これはスペインの行政の最初のバグバウンティだった：カタルーニャ州政府に対する15人のハッカー

この種のアクションの可能性とリスクをテストするための試験的な経験として、カタルーニャ州政府は15人のハッカーを招待し、スペインの行政機関で初めてのバグ報奨金を実施しました。

具体的には、12月の2週間に行われた行動です。脆弱性やエラーの検出を超えて、情報システムの脆弱性を特定し、攻撃の可能性を防ぐために、行政の現場でこのようなプログラムを利用できるようになることを目的としています。

市民協働、出発点と目的

SOC de l’Agència de Ciberseguretat de CatalunyaとCatalonia-CERTのディレクター、Xavier Panadero Lleonartは、このバグバウンティを作るというアイデアは、パンデミックの発生と、呼吸器やマスクなどのCovid-19の影響を軽減しようとするために生まれたすべての市民の協力のイニシアチブで生まれたとToastyBitsに説明しています。“脆弱性の報告も増えていた “という。“我々の仕事をさらに一歩進め、より先駆的なことをし、従来のCERTモデルから一歩踏み出す可能性を検討しました。” そうしてバグバウンティを操縦するというアイデアが形になったのです。

パナデロは、このパイロットの目的は、市民の協力を探求し、活用し、奨励することであることを常に強調しています。“今までは常に関心が薄かったので、もっとオープンにしなければなりませんが、互恵的でもあります。“と彼は説明しています。

このパイロットでは、Generalitat は、管理のシステムで可能なセキュリティ上の欠陥を見つけるために彼らの時間と努力を捧げる人にこの認識を具体化する方法を模索していることを保証します。“その献身的な努力と協力に感謝を込めて、近さのコラボレーションでなければなりません。このパイロットテストは、このコラボレーションの実施方法を理解するのに役立ちます」とPanadero氏は強調します。

アートを愛する15人のハッカー

このプロジェクトには、15名のサイバーセキュリティ研究者が参加しており、そのほとんどがスペインからの参加である。アントニオ-フェルナンデス、それにもかかわらず、彼はより多くの公共行政が実践のこのタイプを実行するために奨励されていることをGeneralitatと目的を共有していることを保証する参加者の一人でToastyBitsに確認されたように、それらのいずれも、このアクションのために支払われていません。“このプロジェクトに参加したことが認められて、Tシャツと賞状をプレゼントしてくれました。興味深いテストですが、「もっとたくさんあるだろうし、当然のように報われるだろう」という考えを明確にしています。

この15人の研究者は、一人でもグループでも自由に活動していました。アントニオ・フェルナンデスの詳細は、「彼らは私たちに多くを見させてくれなかった」（いくつかのアプリケーションやウェブページ）が、プログラムが発見された5つの脆弱性で閉鎖されたこと：2つのウェブサイトに存在するGeneralitatと3つの企業のアプリケーションで。“この経験はポジティブなもので、物事を行い、多かれ少なかれ範囲の欠点を見つけることができることを示すのに役立った」と彼は振り返る。

特筆すべきは、カタルーニャ州サイバーセキュリティ庁のカタルーニャCERTインシデント対応チームが、パイロットテストの開発を常に監督していたことである。研究者がこれら5つの失敗を公表すると、CERTは、特定された脆弱性の検証と、将来起こりうる攻撃を回避するための対応ソリューションの管理を担当することになりました。

カタルーニャ州政府は、このパイロットテストは、分析する時間と資産が限られていると認識しています。しかし、「バグバウンティプログラムは、公共サービスを支える行政の情報システムのセキュリティ強化を目的として、市民社会のサイバーセキュリティ専門家の参加を促すための理想的なメカニズムであることが結果から明らかになっている」と断言している。

その他の技術的な問題を解決する方法

Xavier Panadero氏は、このパイロットテストの目的は、市民の協力を促進するだけでなく、この種のイニシアチブを実施するために行政が解決すべき課題を確認することにあると断言しています。公的機関は独自の契約システムを持っており、この種の入札を開始する前に一連のステップを遵守しなければならないことに留意すべきである。

“これらの問題はすべて、このパイロットを行う際に出てきました。私は公共調達の専門家ではありませんが、この種の取り組みを実施するためには、多くの行政上および法的問題を解決しなければならないことは明らかです」と、パナデロ氏は、これらの技術的な問題が解決されることで、行政におけるバグバウンティの新たな経験を立ち上げることができると確信しています。“カタルーニャだけでなく、すべての行政で この経験を活かしてほしい」と説明する。

ヨーロッパでの経験が少ない

この種のイニシアチブを開始した行政機関、特に欧州の行政機関は非常に少ないことに留意すべきである。2019年、欧州委員会は、EU-FOSSAと呼ばれるオープンソースソフトウェアに関連する14のプログラムを開始した。イギリスでは、このようなアクションも開始されています。

Xavier Panadero 氏はまた、公的機関のサイバーセキュリティフォーラムでは、これらのバグバウンティプロジェクトを実施する可能性についてしばらくの間議論されてきたと断言しています。“このような先駆的な取り組みでは、誰かがターニングポイントになれば、他の政権もそれに参加することになる。誰かが一歩を踏み出して、それが足し算になると見られれば、あとは励みになる」と彼は言う。

最後に、公私を問わず、コンピュータシステムのバグやエラーを探すことは、明示的に許可されていない限り、許されていないことに注意する必要があります。刑法197条3項によると、ハッキングを行うことは、たとえ倫理的に問題があったとしても、許可を得ていなければ違法とされています。同法では、「手段や手順を問わず、それを防ぐために設けられたセキュリティ対策に違反して、コンピュータシステムやその一部に含まれるデータやコンピュータプログラムに無許可でアクセスしたり、排除する正当な権利を持つ者の意思に反して内部に留まったりした者は、6ヶ月以上2年以下の懲役に処する」とされている。