El operador del programa de recompensas por errores y la plataforma de piratería ética HackerOne ha lanzado una declaración Gold Standard Safe Harbor (GSSH) para ayudar a sus clientes a demostrar que pueden y protegerán a los piratas informáticos éticos de responsabilidad cuando piratean de buena fe.
Cualquier política de divulgación de vulnerabilidades o programa operativo de recompensas por errores ya debería incluir una declaración de puerto seguro para describir las protecciones legales que los piratas informáticos éticos pueden esperar, pero HackerOne cree que al crear un modelo estandarizado, los clientes pueden adoptar rápidamente un estándar corto, amplio y fácil de entender, y los piratas informáticos ya no tienen que analizar los diferentes términos y condiciones de múltiples declaraciones diferentes.
“Con el crecimiento de las superficies de ataque, el compromiso saludable de los piratas informáticos nunca ha sido más esencial para reducir el riesgo”, dijo Chris Evans, CISO y director de piratería de HackerOne.
“En HackerOne queremos establecer un estándar uniforme de excelencia que nuestros clientes puedan adoptar y que ayude a los piratas informáticos a sentirse seguros y valorados en los programas de los clientes. Cuando los piratas informáticos están contentos y comprometidos, las organizaciones logran una mejor resistencia a los ataques”.
El GSSH está siendo probado por tres clientes de HackerOne, la agencia de viajes Kayak, GitLab y Yahoo, para “demostrar su compromiso con la protección de la investigación de seguridad de buena fe” y aumentar la participación de los piratas informáticos con sus respectivos esquemas de recompensas por errores.
El científico jefe de Kayak, Matthias Keller, dijo: “La declaración Gold Standard Safe Harbor nos ayuda a diferenciarnos más claramente como un programa líder de recompensas por errores.
Esto se alinea con las otras mejores prácticas que seguimos, como pagar por clasificación y pagar por valor, para garantizar que los mejores piratas informáticos se involucren con nosotros para proteger la organización”.
Dominic Couture, ingeniero de seguridad del personal para seguridad de aplicaciones en GitLab, agregó: “GitLab se complace en adoptar la declaración Gold Standard Safe Harbor. Esperamos que esto reduzca la carga de información para los piratas informáticos y haga que su experiencia de recompensas por errores sea más fluida, respaldando nuestra misión de que todos puedan contribuir”.
El siguiente Hacker Report de HackerOne, aún inédito, encontró que más del 50% de los hackers éticos han descubierto una vulnerabilidad que no han informado, por razones que incluyen que la organización ha demostrado ser difícil de trabajar o haber sido amenazada con repercusiones legales.
La amenaza de acciones legales, o incluso tiempo en prisión, se ha cernido sobre los piratas informáticos éticos desde que existe el concepto de pruebas de penetración, y con el alcance y la escala crecientes del panorama de amenazas cibernéticas en los últimos años, cada vez más piratas informáticos. quieren ver acción sobre el tema desde una perspectiva regulatoria.
En el Reino Unido, se presta mucha atención a la necesidad de reformar la Ley de Uso Indebido de Computadoras (CMA), de 32 años de antigüedad, que establece el delito de acceso no autorizado a una computadora, criminalizando efectivamente muchas prácticas estándar de piratería ética.
La coalición CyberUp, un grupo de empresas, asociaciones comerciales, norganizaciones no gubernamentales (ONG) y abogados de toda la comunidad de seguridad cibernética, ha estado haciendo campaña en Westminster sobre este tema. Dijo que la CMA evita que los profesionales de la seguridad cibernética y los piratas informáticos puedan defender a las organizaciones del Reino Unido de los ataques cibernéticos sin correr el riesgo de ser procesados por acceso no autorizado a una computadora.
El gobierno había comenzado a hablar sobre la posibilidad de una reforma en 2021, pero este proceso actualmente se encuentra algo estancado.
En ausencia de una reforma legal, HackerOne dijo que la adopción de GSSH ayudaría a las organizaciones a demostrar que respaldan los últimos desarrollos legales y regulatorios que rigen la investigación de seguridad y autorizan la investigación de buena fe. Espera que, en última instancia, el GSSH pueda incluso ayudar a aclarar una distinción en la ley entre la piratería para la investigación o las pruebas de penetración y los ataques cibernéticos maliciosos o las filtraciones de datos denunciables.
Se espera que las organizaciones que adopten el GSSH reemplacen su declaración de puerto seguro existente con su texto en la página de su programa, y serán elegibles para mostrar una insignia digital junto con esto. Mientras tanto, los piratas informáticos podrán seleccionar la participación en GSSH cuando busquen programas de recompensas por errores en la plataforma de HackerOne.