποίο θα αντικαταστήσει, αναμένεται να αντικαταστήσουν την υπάρχουσα δήλωση Safe Harbor με το κείμενό τους στη σελίδα του προγράμματός τους και θα τους επιτρέπεται να εμφανίζουν ένα ψηφιακό σήμα δίπλα του. Στο μεταξύ, οι χάκερ θα μπορούν να συμμετέχουν στο GSSH όταν αναζητούν προγράμματα επιβράβευσης σφαλμάτων στην πλατφόρμα HackerOne.

Leave a Comment

Your email address will not be published. Required fields are marked *