I våres etablerte forsvarsdepartementet i USA et dusørprogram kalt «Hack the Pentagon».
- Les saken her: Pentagon frir til hackere
Amerikanere som registrerte seg kunne da, for første gang lovlig, prøve å bryte seg inn på et knippe offentlige nettsteder.
Hensikten var å avdekke sårbarheter og feil, som da ble byttet mot betaling i dollar. Pentagons pilotprosjekt var inspirert av tilsvarende ordninger hos blant annet Google, Facebook og Microsoft.
En suksess
Erfaringene var så gode og resultatene så imponerende – langt bedre enn forventet, sier forsvarsdepartementet, at de nå utvider ordningen.
Utvidelsen omfatter blant annet IT-komponenter og tjenester i særdeleshet. Initiativet skal også følges opp med egne incentiver i innkjøpspolitikken med tilhørende retningslinjer.
Billig og effektivt
I en kunngjøring (.pdf) sendt ut denne uken heter det:
– Amerikanske myndigheter er under konstant angrep av hackere. Forsvarsdepartementet og nettverkene våre har tidligere blitt kompromittert gjennom ikke-patchede eller ukjente sårbarheter i nettsteder. Pengedusør er en effektiv metode der web- og programvareutviklere i næringslivet kan «crowdsource» sikkerhetsløsninger til en brøkdel av tiden og kostnaden det ville tatt å gjøre det samme selv, samtidig som nettverksikkerheten vår forbedres.
Videre røper de at piloten kostet 150.000 dollar. Omtrent halve beløpet var utbetalinger til de som fant sikkerhetshull. Over en snau måned ble det rapportert inn 138 unike sårbarheter som kvalifiserte til pengepremier.
NSM: Følger utviklingen tett
digi.no tok kontakt med det norske forsvarsdepartementet, for å høre om de kan være interessert i lignende ordninger.
Raskt ble vi sendt videre til Nasjonal sikkerhetsmyndighet (NSM) som var rette mottaker. Det er avdelingsdirektør for operativ avdeling, Hans Christian Pretorius som svarer.
– NSM har lenge fulgt med på de ulike internasjonale initiativene hvor man betaler for sårbarheter som blir rapport inn. Både de store programvareselskapene og amerikanske myndigheter har gjort dette i en periode og så langt har alle rapport at dette har fungert bra og at man ønsker å øke omfanget av ordningen.
Selv om det ikke foreligger norske planer om en slik dusør, holder sikkerhetsmyndigheten muligheten åpen. De lover å innhente erfaringer fra andre land.
– Det er flere praktiske og juridiske avklaringer som må gjøres før dette eventuelt blir en ordning i Norge, og det er på det nåværende tidspunkt ingen planer om å innføre dette. NSM vil allikevel følge utviklingen tett og gå i direkte dialog med andre lands myndigheter som har innført dette for å utveksle erfaringer og fortløpende vurdere om dette er et utredningsarbeid man bør starte opp, avslutter Pretorius.
