Alcuni passi importanti sono stati fatti, in Italia, per migliorare la sicurezza cyber negli enti pubblici – pensiamo ad esempio all’introduzione del Cybersecurity Act o alle misure dell’ultimo Piano triennale per l’informatica nella PA – ma ancora niente si è mosso per incentivare azioni per individuare le vulnerabilità informatiche; per avviare una campagna di responsible disclosure (annunciata due anni fa senza frutto dal Team Digitale).
Sarebbe interessante e pratico, ad esempio, avviare programmi con premi ed incentivi a specialisti informatici che segnalano le vulnerabilità individuate in un sistema, come quelli avviati in molte aziende private e in alcune agenzie governative americane.
E’ un passaggio urgente: la pubblica amministrazione è sempre più spesso nel mirino di attacchi informatici di vario tipo – si veda ad esempio il fenomeno ransomware – in grado di incidere tanto sulla vita di cittadini e imprese.
I Vulnerability Reward Programs
Una tecnica utilizzata per affrontare il problema delle vulnerabilità a livello internazionale, anche alla luce del fallimento dei sistemi di Intrusion Detection/Prevention, è rappresentata dai Vulnerability Reward Programs – anche noti come Bug Bounty Programs. Si tratta di un’evoluzione dei classici sistemi di penetration testing che prevede l’avvio di programmi ben definiti e regolamentati nei quali vengono riconosciuti premi ed incentivi a specialisti informatici che segnalano lealmente le vulnerabilità individuate in un sistema. Questi programmi possono essere di tipo chiuso, ovvero ammettere alla partecipazione solo utenti selezionati – ad esempio ricercatori fidati, con un certo livello di autorità, o altresì i dipendenti stessi dell’azienda – come possono anche essere di tipo aperto e rivolgersi quindi ad una platea più ampia di ricercatori che a livello globale mettono a disposizione le proprie competenze per testare l’affidabilità dei sistemi.
Mentre alcune tra le principali aziende del mercato IT hanno scelto di realizzare programmi privati, spesso accessibili solo su invito o riservati ai propri dipendenti – è il caso, ad esempio, di Google e dei suoi Vulnerability Reward Programs o dei vari Microsoft Bug Bounty Programs – altre importanti società leader del settore hanno scelto di aderire a piattaforme aperte, aprendosi ad una platea di hackers decisamente più ampia e caratterizzata da svariati profili ed esperienze. Infatti, negli ultimi anni sono nate numerose piattaforme che si occupano di fornire sia alle aziende che ai ricercatori tutti gli strumenti necessari a garantire riservatezza e correttezza, a tutela di entrambi gli attori in gioco. Alcune tra le piattaforme più diffuse sono HackerOne, che conta oltre 300.000 ricercatori registrati e ai quali nell’ultimo anno sono stati riconosciuti premi in denaro per circa 19 milioni di dollari, BugCrowd, con circa 37.000 vulnerabilità registrate e premi in denaro per oltre 6 milioni di dollari nell’ultimo anno, e YesWeHack, la prima piattaforma di Bug Bounty europea avviata a metà 2016 e sulla quale nel 2018 sono state scoperte circa 6.300 vulnerabilità. Molte importanti software house hanno aderito a questa tipologia di approccio per la ricerca delle vulnerabilità e, attualmente, queste piattaforme sono ampiamente diffuse in tutto il mondo e ospitano programmi di Bug Bounty di indubbio prestigio e ricercatori di comprovata professionalità e specializzazione.
Proprio a conferma della portata di questa tipologia di approccio, è significativo evidenziare che alcune importanti agenzie governative americane, da sempre all’avanguardia nel settore della cyber security, hanno scelto di utilizzare una piattaforma aperta per avviare alcuni programmi di ricerca delle vulnerabilità. Un ottimo esempio è rappresentato dal programma “Hack the Pentagon” una iniziativa pilota del Ministero per la Difesa del Governo degli Stati Uniti che, per circa 30 giorni nel 2016, è stata attivata sulla piattaforma HackerOne e ha visto partecipare oltre 1.400 ricercatori. Tra questi, 250 hacker hanno individuato circa 138 vulnerabilità nei sistemi governativi selezionati e sono stati premiati con oltre $75.000. Successivamente, sono stati avviati altri programmi di ricerca finanziati dal Ministero per la Difesa del Governo degli Stati Uniti, “Hack the U.S. Army” e “Hack the Air Force”, quest’ultimo risulta a tutt’oggi ancora attivo.
La cyber security nella PA italiana
L’impegno delle aziende governative americane nel settore della ricerca delle vulnerabilità informatiche dimostra l’importanza di mantenere alta l’attenzione sulla cyber-security anche nel settore delle Amministrazioni Pubbliche che sempre più di frequente sono soggette ad attacchi e minacce informatiche di vario genere. La cronaca recente racconta di come molti enti locali siano stati oggetto di attacchi crypto-ransomware e, alcuni di essi abbiano preferito pagare riscatti di fronte alla minaccia di perdere il possesso dei propri dati e delle proprie informazioni. Nella P.A. italiana devono ancora essere fatti molti passi avanti in questo ambito, in primis sviluppando un approccio critico e orientato al risultato. Una importante evoluzione può essere rappresentata dall’introduzione del Cybersecurity Act, il Regolamento emanato con D.Lgs. 65/2018 che recepisce la Direttiva Europea NIS 2016/1148 e che è entrato in vigore il 27 giugno 2019. Come definito all’art.1, il regolamento “stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea”.
Un ulteriore importante segnale è rappresentato dall’importanza che l’Agid ha voluto riservare nel Piano Triennale per l’informatica nella P.A. 2019-2021, alla catalogazione delle vulnerabilità informatiche mediante l’implementazione e lo sviluppo del National Vulnerability Database (NVD) con nuovi strumenti a supporto delle amministrazioni e dei ricercatori.
Bounty program anche in Italia
Tuttavia, allo stato non sono documentate azioni finalizzate ad incentivare la ricerca delle vulnerabilità negli Enti pubblici italiani; le norme al momento nemmeno contemplano la responsible disclosure (e spesso condannano i white hat o hacker etici per accesso abusivo ai sistemi informatici).
Potrebbe, invece, essere interessante ipotizzare anche nelle nostre P.A. l’avvio di simili programmi, eventualmente in forma chiusa e, magari, riservati esclusivamente al personale tecnico già operante presso l’amministrazione stessa. Ai partecipanti potrebbe essere riconosciuto un incentivo premiante nell’ambito delle previsioni normative del D.Lgs. 150/2019 e nell’ottica del miglioramento della performance organizzativa delle Amministrazioni. Un simile approccio avrebbe certamente consentito di individuare per tempo una falla nel sistema informatico, come ad esempio quella recentemente scoperta casualmente presso la Procura di Milano che, stando a quanto riportato dalla stampa nazionale, causava una inconsapevole promiscuità di alcune cartelle private dei PM, rendendone il contenuto accessibile anche ad altri utenti connessi alla rete ministeriale.
Qualunque sia la modalità di approccio che si preferisca intraprendere, bisogna prima di tutto rendersi conto che i tempi sono maturi affinché siano attuati i necessari investimenti nell’ambito della sicurezza informatica, guardando a soluzioni efficaci ed efficienti che possano finalmente alzare sensibilmente e consapevolmente il livello di sicurezza dei sistemi informatici, ai fini di mitigare il più possibile i rischi e le minacce, sempre nuove ed in evoluzione, a cui sono quotidianamente esposti i nostri sistemi.
Confidiamo quindi che si riprenda l’idea del Team Digitale di avviare una responsible disclosure in Italia.
