[Tech Thoughts] Recompensas por errores y hacking ético de DICT de un vistazo

El Departamento de Tecnología de la Información y las Comunicaciones publicó el 14 de enero la circular departamental HRA-002, que estableció las directrices, normas y regulaciones revisadas y consolidadas sobre divulgaciones de vulnerabilidades y la política de puerto seguro del país y el programa de recompensas de bonus.

El Secretario del DICT, Henry Aguda, incluso asistió a la conferencia de hacking Rootcon el año pasado con el propósito de promocionar este desarrollo, diciendo que los hackers del país deberían usar sus habilidades "para proteger, no para destruir".

Con ese fin, la institución de la Política de Puerto Seguro y el Programa de Recompensas de Bonus (SHPBBP) debería ser una nota bienvenida para aquellos con el conjunto de habilidades adecuado, ya que intenta incentivar divulgaciones responsables de ciberseguridad para servicios gubernamentales.

Veamos qué significa todo esto, especialmente si no has escuchado sobre este desarrollo.

Hackers éticos, recompensas de bonus y políticas de puerto seguro

El hacking ético es el proceso por el cual un profesional de ciberseguridad, también conocido como hacker de sombrero blanco, identifica y ayuda a corregir vulnerabilidades en aplicaciones, sistemas o tecnologías antes de que esa vulnerabilidad pueda ser utilizada maliciosamente por un hacker poco ético, o de sombrero negro.

Como tal, el hacking ético simula ciberataques del mundo real para evaluar los riesgos de un sistema para que los sistemas dados puedan ser mejorados o fortalecidos en seguridad.

Para hacer que el hacking ético sea gratificante para los hackers de sombrero blanco, los programas de recompensas de bonus son estructuras organizacionales establecidas para evaluar y ofrecer compensación financiera por el trabajo de descubrir y entregar responsablemente vulnerabilidades a las personas que desarrollan los sistemas que han sido hackeados. Esto es para que la seguridad de dichos sistemas pueda ser mejorada.

Los programas de recompensas de bonus a menudo vienen con protecciones para que los hackers hagan su trabajo.

Estas políticas de puerto seguro están diseñadas para proteger a los hackers de sombrero blanco o investigadores de seguridad de responsabilidad administrativa, civil o criminal en caso de que encuentren algo en el proceso de caza de errores, siempre que divulguen adecuadamente su investigación según las especificaciones de un programa de recompensas de bonus determinado.

¿De qué trata la circular SHPBBP del DICT?

El SHPBBP del DICT describe las protecciones y requisitos necesarios para participar en el programa de recompensas de bonus del DICT.

Ahora, quizás te estés preguntando si cualquiera puede participar en una recompensa de bonus.

Para los propósitos de la circular del DICT, tienes que ser, como mínimo, un investigador profesional de ciberseguridad para participar. También tienes que registrarte bajo un procedimiento de Know Your Customer (KWC) para ser elegible para recibir recompensas de una recompensa de bonus.

Específicamente, la circular dijo que se aplica a lo siguiente:

• Todas las agencias gubernamentales nacionales bajo el Poder Ejecutivo, incluidas las Corporaciones de Propiedad y Control Gubernamental y sus empresas subsidiarias, Instituciones Financieras Gubernamentales y Universidades y Colegios Estatales, incluidos aquellos bajo el dominio *.gov.ph y plataformas gestionadas por el DICT;
• Se recomienda encarecidamente al Congreso filipino, el Poder Judicial, las Comisiones Constitucionales Independientes, la Oficina del Ombudsman y las Unidades de Gobierno Local que adopten esta Circular;
• Entidades privadas voluntariamente inscritas en el Programa de Asociación de Ciberseguridad Público-Privada del DICT;
• Operadores de Infraestructura de Información Crítica (CII), identificados bajo el Plan Nacional de Ciberseguridad (NCSP); y
• Investigadores de Ciberseguridad que son responsables de identificar y analizar amenazas potenciales a la red y sistemas de una organización.

Las protecciones de puerto seguro solo se aplicarán, mientras tanto, si eres un investigador de seguridad que está probando solo los sistemas declarados dentro del alcance de las recompensas de bonus; no cometes ningún tipo de exfiltración, alteración o interrupción de servicio de datos no autorizados; reportas vulnerabilidades de manera responsable y privada al DICT o la entidad autorizada; y mantienes tus hallazgos privados y no los divulgas hasta que el problema que hayas encontrado haya sido resuelto o se te haya permitido discutirlo públicamente.

¿Cómo funciona todo esto?

Puede que tengas curiosidad sobre cómo funciona esto en la práctica, así que aquí está cómo se desarrollaría generalmente.

Un investigador de seguridad solicita unirse a la iniciativa del DICT a través del procedimiento de Know Your Customer mencionado anteriormente. Tienen que completar todo el proceso y ser aceptados para ser elegibles para recompensas en efectivo. Los conflictos de interés — por ejemplo, personal del DICT y proveedores de servicios de terceros contratados por el DICT — descalifican a los posibles solicitantes de participar en estas recompensas de bonus.

El programa de recompensas de bonus tendrá sus recompensas establecidas por entidades participantes, es decir, las agencias gubernamentales que necesitan ayuda, o socios gubernamentales que deseen establecer una recompensa propia. La financiación para hacer funcionar esta circular "se cargará contra el presupuesto existente de la agencia o institución cubierta, y otras fuentes de financiación apropiadas que el Departamento de Presupuesto y Gestión pueda identificar, sujeto a leyes, normas y regulaciones pertinentes".

Estas recompensas — incluidos qué sitios o servicios y qué aspectos de dichos sitios y servicios necesitan pruebas — se enumeran en un portal de programa de divulgación de vulnerabilidades (VDPP), un sitio web dedicado a la caza de errores y su reporte. Esto está alojado y mantenido por la oficina de ciberseguridad del DICT.

Los errores y problemas reportados adecuadamente al VDPP pueden caer bajo cuatro posibles escenarios de seguridad que van desde Crítico, Alto, Medio y Bajo, con pagos potenciales basados en tarifas de la industria dependiendo de los reportes y su gravedad.

La oficina de ciberseguridad del DICT validará los reportes, y dará a aquellos con reportes validados "certificado/reconocimiento apropiado por la contribución del investigador en el reporte y/o
resolución de la vulnerabilidad validada". Las entidades participantes del sector privado, después de coordinarse con la oficina de ciberseguridad del DICT, pueden dar recompensas monetarias o incentivos apropiados basados en los mecanismos de incentivos estructurados descritos en el VDPP.

Además de las recompensas monetarias, también está el estatus involucrado ya que las divulgaciones responsables reciben algo de tiempo en el centro de atención del gobierno. Las recompensas incluyen certificados digitales e impresos, reconocimiento público en el VDPP, e inclusión en otras citas del DICT, según la circular.

Un desarrollo muy necesario

Un programa nacional de recompensas de bonus con reglas definidas para participar en el proceso es una buena noticia y un desarrollo muy necesario en el espacio de ciberseguridad, ya que debería ayudar a incentivar el hacking ético a largo plazo mientras mejora los sistemas gubernamentales en el presente.

Si eres un profesional de ciberseguridad en ciernes, esta puede ser una buena forma de entrar a la industria, siempre y cuando sepas lo que estás haciendo y hagas el trabajo requerido para divulgaciones responsables.

Consulta la circular vinculada aquí para obtener detalles e involúcrate. Podrías estar ayudando a mejorar la seguridad gubernamental contra algunas personas malas. – Rappler.com