Singapur hükümetinin CIO’su (Bilişim Daire Başkanı), beyaz şapkalı hackerları kamuda kullanılan sistemlerdeki zafiyetleri ortaya çıkarmaları karşılığında 5 bin dolara kadar ödüllendireceği bir bug bounty (ödül avcılığı) programı başlattı.
Hükümet Teknoloji Ajansı (GovTech), yeni güvenlik açığı ödül programının, iletişim teknolojisi sistemlerinin güvenliğini artırmak için hayata geçirdikleri üçüncü kitle kaynaklı girişim olduğunu söyledi. Hükümet aynı zamanda, potansiyel güvenlik açıklarını bildirmeleri karşılığında kamuya açık güvenlik açığı ifşa programları da yürütüyor.
Hükümet’e bağlı Bilişim Ofisi, bug bounty programlarının “dönemsel” olduğunu ve her çalışma sırasında beş ila 10 adet kritik ve “yüksek profilli” sisteme odaklanıldığını söyledi. Öte yandan yeni ödül programlarının yapılmaya devam edeceğini ve böylece temel dijital hizmetleri sunmak için gereken daha geniş kapsamlı kritik iletişim teknolojisi sistemlerinin “sürekli olarak test edileceğini” söyledi.
Ortaya çıkan güvenlik açıklarının ciddiyetine bağlı olarak, ödül programına katılmaları onaylanan hackerlara 250 ila 5 bin dolar arasında ödül takdim edilecek.
HAYATİ ÖNEME SAHİP AÇIK BULANA 150 BİN DOLARLIK ÖZEL ÖDÜL
Ek olarak, seçilen sistemler ve veriler üzerinde potansiyel olarak “olağanüstü etki” yaratabileceği tespit edilen güvenlik açıkları için 150 bin dolara kadar özel bir ödül verilebileceği belirtiliyor. Bu tür güvenlik açıklarının içeriğine ilişkin detaylar sadece kayıtlı hackerlara verilecek ve yalnızca seçilmiş sistemler için geçerli olacak.
GovTech’e göre, özel ödül programı, Google ve Microsoft gibi teknoloji devleri tarafından gerçekleştirilen küresel kitle kaynaklı güvenlik açığı programları ile kıyaslanabilecek boyutta bir program.
Ödül programına yalnızca bir dizi kriteri karşılayan hackerların katılmasına izin verilecek ve kontroller bug bounty operatörü HackerOne tarafından yapılacak. Katılımcılar onay aldıktan sonra, HackerOne tarafından sağlanan belirlenmiş özel bir sanal network geçidi üzerinden güvenlik değerlendirmeleri yapmak zorunda kalacak ve katılım kurallarını ihlal ettikleri takdirde erişimleri geri çekilecek.
2018’DEN BERİ DÜZENLENİYOR
Govtech’in yönetişim ve siber güvenlikten Sorumlu Genel Müdür Yardımcısı Lim Bee Kwan, kuruluşlarının ilk olarak 2018’de kitle kaynaklı güvenlik açığı bulma programlarını kabul ettiğini söyledi. O zamandan beri, 500 geçerli güvenlik açığını tespit etmek için binden fazla hackerla çalışıldı.
Lim, “Yeni güvenlik açığı ödül programı, hükümetin kritik sistemlerimizi test etmek için küresel siber güvenlik yetenekleri havuzundan daha fazla istifade etmesine ve vatandaşların verilerini güvende tutmasına olanak tanıyacak.” dedi.
Ağustos 2021 itibariyle Singapur hükümeti, her biri iki ila üç hafta süren ve 33 sistemi kapsayan dört bug-bounty programı başlattı. Katılımcılara 100 bin dolardan fazla para dağıtıldı.
Kamuya açık güvenlik açığı bilgilendirme programı, Ekim 2019’da başlatıldı ve Mart 2021 itibariyle 59 devlet kurumunu kapsayan 900’den fazla güvenlik açığı bildirildi. Bunlardan en az 400’ü o zamandan beri geçerli olan hatalardı.
Geçen ay yayınlanan bir rapor, Singapur hükümetinin bug bounty ve ifşa programları aracılığıyla 2020’de ortaya çıkarılan güvenlik açıklarının yarısının hala geçerli olduğunu ortaya koydu. Smart Nation ve Dijital Devlet Ajansı’nın raporuna göre, kamu sektörü geçtiğimiz yıl veri olaylarında yüzde 44’lük bir artış kaydetti, ancak hiçbirinin “yüksek şiddette” olmadığı değerlendirildi.
