El Ministerio de Defensa del Reino Unido recurre a los piratas informáticos para ayudar a proteger los activos digitales

El Ministerio de Defensa (MoD) del Reino Unido ha concluido que es el primer desafío de recompensas por errores con la plataforma de seguridad HackerOne, basándose en su compromiso de desarrollar una cultura de colaboración en torno a la seguridad cibernética.

Los programas de recompensas por errores, mediante los cuales los piratas informáticos informan sobre las vulnerabilidades de seguridad del mundo real a las organizaciones afectadas a cambio de una compensación monetaria, se utilizan en toda la industria como una forma de incentivar la investigación de seguridad e identificar cualquier problema antes de que los adversarios tengan la oportunidad de explotarlos.

Durante el desafío de 30 días, el Ministerio de Defensa invitó a los piratas informáticos a investigar las vulnerabilidades en sus activos digitales dándoles acceso directo a sus sistemas internos, lo que se hizo con el objetivo de ayudar al Ministerio de Defensa a protegerlos y defenderlos de los ataques cibernéticos.

El desafío sigue a la publicación del gobierno del Reino Unido de su revisión integrada de seguridad, defensa, desarrollo y política exterior de marzo, en la que destacó la necesidad de una mayor capacidad y resistencia para hacer frente a las amenazas cibernéticas, especialmente contra la infraestructura nacional crítica (CNI).

“El MoD ha adoptado una estrategia de protección por diseño, con la transparencia como parte integral para identificar áreas de mejora en el proceso de desarrollo”, dijo Christine Maxwell, directora de seguridad de la información (CISO) en el MoD.

“Es importante para nosotros seguir superando los límites con nuestro desarrollo digital y cibernético para atraer personal con habilidades, energía y compromiso. Trabajar con la comunidad de piratería ética nos permite desarrollar nuestro banco de talento tecnológico y aportar perspectivas más diversas para proteger y defender nuestros activos.

Más contenido para leer:  La innovación impulsada por el gobierno puede ayudar a las startups cibernéticas a encontrar un mercado

“Comprender dónde están nuestras vulnerabilidades y trabajar con la comunidad de piratería ética más amplia para identificarlas y solucionarlas es un paso esencial para reducir el riesgo cibernético y mejorar la resiliencia”.

En la revisión integrada, el gobierno también pidió una mayor colaboración entre los diferentes actores y advirtió que tendría que “gestionar las inevitables tensiones y compensaciones”, como las que existen entre “nuestra apertura y la necesidad de salvaguardar a nuestra gente, la economía y la forma de la vida a través de medidas que aumentan nuestra seguridad y resiliencia ”.

El Ministerio de Defensa afirma que el desafío con HackerOne es parte de un compromiso de toda la organización para construir una cultura de transparencia y apertura.

Trevor Shingles, uno de los 26 piratas informáticos involucrados, dijo: “Que el Ministerio de Defensa sea tan abierto como lo ha hecho al proporcionar acceso autorizado a sus sistemas es un testimonio real de que están adoptando todas las herramientas a su disposición para realmente fortalecer y asegurar sus aplicaciones.

“Se ha demostrado que un enfoque de seguridad cerrado y secreto no funciona bien … Este es un gran ejemplo para establecer no solo para el Reino Unido, sino para otros países para comparar sus propias prácticas de seguridad”.

Según Shingles, pudo identificar un problema de omisión de autenticación durante el desafío, lo que lo llevó a informar exitosamente de una configuración incorrecta de OAuth que habría permitido a los adversarios modificar los permisos y obtener acceso: “En cambio, [I] fue capaz de ayudar al Ministerio de Defensa a reparar y asegurar “.

La colaboración con HackerOne, que también trabaja con el Departamento de Defensa de EE. UU., El Ejército de EE. UU. Y la Fuerza Aérea de EE. UU. Para proteger su software, también ayudará al Ministerio de Defensa a alinearse más estrechamente con sus aliados en los Estados Unidos.

Más contenido para leer:  El consumo de datos aumenta en el bloqueo británico

Según Marten Mickos, director ejecutivo de HackerOne, los gobiernos de todo el mundo se están dando cuenta de que ya no pueden proteger sus vastos entornos digitales con herramientas de seguridad tradicionales.

“Tener un proceso formalizado para aceptar vulnerabilidades de terceros se considera una mejor práctica a nivel mundial, y el gobierno de Estados Unidos lo hace obligatorio para sus agencias civiles federales este año”, dijo.

“El Ministerio de Defensa del Reino Unido está liderando el camino en el gobierno del Reino Unido con soluciones innovadoras y colaborativas para proteger sus activos digitales, y predigo que veremos que más agencias gubernamentales seguirán su ejemplo”.

En diciembre de 2020, el Ministerio de Defensa publicó una guía sobre cómo los piratas informáticos podrían informar vulnerabilidades en sus sistemas o servicios, pero dijo que no ofrecería recompensas monetarias por divulgaciones de vulnerabilidades. Sin embargo, los piratas informáticos que participaron en el desafío de recompensas por errores fueron compensados ​​por sus revelaciones, aunque se desconocen las cantidades.

En marzo de 2021, el informe anual Hacker de HackerOne encontró que el número de piratas informáticos de sombrero blanco que informan de errores o vulnerabilidades a las empresas aumentó en un 63% en 2020 y en un 143% desde 2018, lo que demuestra que los piratas informáticos y los equipos de seguridad de TI están trabajando juntos con mucha más frecuencia para gestionar las amenazas cibernéticas.

También encontró que más de un tercio (38%) de los piratas informáticos han pasado más tiempo pirateando desde el inicio de la pandemia, y muchos se concentraron en las amenazas emergentes que han surgido del cambio al trabajo remoto y las consiguientes transformaciones digitales de las organizaciones.

Más contenido para leer:  Report reveals sorry state of cyber security at UK football clubs

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales