[প্রযুক্তি চিন্তা] এক নজরে DICT-এর বাগ বাউন্টি এবং এথিক্যাল হ্যাকিং

তথ্য ও যোগাযোগ প্রযুক্তি বিভাগ ১৪ জানুয়ারি বিভাগীয় সার্কুলার HRA-002 প্রকাশ করেছে, যা দুর্বলতা প্রকাশ এবং দেশের সেফ হারবার নীতি ও বাগ বাউন্টি প্রোগ্রামের সংশোধিত এবং সমন্বিত নির্দেশিকা, নিয়ম এবং প্রবিধান নির্ধারণ করেছে।

DICT সচিব হেনরি আগুদা গত বছর রুটকন হ্যাকিং সম্মেলনেও এই উন্নয়নের প্রচারের উদ্দেশ্যে গিয়েছিলেন, বলেছিলেন যে দেশের হ্যাকারদের তাদের দক্ষতা "ধ্বংস করতে নয়, সুরক্ষা দিতে" ব্যবহার করা উচিত।

এই লক্ষ্যে, সেফ হারবার পলিসি অ্যান্ড বাগ বাউন্টি প্রোগ্রাম (SHPBBP) প্রতিষ্ঠানটি সঠিক দক্ষতা সম্পন্নদের জন্য একটি স্বাগত বার্তা হওয়া উচিত, কারণ এটি সরকারি সেবার জন্য দায়িত্বশীল সাইবার নিরাপত্তা প্রকাশকে উৎসাহিত করার চেষ্টা করে।

আসুন দেখি এসবের অর্থ কী, বিশেষত যদি আপনি এই উন্নয়নের কথা শোনেননি।

নৈতিক হ্যাকার, বাগ বাউন্টি এবং সেফ হারবার নীতি

নৈতিক হ্যাকিং হল সেই প্রক্রিয়া যার মাধ্যমে একজন সাইবার নিরাপত্তা পেশাদার, যিনি হোয়াইট-হ্যাট হ্যাকার নামেও পরিচিত, অ্যাপ, সিস্টেম বা প্রযুক্তিতে দুর্বলতা চিহ্নিত করেন এবং সংশোধন করতে সাহায্য করেন তার আগে সেই দুর্বলতাটি কোনও অনৈতিক বা ব্ল্যাক-হ্যাট হ্যাকার দ্বারা দূষিতভাবে ব্যবহার করা যায়।

এভাবে, নৈতিক হ্যাকিং বাস্তব-জগতের সাইবার আক্রমণের অনুকরণ করে একটি সিস্টেমের ঝুঁকি মূল্যায়ন করে যাতে প্রদত্ত সিস্টেমগুলি উন্নত করা যায় বা অন্যথায় নিরাপত্তায় শক্তিশালী করা যায়।

হোয়াইট-হ্যাট হ্যাকারদের জন্য নৈতিক হ্যাকিং পুরস্কৃত করতে, বাগ বাউন্টি প্রোগ্রাম হল সাংগঠনিক কাঠামো যা দুর্বলতা উন্মোচন এবং দায়িত্বশীলভাবে হ্যাক করা সিস্টেম উন্নয়নকারীদের কাছে হস্তান্তর করার কাজের জন্য আর্থিক ক্ষতিপূরণ মূল্যায়ন এবং প্রদান করার জন্য স্থাপিত হয়। এটি যাতে উক্ত সিস্টেমের নিরাপত্তা উন্নত করা যায়।

বাগ বাউন্টি প্রোগ্রামগুলি প্রায়শই হ্যাকারদের তাদের কাজ করার জন্য সুরক্ষা নিয়ে আসে।

এই সেফ হারবার নীতিগুলি হোয়াইট-হ্যাট হ্যাকার বা নিরাপত্তা গবেষকদের প্রশাসনিক, দেওয়ানি বা ফৌজদারি দায় থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে যদি তারা বাগ খোঁজার প্রক্রিয়ায় কিছু খুঁজে পান, যতক্ষণ না তারা একটি নির্দিষ্ট বাগ বাউন্টি প্রোগ্রামের বিশেষত্ব অনুযায়ী তাদের গবেষণা সঠিকভাবে প্রকাশ করেন।

DICT-এর SHPBBP সার্কুলার কী সম্পর্কে?

