أطلقت ولاية ميريلاند الأمريكية حملة على مستوى الولاية برنامج الكشف عن نقاط الضعف (VDP) لمنح المتسللين الأخلاقيين الفرصة لفحص الأنظمة عبر حكومتها بحثًا عن العيوب ونقاط الضعف والسماح لهم بآليات إبلاغ آمنة ومباشرة وشفافة.
البرنامج الذي سيتم تشغيله بواسطة Bug Bounty و VDP متخصصون في البرنامج في حشرة، سيمنح ماريلاند إمكانية الوصول إلى مجتمع راسخ من المتسللين، وسير العمل المثبت والبنية التحتية لإعداد التقارير القابلة للتطوير. وقال قادة الولاية إن العمل بهذه الطريقة من شأنه أن يزيد من مشاركة المتسللين، ويحسن كفاءة فرز الثغرات الأمنية، ويمكّن فرق تكنولوجيا المعلومات الداخلية من الاستمرار في التركيز على العلاج مع الحفاظ على القيمة لدافعي الضرائب في الولاية.
الكتابة على لينكدإنقال جيمس سوندرز، القائم بأعمال رئيس أمن المعلومات بولاية ميريلاند: “غالبًا ما يطلق على الأمن السيبراني رياضة جماعية. أعتقد بشدة، والأهم من ذلك، أننا جميعًا في نفس الفريق. إذا رأيت شيئًا غير آمن، فأبلغ عنه. كل ملاحظة تساعدنا على تعزيز دفاعاتنا والتحسين معًا.
“في جوهره، كان الأمن السيبراني دائمًا يتعلق بالناس. والتكنولوجيا مهمة، ولكن الثقة والتواصل والمسؤولية المشتركة أكثر أهمية. وتذكرنا هذه الجهود بأننا عندما نتعاون ونتعلم ونحمي بعضنا البعض، فإننا نجعل ماريلاند أقوى – معًا!”
ميريلاند ليست الولاية القضائية الأمريكية الأولى التي تدير مثل هذا البرنامج، كما تدير كاليفورنيا وأيوا وأوهايو وديلاوير ومينيسوتا وأيداهو ونيوجيرسي ولوس أنجلوس وواشنطن العاصمة مثل هذه المخططات، ولكن إنشاء VDP في هذا الوقت يعكس جزئيًا الزخم المتزايد بين حكومات الولايات لتولي المزيد من المسؤولية عن شؤونها الخاصة كتخفيضات في الميزانية الحالية. إغلاق الحكومة الفيدرالية يكمل.
في قطاع الأمن السيبراني، لا تزال المخاوف تتزايد تخفيضات في وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، الذي يقول منتقدو إدارة ترامب إنه يحد من قدرة الولايات المتحدة على الرد على التهديدات السيبرانية داخل حدودها وعلى المسرح العالمي.
في الأيام الأخيرة، شهدت CISA – التابعة لوزارة الأمن الداخلي – تعرض قسم مشاركة أصحاب المصلحة التابع لها لعمليات تسريح واسعة النطاق للعمال، حسب عنوان أختنا الغوص في الأمن السيبراني. نقلاً عن مصادر مطلعة على الأمر، ذكرت أن التخفيضات الأخيرة ستترك الوحدات التي تتعامل مع المؤسسات الأكاديمية ومشغلي CNI والوكالات الحكومية والمنظمات غير الربحية والشركات الصغيرة والمتوسطة وحكومات الولايات والحكومات المحلية بدون موظفين فعليًا.
مشاركة المعلومات الإلزامية
وفي الوقت نفسه، بالإضافة إلى VDP الجديد الخاص بها، تعمل ولاية ماريلاند على توسيع مركزها الداخلي لمشاركة وتحليل المعلومات (MD-ISAC)، مما يفرض مشاركة جميع وكالات الدولة والحكومات المحلية ومشغلي البنية التحتية الحيوية وشركاء القطاع الخاص العاملين في الولاية.
وقال سوندرز إن التعاون في الوقت الفعلي وتبادل المعلومات الموثوقة “ضروريان لمرونتنا الجماعية في المشهد السيبراني سريع الحركة اليوم”.
وفقًا لقادة الولاية، فقد أبرز عدد من “حوادث الأمن السيبراني الخطيرة” أن ولاية ماريلاند تفتقر إلى قناة واحدة وآمنة وعالمية لنشر معلومات التهديد الحساسة وتفاصيل الحوادث في الوقت المناسب.
ستتيح المشاركة الإلزامية للهيئات داخل النطاق إمكانية الوصول إلى مستودع مؤشرات التهديد للسماح للفرق السيبرانية بالبحث عن التهديدات الجديدة وتعزيز قدرات الكشف والوقاية؛ ذكر بيانات التهديد المحددة المتعلقة بالأنماط والاتجاهات والشذوذات التي شوهدت في الأنظمة الخاصة بولاية ماريلاند؛ وقدرات التعاون المستمر لتبادل التهديدات.
وقالت نويل موراتا، كبيرة مهندسي الأمن في جامعة ماريلاند: “يشير المسؤولون في ولاية ماريلاند إلى البرامج التجريبية السابقة لمكافأة الأخطاء، حيث حدد الباحثون العشرات من المشكلات، كدليل على أن إشراك مجتمع المتسللين يقلل بشكل واضح من المخاطر”. اكسكيب، مزود خدمات الأمان المُدارة (MSSP).
“مع تعيين جيمس سوندرز حديثًا كرئيس تنفيذي لأمن المعلومات بالولاية، يقترح المشروع دفعة لتوحيد المدخول والإبلاغ عن الملاذ الآمن والمعالجة عبر الوكالات. الهدف المشترك لـ VDP وMD-ISAC هو تحويل النتائج المخصصة إلى تنبيهات سريعة على مستوى الولاية وعلاجات قابلة للتنفيذ.
وقالت: “إن رسالة ماريلاند إلى المدافعين والباحثين بسيطة: إذا رأيت شيئًا ما، قل شيئًا، وسنقوم بإصلاحه بسرعة معًا”.
