Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 1 Novembre 2023 10:18
Abbiamo già affrontato questo tema in un precedente articolo, in cui abbiamo evidenziato l’importanza di istituire una “responsable disclosure” a livello nazionale. Come sappiamo, l’Italia è attualmente alle prese con sfide significative nella protezione delle sue infrastrutture nazionali, e dobbiamo recuperare il tempo perduto.
Mentre lavoriamo per migliorare le nostre competenze e i nostri processi di gestione del rischio, è cruciale esplorare modi non convenzionali per coinvolgere il settore privato e i cittadini comuni. Gli hacker etici spesso si chiedono se vale la pena segnalare vulnerabilità nei sistemi, preoccupati delle possibili conseguenze legali o dell’indifferenza delle autorità.
Con questo articolo, ribadiamo l’importanza di avviare un programma di “responsable disclosure” a livello nazionale. Questa iniziativa non solo dimostrerebbe una visione avanzata del rischio a livello internazionale, ma porterebbe anche notevoli vantaggi per il nostro Paese con una spesa minima.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
La cybersecurity è una materia complessa, ma alla base c’è un semplice concetto: evitare che un criminale informatico irrompa all’interno di una infrastruttura informatica. Ma il criminale informatico è altamente tecnologico e lavora spesso allo stato dell’arte. Per poterlo contrastare occorre porsi sul suo stesso livello con tecnici altamente specializzati. Ma questi dove sono? Hanno capacità di agire a 360 gradi sulle infrastrutture critiche nazionali?
In Italia esistono due entità distinte che svolgono ruoli chiave in questo contesto. La prima definisce come operare, definendo regole e principi guida per le organizzazioni. La seconda è dedicata più a quello che si definisce in gergo tecnico “Post mortem”. Quindi interviene in caso di violazioni di sicurezza e incidenti informatici per mitigarne gli effetti e avviare le indagini del caso.
Tuttavia, un grave vuoto persiste nell’ecosistema della sicurezza informatica in Italia: le attività di controllo.
In ottica di ICT Risk Management, manca quindi una entità che possa effettuare cicli di assessment per verificare l’adozione delle policy e normative emesse. Inoltre potrebbe attuare sanzioni, ma soprattutto consentire di avviare quel circolo virtuoso del Do Check, Act e Plan, proprio del ciclo di Deming.
Manca quindi un’entità specifica incaricata ad effettuare controlli tecnici operativi e definire azioni di remediation. Un elemento fondamentale per individuare i problemi e successivamente risolverli. Ad oggi questo non è possibile sia per carenza di personale tecnico specializzato, ma ancor meno per problematiche di interpretazione di mandato. Infatti a livello di decreti, non è stato mai riportato da nessuna parte il concetto di Controllo o di Assessment. Questa mancanza può avere un impatto significativo sulla capacità del paese di affrontare i processi inerenti le minacce cibernetiche in modo efficace, strutturato e proattivo.
Affrontare queste lacune anche a livello normativo risulta essenziale per rafforzare la sicurezza nazionale in Italia, soprattutto quando si parla di infrastrutture critiche nazionali.
Siccome la Cybersecurity è collaborazione, in questo contesto, emerge sempre di più la necessità di attivare un programma di “Responsible Disclosure” nazionale. Una strategia che permetta di segnalare vulnerabilità in modo responsabile e trasparente da parte dei semplici cittadini che hanno capacità di “hacking” in modo responsabile e controllato sulle infrastrutture della PA.
Un programma di “Responsible Disclosure” è un processo che entra in vigore solo quando un’entità (sia essa pubblica o privata) comprende che la condivisione e la collaborazione tra tutte le parti coinvolte possa offrire un vantaggio strategico in termini di efficienza e di tempestività nell’azione. È importante notare che questo è un percorso virtuoso che si avvia dopo anni di adozione di un programma di sicurezza cibernetica allo stato dell’arte. Quindi quanto siamo indietro?
Infatti, nel corso del tempo, le organizzazioni tendono a evolversi da una prima fase in cui nascondono le vulnerabilità di sicurezza a un approccio più trasparente. Infatti si può arrivare fino ad offrire “compensazioni” alle persone che segnalano bug di sicurezza, attraverso programmi noti come “bug bounty”.
Il Responsible Disclosure incentiva l’atto di scoprire e segnalare vulnerabilità e falle di sicurezza ad un’organizzazione, consentendo a questi ultimi di correggere i problemi. Sul piano normativo, oggi, un test di sicurezza su un’infrastruttura che non è dotata di una specifica policy di “responsible disclosure” è considerato un attacco informatico perseguibile dalla legge. Tuttavia, la sfida sta nel coinvolgere in modo efficace gli hacker etici portando un beneficio alla sicurezza nazionale.
Molte nazioni si stanno già organizzando in tal senso per coinvolgere hacker etici e incentivare la comunità a segnalare vulnerabilità e falle di sicurezza nelle infrastrutture critiche nazionali. Ad esempio, in Belgio è stata recentemente introdotta una normativa che permette agli hacker etici di testare i siti web e segnalare le vulnerabilità rilevate entro 72 ore. Questo è solo un esempio di come le nazioni stiano riconoscendo il valore della collaborazione tra hacker etici e organizzazioni governative.
Cosa potrebbe fare l’Italia per sfruttare appieno questa risorsa preziosa? Come detto, la risposta potrebbe essere l’istituzione di una “Responsible Disclosure” nazionale. In questo modello, gli hacker etici interessati dovrebbero:
Tutto questo consente anche di stabilire una graduatoria sulle capacità degli hacker etici utilizzabile sia per fini di protezione che di contro-attacco, qualora fosse necessario.
Questo consentirebbe di individuare falle di sicurezza che dovranno essere risolte per mettere in sicurezza le infrastrutture prima che un criminale informatico le possa sfruttare. Sarà necessario un processo di monitoraggio verso le pubbliche amministrazioni per verificare che tali piani di rientro vengano messi in atto in tempi relativamente brevi.
Tale processo potrà essere implementato all’interno del sistema di gestione del programma di Responsible Disclosure. Si tratta dell’implementazione di un GRC che permetta il monitoraggio dei piani di rientro nel tempo e consenta la mitigazione o l’eliminazione del rischio.
In sintesi, l’attivazione di una “Responsible Disclosure” nazionale rappresenterebbe un passo importante per migliorare la sicurezza informatica in Italia. Tutto questo fino a quando non si definirà chi avrà la responsabilità di effettuare attività di Controllo. Chiudere le porte alla comunità degli hacker etici in un momento storico in cui la sicurezza informatica è fondamentale sarebbe una scelta errata. Dovremmo vedere questo come una occasione per far partecipare alla protezione delle nostre infrastrutture persone capaci e generose ma che al momento non possono operare.
RHC consiglia al decisore politico di rivedere le normative esistenti e di adottare un’approccio che incoraggi e sostenga chi vuole contribuire al bene del paese. Segnalare una vulnerabilità di sicurezza potrebbe rivelarsi un asset prezioso per rafforzare la sicurezza informatica nazionale. Tutto questo in un’era in cui le minacce informatiche sono sempre più insidiose, diffuse e sofisticate.
Come Red Hot Cyber, rimaniamo come sempre a disposizione qualora ci sia la voglia di collaborare per realizzare tutto questo.
Redazione
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009