DICT-এর SHPBBP DICT-এর বাগ বাউন্টি প্রোগ্রামে অংশগ্রহণের জন্য প্রয়োজনীয় সুরক্ষা এবং প্রয়োজনীয়তাগুলি রূপরেখা দেয়।

এখন, আপনি হয়তো ভাবছেন যে কেউ কি বাগ বাউন্টিতে অংশগ্রহণ করতে পারে।

DICT-এর সার্কুলারের উদ্দেশ্যে, অংশগ্রহণ করতে হলে আপনাকে অন্তত একজন পেশাদার সাইবার নিরাপত্তা গবেষক হতে হবে। বাগ বাউন্টি থেকে পুরস্কার পাওয়ার যোগ্য হতে আপনাকে একটি নো ইওর কন্ট্রিবিউটর (KYC) পদ্ধতির অধীনে নিজেকে নিবন্ধন করতে হবে।

তবে বিশেষভাবে, সার্কুলারটি নিম্নলিখিতগুলিতে প্রযোজ্য বলেছে:

• নির্বাহী শাখার অধীনে সমস্ত জাতীয় সরকারি সংস্থা, যার মধ্যে সরকারি মালিকানাধীন ও নিয়ন্ত্রিত কর্পোরেশন এবং তাদের সহায়ক সংস্থা, সরকারি আর্থিক প্রতিষ্ঠান এবং রাষ্ট্রীয় বিশ্ববিদ্যালয় ও কলেজ রয়েছে, যার মধ্যে *.gov.ph ডোমেইন এবং DICT-পরিচালিত প্ল্যাটফর্মগুলি অন্তর্ভুক্ত;
• ফিলিপাইন কংগ্রেস, বিচার বিভাগ, স্বাধীন সাংবিধানিক কমিশন, ওম্বাডসম্যানের অফিস এবং স্থানীয় সরকার ইউনিটগুলিকে এই সার্কুলার গ্রহণ করতে অত্যন্ত উৎসাহিত করা হয়;
• DICT-এর পাবলিক-প্রাইভেট সাইবার নিরাপত্তা অংশীদারিত্ব প্রোগ্রামের অধীনে স্বেচ্ছায় নথিভুক্ত বেসরকারি সংস্থা;
• ক্রিটিক্যাল ইনফরমেশন ইনফ্রাস্ট্রাকচার (CII) অপারেটর, যেমনটি জাতীয় সাইবার নিরাপত্তা পরিকল্পনার (NCSP) অধীনে চিহ্নিত; এবং
• সাইবার নিরাপত্তা গবেষক যারা একটি প্রতিষ্ঠানের নেটওয়ার্ক এবং সিস্টেমে সম্ভাব্য হুমকি চিহ্নিত এবং বিশ্লেষণ করার জন্য দায়ী।

সেফ হারবার সুরক্ষাগুলি কেবলমাত্র তখনই প্রযোজ্য হবে, যদি আপনি একজন নিরাপত্তা গবেষক হন যিনি শুধুমাত্র বাগ বাউন্টির সুযোগের মধ্যে ঘোষিত সিস্টেমগুলি পরীক্ষা করছেন; আপনি কোনও ধরণের অননুমোদিত ডেটা এক্সফিলট্রেশন, পরিবর্তন বা সেবা ব্যাহত করছেন না; আপনি দায়িত্বশীলভাবে এবং ব্যক্তিগতভাবে DICT বা অনুমোদিত সংস্থার কাছে দুর্বলতা রিপোর্ট করছেন; এবং আপনি আপনার ফলাফলগুলি ব্যক্তিগত রাখছেন এবং সেগুলি প্রকাশ করছেন না যতক্ষণ না আপনার পাওয়া সমস্যাটি সমাধান হয়েছে বা আপনাকে প্রকাশ্যে এটি আলোচনা করার অনুমতি দেওয়া হয়েছে।

এটি সব কীভাবে কাজ করে?

আপনি হয়তো কৌতূহলী যে এটি বাস্তবে কীভাবে কাজ করে, তাই এখানে সাধারণভাবে কীভাবে এটি কার্যকর হবে।

একজন নিরাপত্তা গবেষক উপরে উল্লিখিত নো ইওর কাস্টমার পদ্ধতির মাধ্যমে DICT-এর উদ্যোগে যোগদানের জন্য আবেদন করেন। নগদ পুরস্কারের যোগ্য হতে তাদের সম্পূর্ণ প্রক্রিয়াটি সম্পূর্ণ করতে হবে এবং গৃহীত হতে হবে। স্বার্থের সংঘাত — উদাহরণস্বরূপ, DICT কর্মী এবং DICT দ্বারা নিযুক্ত তৃতীয় পক্ষের সেবা প্রদানকারীরা — সম্ভাব্য আবেদনকারীদের এই বাগ বাউন্টিতে অংশগ্রহণ থেকে অযোগ্য ঘোষণা করে।

