Le CIO du gouvernement de Singapour a lancé un programme de recherche de bugs qui offre jusqu'à 5 000 dollars aux pirates informatiques blancs pour découvrir les failles de sécurité des systèmes utilisés par le secteur public.
Singapour offre des indemnités allant jusqu'à 5 000 dollars aux pirates informatiques blancs pour découvrir des failles de sécurité dans les systèmes utilisés par le secteur public. Le nouveau programme est le dernier en date des efforts du gouvernement visant à impliquer la communauté dans l'évaluation de son infrastructure TIC.
L'Agence gouvernementale de technologie (GovTech) a déclaré que son nouveau programme de récompenses de vulnérabilité était la troisième initiative de crowdsourcing qu'elle a adoptée pour améliorer la sécurité de ses systèmes TIC. Il fonctionne également prime aux bogues et les programmes de divulgation des vulnérabilités, ces derniers étant accessibles au public pour signaler d’éventuelles failles de sécurité.
« Les trois programmes de découverte de vulnérabilités participatifs offrent un mélange de capacités de reporting continu et de tests saisonniers approfondis. qui s'adresse à la communauté dans son ensemble, en plus des tests d'intrusion de routine menés par le gouvernement", a déclaré GovTech dans un communiqué. Mardi.
Voir également
Singapour doit rendre le contrôle des données aux utilisateurs pour regagner la confiance du public
La confiance joue un rôle important dans la volonté des consommateurs de partager leurs données personnelles, mais elle s'érodera si les entreprises continuent de bénéficier d'un accès plus large aux données personnelles et les Singapouriens ne se sentent pas habilités à protéger leur propre cybersécurité hygiène.
Lisez maintenantLe bureau gouvernemental du CIO a déclaré que les programmes de bug bounty étaient « saisonniers », se concentrant sur cinq à dix systèmes critiques et « de haut niveau » à chaque exécution. Le nouveau programme de récompenses, cependant, serait permanent et « testerait en permanence » une gamme plus large de systèmes TIC essentiels nécessaires à la fourniture de services numériques essentiels, a-t-il ajouté.
Selon la gravité des vulnérabilités découvertes, entre 250 et 5 000 dollars seraient offerts aux pirates informatiques autorisés à participer au programme de récompenses.
En outre, une prime spéciale allant jusqu'à 150 000 dollars pourrait être accordée pour les vulnérabilités identifiées comme susceptibles d'avoir un « impact exceptionnel » sur des systèmes et des données sélectionnés. Les détails décrivant ces vulnérabilités seraient fournis aux pirates informatiques enregistrés et ne s'appliqueraient qu'à certains systèmes gouvernementaux.
Selon GovTech, la prime spéciale serait mesurée par rapport aux programmes mondiaux de vulnérabilité participatifs, tels que ceux gérés par des fournisseurs de technologies tels que Google et Microsoft.
Le nouveau système de récompenses engloberait initialement trois systèmes du secteur public, à savoir: ChanterPass et CorpPass; les services électroniques aux membres relevant du ministère de la Main-d'œuvre et du Conseil central de la Caisse centrale de prévoyance; et WorkPass Integrated System 2, qui est géré par le ministère de la Main-d'œuvre.
Le programme sera également étendu progressivement pour inclure des systèmes TIC plus critiques, a indiqué GovTech.
Seuls les pirates informatiques répondant à un ensemble de critères seront autorisés à participer au programme de récompenses, les contrôles étant effectués par l'opérateur de bug bounty, HackerOne.
Une fois approuvés, les participants devraient effectuer des évaluations de sécurité via un espace privé virtuel désigné. passerelle réseau fournie par HackerOne, et leur accès leur est retiré s'ils enfreignent les règles autorisées de fiançailles.
Lim Bee Kwan, directeur général adjoint de GovTech pour la gouvernance et la cybersécurité, a déclaré que l'agence gouvernementale avait adopté pour la première fois des programmes de découverte de vulnérabilités participatifs en 2018. Depuis lors, il a travaillé avec plus de 1 000 pirates informatiques pour identifier 500 vulnérabilités valides.
« Le nouveau programme de récompenses de vulnérabilité permettra au gouvernement d'exploiter davantage le bassin mondial de talents en cybersécurité pour mettre nos systèmes critiques à l'épreuve, en assurant la sécurité des données des citoyens pour construire un sûr et une nation intelligente et sécurisée", a déclaré Lim.
En août 2021, le gouvernement de Singapour avait organisé quatre bug bounties, chacune d'une durée de deux à trois semaines, couvrant 33 systèmes. Plus de 100 000 $ ont été distribués aux participants.
Le programme public de divulgation des vulnérabilités a été lancé en octobre 2019 et a conduit à plus de 900 vulnérabilités signalées, en mars 2021, impliquant 59 agences gouvernementales. Parmi ceux-ci, au moins 400 étaient des bogues valides qui ont depuis été corrigés.
Un rapport du mois dernier a révélé que la moitié des vulnérabilités découvertes en 2020 via les programmes de bug bounty et de divulgation publique du gouvernement de Singapour étaient valides. Le secteur public a enregistré une augmentation de 44 % des incidents liés aux données au cours de l'année écoulée, mais aucun n'a été enregistré. évalué comme étant de « haute gravité », selon le rapport de Smart Nation and Digital Government Bureau.
Quelque 1 560 comptes SingPass, nécessaires pour accéder aux services d'administration en ligne, ont été impliqués dans une opération Faille de sécurité de 2014 où les utilisateurs ont reçu des notifications indiquant que leurs mots de passe avaient été réinitialisés, bien qu'ils n'aient pas demandé à le faire. Le gouvernement a ensuite imputé l'incident à l'utilisation probable de mots de passe faibles ou de logiciels malveillants qui auraient pu être installés sur les appareils personnels des utilisateurs concernés. Authentification à deux facteurs (2FA) a été introduit l’année suivante dans le cadre des efforts visant à renforcer la sécurité sur la plateforme d’administration électronique.
COUVERTURE CONNEXE
- La moitié des vulnérabilités découvertes par le gouvernement de Singapour via des primes, les divulgations sont valables
- Singapour améliore sa plateforme d'administration électronique et vante son portefeuille de services
- Singapour constate une recrudescence des attaques de ransomwares et de botnets
- Singapour utilise l'iris et la biométrie faciale comme principaux identifiants aux points de contrôle de l'immigration
- Singapour va dépenser 719 millions de dollars pour renforcer les systèmes de cybersécurité et de sécurité des données du gouvernement
- Singapour s'efforce de combler les lacunes des systèmes informatiques du gouvernement