Министерство обороны США сообщило, что в рамках пилотной программы Пентагона по устранению цифровых уязвимостей в киберзащите у подрядчиков министерства выявлены сотни дыр в течение одного года. Специалисты по кибербезопасности, работавшие вместе с компанией по поиску уязвимостей HackerOne, обнаружили около 400 проблем в десятках организаций.
Пилотный проект был предназначен для определения того, существуют ли критические уязвимости с потенциальными рисками для критической инфраструктуры и цепочки поставок США в небольших и средних оборонных промышленных базовых компаниях.
Какие подрядчики привлекались для участия в проекте, не раскрывается. Он стартовал в апреле 2021 года. Сначала в проекте приняли участие 14 компаний, однако затем их число выросло до 41 – это лишь часть контрактного пула министерства обороны, насчитывающего 200 тыс. компаний, что вызывает опасения по поводу уязвимостей в гораздо большем количестве сетей.
В недавнем совместном бюллетене по кибербезопасности ФБР Агентство национальной безопасности и Агентство по кибербезопасности и безопасности инфраструктуры предупредили, что хакеры в течение многих лет атаковали американских оборонных подрядчиков, похищая данные, которые дают важное понимание о вооружении и коммуникационной инфраструктуре.
Особый интерес для них, согласно бюллетеню, представляли фирмы, которые работают над оборонными и разведывательными контрактами, включая разработку ракет, проектирование транспортных средств и самолётов, а также командование и управление.
Скомпрометированные компании поддерживают программы армии, ВВС, ВМС, космических сил и национальной безопасности США.
В июне 2018 года сообщалось, что спонсируемые Китаем кибератаки также взломали компьютеры подрядчика ВМС, поставив под угрозу конфиденциальные данные, связанные с секретной работой над противокорабельной ракетой.
Основным источником докладов о цифровых уязвимостях для минобороны США является компания HackerOne, которая участвует в большинстве проводимых ведомством проверок. Организация была основана в 2012 году голландскими хакерами Джобертом Абмой и Мишель Принс вместе с директором по безопасности продуктов Facebook* (соцсеть признана экстремистской и запрещена на территории РФ) Алексом Райсом. Ранее Абма и Принс обнаружили уязвимости в системе безопасности 100 известных высокотехнологичных компаний, включая Facebook*, Google, Apple, Microsoft и Twitter.
Организация привлекает к работе по обнаружению проблем кибербезопасности так называемых этичных хакеров.
В 2021 году сообщество дружественных хакеров, с которыми сотрудничает HackerOne, увеличилось вдвое и достигло более миллиона человек.
В марте 2016 года министерство обороны США запустило первый проект с использованием платформы HackerOne под названием «Взломать Пентагон». В результате 24-дневной программы были обнаружены и устранены 138 уязвимостей на сайтах министерства обороны, при этом участвовавшим исследователям было выплачено вознаграждение в размере более 70 тыс. долларов США.
Сейчас сотрудничающие с компанией хакеры зарабатывают неплохие деньги. Только в 2020 году HackerOne выплатила им 40 млн долларов. Всего к тому времени платформа заплатила хакерам порядка 100 млн долларов.
Ожидается, что спрос на услуги HackerOne в ближайшее время возрастёт. Цифровая трансформация, ускоренная пандемией, увеличивает потенциал уязвимостей, утверждает директор по информационной безопасности компании Крис Эванс:
«Мы провели опрос среди директоров по информационной безопасности, директоров по информационным технологиям и технических директоров. Результаты показали, что более половины руководителей высшего звена (64 процента) считают, что их организация с большей вероятностью столкнётся с утечкой данных из-за быстрого темпа внедрения цифровых технологий».
* Организация признана экстремистской и запрещена на территории Российской Федерации.