‘อย่ากลัวแฮ็กเกอร์ จ้างพวกเขา’

ข้อมูลเชิงลึกของรัฐบาลกลาง – การรักษาความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์ – 13 พฤษภาคม 2021เครื่องเล่นเสียงใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงดูเหมือนว่าหนึ่งสัปดาห์ผ่านไปไม่มีข่าวแฮ็กเกอร์คอมพิวเตอร์ที่แสวงหาค่าไถ่ทำการปิดเทศบาลขนาดเล็ก โรงพยาบาลขนาดกลาง หรือท่อส่งน้ำมันขนาดใหญ่ การโจมตีครั้งล่าสุดใน Colonial Pipeline ทำให้ชาวอเมริกันบางคนตื่นตระหนกกักตุนน้ำมันในถุงพลาสติก ทำให้หลายคนสงสัยว่าบริษัทและหน่วยงานของรัฐในสหรัฐฯ มีความเสี่ยงเพียงใด และทั้งหมดนี้เป็นเพียงส่วนเล็กของภูเขาน้ำแข็งหรือไม่

หน่วยงานยังคงประเมินความเสียหายที่เกิดขึ้นกับบริษัทราว 100 แห่ง

และหน่วยงานรัฐบาล 9 แห่งที่ถูกเจาะระบบในปี 2563ถ้าใครรู้ว่ามันจะแย่แค่ไหนและจะประสบความสำเร็จในการป้องกันได้อย่างไร แมทธิว คอร์นีเลียส ผู้อำนวยการบริหารของ Alliance for Digital Innovation และอดีตที่ปรึกษาอาวุโสด้านเทคโนโลยีและความปลอดภัยทางไซเบอร์ที่สำนักงานการจัดการและงบประมาณ

แนวคิดของการใช้นักวิจัยด้านความปลอดภัยหรือ ที่เรียกว่าแฮ็กเกอร์หมวกขาวนั้นมีมานานแล้วในอุตสาหกรรมการค้า Cornelius กล่าวในFederal Monthly Insights – Hacker-powered Security

“บริษัทเทคโนโลยีขนาดใหญ่จำนวนมากและตอนนี้แม้แต่บริษัทที่ไม่ใช่เทคโนโลยีได้ใช้นักวิจัยด้านความปลอดภัยในการทดสอบระบบของตนเพื่อจัดทำรายงานช่องโหว่และเพื่อช่วยปรับปรุงความปลอดภัยทางไซเบอร์โดยรวมของสาธารณะชน และในบางกรณีอาจไม่ใช่สาธารณะ เผชิญกับระบบข้อมูล” เขากล่าว

ที่ OMB ในความพยายามที่จะจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีความสามารถ พวกเขายอมจ่ายเงินสูงสุดเพื่อแข่งขันกับบริษัทเอกชน Cornelius กล่าวเสริม จากนั้นพวกเขาก็มีความคิดอื่น

“ถ้าเราไม่ต้องจ่ายคนพวกนี้ล่ะ? จะเกิดอะไรขึ้นถ้าเรากำหนดให้เป็นนโยบาย

ของรัฐบาลกลางในการอนุญาตให้นักวิจัยด้านความปลอดภัยเข้ามาและทำการวิจัยด้านความปลอดภัยที่ได้รับอนุญาตเกี่ยวกับระบบข้อมูลของรัฐบาลกลางและจัดทำรายงานเหล่านั้นให้กับหน่วยงานต่างๆ เพื่อให้พวกเขาเข้าใจท่าทางทางไซเบอร์ของพวกเขาได้ดีขึ้น” เขาบอกกับ Federal Drive กับ Tom Temin . 

ด้วยความซับซ้อนที่เพิ่มขึ้นของแฮ็กเกอร์ คอร์นีเลียสกล่าวว่าการพัฒนาซอฟต์แวร์มีวงจรชีวิตที่ไม่สิ้นสุด ซึ่งวิธีการต่างๆ จะต้องได้รับการจินตนาการและดำเนินการ

“อนุญาตให้ผู้คนที่อาจมีทักษะใหม่หรือทักษะที่แตกต่างหรือวิธีคิดใหม่เกี่ยวกับเทคโนโลยีที่กำลังเกิดขึ้น โค้ดที่กำลังเขียน ให้พวกเขามาดูสิ่งนี้ด้วยตนเองตราบเท่าที่พวกเขากำลังทำมันภายใน กรอบการทำงานที่หน่วยงานเข้าใจและอนุญาต และมุ่งมั่นที่จะทำงานเชิงรุกกับนักวิจัยด้านความปลอดภัยเพื่อทำความเข้าใจช่องโหว่ที่พบ ทำงานร่วมกับพวกเขาเพื่อช่วยแก้ไข นั่นเป็นเพียงการเพิ่มพื้นฐานของความปลอดภัยทางไซเบอร์ทั่วทั้งรัฐบาลกลาง” คอร์นีเลียสกล่าว

ขณะที่แฮ็กเกอร์ทั้งในและต่างประเทศเริ่มติดตามอย่างไม่ลดละมากขึ้น กลยุทธ์การป้องกันจึงต้องเปลี่ยน ซึ่งนำไปสู่สิ่งที่คอร์นีเลียสเรียกว่า “หลักการของทั้งหมด: คุณไม่รู้จนกว่าคุณจะรู้”

“คุณมีผู้คนใหม่ๆ ที่กำลังดูระบบหรือเว็บไซต์หรือซอฟต์แวร์ด้วยวิธีที่ต่างออกไป คุณกำลังทดสอบการทำงานของฝูงชนโดยพื้นฐานแล้ว” คอร์นีเลียสกล่าว

อย่ากลัวแฮกเกอร์ จ้างพวกเขา

“สิ่งที่ดีที่สุดที่รัฐบาลสามารถทำได้จากประสบการณ์ของลูกค้าและจุดยืนด้านความสามารถในการใช้งานคือการทำให้เว็บไซต์และฟอรัมของพวกเขาใช้งานได้ง่ายขึ้น และเพื่อให้แน่ใจว่าจะไม่เปิดให้มีการโจมตีและการแฮ็คที่เป็นอันตราย เพราะไม่มีใครต้องการให้พวกเขา ข้อมูลให้กับรัฐบาลหรือลงทะเบียนสำหรับโปรแกรมหรือผลประโยชน์หรือบริการบนเว็บไซต์ของรัฐบาลกลาง หากพวกเขาไม่รู้สึกว่าข้อมูลของพวกเขาจะปลอดภัย”

Credit : ฝากถอนไม่มีขั้นต่ำ