Chanzo: www.hackerone.com – Mwandishi: luke. Kampuni ya mawakili ya Morrison & Foerster imekuwa ikitoa ushauri wa kisheria wa hali ya juu kuhusu masuala ambayo yanafafanua upya taratibu na viwanda. Ilianzishwa mnamo 1883, na sasa ina takriban mawakili 1,000 wanaofanya kazi katika ofisi 16 kutoka Beijing hadi Berlin na San Francisco hadi Singapore. Kampuni hiyo, inayojulikana zaidi kama MoFo, inajulikana kwa kuwa kinara katika nyanja za usalama wa data, faragha, udhibiti wa hatari na migogoro duniani kote, haki miliki na masuala ya udhibiti – maeneo yote yanayofungamana na usalama wa mtandao. Mapema mwaka huu, MoFo ilitoa tahadhari yenye jina la “Programu za Fadhila za Bug: Zana ya Thamani ya Kutumika kwa Makini,” iliyoandikwa na David Newman, ambayo inasema kwamba programu za fadhila za wadudu “zimekubalika kwa sababu zinawakilisha ‘kizidishi cha nguvu cha gharama nafuu. ‘ ambayo inaweza kuongeza juhudi zilizopo.” Inasema pia, hata hivyo, kwamba “kampuni lazima ziwe makini katika jinsi zinavyobuni na kutekeleza programu hizi ili kuepuka hatari ya kisheria na sifa.” David ni mshauri katika masuala ya Usalama wa Kitaifa na Usimamizi wa Hatari na Migogoro ya MoFo ambapo ana uzoefu mkubwa wa kuwakilisha wateja katika masuala ya usalama wa kitaifa, usimamizi wa migogoro na udhibiti wa serikali. Kabla ya kujiunga na MoFo, David alishikilia nyadhifa kadhaa muhimu katika Ikulu ya White House, akihudumu kama Msaidizi Maalum na Mshauri Mshiriki wa Rais Barack Obama na wafanyikazi wa Baraza la Usalama la Kitaifa. Tulimuuliza David maswali machache yanayohusiana na kazi yake kwa wateja kuhusu usalama unaoendeshwa na wadukuzi, pamoja na kile anachokiona katika nyanja hii huku mashirika mengi yakizindua sera za ufichuzi wa hatari (VDP) na programu za fadhila za hitilafu. Hiki ndicho alichokisema. Katika ushauri wako wa hivi majuzi wa mteja, Programu za Fadhila za Bug: Zana Yenye Thamani ya Kutumika kwa Umakini, ulishughulikia anuwai ya bidhaa zinazohusiana na upitishaji wa programu ya fadhila ya hitilafu. Katika uzoefu wako, umeonaje kampuni zikijibu wakati mpango wa fadhila wa hitilafu unapopendekezwa au kujadiliwa? Mipango ya fadhila ya mdudu inazidi kuwa ya kawaida, na makampuni hayaoni tena kama ya kigeni au ya ajabu. Wachezaji wengi wa kisasa wamewakumbatia (ikiwa ni pamoja na wakuu wa teknolojia na Idara ya Ulinzi ya Marekani), na inapofanywa vizuri, wanaweza kuwa njia ya gharama nafuu ya kuimarisha juhudi zilizopo za usalama wa mtandao na kuepuka tatizo la gharama kubwa zaidi chini barabara. Makampuni yanapaswa pia kufahamu kwamba wanaweza kuwasiliana na watafiti kutoka nje kuhusu udhaifu ikiwa wana programu rasmi au la, kwa hivyo kuanzisha mpango ni njia ya kutoa muundo na mchakato wa mwingiliano huo kutokea kwa njia chanya. Je, kwa kawaida ni vigumu kupata ushauri wa shirika na mpango wa fadhila? Je, matatizo yao ya awali/ya kawaida ni yapi? Wanasheria wa ndani wanatambua kuwa programu hizi zinazidi kuwa nauli ya kawaida na kuongeza thamani. Lakini kwa kuzingatia jukumu lao, pia wanaona hatari za kutopata muundo na utekelezaji sawa. Hasa, wanazingatia changamoto za kuhakikisha kuwa programu hizi zinatii kanuni zinazotumika za faragha ya data na kwamba marupurupu yanalipwa kwa njia ambayo hupunguza hatari za kisheria na sifa, na wanakaribisha ushauri kutoka nje katika suala la njia sahihi ya kuangazia hizo. mazingatio. Je, makampuni yanapaswa kuchukuliaje hatua rahisi ya kwanza ya kuzindua sera ya ufichuzi wa hatari kwa jumuiya ya watafiti wa nje ili, kwa maneno ya aliyekuwa Waziri wa Ulinzi wa Marekani Ash Carter, kutoa mwanya wa kisheria kwa raia mwema “Kuona kitu, kusema kitu”? Hatua muhimu mapema ni kuwaleta pamoja washikadau wote wanaohusika katika shirika – ofisi ya GC, timu ya CISO, na wengine upande wa biashara – ili kujadili ni mtandao gani na vipengele vya data vinapaswa kujumuishwa katika mpango, ni rasilimali gani. inapatikana ili kukisaidia, na jinsi kinavyolingana na juhudi za jumla za usalama za shirika. Zoezi la kuandaa sheria na masharti ya programu linaweza kuwa muhimu sana katika kuhakikisha kuwa kila mtu yuko kwenye ukurasa mmoja na