İyi niyetli bilgisayar korsanlarını korumak için yeni altın standart

Hata ödül programı operatörü ve etik bilgisayar korsanlığı platformu HackerOne, müşterilerinin etik korsanları iyi niyetle bilgisayar korsanlığı yaparken sorumluluktan koruyabileceklerini ve koruyacaklarını göstermelerine yardımcı olmak için bir Gold Standard Safe Harbor (GSSH) bildirimi başlattı.

Herhangi bir güvenlik açığı açıklama politikası veya operasyonel hata ödül programı, etik korsanların bekleyebileceği yasal korumaların ana hatlarını çizen bir güvenli liman bildirimi içermelidir, ancak HackerOne, standartlaştırılmış bir şablon oluşturarak müşterilerin kısa, geniş ve kolay anlaşılır bir standardı hızlı bir şekilde benimseyebileceğine inanıyor. bilgisayar korsanlarının artık birden çok farklı ifadenin farklı şartlarını ve koşullarını ayrıştırması gerekmiyor.

HackerOne’da CISO ve bilgisayar korsanlığı başkanı Chris Evans, “Saldırı yüzeylerinin büyümesiyle, sağlıklı bilgisayar korsanlarının katılımı riski azaltmak için hiç bu kadar önemli olmamıştı” dedi.

“HackerOne olarak biz, müşterilerimizin benimseyebileceği, bilgisayar korsanlarının müşteri programlarında kendilerini güvende ve değerli hissetmelerine yardımcı olan tek tip bir mükemmellik standardı oluşturmak istiyoruz. Bilgisayar korsanları mutlu ve meşgul olduklarında, kuruluşlar daha iyi saldırı direnci elde eder.”

GSSH, üç HackerOne müşterisi, seyahat acentesi Kayak, GitLab ve Yahoo tarafından “iyi niyetli güvenlik araştırmalarını korumaya olan bağlılıklarını göstermek” ve ilgili hata ödül programlarıyla bilgisayar korsanlarının katılımını artırmak için yol testine tabi tutuluyor.

Kayak baş bilimcisi Matthias Keller şunları söyledi: “Gold Standard Safe Harbor bildirimi, önde gelen bir hata ödül programı olarak kendimizi daha net bir şekilde ayırt etmemize yardımcı oluyor.

Bu, organizasyonu korumak için bizimle çalışan en iyi bilgisayar korsanlarını elde etmemizi garanti etmek için öncelik sırasına göre ödeme yapmak ve değer için ödeme yapmak gibi takip ettiğimiz diğer en iyi uygulamalarla uyumludur.”

GitLab’da uygulama güvenliğinden sorumlu personel güvenlik mühendisi Dominic Couture şunları ekledi: “GitLab, Gold Standard Safe Harbor bildirimini benimsemekten memnuniyet duyuyor. Bunun, bilgisayar korsanlarının bilgi yükünü azaltacağını ve herkesin katkıda bulunabileceği misyonumuzu destekleyerek bug bounty deneyimlerini daha sorunsuz hale getireceğini umuyoruz.”

HackerOne’ın henüz yayınlanmamış bir sonraki Hacker Raporu, etik korsanların %50’sinden fazlasının, kuruluşun kendisiyle çalışmanın zor olduğunu göstermesi veya yasal sonuçlarla tehdit edilmesi gibi nedenlerle bildirmedikleri bir güvenlik açığı keşfettiğini ortaya çıkardı.

Yasal işlem tehdidi ve hatta hapis cezası, sızma testi kavramı var olduğu sürece ve son birkaç yılda siber tehdit ortamının artan kapsamı ve ölçeğiyle birlikte, giderek daha fazla sayıda bilgisayar korsanı, etik bilgisayar korsanlarının üzerinde asılı kalmıştır. düzenleyici bir bakış açısıyla konuyla ilgili eylem görmek istiyorum.

Birleşik Krallık’ta, bir bilgisayara yetkisiz erişim suçunu düzenleyen ve birçok standart etik bilgisayar korsanlığı uygulamasını etkili bir şekilde suç sayan 32 yıllık Bilgisayar Kötüye Kullanım Yasası’nda (CMA) reform yapılması ihtiyacına önemli ölçüde odaklanılmaktadır.

CyberUp koalisyonu, bir şirketler grubu, ticaret birlikleri, nhükümet dışı kuruluşlar (Siber güvenlik camiasından seçilen STK’lar) ve avukatlar, Westminster’da bu konuda kampanya yürütüyor. CMA’nın, siber güvenlik uzmanlarının ve bilgisayar korsanlarının, bir bilgisayara yetkisiz erişim nedeniyle kovuşturma riskine girmeden Birleşik Krallık kuruluşlarını siber saldırılara karşı koruyabilmelerini engellediğini söyledi.

Hükümet 2021’de reform olasılığından bahsetmeye başlamıştı ama bu süreç şu anda biraz durmuş durumda.

Yasal reform yapılmayan HackerOne, GSSH’yi benimsemenin kuruluşların güvenlik araştırmalarını yöneten en son yasal ve düzenleyici gelişmeleri onayladıklarını ve iyi niyetli araştırmalara yetki verdiklerini göstermelerine yardımcı olacağını söyledi. GSSH’nin nihayetinde, araştırma veya sızma testi için bilgisayar korsanlığı ile kötü niyetli siber saldırılar veya bildirilebilir veri ihlalleri arasındaki hukuk ayrımını netleştirmeye yardımcı olabileceğini umuyor.

Değiştirilecek GSSH’yi benimseyen kuruluşların, mevcut güvenli liman beyanlarını program sayfalarındaki metinle değiştirmeleri ve bunun yanında bir dijital rozet sergilemeye hak kazanmaları bekleniyor. Bu arada bilgisayar korsanları, HackerOne platformunda hata ödül programları ararken GSSH katılımını seçebilecekler.

Read Previous

Karmaşık işbirliklerini çözme, maliyetleri ve karmaşıklığı artırma

Read Next

UK tech 2022’nin en etkili kadını Flavilla Fongang, kazananın konuşması

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -