Den usandsynlige romantik af hackere og regeringsbejlere

KOMMENTAR

Hvert forår, den årlige Hack Capitol begivenheden samler en mangfoldig gruppe af videnskabsmænd, hackere og politiske beslutningstagere for at uddanne kongresmedarbejdere, lærde og pressen om de mest kritiske cybersikkerhedsudfordringer, som vores nation står over for.

Hack the Capitol er støt vokset i størrelse og statur ved at øge bevidstheden om værdien af, at regeringer og virksomheder samarbejder med hackere for at løse komplekse sikkerhedsproblemer. Ved at fungere som udvalgsmedlem i Hacking Policy Council, er jeg blevet slået af den voksende konvergens af kunstig intelligens, sikkerhedsproblemer og politiske indsatser, især siden lancering af ChatGPT sidst sidste år. Efterhånden som disse indbyrdes forbundne tendenser fortsætter med at smelte sammen, ser vi flere store, konservative virksomheder og statslige agenturer, der tilpasser deres interesser med white hat hacker-fællesskabet.

Sikkerhedsindustrien befinder sig meget åbenlyst i et tovtrækkeri mod modstanderen på tværs af flere vigtige domæner, herunder energi, sundhedspleje, telekommunikation, regering/militær, bilindustrien og luftfart. Og pludselig synes offentligheden at bekymre sig om disse spørgsmål, fordi kunstig intelligens (AI) ikke er et futuristisk sci-fi-koncept - selv elever bruger AI-chatbots til at skrive deres skolepapirer.

Denne voksende offentlige støtte til nye politiske værn har forstærket regerings- og industriengagementet med bug bounties og sårbarhedsdisclosure-programmer (VDP) for at udnytte den kollektive magt hos crowdsourcede trusselsforskere. Denne alliance bliver drevet af en erkendelse af, at vores modstridende kraft dybest set er ubegrænset i potentiel adgang til færdigheder og ressourcer. I mellemtiden siger fællesskabet med hvide hat: "Hey, tag mig ind." Grunden til, at denne usandsynlige romantik virker, er, at det er blevet meget klart, at for at overliste en hær af modstandere, har vi brug for en hær af allierede.

Håndtering af de alarmerende trusler mod kritisk infrastruktur

Et område, hvor fremkomsten af ​​kunstig intelligens kan påføre stor skade, involverer angreb på kritisk infrastruktur, herunder energinet, vandforsyninger, computernetværk, transportsystemer og kommunikationshubs.

I stedet for en kritisk begivenhed tager konservative vertikale sektorer længere tid at stole på hackere. Det har været deres historiske mønster. Lovgivningsmæssigt pres er dog med til at fremme mere crowdsourced sikkerhed. Offentligt tilgængelige indledende adgangsvektorer er det mest almindelige udgangspunkt, normalt via et VDP eller privat crowdsourcing-program. Desværre har aldrende kritiske infrastrukturorganisationer en meget af offentligt tilgængelige indledende adgangsvektorer, men dette problem er ikke unikt for kritisk infrastruktur alene. Udvidelsen af ​​adgangsvektorer er sammensat for alle typer organisationer, der forfølger digital transformation.

Kritisk infrastruktur-vedtagelse af hacker-feedback halter stadig, men det kan forventes. Alligevel sker der meget mere aktivitet derude, end du måske tror, ​​og regulering gør dette til et "hvornår og hvordan"-spørgsmål snarere end et "hvis"-problem. På trods af betydelige fremskridt har vi stadig lang vej igen, fordi cybersikkerhed i bund og grund er et menneskeligt problem, og teknologien får det bare til at gå hurtigere. Vores idé med Bugcrowd var at forbinde et globalt udbud af hvide hatte med uopfyldte krav og at bygge et levende miljø for hackere i god tro. Hackere har grebet denne mulighed ved at sætte deres færdigheder i arbejde for positive forandringer og ved at opbygge en levedygtig karrierevej for sig selv i processen.

Hvad angår deltagere fra store regeringer og store virksomheder, er den sande værdi af en offentlig bug-bounty dobbelt. Den ene er tilliden til at få kode hacket af en udenforstående, og den anden er at sikre bevis på tværs af organisationen, at boogeyman er ægte.

Hvordan opstod denne nuværende konvergens? Sikkerhedsbekymringer kom først, derefter fulgte politiske reaktioner, og nu har AI påtvunget samvittigheden hos folk i detailpolitik, der spekulerer på, om AI er en eksistentiel sikkerhedstrussel mod menneskeheden. Denne ændring har kollapset alle tre tendenser sammen, hvilket har skabt bredere offentlig bevidsthed, hvilket øger varmen for politiske beslutningstagere til at regulere disse fremskridt i en god cirkel.

Offentlige myndigheder træder op for at imødegå nye trusler

Hack the State Department, Hack the DHS og andre kongreslovforslag, der anerkender og tilskynder til partnerskaber mellem hackere og regeringen, går tilbage til mindst 2005. I de seneste år har medlemmer af Parlamentet og Senatet foreslået bug bounty programmer skal udføres internt for føderale agenturer såvel som for andre afdelinger af den føderale regering. Det mest aktive fremstød for denne lovgivning begyndte i 2017 og har resulteret i, at love er blevet vedtaget for at implementere disse programmer i forsvarsministeriet, såvel som vedtagne politikker fra Federal Communication Commissions, Department of Commerce og mere. Det har været opmuntrende at se Parlamentets fortsatte interesse i at rekruttere hackere til at tjene som internettets immunsystem. Senest har medlemmer af huset forsøgt at udvide deres partnerskab med sikkerhedssamfundet ved at introducere Federal Cybersecurity Vulnerability Reduction Act.

Virkeligheden af ​​moderne føderal infrastruktur er, at meget lidt af den faktisk administreres af regeringen. Føderale entreprenører er en integreret del af IT-infrastrukturens forsyningskæde, der understøtter hele den amerikanske regerings drift. Dette betyder, at en væsentlig del af potentielt målrettede angrebsoverflader falder ind under føderale entreprenørers ansvar og tilsyn, og dette lovforslag afspejler sandsynligheden for, at de væsentligste ændringer i den amerikanske regerings cyberresiliens sandsynligvis vil komme fra denne gruppe. Sammen med fordelene ved gennemsigtighed og ansvarlighed er hackersamfundet blevet hyret til at give en tidligere underudnyttet kapacitet til at skalere for at klare udfordringen.

Hackers On the Hill og DEF CON politikafdelingen fortjener stor ære for at have initieret og normaliseret disse typer samtaler, og det er vigtigt at bemærke, at lovforslag som denne i sidste ende er resultatet af årtiers konsekvent uddannelse og partnerskab mellem hackersamfundet og Capitol Hill.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cybersecurity-operations/unlikely-romance-hackers-government-suitors