El improbable romance entre los hackers y los pretendientes del gobierno

COMENTARIO

Cada primavera, la anual Hackear el Capitolio El evento reúne a un grupo diverso de científicos, piratas informáticos y formuladores de políticas para educar al personal del Congreso, académicos y a la prensa sobre los desafíos de ciberseguridad más críticos que enfrenta nuestra nación.

Hack the Capitol ha crecido constantemente en tamaño y estatura al crear conciencia sobre el valor de que los gobiernos y las empresas se asocien con piratas informáticos para resolver problemas de seguridad complejos. Al servir como miembro del comité de la Consejo de políticas de piratería, Me ha sorprendido la creciente convergencia de la inteligencia artificial, las preocupaciones de seguridad y los esfuerzos políticos, especialmente desde la lanzamiento de ChatGPT a finales del año pasado. A medida que estas tendencias interrelacionadas continúan fusionándose, vemos empresas y agencias gubernamentales más grandes y conservadoras alineando sus intereses con la comunidad de hackers de sombrero blanco.

La industria de la seguridad se encuentra obviamente en un tira y afloja contra el adversario en múltiples dominios esenciales, incluidos la energía, la atención médica, las telecomunicaciones, el gobierno/militar, la automoción y la aviación. Y de repente, el público parece preocuparse por estas cuestiones, porque la inteligencia artificial (IA) no es un concepto futurista de ciencia ficción; incluso los estudiantes están utilizando chatbots de IA para escribir sus trabajos escolares.

Este creciente apoyo público a nuevas barreras políticas ha reforzado la participación del gobierno y la industria con recompensas de errores y programas de divulgación de vulnerabilidades (VDP) para aprovechar el poder colectivo de los investigadores de amenazas colaborativos. Esta alianza está siendo impulsada por la comprensión de que nuestra fuerza opositora es básicamente ilimitada en cuanto a acceso potencial a habilidades y recursos. Mientras tanto, la comunidad de sombrero blanco dice: "Oye, etiquétame". La razón por la que este improbable romance está funcionando es que ha quedado muy claro que para burlar a un ejército de adversarios, necesitamos un ejército de aliados.

Abordar las alarmantes amenazas a la infraestructura crítica

Un área en la que el auge de la IA puede causar daños importantes es la de los ataques a infraestructuras críticas, incluidas las redes de energía, los suministros de agua, las redes informáticas, los sistemas de transporte y los centros de comunicaciones.

En lugar de un evento crítico, los sectores verticales conservadores tardan más en confiar en los piratas informáticos. Ese ha sido su patrón histórico. Sin embargo, la presión regulatoria está ayudando a fomentar una mayor seguridad colaborativa. Los vectores de acceso inicial de acceso público son el punto de partida más común, generalmente a través de un VDP o un programa privado de crowdsourcing. Desafortunadamente, las organizaciones de infraestructura crítica envejecidas tienen una montón de vectores de acceso inicial públicamente accesibles, pero este problema no es exclusivo de la infraestructura crítica únicamente. La ampliación de los vectores de acceso se agrava para todo tipo de organizaciones que persiguen la transformación digital.

La adopción de la retroalimentación de los piratas informáticos en la infraestructura crítica todavía está retrasada, pero eso es de esperarse. Sin embargo, hay mucha más actividad de la que se podría pensar, y la regulación está haciendo de esto una cuestión de “cuándo y cómo”, en lugar de una cuestión de “si”. A pesar de haber logrado avances considerables, todavía nos queda un largo camino por recorrer, porque la ciberseguridad es esencialmente un problema de personas y la tecnología simplemente hace que avance más rápido. Nuestra idea para Bugcrowd era conectar un suministro global de sombreros blancos con demandas no satisfechas y construir un entorno vibrante para los hackers de buena fe. Los piratas informáticos han aprovechado esta oportunidad poniendo sus habilidades a trabajar para lograr un cambio positivo y, en el proceso, construyendo una trayectoria profesional viable para ellos.

En cuanto a los participantes de los grandes gobiernos y las grandes empresas, el verdadero valor de una recompensa pública por errores es doble. Una es la confianza de que un extraño piratee el código y la otra es garantizar pruebas en toda la organización de que el hombre del saco es real.

¿Cómo se produjo esta convergencia actual? Primero vinieron las preocupaciones por la seguridad, luego siguieron las reacciones políticas y ahora la IA se ha impuesto en las conciencias de las personas en la política minorista que se preguntan si la IA es una amenaza existencial a la seguridad de la humanidad. Ese cambio ha colapsado las tres tendencias juntas, creando una conciencia pública más amplia, lo que aumenta la presión para que los responsables de las políticas regulen estos avances en un círculo virtuoso.

Las agencias gubernamentales dan un paso al frente para abordar nuevas amenazas

Hackear el Departamento de Estado, Hackear el DHS y otros proyectos de ley del Congreso que reconocen y alientan las asociaciones entre los hackers y el gobierno datan al menos de 2005. En los últimos años, miembros de la Cámara y el Senado han propuesto programas de recompensas de errores que se llevará a cabo internamente para agencias federales, así como para otros departamentos del gobierno federal. El impulso más activo para esta legislación comenzó en 2017 y ha resultado en la aprobación de leyes para implementar estos programas en el Departamento de Defensa, así como en la promulgación de políticas de las Comisiones Federales de Comunicaciones, el Departamento de Comercio y más. Ha sido alentador ver el continuo interés de la Cámara en reclutar hackers para que sirvan como sistema inmunológico de Internet. Más recientemente, los miembros de la Cámara han intentado ampliar su asociación con la comunidad de seguridad introduciendo La Ley Federal de Reducción de Vulnerabilidades en Ciberseguridad.

La realidad de la infraestructura federal moderna es que muy poca de ella es realmente administrada por el gobierno. Los contratistas federales son una parte integral de la cadena de suministro de infraestructura de TI que respalda todas las operaciones del gobierno de los Estados Unidos. Esto significa que una porción sustancial de las superficies de ataque potencialmente atacables caen bajo la responsabilidad y supervisión de contratistas federales, y este proyecto de ley refleja la probabilidad de que los cambios más significativos en la ciberresiliencia del gobierno de los Estados Unidos probablemente provengan de este grupo. Junto con los beneficios de transparencia y rendición de cuentas, se ha reclutado a la comunidad de hackers para que proporcione una capacidad previamente subutilizada para escalar y enfrentar el desafío.

Hackers On the Hill y el departamento de políticas DEF CON merecen un gran crédito por iniciar y normalizar este tipo de conversaciones, y es importante señalar que proyectos de ley como este son, en última instancia, el resultado de décadas de educación constante y asociación entre la comunidad de hackers. y el Capitolio.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-operations/unlikely-romance-hackers-government-suitors