Redazione RHC : 1 Novembre 2023 10:18
Abbiamo già affrontato questo tema in un precedente articolo, in cui abbiamo evidenziato l’importanza di istituire una “responsable disclosure” a livello nazionale. Come sappiamo, l’Italia è attualmente alle prese con sfide significative nella protezione delle sue infrastrutture nazionali, e dobbiamo recuperare il tempo perduto.
Mentre lavoriamo per migliorare le nostre competenze e i nostri processi di gestione del rischio, è cruciale esplorare modi non convenzionali per coinvolgere il settore privato e i cittadini comuni. Gli hacker etici spesso si chiedono se vale la pena segnalare vulnerabilità nei sistemi, preoccupati delle possibili conseguenze legali o dell’indifferenza delle autorità.
Con questo articolo, ribadiamo l’importanza di avviare un programma di “responsable disclosure” a livello nazionale. Questa iniziativa non solo dimostrerebbe una visione avanzata del rischio a livello internazionale, ma porterebbe anche notevoli vantaggi per il nostro Paese con una spesa minima.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La cybersecurity è una materia complessa, ma alla base c’è un semplice concetto: evitare che un criminale informatico irrompa all’interno di una infrastruttura informatica. Ma il criminale informatico è altamente tecnologico e lavora spesso allo stato dell’arte. Per poterlo contrastare occorre porsi sul suo stesso livello con tecnici altamente specializzati. Ma questi dove sono? Hanno capacità di agire a 360 gradi sulle infrastrutture critiche nazionali?
In Italia esistono due entità distinte che svolgono ruoli chiave in questo contesto. La prima definisce come operare, definendo regole e principi guida per le organizzazioni. La seconda è dedicata più a quello che si definisce in gergo tecnico “Post mortem”. Quindi interviene in caso di violazioni di sicurezza e incidenti informatici per mitigarne gli effetti e avviare le indagini del caso.
Tuttavia, un grave vuoto persiste nell’ecosistema della sicurezza informatica in Italia: le attività di controllo.
In ottica di ICT Risk Management, manca quindi una entità che possa effettuare cicli di assessment per verificare l’adozione delle policy e normative emesse. Inoltre potrebbe attuare sanzioni, ma soprattutto consentire di avviare quel circolo virtuoso del Do Check, Act e Plan, proprio del ciclo di Deming.
Manca quindi un’entità specifica incaricata ad effettuare controlli tecnici operativi e definire azioni di remediation. Un elemento fondamentale per individuare i problemi e successivamente risolverli. Ad oggi questo non è possibile sia per carenza di personale tecnico specializzato, ma ancor meno per problematiche di interpretazione di mandato. Infatti a livello di decreti, non è stato mai riportato da nessuna parte il concetto di Controllo o di Assessment. Questa mancanza può avere un impatto significativo sulla capacità del paese di affrontare i processi inerenti le minacce cibernetiche in modo efficace, strutturato e proattivo.
Affrontare queste lacune anche a livello normativo risulta essenziale per rafforzare la sicurezza nazionale in Italia, soprattutto quando si parla di infrastrutture critiche nazionali.
Siccome la Cybersecurity è collaborazione, in questo contesto, emerge sempre di più la necessità di attivare un programma di “Responsible Disclosure” nazionale. Una strategia che permetta di segnalare vulnerabilità in modo responsabile e trasparente da parte dei semplici cittadini che hanno capacità di “hacking” in modo responsabile e controllato sulle infrastrutture della PA.
Un programma di “Responsible Disclosure” è un processo che entra in vigore solo quando un’entità (sia essa pubblica o privata) comprende che la condivisione e la collaborazione tra tutte le parti coinvolte possa offrire un vantaggio strategico in termini di efficienza e di tempestività nell’azione. È importante notare che questo è un percorso virtuoso che si avvia dopo anni di adozione di un programma di sicurezza cibernetica allo stato dell’arte. Quindi quanto siamo indietro?
Infatti, nel corso del tempo, le organizzazioni tendono a evolversi da una prima fase in cui nascondono le vulnerabilità di sicurezza a un approccio più trasparente. Infatti si può arrivare fino ad offrire “compensazioni” alle persone che segnalano bug di sicurezza, attraverso programmi noti come “bug bounty”.
Il Responsible Disclosure incentiva l’atto di scoprire e segnalare vulnerabilità e falle di sicurezza ad un’organizzazione, consentendo a questi ultimi di correggere i problemi. Sul piano normativo, oggi, un test di sicurezza su un’infrastruttura che non è dotata di una specifica policy di “responsible disclosure” è considerato un attacco informatico perseguibile dalla legge. Tuttavia, la sfida sta nel coinvolgere in modo efficace gli hacker etici portando un beneficio alla sicurezza nazionale.
Molte nazioni si stanno già organizzando in tal senso per coinvolgere hacker etici e incentivare la comunità a segnalare vulnerabilità e falle di sicurezza nelle infrastrutture critiche nazionali. Ad esempio, in Belgio è stata recentemente introdotta una normativa che permette agli hacker etici di testare i siti web e segnalare le vulnerabilità rilevate entro 72 ore. Questo è solo un esempio di come le nazioni stiano riconoscendo il valore della collaborazione tra hacker etici e organizzazioni governative.
Cosa potrebbe fare l’Italia per sfruttare appieno questa risorsa preziosa? Come detto, la risposta potrebbe essere l’istituzione di una “Responsible Disclosure” nazionale. In questo modello, gli hacker etici interessati dovrebbero:
Tutto questo consente anche di stabilire una graduatoria sulle capacità degli hacker etici utilizzabile sia per fini di protezione che di contro-attacco, qualora fosse necessario.
Questo consentirebbe di individuare falle di sicurezza che dovranno essere risolte per mettere in sicurezza le infrastrutture prima che un criminale informatico le possa sfruttare. Sarà necessario un processo di monitoraggio verso le pubbliche amministrazioni per verificare che tali piani di rientro vengano messi in atto in tempi relativamente brevi.
Tale processo potrà essere implementato all’interno del sistema di gestione del programma di Responsible Disclosure. Si tratta dell’implementazione di un GRC che permetta il monitoraggio dei piani di rientro nel tempo e consenta la mitigazione o l’eliminazione del rischio.
In sintesi, l’attivazione di una “Responsible Disclosure” nazionale rappresenterebbe un passo importante per migliorare la sicurezza informatica in Italia. Tutto questo fino a quando non si definirà chi avrà la responsabilità di effettuare attività di Controllo. Chiudere le porte alla comunità degli hacker etici in un momento storico in cui la sicurezza informatica è fondamentale sarebbe una scelta errata. Dovremmo vedere questo come una occasione per far partecipare alla protezione delle nostre infrastrutture persone capaci e generose ma che al momento non possono operare.
RHC consiglia al decisore politico di rivedere le normative esistenti e di adottare un’approccio che incoraggi e sostenga chi vuole contribuire al bene del paese. Segnalare una vulnerabilità di sicurezza potrebbe rivelarsi un asset prezioso per rafforzare la sicurezza informatica nazionale. Tutto questo in un’era in cui le minacce informatiche sono sempre più insidiose, diffuse e sofisticate.
Come Red Hot Cyber, rimaniamo come sempre a disposizione qualora ci sia la voglia di collaborare per realizzare tutto questo.
RedazioneIl 18 novembre 2025, alle 11:20 UTC, una parte significativa dell’infrastruttura globale di Cloudflare ha improvvisamente cessato di instradare correttamente il traffico Internet, mostrando a milion...
Questo è il quinto di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in coincidenza con la Giornata Internazionale per l’Eliminazione della Violenza co...
18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
