İngiltere Savunma Bakanlığı (MoD), güvenlik platformu HackerOne ile işbirliği yaparak, ilk “hata ödül” mücadelesini sonuçlandırdı. Savunma Bakanlığı, 30 günlük tatbikat sırasında hackerlar, bakanlık sistemlerine doğrudan erişim sağlayarak dijital varlıklarındaki güvenlik açıklarını araştırdılar.
Bilgisayar korsanlarının parasal tazminat karşılığında etkilenen kuruluşlara gerçek dünyadaki güvenlik açıklarını bildirdiği “hata ödül” programları, endüstri genelinde güvenlik araştırmalarını teşvik etmenin ve herhangi bir sorunu kötü insanlar bunları kullanma şansı bulamadan önce tanımlamanın bir yolu olarak kullanılıyor.
Tatbikat, İngiltere’nin özellikle kritik ulusal altyapıya (CNI) karşı siber tehditlerle başa çıkmak için daha fazla kapasite ve dayanıklılık ihtiyacını vurguladığı mart ayından itibaren güvenlik, savunma, kalkınma ve dış politikaya ilişkin entegre incelemesini yayınlamasının ardından geldi [1].
MoD’deki bilgi güvenliği şefi (CISO) Christine Maxwell şöyle diyor :
“Beceri, enerji ve bağlılığı olan personeli çekmek için dijital ve siber gelişimimizle sınırları zorlamaya devam etmek bizim için önemli. Etik bilgisayar korsanlığı topluluğuyla çalışmak, teknoloji yeteneklerimizi geliştirmemize ve varlıklarımızı korumak ve savunmak için daha çeşitli bakış açıları getirmemize olanak tanıyor.
Güvenlik açıklarımızın nerede olduğunu anlamak ve bunları belirlemek ve düzeltmek için daha geniş etik bilgisayar korsanlığı topluluğuyla birlikte çalışmak, siber riski azaltmak ve dayanıklılığı artırmak için önemli bir adımdır.”
Yazılımlarını güvence altına almak için ABD Savunma Bakanlığı, ABD Ordusu ve ABD Hava Kuvvetleri ile birlikte çalışan HackerOne ile yapılan işbirliği, İngiliz Savunma Bakanlığı’nın ABD’deki müttefikleriyle daha yakın uyum sağlamasına da yardımcı olacak.
HackerOne CEO’su Marten Mickos’a göre, dünyanın dört bir yanındaki hükümetler, geniş dijital ortamlarını artık geleneksel güvenlik araçlarıyla güvence altına alamayacakları gerçeğinin farkına varıyor.
“Üçüncü şahıslardan gelen güvenlik açıklarını kabul etmek için resmi bir sürece sahip olmak, ABD hükümetinin bu yıl federal sivil kurumları için zorunlu hale getirmesiyle birlikte, küresel olarak en iyi uygulama olarak kabul ediliyor.
İngiliz Savunma Bakanlığı, dijital varlıklarını güvence altına almak için ileri görüşlü ve işbirlikçi çözümlerle Birleşik Krallık hükümetine öncülük ediyor ve tahmin ediyorum ki daha fazla devlet kurumunun onun örneğini takip ettiğini göreceğiz.”
Aralık 2020’de MoD, bilgisayar korsanlarının sistemlerindeki veya hizmetlerindeki güvenlik açıklarını nasıl bildirebileceğine ilişkin bir kılavuz yayınladı[2], ancak güvenlik açığı açıklamaları için parasal ödüller sunmayacağını söyledi. Hata ödül mücadelesine katılan bilgisayar korsanları, miktarları bilinmemekle birlikte bir para aldı.
Mart 2021’de HackerOne’ın yıllık Hacker raporu , işletmelere hata veya güvenlik açıkları bildiren beyaz şapkalı bilgisayar korsanlarının sayısının 2020’de %63, 2018’den bu yana ise %143 arttığını ve bilgisayar korsanlarının ve BT güvenlik ekiplerinin çok daha sık birlikte çalıştığını ortaya koydu.
Ayrıca, bilgisayar korsanlarının üçte birinden fazlasının (%38) pandeminin başlangıcından bu yana bilgisayar korsanlığı için daha fazla zaman harcadığını ve birçoğunun uzaktan çalışmaya geçişten ve kuruluşların bunun sonucunda ortaya çıkan dijital dönüşümlerden kaynaklanan ortaya çıkan tehditlere odaklandığını buldu.