El Ministerio de Defensa (MoD) ha pagado por primera vez recompensas a los piratas informáticos por encontrar vulnerabilidades en sus redes informáticas antes de que pudieran ser explotadas por los adversarios del Reino Unido.
A poco más de dos docenas de piratas informáticos civiles se les permitió participar en el programa de 30 días después de someterse a verificaciones de antecedentes con HackerOne, una empresa que se especializa en concursos de recompensas por errores.
En un anuncio el martes, la directora de seguridad de la información del ministerio, Christine Maxwell, dijo que la prueba de seguridad era "el último ejemplo de la voluntad del Ministerio de Defensa de perseguir enfoques innovadores y no tradicionales" para asegurar sus redes.
Secretos de defensa expuestos por personas que envían archivos a cuentas de correo electrónico personales
Los programas de recompensas por errores ofrecen a los piratas informáticos una recompensa financiera por descubrir y revelar vulnerabilidades de software para que puedan ser reparadas en lugar de explotadas por estados hostiles.
Muchas de las empresas de tecnología más grandes ofrecen recompensas monetarias a los investigadores de seguridad, o piratas informáticos, por revelar problemas para que puedan ser reparados, y el Ministerio de Defensa es la última organización gubernamental en realizar una competencia específica para esos fines.
Anuncio publicitario
Trevor Shingles, uno de los participantes, se centró en identificar las omisiones de autenticación que permitirían a las personas que ya están en los sistemas del Ministerio de Defensa acceder a material al que no deberían poder acceder.
"Se me concedió acceso al sistema, pero vi más funciones en el sistema de las que debía", dijo a Sky News.
Más sobre el Ministerio de Defensa
Babcock y Rolls-Royce trazan la venta de participaciones en el contratista AirTanker de la RAF Voyager
Funcionario superior retirado del Ministerio de Defensa tras perder un alijo de documentos ultrasecretos
Los 'peligros' permanecen en Afganistán, advierte Johnson, mientras finaliza la campaña militar de 20 años del Reino Unido
Funcionario superior del Ministerio de Defensa en el centro de la investigación sobre cómo aparecieron documentos militares confidenciales en la parada de autobús
Documentos delicados que discuten el paso del HMS Defender a través del Mar Negro 'encontrados en una parada de autobús en Kent'
La cumbre Johnson-Putin es posible si Rusia pone fin a la 'actividad maligna', dice el secretario de Defensa
Un portavoz de Hacker One explicó que los participantes tenían acceso privilegiado a algunas de las aplicaciones web internas del Ministerio de Defensa y no estaban probando activos públicos, aunque la empresa y el ministerio acordaron en diciembre pasado una política de divulgación de vulnerabilidades para las personas que encontraron problemas con esos.
Shingles, que es británico pero no tenía ninguna afiliación con el gobierno del Reino Unido antes de participar en el programa de recompensas por errores, se conectó a los sistemas del Ministerio de Defensa a través de una VPN (Red Privada Virtual) desde una cómoda silla en su estudio en casa.
La Sra. Maxwell dijo: "Trabajar con la comunidad de piratería ética nos permite desarrollar nuestro banco de talento tecnológico y aportar perspectivas más diversas para proteger y defender nuestros activos.
"Comprender dónde están nuestras vulnerabilidades y trabajar co
n la comunidad de piratería ética más amplia para identificarlas y solucionarlas es un paso esencial para reducir el riesgo cibernético y mejorar la resiliencia".Shingles dijo que no quería entrar en "los puntos más sutiles" sobre las recompensas que recibió, pero agregó que era "agradable ver que el Ministerio de Defensa tomaba la misma dirección con su seguridad que el Departamento de Defensa de los Estados Unidos (DoD)". , que ha ejecutado programas de recompensas de errores anteriormente en los que participó.
Imagen:
Trevor Shingles fue uno de los piratas informáticos que recibió una recompensa del Ministerio de Defensa.
Katie Moussouris, investigadora de seguridad y directora ejecutiva de Luta Security, trabajó con el Departamento de Defensa de EE. UU. Para lanzar el primer programa de recompensas por errores del Pentágono en 2016 después de ser pionera en algunos de los fundamentos en el campo de la divulgación de vulnerabilidades.
Antes de trabajar con el Departamento de Defensa, inició el programa de recompensas por errores de Microsoft en 2013, elaborando la teoría del juego y la economía que haría viables las recompensas por errores para una empresa que en ese momento recibía hasta 250.000 informes de vulnerabilidad gratuitos al año de la comunidad de investigadores de seguridad.
"A partir de ahí, me invitaron a informar al Pentágono sobre cómo abordar un problema tan complejo y escalarlo para que pudiera funcionar en organizaciones grandes y complejas como el Departamento de Defensa de Estados Unidos", dijo la Sra. Moussouris a Sky News.
Después de eso, Luta Security fue contactado por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido para ayudar a dar forma a los mecanismos del gobierno británico para coordinar los informes de vulnerabilidades y errores.
"Había trabajado con MoD en ese programa piloto, por lo que es bueno ver que han tardado algunos años en poner sus procesos en orden, que es exactamente lo que recomendamos", agregó.
"Los programas de recompensas por errores son una herramienta útil, pero solo si ha invertido en los preparativos para corregir esos errores en primer lugar. Aún más importante, ha invertido sus propios recursos para tratar de descubrir la fruta más barata usted mismo primero.
"Estoy feliz por mis amigos del Ministerio de Defensa, sé que estaban ansiosos por iniciar un programa de recompensas por errores incluso cuando trabajaba con ellos hace un par de años.
"Así que es bueno ver que han logrado madurar sus procesos y prepararse para una recompensa por errores en ese momento", agregó.
Imagen:
Las recompensas significaron que las vulnerabilidades podrían solucionarse en lugar de explotarse
Martin Mickos, director ejecutivo de HackerOne, dijo: "Los gobiernos de todo el mundo se están dando cuenta del hecho de que ya no pueden proteger sus inmensos entornos digitales con herramientas de seguridad tradicionales.
"Tener un proceso formalizado para aceptar vulnerabilidades de terceros se considera una mejor práctica a nivel mundial, y el gobierno de Estados Unidos lo hace obligatorio para sus agencias civiles federales este año.
"El Ministerio de Defensa del Reino Unido está liderando el camino en el gobierno del Reino Unido con soluciones innovadoras y colaborativas para asegurar sus activos digitales y predigo que veremos que más agencias gubernamentales seguirán su ejemplo".
