หลังจากประสบความสำเร็จในการแก้บั๊กสองครั้งที่เพนตากอนและกองทัพ เจ้าหน้าที่กระทรวงกลาโหมกล่าวว่าแผนดังกล่าวอยู่ในระหว่างดำเนินการเพื่อทดสอบความปลอดภัยทางไซเบอร์แบบฝูงชน“อีกไม่นาน เราจะเปิดตัวรางวัลข้อบกพร่องเพิ่มเติมสำหรับบริการอื่นๆ” Hunter Price ผู้เชี่ยวชาญด้านบริการดิจิทัลของ DoD กล่าวในระหว่างการประชุม Information Security and Privacy Advisory Board (ISPAB) ในกรุงวอชิงตัน ดี.ซี. เมื่อวันที่ 30 มีนาคม “เรายังสนับสนุนให้หลายๆ ร้านค้าจัดซื้อเพื่อ รวมค่า
บั๊กในการซื้อกิจการด้านไอที ดังนั้นไม่ใช่แค่การพูดว่า
‘ตกลงนักพัฒนา คุณต้องมีปากกานี้ [etration] ทดสอบ’ แต่ยังรวมถึง ‘นักพัฒนา วิธีทดสอบปากกาและเรียกค่าจุดบกพร่องกับมัน’ นั่นคือแผนของเรา”
Price เรียกนักข่าวไปที่สำนักงานข่าวของ DoD เพื่อสอบถามว่าเมื่อใดที่รางวัลบั๊กจะเปิดตัวและบริการใด แต่เขากล่าวว่าความสนใจ ความพร้อมใช้งานของทรัพยากร และลำดับความสำคัญของการทดสอบเป็นปัจจัยในกระบวนการตัดสินใจ
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง – ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
“สิ่งเหล่านี้จะง่ายขึ้นมากเมื่อทุกคนสนใจ” ไพรซ์กล่าว พร้อมเสริมว่าเขาได้รับความสนใจจากทุกคน
ตั้งแต่จ่าสิบเอกไปจนถึงรัฐมนตรีกลาโหม
“เป้าหมายของเราคือการนำสิ่งนี้ไปใช้ในสินทรัพย์ของ DoD ทั้งหมด” Price กล่าว “ในขณะที่เรายังคงเปิดตัว Bug Bounties เรากำลังให้ทีมรักษาความปลอดภัยทางไซเบอร์ต่างๆ เฉพาะสาขา ไม่ว่าจะเป็น ARCYBER หรือกองทัพอากาศที่ 24 ฯลฯ เข้าร่วมให้มากที่สุดเท่าที่จะทำได้ โดยส่วนใหญ่จะเป็นเครื่องมือฝึกอบรมสำหรับพวกเขา ดังนั้น พวกเขาสามารถสัมผัสกับวิธีการวิจัยและช่องโหว่ที่พวกเขาไม่ได้มองในขณะนี้”
กระทรวงกลาโหมประกาศรางวัลบั๊กครั้งแรกในเดือนมีนาคม 2559 โดยสัญญาว่าจะขยาย โปรแกรม ในอีกสามเดือนต่อมา
ในการท้าทาย “แฮ็กเพนตากอน” ครั้งแรก แผนกได้ขอให้ใครก็ตามที่มีความเชี่ยวชาญด้านความปลอดภัยด้านไอทีค้นหาข้อบกพร่องด้านความปลอดภัยในเว็บไซต์สาธารณะที่ใหญ่ที่สุด 5 แห่ง รวมถึงหน้าแรกของDefense.gov รายงานช่องโหว่ฉบับแรกมาถึงเจ็ดนาทีหลังจากการแข่งขันเริ่มขึ้น และแฮ็กเกอร์ทั้งมือโปรและมือสมัครเล่น 1,410 คนจาก 44 รัฐได้รายงานปัญหาด้านความปลอดภัย 1,189 รายการในช่วงนำร่องสามสัปดาห์ในช่วงปลายเดือนเมษายนและต้นเดือนพฤษภาคม (แม้ว่ารายงานจำนวนมากจะซ้ำกับ ช่องโหว่เดียวกัน).
DoD ใช้เงิน 150,000 ดอลลาร์ไปกับ Hack the Pentagon เวอร์ชันนำร่อง โดยเงินครึ่งหนึ่งจะเป็นค่าใช้จ่ายในการบริหาร รวมถึงสัญญากับ HackerOne บริษัทเอกชนที่ช่วยจัดการความท้าทาย และอีกครึ่งหนึ่งเป็นค่าหัวให้กับแฮ็กเกอร์ที่ค้นพบช่องโหว่ด้านความปลอดภัยในโลกไซเบอร์ .
ในเดือนตุลาคม DoD ได้ทำสัญญาใหม่ — 3 ล้านดอลลาร์สำหรับ HackerOne และ 4 ล้านดอลลาร์กับ Synack – เพื่อเป็นเงินทุนสำหรับความท้าทายดังกล่าวอีกประมาณ 14 รายการ หนึ่งเดือนต่อมากองทัพบกได้ประกาศโครงการ Hack the Army เพื่อเปิดโปงจุดอ่อนทางไซเบอร์ในเครือข่ายของตน
บทเรียนที่ DoD ได้เรียนรู้จากค่าหัว ไพรซ์กล่าวว่า รัฐบาลไม่สามารถเข้าถึงระดับความสามารถด้านความปลอดภัยที่เทียบเท่ากับแฮ็กเกอร์ได้ และ “ความลับไม่ใช่ความปลอดภัย”
“นั่นไร้เดียงสา” ไพรซ์กล่าว “รัฐบาลสหรัฐฯ ตกเป็นเป้าโจมตีของประชาชนจำนวนมาก รัฐชาติ คนที่ต้องการขายของให้รัฐชาติ คนที่ต้องการโจมตีเรา ความลับไม่ใช่ความปลอดภัยเมื่อพูดถึงการประกันข้อมูลหรือความปลอดภัยในโลกไซเบอร์”
