Responsible Disclosure: el caso holandés

Política de Responsible Disclosure. Foto: ICT Institute. Blog Elcano
Responsible Disclosure. Foto: ICT Institute.
Política de Responsible Disclosure. Foto: ICT Institute. Blog Elcano
Responsible Disclosure. Foto: ICT Institute.

Muchos gobiernos y empresas dirigen, gestionan y controlan la defensa de sus ciberespacios específicos desde la eterna crisis y no desde un liderazgo proactivo. Recientemente, la empresa Verizon publicó su informe anual sobre ciberamenazas, donde alertaba que el 99,9% de las amenazas cibernéticas están identificadas pero los responsables de seguridad no llevan a cabo ninguna actuación para minimizar este riesgo conocido.

La transición de una gobernanza del ciberespacio desde la crisis al liderazgo no es siempre tan evidente ni tan rápida. El caso de los Países Bajos es un claro ejemplo de cómo situaciones de crisis han modificado la manera de gobernar el ciberespacio. En septiembre de 2011, el gobierno intervino Diginotar –la autoridad de certificación utilizada por la administración holandesa y la mayoría de las compañías privadas del país y otras multinacionales– tras la falsificación de certificados digitales aparentemente generados por la compañía y utilizados por la CIA, el Mossad o el MI6. Este hecho, unido al hackeo del sistema que controla las chip-cards con las que viajan la mayoría de los usuarios del transporte público del país, situaron a las Full Disclosure –publicación de vulnerabilidades sin el conocimiento previo del dueño del sistema o proveedor del servicio– en la primera línea de la agenda política holandesa.

A principios de 2013, el gobierno holandés, a través  del Centro Nacional de Ciberseguridad (NCSS, por sus siglas en inglés), comienza a trabajar junto a las principales compañías nacionales en la elaboración de una primera política nacional de Responsible Disclosure (tambien conocida como Coordinated Vulnerability Disclosure). Esta política tiene como objetivo evitar que las vulnerabilidades sean hechas públicas antes de que el dueño del sistema o proveedor del servicio las conozcan  y que posteriormente, y de manera coordinada, éstos y el investigador de seguridad que descubre la vulnerabilidad las puedan hacer públicas si así lo determinan.

Este concepto no es nuevo. Muchas compañías, sobre todo aquellas dedicadas al desarrollo del software, disponen de programas de Bug bounty por el cual premian a aquellos investigadores que descubren vulnerabilidades en sus productos. Sin embargo, el éxito de dichos programas es limitado debido a que en muchas ocasiones el “botín es pequeño (escaso reconocimiento profesional y remuneración económica).

El gobierno holandés trabajó en el desarrollo de la política de Responsible Disclosure identificando tres actores/roles diferentes: empresa, investigador de seguridad y Equipo de Respuesta para Emergencia Informática o CERT (por sus siglas en inglés) nacional. Para cada uno de estos actores se han definido un conjunto de derechos y deberes que delimitan las “reglas del juego”.

Las empresas están obligadas a disponer de un grado de madurez mínimo (y suficiente) en materia de ciberseguridad, y gestionar con diligencia aquellas comunicaciones que reciban por parte de los investigadores de seguridad. Los investigadores de seguridad no deberán utilizar técnicas de intrusión ilegales, y deberán comunicar de manera responsable a las empresas mediante un estricto procedimiento. Por último, el CERT nacional deberá facilitar el contacto entre las empresas y los investigadores de seguridad (sino lo hacen de manera directa), y deberá gestionar los incidentes que afecten a los sistemas Tecnologías de la Información y Comunicación (TIC) de la administración holandesa.

En el caso específico de fallos de seguridad que afectan a sistemas TIC de la administración holandesa, ésta ha puesto a disposición de la comunidad de investigadores de seguridad una dirección de correo electrónico para que estos puedan proporcionar (garantizando la confidencialidad) todos los detalles relativos a los fallos que descubran, así como sus datos personales para poder ser contactados y continuar el proceso de Responsible Disclosure. El investigador de seguridad deberá informar de aquellos fallos de seguridad que hayan descubierto de manera legal, y deberá evitar el uso de malware, ataques de fuerza bruta, copiar, borrar o cambiar datos de los sistemas TIC afectados, y compartir información de la vulnerabilidad con terceros. Siempre que el investigador de seguridad realice un Responsible Disclosure legalmente, el gobierno estará obligado a investigarla, hacerla pública tras un determinado tiempo, hacer público el nombre del investigador (si así lo desea) y deberá renumerarle en función de la criticidad del fallo descubierto.

En definitiva, el gobierno holandés ha entendido la importancia estratégica de los investigadores de seguridad informática para la ciberseguridad nacional.