[Tech Thoughts] ภาพรวมของโปรแกรมการจ่ายเงินรางวัลสำหรับการค้นหาช่องโหว่และการแฮ็กอย่างมีจริยธรรมของ DICT

กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เมื่อวันที่ 14 มกราคม ได้ออกประกาศกระทรวง HRA-002 ซึ่งกำหนดแนวทาง กฎเกณฑ์ และข้อบังคับที่ได้รับการแก้ไขและรวบรวมเกี่ยวกับการเปิดเผยช่องโหว่ และนโยบาย Safe Harbor และโปรแกรม Bug Bounty ของประเทศ

เลขาธิการ DICT Henry Aguda ยังได้ไปที่การประชุม Rootcon hacking เมื่อปีที่แล้วเพื่อโฆษณาพัฒนาการนี้ โดยกล่าวว่าแฮกเกอร์ของประเทศควรใช้ทักษะของพวกเขา "เพื่อปกป้อง ไม่ใช่เพื่อทำลาย"

เพื่อจุดประสงค์นั้น การจัดตั้ง Safe Harbor Policy และ Bug Bounty Program (SHPBBP) ควรเป็นข่าวดีสำหรับผู้ที่มีทักษะที่เหมาะสม เนื่องจากพยายามสร้างแรงจูงใจให้มีการเปิดเผยช่องโหว่ด้านความปลอดภัยทางไซเบอร์อย่างมีความรับผิดชอบสำหรับบริการของรัฐบาล

มาดูกันว่าทั้งหมดนี้หมายความว่าอย่างไร โดยเฉพาะอย่างยิ่งหากคุณยังไม่เคยได้ยินเกี่ยวกับพัฒนาการนี้

แฮกเกอร์จริยธรรม Bug Bounty และนโยบาย Safe Harbor

การแฮ็กเชิงจริยธรรมคือกระบวนการที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือที่เรียกว่าแฮกเกอร์หมวกขาว ระบุและช่วยแก้ไขช่องโหว่ในแอป ระบบ หรือเทคโนโลยี ก่อนที่ช่องโหว่นั้นจะถูกใช้ในทางที่ผิดโดยแฮกเกอร์ที่ไม่มีจริยธรรม หรือแฮกเกอร์หมวกดำ

ดังนั้น การแฮ็กเชิงจริยธรรมจึงจำลองการโจมตีทางไซเบอร์ในโลกแห่งความจริงเพื่อประเมินความเสี่ยงของระบบ เพื่อให้สามารถปรับปรุงหรือเสริมความแข็งแกร่งด้านความปลอดภัยของระบบที่กำหนด

เพื่อให้การแฮ็กเชิงจริยธรรมคุ้มค่าสำหรับแฮกเกอร์หมวกขาว โปรแกรม Bug Bounty เป็นโครงสร้างองค์กรที่จัดตั้งขึ้นเพื่อประเมินและเสนอค่าตอบแทนทางการเงินสำหรับงานการค้นพบและส่งมอบช่องโหว่อย่างมีความรับผิดชอบให้กับผู้พัฒนาระบบที่ถูกแฮ็ก เพื่อให้สามารถปรับปรุงความปลอดภัยของระบบดังกล่าวได้

โปรแกรม Bug Bounty มักมาพร้อมกับการคุ้มครองสำหรับแฮกเกอร์ในการทำงาน

นโยบาย Safe Harbor เหล่านี้ได้รับการออกแบบมาเพื่อปกป้องแฮกเกอร์หมวกขาวหรือนักวิจัยด้านความปลอดภัยจากความรับผิดทางการบริหาร แพ่ง หรืออาญา หากพวกเขาพบบางสิ่งในกระบวนการตามล่าบั๊ก ตmindลเงื่อนไขที่พวกเขาเปิดเผยการวิจัยของตนอย่างถูกต้องตามรายละเอียดของโปรแกรม Bug Bounty ที่กำหนด

ประกาศ SHPBBP ของ DICT เกี่ยวกับอะไร?

