Hackers och regeringsfriares osannolika romantik

KOMMENTAR

Varje vår, den årliga Hacka Capitolium evenemanget samlar en mångfaldig grupp av forskare, hackare och beslutsfattare för att utbilda kongresspersonal, forskare och press om de mest kritiska cybersäkerhetsutmaningarna som vår nation står inför.

Hack the Capitol har stadigt vuxit i storlek och växtlighet genom att öka medvetenheten om värdet av att regeringar och företag samarbetar med hackare för att lösa komplexa säkerhetsproblem. I tjänsten som kommittéledamot i Hacking Policy Council, jag har slagits av den växande konvergensen av artificiell intelligens, säkerhetsproblem och politiska ansträngningar, särskilt sedan lansering av ChatGPT slutet av förra året. När dessa inbördes relaterade trender fortsätter att smälta samman, ser vi fler stora, konservativa företag och statliga myndigheter som anpassar sina intressen till White Hat-hacker-gemenskapen.

Säkerhetsindustrin befinner sig mycket uppenbart i en dragkamp mot motståndaren inom flera viktiga områden, inklusive energi, sjukvård, telekommunikation, regering/militär, bil och flyg. Och plötsligt verkar allmänheten bry sig om dessa frågor, eftersom artificiell intelligens (AI) inte är något futuristiskt sci-fi-koncept – även elever använder AI-chatbotar för att skriva sina skoltidningar.

Detta växande offentliga stöd för nya politiska skyddsräcken har förstärkt regeringens och industrins engagemang med buggpremier och program för avslöjande av sårbarhet (VDP) för att utnyttja den kollektiva kraften hos forskare av crowdsourcade hot. Denna allians drivs av en insikt om att vår motståndarkraft i princip är obegränsad i potentiell tillgång till kompetens och resurser. Samtidigt säger gruppen för vita hattar: "Hej, tagga in mig." Anledningen till att denna osannolika romantik fungerar är att det har blivit mycket tydligt att för att överlista en armé av motståndare behöver vi en armé av allierade.

Ta itu med de alarmerande hoten mot kritisk infrastruktur

Ett område där uppkomsten av AI kan orsaka stor skada är attacker på kritisk infrastruktur, inklusive energinät, vattenförsörjning, datornätverk, transportsystem och kommunikationsnav.

I stället för en kritisk händelse tar konservativa vertikala sektorer längre tid att lita på hackare. Det har varit deras historiska mönster. Däremot bidrar regleringstrycket till att uppmuntra mer crowdsourced säkerhet. Allmänt tillgängliga initiala åtkomstvektorer är den vanligaste utgångspunkten, vanligtvis via ett VDP eller privat crowdsourcing-program. Tyvärr har åldrande kritisk infrastrukturorganisationer en katalognummer av allmänt tillgängliga initiala åtkomstvektorer, men detta problem är inte unikt för enbart kritisk infrastruktur. Expansionen av åtkomstvektorer förvärras för alla typer av organisationer som strävar efter digital transformation.

Antagandet av kritisk infrastruktur för hackerfeedback släpar fortfarande efter, men det är att vänta. Ändå händer det mycket mer aktivitet där ute än du kanske tror, ​​och reglering gör detta till en "när och hur"-fråga snarare än en "om"-fråga. Trots avsevärda framsteg har vi fortfarande en lång väg kvar att gå, eftersom cybersäkerhet i grunden är ett människors problem, och tekniken gör det bara snabbare. Vår idé för Bugcrowd var att koppla samman ett globalt utbud av vita hattar med ouppfyllda krav och att bygga en levande miljö för hackare i god tro. Hackare har tagit denna möjlighet genom att sätta sina kunskaper i arbete för positiv förändring och genom att bygga en livskraftig karriärväg för sig själva i processen.

När det gäller deltagare från stora myndigheter och storföretag, är det verkliga värdet av en offentlig buggpremie dubbelt. Den ena är förtroendet för att ha kod hackad av en utomstående, och den andra säkerställer bevis i hela organisationen att boogeyman är verklig.

Hur kom denna nuvarande konvergens till? Säkerhetsoro kom först, sedan följde politiska reaktioner, och nu har AI tvingat sig på samveten hos människor inom detaljhandelspolitiken som undrar om AI är ett existentiellt säkerhetshot mot mänskligheten. Den förändringen har kollapsat alla tre trenderna tillsammans, skapat en bredare allmänhetens medvetenhet, vilket ökar värmen för beslutsfattare att reglera dessa framsteg i en god cirkel.

Statliga myndigheter tar upp nya hot

Hacka utrikesdepartementet, hacka DHS och andra kongressförslag som erkänner och uppmuntrar partnerskap mellan hackare och regeringen går tillbaka till åtminstone 2005. Under de senaste åren har ledamöter av parlamentet och senaten föreslagit bug bounty-program ska genomföras internt för federala myndigheter, såväl som för andra avdelningar av den federala regeringen. Den mest aktiva drivkraften för denna lagstiftning började 2017 och har resulterat i att lagar antagits för att implementera dessa program i försvarsdepartementet, såväl som antagna policyer från Federal Communication Commissions, Department of Commerce och mer. Det har varit uppmuntrande att se husets fortsatta intresse för att värva hackare att fungera som Internets immunsystem. Senast har ledamöter i parlamentet försökt utöka sitt partnerskap med säkerhetsgemenskapen genom att introducera Federal Cybersecurity Vulnerability Reduction Act.

Verkligheten med modern federal infrastruktur är att mycket lite av den faktiskt hanteras av regeringen. Federala entreprenörer är en integrerad del av försörjningskedjan för IT-infrastruktur som stöder hela den amerikanska regeringens verksamhet. Detta innebär att en betydande del av potentiellt målbara attackytor faller under federala entreprenörers ansvar och tillsyn, och detta lagförslag återspeglar sannolikheten att de mest betydande förändringarna av den amerikanska regeringens cybermotståndskraft sannolikt kommer från denna grupp. Tillsammans med fördelarna med öppenhet och ansvarsskyldighet har hackergemenskapen anlitats för att tillhandahålla en tidigare underutnyttjad kapacitet att skala för att möta utmaningen.

Hackers On the Hill och DEF CON policyavdelningen förtjänar en hel del beröm för att ha initierat och normaliserat dessa typer av konversationer, och det är viktigt att notera att lagförslag som denna i slutändan är resultatet av årtionden av konsekvent utbildning och partnerskap mellan hackergemenskapen och Capitol Hill.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/unlikely-romance-hackers-government-suitors