Editor Top
Al evaluar si el gobierno de Canadá cumple con los estándares de divulgación de vulnerabilidades en comparación con los miembros del G20, descubrimos que Canadá se está quedando atrás de sus pares. Crédito: Cybersecure Policy Exchange, Ryerson University, proporcionado por el autor
Los ciberataques van en aumento y afectan a las personas, los sistemas, las infraestructuras y los gobiernos con efectos potencialmente devastadores y de gran alcance. Más recientemente, estos incluyen el ataque masivo de ransomware REvil y el descubrimiento de que el software espía Pegasus estaba rastreando a más de 1,000 personas.
Una causa común de los ciberataques implica la explotación de vulnerabilidades de seguridad. Estos son condiciones o comportamientos que pueden permitir la violación, el uso indebido y la manipulación de datos. Los ejemplos pueden incluir código de computadora mal escrito o algo tan simple como no instalar un parche de seguridad.
Explotación de vulnerabilidades
Puede haber impactos particularmente significativos cuando los atacantes explotan vulnerabilidades de seguridad que involucran sistemas digitales utilizados por los gobiernos federales.
Por ejemplo, en julio de 2015, la Oficina de Gestión de Personal de los Estados Unidos anunció que piratas informáticos malintencionados habían extraído información personal muy sensible y huellas dactilares de aproximadamente 21,5 millones de trabajadores federales y sus asociados, debido a una serie de malas prácticas de seguridad y vulnerabilidades del sistema.
La violación masiva de datos sirvió como una llamada de atención para el gobierno federal de EE. UU. En consecuencia, la administración de Barack Obama anunció que el Departamento de Defensa sería responsable de almacenar los datos de los empleados federales.
No mucho después de eso, el Se anunció el programa piloto «Hack the Pentagon», donde el gobierno de EE. UU. invitó a expertos externos a informar de manera responsable las fallas de seguridad.
Este piloto allanó el camino para lo que se ha convertido en una práctica de seguridad estándar utilizada por el gobierno de EE. UU. Desde 2020, todas las agencias federales estadounidenses deben habilitar la divulgación de vulnerabilidades de seguridad.
Canadá se queda atrás
En comparación, nuestro informe reciente descubrió que el gobierno de Canadá se está quedando atrás de países como los EE. UU. al no recibir los informes de vulnerabilidad de expertos externos.
No hemos tenido un ataque del tamaño de la brecha de la Oficina de Administración de Personal en los EE. UU., Pero tampoco somos inmunes.
Considere la brecha de Equifax en 2017, cuando 19.000 canadienses se vieron afectados cuando los atacantes explotó una vulnerabilidad de seguridad en un portal de clientes en línea.
En agosto de 2020, la Agencia Tributaria de Canadá bloqueó más de 5.000 cuentas de usuario debido a ataques cibernéticos parcialmente habilitados por la falta de autenticación de dos factores de la agencia.
Nuestro informe, publicado a través del Intercambio de políticas de ciberseguridad en la Universidad de Ryerson, es la primera investigación disponible públicamente que examina cómo Canadá trata la denuncia de fallas de seguridad en comparación con otros países.
Descubrimos que, si bien el 60 por ciento de los miembros del G20 tienen procesos distintos y claros para informar las vulnerabilidades de seguridad en la infraestructura pública, Canadá no los tiene.
Los expertos en ciberseguridad pueden revelar «incidentes cibernéticos» al Centro Canadiense de Seguridad Cibernética. Pero este término es definido tan estrechamente que excluye las vulnerabilidades que aún no se han armado.
Algunos de los riesgos legales en Canadá por descubrir y revelar vulnerabilidades de seguridad encontradas en software y hardware. Crédito: Cybersecure Policy Exchange, Ryerson University
Y mientras el Reino Unido y los Estados Unidos Los gobiernos han prometido hacer esfuerzos para corregir las fallas de seguridad que se informan, el Centro Canadiense de Seguridad Cibernética no ha hecho tal promesa.
Al no apoyar y proteger a los investigadores de seguridad en la identificación de vulnerabilidades, estas brechas, en última instancia, ponen a Canadá y a los canadienses en mayor riesgo.
Sistemas vulnerables, personas vulnerables
Los expertos en ciberseguridad pueden enfrentar importantes riesgos legales cuando informan sobre fallas de seguridad al gobierno canadiense. La piratería informática está prohibida por el Código Criminal, y en determinadas circunstancias por leyes como la Ley de derechos de autor.
Pero a diferencia de Los países bajos y EE. UU., aquí no existe un marco legal para informar de buena fe las vulnerabilidades de seguridad.
El enfoque actual de Canadá tiene un efecto paralizador en la divulgación de las debilidades de seguridad que se encuentran no solo en los sistemas gubernamentales, sino también en todo el software y hardware.
Este enfoque deja en gran medida a los investigadores de ciberseguridad en la oscuridad sobre si, y cómo, deben notificar al gobierno cuando detectan fallas de seguridad que podrían ser explotadas.
Un Canadá ciberseguro requiere trabajar con expertos que identifiquen los riesgos de seguridad que enfrentan nuestras instituciones e infraestructura.
Las fases de divulgación de vulnerabilidades: descubrimiento, informes, validación y triaje, desarrollo de una solución, aplicación de esa solución e información al público. Crédito: Cybersecure Policy Exchange, Ryerson University
No es demasiado tarde para que el gobierno federal instituya un proceso que permita a los expertos informar fallas de seguridad y aprovechar las mejores prácticas al hacerlo.
Nuestro trabajo describe la importancia de definir quién puede enviar informes de vulnerabilidad y describe cómo puede ser el proceso de notificación y reparación. Es importante dar crédito o reconocer a los expertos que revelaron. El público debe recibir información sobre las vulnerabilidades y las soluciones necesarias para solucionarlas.
Mejoras imperativas
Los expertos en ciberseguridad son «un recurso importante pero subestimado«cuando se trata de reducir los riesgos de seguridad de los sistemas gubernamentales. Quieren ayudar.
El gobierno canadiense necesita implementar procesos y políticas más claros para fomentar la cooperación con los expertos en ciberseguridad que trabajan en el interés público.
A medida que los ciberataques aumentan en frecuencia, escala y sofisticación, mejores prácticas de ciberseguridad en Canadá no solo son deseables, son imperativas.
China refuerza el control sobre la ciberseguridad en la represión de datos
Este artículo se vuelve a publicar desde La conversación bajo una licencia Creative Commons. Leer el artículo original.
Citación: A medida que los ataques cibernéticos se disparan, Canadá debe trabajar con expertos en ciberseguridad, y no obstaculizarlos (28 de julio de 2021), consultado el 28 de julio de 2021 en https://techxplore.com/news/2021-07-cyberattacks-skyrocket-canada-withand- hindercybersecurity.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
GIPHY App Key not set. Please check settings