Prova pionera per detectar vulnerabilitats als webs i apps de gencat
L'Agència de Ciberseguretat de Catalunya i el Departament de Vicepresidència (a través de la Direcció General d'Atenció Ciutadana) han portat a terme una prova pionera anomenada 'bug bounty' per detectar vulnerabilitats en els webs i les aplicacions mòbils de l'Administració pública.
La prova pilot s’ha fet durant dues setmanes amb la participació exclusiva d’un conjunt d'experts en ciberseguretat. La prova ha identificat cinc errors. Més enllà d'això, ha servit per explorar como portar més enllà la col·laboració ciutadana per millorar els serveis que ofereix gencat.
Què és un programa 'bug bounty'?
Els programes 'bug bounty' es fan servir per identificar les vulnerabilitats d’un web, aplicació mòbil o sistema informàtic.
En aquests programes, una organització, companyia o desenvolupador estableix unes normes on s’ofereixen recompenses als individus que hi participen per reportar errors, vulnerabilitats o fallades de seguretat.
A diferència dels testos convencionals, poden allargar-se en el temps, poden involucrar un elevat nombre d’investigadors i els objectius a analitzar poden ser indeterminats.
Programa pioner a l’Administració pública
Mentre els programes 'bug bounty' són habituals en entorns corporatius o privats, encara no són una pràctica habitual dins de l’Administració pública. El 2016 va tenir lloc el primer programa de recompensa del govern dels EUA, Hack the Pentagon.
En aquest context, el desembre de 2020 i durant dues setmanes, l’Agència de Ciberseguretat de Catalunya va realitzar una prova pilot sobre una part del web. En concret, s'han avaluat les aplicacions mòbils de gencat i els webs d’atenció ciutadana i Internet segura.
Va consistir en un programa 'bug bounty' limitat en el temps que ha comptat amb la participació d’un nombre restringit d’investigadors. Entre els participants hi figuren reputats professionals de la ciberseguretat del panorama nacional i estatal. Els professionals ho van fer de manera desinteressada.
Conclusions de la prova pilot
Es van trobar dues vulnerabilitats als webs i tres en les aplicacions mòbils, fet que ha permès procedir a la seva resolució i evitar que puguin ser explotades en un futur per un actor maliciós.
Després d’aquesta experiència positiva, la Generalitat de Catalunya obté l'aprenentatge per posar en pràctica programes de 'bug bounty' que seran útils per aconseguir sistemes d’informació més segurs i per aproximar l’Administració pública a la ciutadania.
Es vol explorar com portar més enllà la col·laboració ciutadana per millorar els serveis de gencat