“Da un grande potere derivano grandi responsabilità” : L’ETICA nel mondo Cyber

Sandro Sana : 4 Ottobre 2023 07:19

La crescente dipendenza dalla tecnologia e la sempre più pervasiva presenza digitale hanno reso la cybersecurity un aspetto cruciale per individui, aziende e istituzioni. Gli esperti di cybersecurity giocano un ruolo fondamentale nell’assicurare che i nostri dati e sistemi siano protetti dalle minacce digitali. Tuttavia, con un potere così significativo, sorge la necessità di promuovere un comportamento etico tra questi professionisti. In questo articolo, darò la mia visione di ciò che è per me l’Etica del lavoro che ho intrapreso anni orsono.

Partiamo da 6 punti cardine di ciò che dovrebbe essere il comportamento Etico di un esperto di Cybersecurezza:

1. Responsabilità verso la sicurezza: Gli esperti di cybersecurity devono comprendere appieno la loro responsabilità verso la sicurezza dei dati e dei sistemi che proteggono. Devono attuare misure per garantire la privacy, l’integrità e la disponibilità delle informazioni, evitando l’accesso non autorizzato o l’abuso delle risorse digitali.
2. Rispetto della privacy: La privacy è un diritto fondamentale, e gli esperti di cybersecurity devono rispettarla attentamente. Devono trattare le informazioni personali con la massima riservatezza, evitando la raccolta e l’uso non autorizzato dei dati degli utenti. Inoltre, devono essere trasparenti riguardo alle politiche di privacy e informare gli individui sulle modalità di utilizzo delle loro informazioni.
3. Consenso e collaborazione: Gli esperti di cybersecurity devono cercare il consenso e la collaborazione degli utenti e delle parti interessate nel processo di protezione dei dati. Dovrebbero comunicare chiaramente le misure di sicurezza adottate e coinvolgere gli utenti nelle decisioni che li riguardano. Inoltre, devono impegnarsi a educare gli utenti sulla sicurezza informatica e fornire linee guida per una navigazione sicura online.
4. Trasparenza e divulgazione delle vulnerabilità: Quando gli esperti di cybersecurity scoprono vulnerabilità nei sistemi, è essenziale che agiscano in modo etico. Dovrebbero seguire procedure appropriate per la divulgazione delle vulnerabilità, comunicandole agli sviluppatori o ai fornitori di software senza sfruttarle a fini personali o dannosi. La divulgazione responsabile contribuisce a migliorare la sicurezza complessiva e a proteggere gli utenti.
5. Evitare conflitti di interesse: Gli esperti di cybersecurity devono agire in modo indipendente ed evitare conflitti di interesse che potrebbero compromettere la loro integrità. Devono evitare comportamenti come la manipolazione dei dati o la promozione di soluzioni di sicurezza non necessarie al solo scopo di ottenere vantaggi personali o finanziari.
6. Aggiornamento e formazione continua: L’ambito della cybersecurity è in continua evoluzione, e gli esperti devono mantenersi costantemente aggiornati sulle nuove minacce, tecnologie e best practice. Dovrebbero partecipare a programmi di formazione e adottare un approccio di apprendimento continuo per offrire la migliore protezione possibile.

Adottando queste linee guida, gli esperti di cybersecurity possono contribuire a creare un ambiente digitale più sicuro e affidabile per tutti noi.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un’altro aspetto importante che vorrei trattare con particolare ENFASI è la Diffusione delle informazioni tecniche

Ritengo che la diffusione di informazioni che potrebbero essere utilizzate da chiunque, ancor meglio da adolescenti, per fare attacchi a scopo ludico è una questione seria e delicata. È importante, sopratutto per noi, adottare un approccio responsabile e consapevole per evitare di incoraggiare o facilitare comportamenti dannosi.

Per cui ritengo indispensabile intraprendere una politica di Sensibilizzazione e educazione in quelle che sono le nostre dichiarazioni o pubblicazioni. È fondamentale educare gli adolescenti sulle implicazioni e le conseguenze negative dell’utilizzo improprio delle informazioni per scopi ludici o dannosi. Promuovere una cultura di consapevolezza della sicurezza informatica può aiutare a prevenire comportamenti sbagliati.

Vorrei porre attenzione su alcuni aspetti molto importanti che riguardno il comportamento ETICO in ambito divulgativo:

• Etica nella divulgazione: Gli esperti di cybersecurity devono considerare attentamente l’etica della divulgazione delle tecniche di attacco. La condivisione di queste informazioni può essere utile per il progresso della sicurezza informatica, ma deve essere fatta con responsabilità. Gli esperti devono valutare attentamente i rischi e i benefici, evitando di fornire dettagli che potrebbero essere utilizzati per scopi illegali o dannosi.
• Pubblicazione responsabile: Se un esperto decide di condividere tecniche di attacco attraverso pubblicazioni o conferenze, è fondamentale farlo in modo responsabile. Dovrebbero essere fornite informazioni sufficienti per comprendere il contesto e l’importanza delle tecniche, senza entrare in dettagli che potrebbero essere abusati. Inoltre, dovrebbero essere inclusi avvertimenti chiari sulla legalità e l’etica dell’utilizzo delle tecniche.
• Limitazioni nella condivisione: Gli esperti di cybersecurity devono imporsi limitazioni nella condivisione delle tecniche di attacco. Dovrebbero evitare di divulgare dettagli che potrebbero essere facilmente compresi e utilizzati da individui non esperti, come gli adolescenti. Questo implica la mancanza di informazioni cruciali o la presentazione di concetti più complessi che richiedono competenze avanzate per essere messi in pratica.
• Educare e consapevolizzare: Gli esperti di cybersecurity hanno il compito di educare e consapevolizzare il pubblico, compresi gli adolescenti, sulle implicazioni etiche dell’uso improprio delle tecniche di attacco. Dovrebbero sottolineare i rischi e le conseguenze legali legate a tali comportamenti e promuovere l’importanza di un utilizzo etico delle conoscenze nel campo della sicurezza informatica.

Gli esperti di cybersecurity hanno la responsabilità di comportarsi in modo etico nella condivisione delle tecniche di attacco, tenendo conto del potenziale uso improprio che gli adolescenti potrebbero farne. La divulgazione responsabile, è fondamentale per indirizzare il comportamento degli adolescenti verso un utilizzo etico delle conoscenze informatiche. Solo attraverso queste misure possiamo creare una cultura di sicurezza informatica responsabile e sostenibile.

Vorrei, inoltre, ricordare che la prevenzione e l’educazione sono i pilastri fondamentali per affrontare le sfide legate all’utilizzo improprio delle informazioni da parte degli adolescenti. Creare una cultura di sicurezza informatica e promuovere comportamenti etici e responsabili online può contribuire a mitigare i rischi associati a tali attività.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore