La Agencia de Información Digital y Poblacional (DVV) ha iniciado por tercera vez una colaboración con los piratas informáticos. Esta vez, el objetivo son partes del servicio web Suomi.fi, los servicios de certificados y el sistema de información sobre la población. El acuerdo establece que si los piratas informáticos siguen las reglas acordadas, la agencia no informará de sus acciones a la policía.
A menudo se piensa en los piratas informáticos como delincuentes que irrumpen en los sistemas de información para hacerse con información que no les pertenece o para causar algún tipo de daño, por ejemplo mediante malware.
Sin embargo, esta descripción sólo se aplica a los llamados hackers de sombrero negro.
Los hackers de sombrero blanco son otro país. Buscan vulnerabilidades en los sistemas de información con permiso y reportan sus hallazgos a los administradores del sistema de información. Además, puede obtener de ellos información valiosa sobre cómo protegerse mejor, por ejemplo, de los sombreros negros empleados por organizaciones criminales internacionales.
En Finlandia también se utiliza la experiencia de los hackers de sombrero blanco en el desarrollo de diversos sistemas de información y la mejora de la seguridad de la información.
La Agencia de Información Digital y Poblacional permite a los piratas informáticos probar las protecciones del servicio Suomi.fi con permiso. La finalidad es mejorar la seguridad de la información del servicio. Los trucos de los piratas informáticos que siguen las reglas acordadas no se denuncian a la policía. Anu Kivistö, Pasi Liesimaa
Una recompensa de hasta 30.000 euros
Los piratas informáticos de sombrero blanco que participan en el programa de recompensa de vulnerabilidades de la Agencia de Información Digital y Poblacional, que comenzó esta semana, buscan fallas de seguridad de la información, por ejemplo, en el servicio Suomi.fi propiedad de DVV.
Aún puedes solicitar el programa de un año En el sitio web de Hackrf. Hackrfi es una empresa especializada en publicar y gestionar programas de premios a vulnerabilidades.
Quienes descubren fallos de seguridad reciben entre 100.000 y 30.000 euros, dependiendo de la importancia del descubrimiento. Según Hackrf, la recompensa más alta se puede pagar, por ejemplo, por un descubrimiento que revele una vulnerabilidad o una cadena de vulnerabilidades, que pueden explotarse para obtener acceso a una cantidad significativa de datos personales de los usuarios.
“Experiencias de cooperación muy buenas”
Gerente de seguridad de la información de la Agencia de Información Digital y Poblacional Pekka Ristimäki dice en el comunicado de prensa de la agencia que la confiabilidad de los sistemas de información es cada vez más importante a medida que las funciones de la sociedad se vuelven digitales.
– La cooperación complementa muy bien nuestras pruebas de aplicaciones habituales y, con ella, se puede probar y desarrollar de forma más eficiente la seguridad de los servicios digitales, afirma Ristimäki en el comunicado de prensa.
Éste ya es el tercer programa DVV similar.
– Las experiencias de cooperación han sido muy buenas, afirma Ristimäki.
Estas reglas deben seguirse
Los piratas informáticos que participan en el programa se comprometen a seguir reglas estrictas bajo la amenaza de una acción oficial. Sólo se contacta a la policía si la seguridad de la persona se ve amenazada o si se hace un mal uso de la información.
Las reglas establecen, entre otras cosas, que si un pirata informático aprovecha una vulnerabilidad y obtiene información que de otro modo no habría obtenido, debe mantener la información en secreto. Tampoco se podrán transferir datos desde el servidor a ningún otro lugar.
Si la actividad del hacker amenaza la seguridad del individuo más de lo necesario debido a la detección de la vulnerabilidad, será expulsado del programa. Si es necesario, dicha actividad también puede denunciarse a la policía.
Todas las deficiencias de seguridad de la información deben informarse a través del canal de denuncia oficial y ningún hallazgo podrá publicarse en ningún otro lugar. El pirata informático también debe asegurarse de que su “investigación de seguridad de datos” no cause daños significativos al uso del servicio.
La Agencia de Información Digital y Poblacional, por su parte, se compromete a no solicitar a la policía investigaciones sobre las medidas adoptadas de conformidad con las normas del programa, ni a exigir sanciones penales para los autores.
– El suscriptor otorga a los evaluadores de seguridad de la información que participan en este programa el derecho de llevar a cabo actividades y medidas de prueba de vulnerabilidad en el sistema objetivo del suscriptor de este programa, lo que podría interpretarse como un intento de piratear datos o interrumpir el tráfico de datos, dicen las condiciones del programa. .
Fuentes: Agencia de Información Digital y de Población, Hackrfi, Kaspersky
About the Author
