SINGAPUR – Los piratas informáticos éticos que descubran e informen vulnerabilidades de seguridad en sistemas gubernamentales críticos como Singpass recibirán recompensas en efectivo de hasta $ 150,000 ($ 202,000) en un nuevo programa lanzado por la Agencia de Tecnología del Gobierno (GovTech).
La agencia anunció el martes (31 de agosto) el Programa de Recompensas por Vulnerabilidad (VRP) para obtener conocimientos sobre ciberseguridad de la comunidad global de piratas informáticos éticos o de “sombrero blanco”. Los errores encontrados se informarán a la agencia correspondiente para su corrección.
Las recompensas oscilan entre $ 250 y $ 5,000, según la gravedad de las vulnerabilidades descubiertas. Se otorgará una recompensa especial de hasta $ 150,000 por descubrir vulnerabilidades que pueden tener un impacto “excepcional” en los sistemas y datos seleccionados.
Se aclararán los detalles de lo que constituye un impacto excepcional para los participantes registrados.
“La recompensa especial se compara con los programas de vulnerabilidad de crowdsourcing realizados por empresas de tecnología global como Google y Microsoft”, dijo GovTech en un comunicado.
“Esto indica el compromiso del gobierno de Singapur de proteger los sistemas de tecnología de la información (TIC) críticos y los datos personales confidenciales”.
El programa se ejecutará de forma continua y abarcará tres sistemas: Singpass y Corppass; miembros de los servicios electrónicos dependientes del Ministerio de Trabajo (MOM) y la Caja Central de Seguridad Social; y el Sistema Integrado de Pases de Trabajo de MOM. Se irán añadiendo progresivamente al programa otros sistemas de TIC críticos.
Estos sistemas críticos brindan servicios gubernamentales digitales esenciales, por lo que solo los piratas informáticos de sombrero blanco que son examinados y cumplen con criterios estrictos, o que están invitados específicamente, podrán participar, dijo GovTech. Las verificaciones de antecedentes serán realizadas por HackerOne, una plataforma de recompensas por errores y una comunidad de expertos en ciberseguridad y piratas informáticos de sombrero blanco.
Los participantes registrados realizarán pruebas de seguridad a través de una red privada virtual (VPN) designada proporcionada por HackerOne.
Esto es para garantizar que las actividades de prueba de seguridad estén dentro de las reglas de contratación permitidas, dijo GovTech. A los participantes que violen las reglas se les puede revocar el acceso a la VPN para minimizar la posible interrupción de la integridad de los sistemas gubernamentales.
El nuevo programa es parte de una tendencia creciente de empresas y gobiernos que ofrecen recompensas a los piratas informáticos de sombrero blanco por encontrar y reportar errores.
El sitio web de HackerOne enumera programas de recompensas por errores para agencias gubernamentales como el Departamento de Defensa de EE. UU., Los principales operadores de telecomunicaciones como AT&T, proveedores de soluciones de pago como PayPal y gigantes tecnológicos como Twitter.
GovTech dijo que el nuevo VRP aumentará su Programa de Recompensa por Errores del Gobierno (GBBP) existente, que se lanzó en 2018, y su Programa de Divulgación de Vulnerabilidades (VDP), que se lanzó en 2019.
GBBP también ofrece recompensas monetarias, pero se ejecuta estacionalmente y solo está abierto a piratas informáticos invitados.
El VDP se ejecuta continuamente y cualquier miembro del público puede informar las vulnerabilidades encontradas en cualquiera de las aplicaciones móviles o basadas en la web del gobierno, pero solo ofrece puntos de reputación de HackerOne como recompensa.
La Sra. Lim Bee Kwan, Subdirectora Ejecutiva de Seguridad Cibernética y Gobernanza en GovTech, dijo: “Desde que lanzamos nuestro primer programa de descubrimiento de vulnerabilidades de colaboración colectiva en 2018, nos hemos asociado con más de 1,000 hackers de sombrero blanco altamente calificados para descubrir alrededor de 500 vulnerabilidades.
“El nuevo Programa de Recompensas por Vulnerabilidad permitirá al gobierno aprovechar aún más el grupo de talentos en ciberseguridad global para poner a prueba nuestros sistemas críticos, manteniendo los datos de los ciudadanos seguros para construir una nación inteligente segura y protegida”.
