Федеральное правительство никогда не рассматривало возможность принятия централизованной программы вознаграждения за ошибки, чтобы помочь отсеять уязвимости кибербезопасности в департаментах и агентствах, показало австралийское агентство кибершпионажа.
Австралийское управление сигналов сделало это признание в ответах на вопросы по уведомлению от парламентского расследования киберустойчивости, в то же время отбивая другие вопросы о киберустойчивости агентств.
Программы вознаграждения за ошибки, которые могут быть как публичными, так и частными и предполагают признание и компенсацию хакерам «белых шляп» за обнаружение уязвимостей в системах, становятся все более распространенными в иностранных правительствах.
Правительство США, например, с 2016 года запустило множество программ по борьбе с ошибками, ориентированных на Министерство обороны, включая Взлом Пентагона, Взлом армии и Взлом ВВС.
За это время платформа bug bounty platform HackerOne подсчитала, что исследователи безопасности обнаружили более 11 000 уязвимостей в этих программах, которые, как считается, также сэкономили миллионы долларов.
Национальный центр кибербезопасности Великобритании также ввел формальную схему раскрытия уязвимостей с использованием платформы HackerOne в 2018 году после проведения двухлетнего пилотного проекта по созданию такой программы.
Ближе к дому правительство Нового Южного Уэльса недавно создало свою первую программу вознаграждения за ошибки в рамках разработки цифровых водительских прав Нового Южного Уэльса, что позволило независимым экспертам по безопасности тщательно изучить базовый код и определить области для улучшения.
Но когда помощник министра теневой кибербезопасности Тим Уоттс спросил, рассматривало ли федеральное правительство возможность принятия аналогичной программы вознаграждения за ошибки, ASD на этой неделе ответила громким “нет”.
Это означает, что правительство не только не имеет частной, только по приглашению программы вознаграждения за ошибки, но и никогда не рассматривало возможность введения такой программы, несмотря на преимущества, показанные правительствами за пределами Австралии.
Однако ASD заявила, что она “активно” взаимодействует с технологическими исследователями и промышленностью, которые раскрывают уязвимости, в соответствии со своими Принципами ответственного выпуска политики уязвимостей кибербезопасности.
Политика, которая была тихо выпущена в прошлом году, описывает процесс принятия агентством решения о раскрытии уязвимостей, которые оно будет держать в секрете только в том случае, если существует «критическое требование разведки».
“Решение сохранить уязвимость никогда не принимается легко. Он составляется только после тщательного многоступенчатого экспертного анализа и подлежит тщательному рассмотрению и надзору”,-говорится в политике.
Министерство внутренних дел также признало в ответах на вопросы по уведомлению от расследования киберустойчивости, что “нет центральной политики, обязывающей программы раскрытия уязвимостей”.
В нем говорилось, что “ряд организаций Содружества имеют политику раскрытия уязвимостей, соответствующую их обстоятельствам”, и о любом значительном инциденте кибербезопасности следует сообщать в Австралийский центр кибербезопасности, когда он произойдет.
Ожидается также, что агентства будут ежегодно заполнять отчет о своей позиции в области кибербезопасности с помощью Механизма политики защитной безопасности (PSPF), хотя этот механизм неоднократно демонстрировался как отсутствующий.
Несмотря на недавний капитальный ремонт PSPF, Департамент Генерального прокурора (AGD) рассматривает возможность дальнейшего совершенствования структуры для обеспечения соблюдения обязательных четырех основных стратегий смягчения последствий кибератак.
ASD продолжает утверждать, что раскрытие четырех или восьми основных уровней комплаенса отдельных агентств “может увеличить их риск стать мишенью злонамеренных кибер-акторов”, несмотря на то, что Австралийское национальное контрольное управление делает это в ходе регулярных проверок.
Следующий аудит кибербезопасности, посвященный министерствам внутренних дел, здравоохранения, образования, премьер-министру и кабинету министров, а также Австралийской Комиссии по ценным бумагам и инвестициям и ASD, планируется выпустить в декабре.
