โครงการตบรางวัลให้แฮ็กเกอร์หากเจอช่องโหว่ความปลอดภัยของระบบ หรือที่เรียกว่า ‘bug bounty program’ เป็นโครงการประเภทหนึ่งที่บริษัทต่างๆ นิยมใช้มาหลายปีแล้ว บริษัทชื่อดังอย่าง กูเกิล ไมโครซอฟต์ หรือเฟซบุ๊ก ก็เคยใช้วิธีนี้มาตั้งแต่ปี 2013 และล่าสุด ก็เพิ่งมีหน่วยงานรัฐบาลของสหรัฐฯ อีกหน่วยงานหนึ่ง ที่หันมาใช้วิธีแบบนี้ นั่นก็คือ กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS)
เมื่อวันอังคารที่ผ่านมา (14 ธ.ค.) DHS ประกาศเปิดตัวโครงการ ‘Hack DHS’ ที่ Bloomberg Technology Summit ซึ่งเป็นโครงการประเภท ‘bug bounty’ ที่จะนำแฮ็กเกอร์ภายนอกให้เข้ามาช่วยหาช่องโหว่ในระบบคอมพิวเตอร์ของกระทรวง พร้อมตบรางวัลให้หากเจอจุดอ่อนที่ว่า
อย่างไรก็ดี ไม่ใช่ว่าจะเป็นแฮ็กเกอร์จากไหนก็ได้ที่จะสามารถเข้าร่วมโครงการได้ อเลฮานโดร มายอร์คาส รัฐมนตรี DHS ระบุว่า จะต้องเป็น “นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ได้รับการตรวจสอบแล้ว” เท่านั้น ถึงจะได้รับเชิญและจะสามารถเข้าถึงระบบบางส่วนได้ โดยเมื่อตรวจพบช่องโหว่แล้ว DHS ระบุว่า จะตรวจสอบยืนยันช่องโหว่ดังกล่าวภายใน 48 ชั่วโมง และจะแก้ไขภายใน 15 วัน หรือถ้ามีเหตุจำเป็น ก็จะพัฒนาแผนแก้ไขภายในระยะเวลา 15 วัน
สำหรับเงินรางวัล DHS จะจ่ายให้ระหว่าง 500-5,000 เหรียญสหรัฐฯ หรือประมาณ 16,700-167,000 บาท ขึ้นอยู่กับความหนักเบาของช่องโหว่ที่พบ แม้จะมีการตั้งข้อสังเกตว่าจำนวนเงินไม่เยอะเท่ากับภาคเอกชน แต่มายอร์คาส ก็บอกว่า กระทรวงได้ลงทุนมากทีเดียวกับโครงการนี้ รวมทั้งให้ความสนใจและตั้งใจอย่างมากด้วย
การประกาศเปิดตัวโครงการ ‘Hack DHS’ นี้ เกิดขึ้นหลังจากเจ้าหน้าที่ไซเบอร์ของรัฐบาลได้ออกมาเตือนว่า ได้เจอช่องโหว่ร้ายแรงที่แฮกเกอร์กำลังหาทางใช้โจมตี ซึ่งเป็นช่องโหว่ที่อยู่ในซอฟต์แวร์ที่เรียกว่า ‘Log4j’ โดยทาง DHS ก็ได้แถลงว่า โครงการนี้จะเป็นการสร้างแรงจูงใจให้แฮกเกอร์ที่มีฝีมือมาช่วยกันหาช่องโหว่ในระบบก่อนที่จะถูกโจมตีโดยบุคคลภายนอกเสียก่อน
อ้างอิงจาก
https://edition.cnn.com/2021/12/14/politics/dhs-bug-bounty-hackers-cyber-vulnerabilities