ال وزارة الدفاع كشفت وزارة الدفاع أنها قامت بتوسيع مبادرة الأمن الدفاعي الحالية مع متخصص في القرصنة الأخلاقية واختبار الاختراق HackerOne لتشمل بعض الموردين الرئيسيين لها.
تضمن النطاق الأصلي لبرنامج الأمن الدفاعي التابع لوزارة الدفاع أ برنامج الكشف عن نقاط الضعف (VDP) تقوم بدفع مكافآت الأخطاء من خلال HackerOne، مع الاستفادة من الإبداع والخبرة لدى مجتمع القرصنة للمساعدة في تأمين بعض الأصول الرقمية الأكثر أهمية لحكومة المملكة المتحدة.
منذ إطلاقه عام 2021، كان أكثر من 100 من المتسللين الأخلاقيين مشغولين “بمهاجمة” أنظمة وزارة الدفاع، وتحديد نقاط الضعف وإصلاحها لتعزيز موقف الأمن السيبراني.
وقال بول جويس، مدير مشروع أبحاث الثغرات الأمنية بوزارة الدفاع: “كان قرار الشراكة مع HackerOne والاستفادة من مجتمع المتسللين الأخلاقيين التابع لها جزءًا من التزام على مستوى المنظمة ببناء ثقافة الشفافية والتعاون لتحسين الأمن القومي”. “يساعدنا شركاؤنا من المتسللين في تحديد المجالات التي نحتاج فيها إلى تعزيز دفاعاتنا وحماية أصولنا الرقمية المهمة من التهديدات الضارة.”
وأضافت كريستين ماكسويل بوزارة الدفاع: “إن العمل مع مجتمع القرصنة الأخلاقية يسمح لنا بتقديم وجهات نظر أكثر تنوعًا لحماية أصولنا والدفاع عنها. إن فهم نقاط الضعف لدينا والعمل مع مجتمع القرصنة الأخلاقية الأوسع لتحديدها وإصلاحها يعد خطوة أساسية في الحد من المخاطر السيبرانية وتحسين المرونة.
وتأمل وزارة الدفاع أنه من خلال تضمين الموردين الرئيسيين في برنامج VDP، يمكنها المساعدة في تشجيع تطبيق أفضل الممارسات من خلال سلسلة التوريد الخاصة بها، وربما تنفيذ برامجهم الخاصة. وقالت إن هدفها على المدى الطويل هو أن تقوم جميع الشركات التي تتعاون معها بإدارة برامج VDP الخاصة بها.
من بين الموردين الذين شاركوا بالفعل في البرنامج الموسع كاهوتز، التي توفر خدمات منصة التعاون السحابية كخدمة لمؤسسات القطاع العام والثالث.
وقال بيتر جاكسون، مدير التكنولوجيا التنفيذي بالمؤسسة: “يُظهر برنامج Kahootz VDP التزامنا الاستباقي بالتعرف الفوري على نقاط الضعف الأمنية المحتملة ومعالجتها للحفاظ على أعلى معايير الأمان للمستخدمين”.
“لقد مكننا برنامج VDP من تحديد نقاط الضعف ومعالجتها قبل أن يتم استغلالها بشكل ضار. وقد أدى تعاوننا مع وزارة الدفاع وHackerOne إلى تسهيل تبادل المعرفة وأفضل الممارسات في مجال الأمن السيبراني، مما ساهم في التحسين المستمر وزيادة الثقة من قبل عملائنا.
“لقد قمنا بتطوير نهج تعاوني مع المتسللين في برنامجنا والذي يعمل على تسريع الإصلاحات وتعزيز الثقة وتعزيز الأمان. وأضاف جاكسون: “تظل Kahootz ملتزمة بتعزيز أمان منصتنا من خلال الشفافية والمشاركة المستمرة مع مجتمع الأمان”.
وقال مارتن ميكوس، الرئيس التنفيذي لشركة HackerOne: “إن وزارة الدفاع رائدة في ممارسات الأمن السيبراني. وقد استعانت وزارة الدفاع بأفضل المدافعين – أي المتسللين الأخلاقيين – لحل المشكلات الأمنية والتغلب على الجهات الفاعلة التي تشكل تهديدًا. بدءًا من برنامج الكشف عن الثغرات الأمنية وحتى تحدي المكافآت المباشرة، ساعد المتسللون وزارة الدفاع في العثور على نقاط الضعف وإصلاحها قبل أن يتمكن الخصوم من اكتشافها واستغلالها.
تحدي أكاديمية الدفاع
تضمن البرنامج الموسع أيضًا تحديًا شخصيًا لمكافأة اكتشاف الأخطاء البرمجية تم عقده في وزارة الدفاع أكاديمية الدفاع في سويندون. تمت دعوة بعض من أفضل المتسللين أداءً الذين يعملون في المخطط، وعددهم 15، لتقييم وتعزيز الوضع الأمني لأكاديمية الدفاع.
وفي هذا الحدث، ركز المتسللون على إظهار مجموعات مهاراتهم وتفكيرهم الجانبي في مواجهة سطح هجوم واسع للإنترنت والأنظمة غير المتصلة بالإنترنت، بالإضافة إلى تحدي طرق التفكير القديمة وكسر الحواجز.
إلى جانب الكشف عن عدد من نقاط الضعف وتقديم المشورة بشأنها – والتي لا يمكن الكشف عنها هنا – قدم الحدث أيضًا لوزارة الدفاع مزيدًا من الضمانات بشأن تدابيرها السيبرانية الحالية من خلال تقارير القصة المصورة التي توضح بالتفصيل الأساليب التي جربها المتسللون. وقالت وزارة الدفاع إن العديد من هذه الإجراءات لم تنجح في نهاية المطاف بفضل إجراءاتها الدفاعية الحالية.
قال أحد المتسللين المشاركين في البرنامج: “يعد الاختبار على وزارة الدفاع تحديًا رائعًا، ولن تشعر بالملل أبدًا”. “تنظر وزارة الدفاع إلى الأمام في نهجها تجاه الأمن السيبراني، وكانت القدرة على قضاء بعض الوقت مع الفريق في أكاديمية الدفاع فرصة فريدة لمعرفة المزيد حول كيفية قيام وزارة الدفاع بتأمين أنظمتها.
وقالوا: “أعلم أنه عندما أجد خطأً في برنامج حكومي، فإنني أؤثر بشكل مباشر على المواطنين، وأجعل حياتهم الرقمية أكثر أمانًا إلى حد ما، وهذا أمر جيد”.