kwamba kuna wajibu wa wazi wa kusaidia programu na kufanya maamuzi. Je, unafikiri mtazamo wa kisheria wa VDPs na programu za fadhila umebadilika katika kipindi cha mwaka mmoja uliopita au zaidi? Ikiwa ndivyo, jinsi gani? Kampuni zimefahamu zaidi umuhimu wa kuwa makini na wenye kufikiria kuhusu jinsi programu hizi zinavyoundwa na thamani ya kutafuta ushauri kabla ya kufanya malipo makubwa au kujibu kesi ya makali. Mara nyingi, ufahamu huo hutoka kwa tukio mahususi ambapo kampuni inawasiliana naye kuhusu uwezekano wa kuathiriwa kwa njia ambayo inaangazia utata katika mpango wao wa sasa na ambayo inawafanya watamani kuwa na sera na taratibu zilizobainishwa zaidi. Unaiona ikiendelea hadi wapi mwaka ujao? Natarajia makampuni yataendelea kuwa ya kisasa zaidi kuhusiana na jinsi yanavyoendesha programu, ambayo ni pamoja na kuweka mchakato rasmi zaidi wa ndani na kuweka wazi masharti ya umma. Lengo lingine kubwa katika mwaka ujao litakuwa kuchanganua programu hizi katika muktadha wa kanuni zinazotumika za faragha za Marekani na ng’ambo, ikiwa ni pamoja na GDPR. Katika Programu zako za Fadhila za Mdudu: Zana Yenye Thamani Ya Kutumika Tahadhari kwa uangalifu, uliangazia maeneo muhimu ili makampuni yazingatie sana wakati wa kuzingatia mpango wa fadhila. Je, kuna yoyote ambayo ungependa kusisitiza tena kuwa muhimu hasa? Kiini cha chapisho hilo kilikuwa kwamba makampuni yanahudumiwa vyema kwa kufikiria na kuwa wazi mapema kuhusu mifumo ambayo programu zao hushughulikia, jinsi zitakavyofanya kazi, ni nani anayewajibika kufanya maamuzi, na katika hali zipi wangelipa fadhila. Hili linahitaji kazi, lakini changamoto hutukuzwa sana maamuzi yanapofanywa katika muktadha wa tukio maalum (na mara nyingi kwa muda uliobanwa sana) badala ya kufikiria na kujadiliwa katika viwango vinavyofaa mapema. Arifa inapendekeza kwamba watu wakague mwongozo unaotolewa na mashirika mengi ya serikali. Je, kuenea kwa mwongozo wa wakala wa serikali na kupitishwa hadi sasa kunaashiria chochote kwa maoni yako? Kuenea kwa mwongozo wa serikali kunaimarisha kukubalika kwa programu hizi na wadhibiti. Mashirika ya serikali yanaona kwamba programu hizi ziko nje na zinaongeza thamani na zinajaribu kutoa mwongozo wa vitendo kuhusu jinsi ya kuzifanya kwa njia ifaayo. Ingawa hati hizi za mwongozo kwa kawaida hazina nguvu ya sheria, kampuni hunufaika kwa kuzitumia kwa sababu mara nyingi huangazia masuala mahususi ya sekta na kwa sababu kuna thamani ya kuweza kueleza baadaye kwamba chaguo zilizofanywa ziliongozwa na mwongozo wa umma. Kubadilisha hadi upande mwingine wa VDPs na programu za fadhila, wavamizi wanapaswa kufikiria nini wanapokumbana na mazingira magumu au kushiriki katika mpango wa fadhila? Ni muhimu kutazama mambo kutoka kwa mtazamo wa kampuni na kuzingatia njia ambayo mbinu yoyote itaonekana na kampuni. Miongoni mwa mambo mengine, kampuni lazima iwe macho kwa pendekezo lolote kwamba data yake imechujwa isivyofaa au kutumiwa vibaya na ina wajibu wa kulinda taarifa zake. Swali la mwisho, muhimu zaidi kwako: Ni filamu gani unayoipenda zaidi ya hacker? Chaguo nyingi nzuri siku hizi, lakini nilitazama WarGames kwa mara ya kwanza na Baba yangu miaka 30+ iliyopita – na bado ningelazimika kuiweka #1. Ni mzee kuliko wengine wengi. — Ili kuungana na David, unaweza kutembelea wasifu wake kwenye MoFo.com. Je, ungependa kuanza au kujifunza zaidi kuhusu usalama unaoendeshwa na wadukuzi? Wasiliana nasi leo au soma zaidi katika sehemu yetu ya Rasilimali (vipengele 5 muhimu vya mwongozo wa VDP ni vyema kuanza navyo). HackerOne ni jukwaa # 1 la usalama linaloendeshwa na wadukuzi, linalosaidia mashirika kutafuta na kurekebisha udhaifu mkubwa kabla ya kutumiwa vibaya. Kama njia mbadala ya kisasa ya majaribio ya kawaida ya kupenya, suluhisho zetu za mpango wa fadhila za hitilafu hujumuisha tathmini ya uwezekano wa kuathiriwa, upimaji wa rasilimali watu na usimamizi unaowajibika wa ufichuzi. Gundua zaidi kuhusu suluhu zetu za majaribio ya usalama au Wasiliana Nasi leo. Url ya Chapisho Asilia: https://www.hackerone.com/ethical-hacker/morrison-foersters-david-newman-how-corporate-counsel-should-approach-hacker-powered