SHPBBP ของ DICT ระบุการคุ้มครองและข้อกำหนดที่จำเป็นในการเข้าร่วมโปรแกรม Bug Bounty ของ DICT

ตอนนี้ คุณอาจสงสัยว่าใครก็ตามสามารถเข้าร่วม Bug Bounty ได้หรือไม่

สำหรับวัตถุประสงค์ของประกาศของ DICT คุณต้องเป็นนักวิจัยด้านความปลอดภัยทางไซเบอร์มืออาชีพอย่างน้อยที่สุดเพื่อเข้าร่วม คุณยังต้องลงทะเบียนตัวเองภายใต้ขั้นตอน Know Your Contributor (KYC) เพื่อมีสิทธิ์ได้รับรางวัลจาก Bug Bounty

อย่างไรก็ตาม ประกาศระบุว่ามีผลใช้บังคับกับสิ่งต่อไปนี้โดยเฉพาะ:

• หน่วยงานรัฐบาลระดับชาติทั้งหมดภายใต้ฝ่ายบริหาร รวมถึงรัฐวิสาหกิจและบริษัทย่อย สถาบันการเงินของรัฐบาล และมหาวิทยาลัยและวิทยาลัยของรัฐ รวมถึงที่อยู่ภายใต้โดเมน *.gov.ph และแพลตฟอร์มที่จัดการโดย DICT
• รัฐสภาฟิลิปปินส์ ฝ่ายตุลาการ คณะกรรมการรัฐธรรมนูญอิสระ สำนักงานผู้ตรวจการแผ่นดิน และหน่วยงานปกครองส่วนท้องถิ่นได้รับการสนับสนุนอย่างยิ่งให้นำประกาศนี้มาใช้
• หน่วยงานภาคเอกชนที่ลงทะเบียนโดยสมัครใจภายใต้โปรแกรมความร่วมมือด้านความปลอดภัยทางไซเบอร์ระหว่างภาครัฐและเอกชนของ DICT
• ผู้ดำเนินการโครงสร้างพื้นฐานสารสนเทศที่สำคัญ (CII) ตามที่ระบุไว้ภายใต้แผนความปลอดภัยทางไซเบอร์แห่งชาติ (NCSP); และ
• นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่รับผิดชอบในการระบุและวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้นต่อเครือข่ายและระบบขององค์กร

การคุ้มครอง Safe Harbor จะมีผลใช้บังคับเฉพาะในกรณีที่คุณเป็นนักวิจัยด้านความปลอดภัยที่ทดสอบเฉพาะระบบที่ประกาศไว้ในขอบเขตของ Bug Bounty เท่านั้น คุณไม่กระทำการดึงข้อมูล การเปลี่ยนแปลง หรือการหยุดชะงักของบริการโดยไม่ได้รับอนุญาต คุณรายงานช่องโหว่อย่างมีความรับผิดชอบและเป็นความลับต่อ DICT หรือหน่วยงานที่ได้รับอนุญาต และคุณเก็บผลการค้นพบของคุณเป็นความลับและไม่เปิดเผยจนกว่าปัญหาที่คุณพบจะได้รับการแก้ไขหรือคุณได้รับอนุญาตให้พูดคุยเปิดเผยต่อสาธารณะ

มันทำงานอย่างไร?

คุณอาจสงสัยว่าสิ่งนี้ทำงานอย่างไรในทางปฏิบัติ ดังนั้นนี่คือวิธีที่มันจะดำเนินการโดยทั่วไป

นักวิจัยด้านความปลอดภัยยื่นขอเข้าร่วมโครงการของ DICT ผ่านขั้นตอน Know Your Customer ที่กล่าวถึงข้างต้น พวกเขาต้องทำกระบวนการทั้งหมดให้เสร็จสิ้นและได้รับการยอมรับเพื่อมีสิทธิ์ได้รับรางวัลเป็นเงินสด ความขัดแย้งทางผลประโยชน์ — เช่น บุคลากรของ DICT และผู้ให้บริการบุคคลที่สามที่ได้รับการว่าจ้างโดย DICT — จะตัดสิทธิ์ผู้สมัครที่มีศักยภาพจากการเข้าร่วม Bug Bounty เหล่านี้