বাগ বাউন্টি প্রোগ্রামটির বাউন্টিগুলি অংশগ্রহণকারী সংস্থাগুলি দ্বারা নির্ধারিত হবে, যথা সাহায্যের প্রয়োজন রয়েছে এমন সরকারি সংস্থা বা সরকারি অংশীদার যারা তাদের নিজস্ব বাউন্টি নির্ধারণ করতে চান। এই সার্কুলারটি কাজ করার জন্য তহবিল "কভারকৃত সংস্থা বা প্রতিষ্ঠানের বিদ্যমান বাজেটের বিরুদ্ধে চার্জ করা হবে এবং বাজেট ও ব্যবস্থাপনা বিভাগ যেমন সনাক্ত করতে পারে সেই অন্যান্য উপযুক্ত তহবিল উৎস থেকে, প্রাসঙ্গিক আইন, নিয়ম এবং প্রবিধান সাপেক্ষে।"

এই বাউন্টিগুলি — যার মধ্যে কোন সাইট বা সেবা এবং সেই সাইট এবং সেবাগুলির কোন দিকগুলি পরীক্ষার প্রয়োজন — একটি ভালনারেবিলিটি ডিসক্লোজার প্রোগ্রাম পোর্টাল (VDPP) এ তালিকাভুক্ত করা হয়, যা বাগ খোঁজা এবং রিপোর্ট করার জন্য নিবেদিত একটি ওয়েবসাইট। এটি DICT-এর সাইবার নিরাপত্তা ব্যুরো দ্বারা হোস্ট এবং রক্ষণাবেক্ষণ করা হয়।

VDPP-তে সঠিকভাবে রিপোর্ট করা বাগ এবং সমস্যাগুলি সমালোচনামূলক, উচ্চ, মাঝারি এবং নিম্ন পর্যন্ত চারটি সম্ভাব্য নিরাপত্তা পরিস্থিতির অধীনে পড়তে পারে, রিপোর্ট এবং তাদের তীব্রতার উপর নির্ভর করে শিল্প হারের উপর ভিত্তি করে সম্ভাব্য পেআউট সহ।

DICT-এর সাইবার নিরাপত্তা ব্যুরো রিপোর্টগুলি বৈধতা দেবে এবং বৈধ রিপোর্ট সহ যাদের তাদের "বৈধ দুর্বলতার রিপোর্টিং এবং/অথবা
সমাধানে গবেষকের অবদানের জন্য উপযুক্ত সার্টিফিকেট/স্বীকৃতি" দেবে। বেসরকারি খাত অংশগ্রহণকারী সংস্থা, DICT সাইবার নিরাপত্তা ব্যুরোর সাথে সমন্বয়ের পরে, VDPP-তে উল্লিখিত কাঠামোগত উৎসাহ প্রক্রিয়ার উপর ভিত্তি করে উপযুক্ত আর্থিক পুরস্কার বা উৎসাহ দিতে পারে।

আর্থিক পুরস্কার ছাড়াও, দায়িত্বশীল প্রকাশগুলি সরকারি স্পটলাইটে কিছু সময় পাওয়ার সাথে জড়িত মর্যাদাও রয়েছে। পুরস্কারগুলির মধ্যে রয়েছে ডিজিটাল এবং মুদ্রিত সার্টিফিকেট, VDPP-তে পাবলিক স্বীকৃতি এবং অন্যান্য DICT উদ্ধৃতিতে অন্তর্ভুক্তি, সার্কুলার অনুযায়ী।

একটি অত্যন্ত প্রয়োজনীয় উন্নয়ন

প্রক্রিয়ায় জড়িত হওয়ার জন্য সংজ্ঞায়িত নিয়ম সহ একটি জাতীয় বাগ বাউন্টি প্রোগ্রাম একটি সুসংবাদ এবং সাইবার নিরাপত্তা ক্ষেত্রে একটি অত্যন্ত প্রয়োজনীয় উন্নয়ন, কারণ এটি দীর্ঘমেয়াদে নৈতিক হ্যাকিং উৎসাহিত করতে সাহায্য করবে এবং এখনই সরকারি সিস্টেমগুলি উন্নত করবে।

আপনি যদি একজন উদীয়মান সাইবার নিরাপত্তা পেশাদার হন, এটি শিল্পে প্রবেশের একটি ভাল উপায় হতে পারে, যতক্ষণ না আপনি জানেন যে আপনি কী করছেন এবং দায়িত্বশীল প্রকাশের জন্য প্রয়োজনীয় কাজ করছেন।

বিস্তারিত জানতে এখানে লিঙ্ক করা সার্কুলারটি দেখুন এবং জড়িত হন। আপনি কিছু খারাপ লোকদের থেকে সরকারি নিরাপত্তা উন্নত করতে সাহায্য করতে পারেন। – Rappler.com