Malo verjetna romanca hekerjev in vladnih snubcev

KOMENTAR

Vsako pomlad, letno Hack the Capitol dogodek združuje raznoliko skupino znanstvenikov, hekerjev in oblikovalcev politik, da bi izobraževali kongresno osebje, znanstvenike in medije o najbolj kritičnih izzivih kibernetske varnosti, s katerimi se sooča naša država.

Hack the Capitol je vztrajno rasel po velikosti in razsežnosti z ozaveščanjem o vrednosti sodelovanja vlad in podjetij s hekerji pri reševanju kompleksnih varnostnih problemov. Kot član odbora za Svet za politiko vdiranja, sem bil presenečen nad vse večjim zbliževanjem umetne inteligence, varnostnimi pomisleki in političnimi prizadevanji, zlasti od lansiranje ChatGPT konec lanskega leta. Ko se ti medsebojno povezani trendi še naprej združujejo, vidimo več velikih, konzervativnih podjetij in vladnih agencij, ki usklajujejo svoje interese s skupnostjo belih hekerjev.

Varnostna industrija se zelo očitno znajde v vlečenju vrvi proti nasprotniku na številnih bistvenih področjih, vključno z energijo, zdravstvenim varstvom, telekomunikacijami, vlado/vojsko, avtomobilizmom in letalstvom. In nenadoma se zdi, da javnost skrbi za te težave, ker umetna inteligenca (AI) ni nek futurističen znanstvenofantastični koncept – celo študenti uporabljajo klepetalnice AI za pisanje svojih šolskih nalog.

Ta vse večja javna podpora za nove varovalne ograje politike je okrepila sodelovanje vlade in industrije z nagradami za hrošče in programi za razkrivanje ranljivosti (VDP), da bi izkoristili skupno moč množičnih raziskovalcev groženj. To zavezništvo poganja spoznanje, da ima naša nasprotna sila v bistvu neomejen potencialni dostop do veščin in virov. Medtem skupnost belih klobukov pravi: "Hej, označi me." Razlog, da ta neverjetna romanca deluje, je ta, da je postalo zelo jasno, da potrebujemo vojsko zaveznikov, da prelisičimo vojsko nasprotnikov.

Obravnavanje zaskrbljujočih groženj kritični infrastrukturi

Eno področje, kjer lahko vzpon umetne inteligence povzroči veliko škodo, vključuje napade na kritično infrastrukturo, vključno z energetskimi omrežji, oskrbo z vodo, računalniškimi omrežji, transportnimi sistemi in komunikacijskimi vozlišči.

Namesto kritičnega dogodka konservativni vertikalni sektorji potrebujejo več časa, da zaupajo hekerjem. To je bil njihov zgodovinski vzorec. Vendar regulativni pritisk pomaga spodbujati večjo varnost množice. Javno dostopni začetni vektorji dostopa so najpogostejša izhodiščna točka, običajno prek VDP ali zasebnega programa množičnega izvajanja. Na žalost imajo organizacije s starajočo se kritično infrastrukturo a Veliko javno dostopnih začetnih vektorjev dostopa, vendar ta problem ni edinstven samo za kritično infrastrukturo. Razširitev vektorjev dostopa je sestavljena za vse vrste organizacij, ki si prizadevajo za digitalno preobrazbo.

Sprejemanje povratnih informacij hekerjev v kritični infrastrukturi še vedno zaostaja, vendar je to pričakovano. Kljub temu se zunaj dogaja veliko več dejavnosti, kot si morda mislite, in predpisi postavljajo to vprašanje "kdaj in kako" in ne vprašanje "če". Kljub precejšnjemu napredku je pred nami še dolga pot, saj je kibernetska varnost v bistvu problem ljudi, tehnologija pa jo le pospešuje. Naša ideja za Bugcrowd je bila povezati globalno ponudbo belih klobukov z neizpolnjenimi zahtevami in zgraditi živahno okolje za hekerje v dobri veri. Hekerji so to priložnost izkoristili tako, da so svoje sposobnosti uporabili za pozitivne spremembe in si med tem zgradili uspešno poklicno pot.

Kar zadeva udeležence iz velikih vlad in velikih podjetij, je prava vrednost javne nagrade za hrošče dvojna. Eno je zaupanje, da je kodo vdrl zunanji sodelavec, drugo pa je zagotavljanje dokazov v celotni organizaciji, da je boogeyman resničen.

Kako je prišlo do te trenutne konvergence? Na prvem mestu so bili varnostni pomisleki, nato so sledile reakcije politike, zdaj pa se je umetna inteligenca vsilila v vesti ljudi v maloprodajni politiki, ki se sprašujejo, ali je umetna inteligenca eksistencialna varnostna grožnja človeštvu. Ta sprememba je sesula vse tri trende skupaj in ustvarila širšo ozaveščenost javnosti, ki oblikovalce politike spodbuja k urejanju teh napredkov v dobrem krogu.

Vladne agencije ukrepajo, da bi obravnavale nove grožnje

Hack the State Department, Hack the DHS in drugi predlogi kongresnih zakonov, ki priznavajo in spodbujajo partnerstva med hekerji in vlado, segajo vsaj v leto 2005. V zadnjih letih so člani predstavniškega doma in senata predlagali programi za bounty izvajati interno za zvezne agencije, pa tudi za druge oddelke zvezne vlade. Najbolj aktivno prizadevanje za to zakonodajo se je začelo leta 2017 in je privedlo do sprejetja zakonov za izvajanje teh programov v Ministrstvu za obrambo ter sprejetih politik Zveznih komisij za komuniciranje, Ministrstva za trgovino in drugih. Spodbudno je bilo videti stalno zanimanje Parlamenta za pridobivanje hekerjev, da služijo kot imunski sistem interneta. Pred kratkim so člani predstavniškega doma poskušali razširiti svoje partnerstvo z varnostno skupnostjo z uvedbo Zvezni zakon o zmanjšanju ranljivosti kibernetske varnosti.

Resničnost sodobne zvezne infrastrukture je, da zelo malo dejansko upravlja vlada. Zvezni izvajalci so sestavni del dobavne verige IT infrastrukture, ki podpira celotno delovanje vlade Združenih držav. To pomeni, da velik del potencialno ciljanih napadalnih površin spada pod odgovornost in nadzor zveznih izvajalcev, ta predlog zakona pa odraža verjetnost, da bodo najpomembnejše spremembe kibernetske odpornosti vlade Združenih držav verjetno prišle iz te skupine. Skupaj s prednostmi preglednosti in odgovornosti je hekerska skupnost vključena v zagotavljanje prej premalo izkoriščene zmogljivosti za prilagajanje izzivu.

Hekerji na hribu in politični oddelek DEF CON si zaslužijo veliko zaslug za sprožitev in normalizacijo tovrstnih pogovorov in pomembno je omeniti, da so računi, kot je ta, na koncu rezultat desetletij doslednega izobraževanja in partnerstva med skupnostjo hekerjev in Capitol Hill.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/unlikely-romance-hackers-government-suitors