ABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA), beyaz şapkalı hackerların güvenlik zafiyetlerini devlet kurumlarına bildirmelerine imkan sağlayan bir ihbar platformu başlattı.
Siber güvenlik şirketleri Bugcrowd ve Endyna iş birliğiyle hayata geçirilen platform, sivil federal kurumların daha geniş bir güvenlik topluluğundan güvenlik açıklarını öğrenmesine, sınıflandırmasına ve düzeltmesine izin verecek.
ÖZEL ŞİRKETLER BUG BOUNTY PROGRAMLARI DÜZENLİYOR
Platformu hayata geçirme hamlesi, CISA’nın, denetimi altındaki sivil federal ajansları kendi güvenlik açığı ifşa politikalarını geliştirmeye ve yayımlamaya sevk ettiği bir dönemde geldi. Bu politikalar, hangi çevrimiçi sistemlerin nasıl test edilebileceğini hangilerinin test edilemeyeceğini özetlemek suretiyle güvenlik araştırmacıları için angajman kurallarını belirlemek üzere tasarlanmıştı.
Özel şirketlerin, hackerların hataları ve güvenlik açıklarını bildirmelerine izin vermek için VDP programlarını çalıştırmaları nadir görülen bir durum değil. Bu, genellikle hackerlara zafiyetleri bulmaları karşılığında ödül verilen bug bounty programları aracılığıyla yapılmaktaydı.
HACKERLAR İNTERNETİN BAĞIŞIKLIK SİSTEMİ İŞLEVİ GÖRÜYOR
İnternet sitelerinde ve yazılım programlarındaki güvenlik açıklarını yakalayarak milyonlarca dolar para kazanan Bugcrowd, platformun ajanslara aynı ticari teknolojilere, dünya standartlarında uzmanlığa ve şu anda kurumsal işletmeler için güvenlik boşluklarını belirlemekte kullanılan küresel “beyaz şapkalı hacker” topluluğuna erişim imkanı sağlayacağını belirtiyor.
Bugcrowd’un kurucusu Casey Ellis, girişimin “hackerların internetin bağışıklık sistemi olarak işlev görmesi noktasında bir başka dönüm noktası” olduğunu söylüyor ve ekliyor: “Bugcrowd ekibi, bu girişimi ABD hükümeti ile birlikte hayata geçiren CISA/DHS ile ortaklık kurmaktan gurur duyuyor.”
SOLARWINDS VE EXCHANGE SALDIRILARI CISA’YI HAREKETE GEÇİRDİ
Platform ayrıca CISA’ya diğer kurumlar arasında zafiyetlere ilişkin bilgi paylaşması noktasında yardımcı olacak.
Platform, hükümetin Rus kaynaklı olduğundan şüphelenilen SolarWinds saldırısı ile federal hükümet de dahil binlerce Microsoft Exchange sunucusuna sızma yoluyla gerçekleşen Çin bağlantılı siber saldırıdan büyük yara almasının ardından hayata geçirildi.