โปรแกรม Bug Bounty จะมีรางวัลที่กำหนดโดยหน่วยงานที่เข้าร่วม ได้แก่ หน่วยงานรัฐบาลที่ต้องการความช่วยเหลือ หรือพันธมิตรของรัฐบาลที่ต้องการกำหนดรางวัลของตนเอง เงินทุนเพื่อให้ประกาศนี้ใช้งานได้ "จะเรียกเก็บจากงบประมาณที่มีอยู่ของหน่วยงานหรือสถาบันที่ครอบคลุม และแหล่งเงินทุนที่เหมาะสมอื่นๆ ตามที่กระทรวงงบประมาณและการจัดการอาจระบุ ภายใต้กฎหมาย กฎ และข้อบังคับที่เกี่ยวข้อง"

รางวัลเหล่านี้ — รวมถึงเว็บไซต์หรือบริการใด และด้านใดของเว็บไซต์และบริการดังกล่าวที่ต้องการการทดสอบ — จะระบุไว้ในพอร์ทัลโปรแกรมการเปิดเผยช่องโหว่ (VDPP) ซึ่งเป็นเว็บไซต์ที่ทุ่มเทให้กับการตามล่าบั๊กและการรายงาน ซึ่งโฮสต์และดูแลโดยสำนักความปลอดภัยทางไซเบอร์ของ DICT

บั๊กและปัญหาที่รายงานอย่างถูกต้องต่อ VDPP สามารถอยู่ภายใต้สถานการณ์ความปลอดภัยที่เป็นไปได้สี่ระดับ ตั้งแต่วิกฤต สูง กลาง และต่ำ โดยมีการจ่ายเงินที่อาจเกิดขึ้นตามอัตราอุตสาหกรรม ขึ้นอยู่กับรายงานและความรุนแรง

สำนักความปลอดภัยทางไซเบอร์ของ DICT จะตรวจสอบรายงาน และจะมอบให้กับผู้ที่มีรายงานที่ได้รับการตรวจสอบ "ใบรับรอง/การรับรองที่เหมาะสมสำหรับการมีส่วนร่วมของนักวิจัยในการรายงานและ/หรือ
การแก้ไขช่องโหว่ที่ได้รับการตรวจสอบ" หน่วยงานภาคเอกชนที่เข้าร่วม หลังจากประสานงานกับสำนักความปลอดภัยทางไซเบอร์ของ DICT อาจมอบรางวัลเป็นเงินหรือสิ่งจูงใจที่เหมาะสมตามกลไกสิ่งจูงใจที่มีโครงสร้างที่ระบุไว้ใน VDPP

นอกเหนือจากรางวัลเป็นเงินแล้ว ยังมีความโดดเด่นที่เกี่ยวข้องเนื่องจากการเปิดเผยอย่างมีความรับผิดชอบได้รับความสนใจจากรัฐบาล รางวัลรวมถึงใบรับรองดิจิทัลและพิมพ์ การรับรองต่อสาธารณะบน VDPP และการรวมไว้ในการอ้างอิงอื่นๆ ของ DICT ตามประกาศ

การพัฒนาที่จำเป็นอย่างยิ่ง

โปรแกรม Bug Bounty ระดับชาติที่มีกฎที่ชัดเจนสำหรับการมีส่วนร่วมในกระบวนการเป็นข่าวดีและเป็นการพัฒนาที่จำเป็นอย่างยิ่งในพื้นที่ความปลอดภัยทางไซเบอร์ เนื่องจากควรช่วยสร้างแรงจูงใจให้มีการแฮ็กเชิงจริยธรรมในระยะยาว ในขณะที่ปรับปรุงระบบของรัฐบาลในปัจจุบัน

หากคุณเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่กำลังเติบโต นี่อาจเป็นวิธีที่ดีในการเข้าสู่อุตสาหกรรม ตราบใดที่คุณรู้ว่าคุณกำลังทำอะไรและทำงานที่จำเป็นสำหรับการเปิดเผยอย่างมีความรับผิดชอบ

ตรวจสอบประกาศที่เชื่อมโยงไว้ที่นี่สำหรับรายละเอียดและเข้าร่วม คุณอาจช่วยปรับปรุงความปลอดภัยของรัฐบาลจากคนเลวบางคน – Rappler.com