W amerykańskim stanie Maryland rozpoczęto kampanię obejmującą cały stan Program ujawniania luk w zabezpieczeniach (VDP), aby dać etycznym hakerom szansę na zbadanie systemów w całym rządzie pod kątem wad i luk w zabezpieczeniach oraz udostępnienie im bezpiecznych, prostych i przejrzystych mechanizmów raportowania.
Program, który będzie obsługiwany przez bug bounty i VDP specjaliści programowi w Tłum błędówzapewni Maryland dostęp do społeczności hakerów o ugruntowanej pozycji, sprawdzonych przepływów pracy i skalowalnej infrastruktury raportowania. Przywódcy stanu stwierdzili, że praca w ten sposób zwiększy udział hakerów, poprawi skuteczność selekcji luk w zabezpieczeniach i umożliwi wewnętrznym zespołom IT skupienie się na działaniach zaradczych, przy jednoczesnym zachowaniu wartości dla stanowych podatników.
Pisanie na LinkedInpełniący obowiązki CISO stanu Maryland, James Saunders, powiedział: „Cyberbezpieczeństwo często nazywa się sportem zespołowym. Wierzę, że głęboko, a co ważniejsze, wszyscy jesteśmy w tym samym zespole. Jeśli zauważysz coś niebezpiecznego, zgłoś to. Każda obserwacja pomaga nam wzmocnić nasze mechanizmy obronne i wspólnie się udoskonalać”.
“W swej istocie cyberbezpieczeństwo zawsze dotyczyło ludzi. Technologia ma znaczenie, ale zaufanie, komunikacja i wspólna odpowiedzialność są ważniejsze. Wysiłki te przypominają nam, że współpracując, ucząc się i chroniąc siebie nawzajem, wzmacniamy Maryland – razem!”
Maryland nie jest pierwszą amerykańską jurysdykcją realizującą taki program. Kalifornia, Iowa, Ohio, Delaware, Minnesota, Idaho, New Jersey, Los Angeles i Waszyngton również realizują takie programy, ale utworzenie VDP w tym momencie częściowo odzwierciedla rosnącą dynamikę wśród rządów stanowych, aby przejąć większą odpowiedzialność za swoje własne sprawy w ramach cięć obecnie zamknięcie rządu federalnego Kontynuować.
W sektorze bezpieczeństwa cybernetycznego nadal pojawiają się obawy cięć w Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), co według krytyków administracji Trumpa ogranicza zdolność USA do reagowania na zagrożenia cybernetyczne zarówno w swoich granicach, jak i na arenie międzynarodowej.
W ostatnich dniach CISA – wchodząca w skład Departamentu Bezpieczeństwa Wewnętrznego – odnotowała masowe zwolnienia w Dziale Zaangażowania Interesariuszy, zgodnie z tytułem naszej siostry Nurkowanie w cyberbezpieczeństwie. Powołując się na źródła zaznajomione ze sprawą, podano, że najnowsze cięcia pozostawią jednostki współpracujące z instytucjami akademickimi, operatorami CNI, agencjami rządowymi, organizacjami non-profit, MŚP oraz władzami stanowymi i lokalnymi w praktyce bez personelu.
Obowiązkowe udostępnianie informacji wywiadowczych
W międzyczasie, oprócz nowego VDP, stan Maryland rozbudowuje wewnętrzne Centrum Wymiany i Analiz Informacji (MD-ISAC), wymagając udziału wszystkich agencji stanowych, samorządów lokalnych, operatorów infrastruktury krytycznej i partnerów z sektora prywatnego pracujących w stanie.
Saunders stwierdziła, że współpraca w czasie rzeczywistym i godna zaufania wymiana informacji są „niezbędne dla naszej zbiorowej odporności w dzisiejszym szybko zmieniającym się cyberprzestrzeni”.
Według przywódców stanów szereg „krytycznych incydentów związanych z bezpieczeństwem cybernetycznym” uwidoczniło, że w stanie Maryland brakuje jednego, bezpiecznego i uniwersalnego kanału umożliwiającego terminowe rozpowszechnianie wrażliwych informacji o zagrożeniach i szczegółów incydentów.
Obowiązkowe uczestnictwo zapewni właściwym organom dostęp do repozytorium wskaźników zagrożeń, co umożliwi zespołom cybernetycznym badanie nowych zagrożeń oraz zwiększanie możliwości wykrywania i zapobiegania; podać szczegółowe dane dotyczące zagrożeń powiązane ze wzorcami, trendami i anomaliami obserwowanymi w systemach Maryland; oraz możliwości ciągłej współpracy w zakresie wymiany zagrożeń.
„Urzędnicy ze stanu Maryland wskazują na wcześniejsze programy pilotażowe nagród za błędy, podczas których badacze zidentyfikowali dziesiątki problemów, jako dowód na to, że zaangażowanie społeczności hakerów w widoczny sposób zmniejsza ryzyko” – powiedziała Noelle Murata, starszy inżynier ds. bezpieczeństwa w firmie Xcapedostawca zarządzanych usług bezpieczeństwa (MSSP).
“Dzięki Jamesowi Saundersowi nowo mianowanemu na stanowisko stanowego CISO projekt sugeruje dążenie do ujednolicenia spożycia, raportowania bezpiecznej przystani i działań naprawczych we wszystkich agencjach. Łącznym celem VDP i MD-ISAC jest przekształcenie ustaleń doraźnych w ogólnostanowe alerty dotyczące prędkości i możliwe do podjęcia środki zaradcze.
„Przesłanie stanu Maryland do obrońców i badaczy jest proste – jeśli coś zobaczysz, powiedz coś, a wspólnie szybko to naprawimy” – powiedziała.