Prova pionera per detectar vulnerabilitats a gencat

L’Agència de Ciberseguretat de Catalunya ha portat a terme una prova pionera anomenada ‘bug bounty’ per detectar vulnerabilitats en els webs i les aplicacions mòbils de l’Administració Pública.

La prova pilot s’ha fet durant dues setmanes amb la participació exclusiva d’un conjunt de reputats experts en ciberseguretat. La prova ha identificat cinc errors.

Què és un programa ‘bug bounty’?

Els programes ‘bug bounty’ es fan servir per identificar les vulnerabilitats d’un web, aplicació mòbil o sistema informàtic.

En aquests programes, una organització, companyia o desenvolupador estableix unes normes on s’ofereixen recompenses als individus que hi participen per reportar errors, vulnerabilitats o fallades de seguretat.

A diferència dels testos convencionals, poden allargar-se en el temps, poden involucrar un elevat nombre d’investigadors i els objectius a analitzar poden ser indeterminats.

Programa pioner a l’Administració Pública

Mentre els programes ‘bug bounty’ són habituals en entorns corporatius o privats, encara no són una pràctica habitual dins de l’Administració Pública. El 2016 va tenir lloc el primer programa de recompensa del govern dels EUA, Hack the Pentagon.

En aquest context, el desembre de 2020 i durant dues setmanes, l’Agència de Ciberseguretat de Catalunya va realitzar una prova pilot sobre una part del web que proveeix de serveis al Departament de la Vicepresidència i d’Economia i Hisenda i les apps que es poden trobar als mercats oficials de Play Store de Google i l’App Store d’Apple.

Va consistir en un programa ‘bug bounty’ limitat en el temps que ha comptat amb la participació d’un nombre restringit d’investigadors. Entre els participants hi figuren reputats professionals de la ciberseguretat del panorama nacional i estatal. Els professionals ho van fer de manera desinteressada.

Conclusions de la prova pilot

Es van trobar dues vulnerabilitats als webs i tres en les aplicacions mòbils, fet que ha permès procedir a la seva resolució i evitar que puguin ser explotades en un futur per un actor maliciós.

Després d’aquesta experiència positiva, la Generalitat de Catalunya obté l’experiència per posar en pràctica programes de ‘bug bounty’ que seran útils per aconseguir sistemes d’informació més segurs i per aproximar l’Administració Pública a la ciutadania.

gencat.cat

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *