国防部今年初推出悬赏计划找出多个网络安全漏洞,计划现在扩展至不同政府部门。新一轮悬赏计划邀请约300名海内外白帽黑客,“攻击”五个政府网站,每找到一个漏洞最多可得1万美元。
政府科技局(govtech)和新加坡网络安全局昨天联合发出文告说,每一个漏洞的赏金介于250至1万美元(约340元至1万3680元),奖金多寡取决于漏洞的严重性。找出漏洞后,会通知相关部门补上缺口。
这项政府漏洞悬赏计划(government bug bounty programme)为期三个星期,从这个月开始至明年1月结束。
白帽黑客会在这期间攻击五个指定政府系统和网站,它们都跟网络连接,是公众常使用的网站,包括:gov.sg网站、民情联系组(reach)网站、通讯及新闻部的媒体认证申请网站,以及外交部和外交部eregister网站。
当局会在明年3月公布抓漏结果,并打算进一步扩大范围,纳入更多政府资讯通信科技系统和网站。
白帽黑客是一群善意黑客,他们利用黑客技术,协助当局测试网络及系统性能。白帽黑客也必须遵守一套规则,不得作出危害网站的行为。
政府科技局和网安局雇用国际知名漏洞众测公司hackerone,由公司安排和管理参与的白帽黑客。
政府科技局发言人受询时透露,受邀的白帽黑客有约300人,当中三分之一来自新加坡。为了防止过程中有人由善转恶,发言人说,所有参与者都必须跟hackerone注册,公司会严厉审查他们的资历和信誉。
此外,政府科技局和网安局也会在这期间加强监管,以便在出现异常情况时立即反应。
国防部今年初的漏洞悬赏计划同样由hackerone负责,这家公司过去曾承接美国五角大楼、陆军和空军系统的抓漏计划。
文告指出,新加坡政府一直努力打造一个安全且具韧性的智慧国,随着网络袭击事件规模越来越大、越来越复杂,漏洞悬赏计划有助建立一个创新的网络生态环境。
“计划能吸引拥有广泛技能的专才协助找出政府网络的盲点,让我国的网络防御能力可以跟国际黑客抗衡。”
17名海内外白帽黑客在今年1月至2月间攻破国防部的网络防线,并找出35个网络安全漏洞。国防部最后共发出了1万4750美元(约1万9470新元)奖金。
