L’Italia ha bisogno di un “Responsible Disclosure” Nazionale! Miglioriamo la sicurezza informatica della PA con gli hacker etici

Redazione RHC : 1 Novembre 2023 10:18

Abbiamo già affrontato questo tema in un precedente articolo, in cui abbiamo evidenziato l’importanza di istituire una “responsable disclosure” a livello nazionale. Come sappiamo, l’Italia è attualmente alle prese con sfide significative nella protezione delle sue infrastrutture nazionali, e dobbiamo recuperare il tempo perduto.

Mentre lavoriamo per migliorare le nostre competenze e i nostri processi di gestione del rischio, è cruciale esplorare modi non convenzionali per coinvolgere il settore privato e i cittadini comuni. Gli hacker etici spesso si chiedono se vale la pena segnalare vulnerabilità nei sistemi, preoccupati delle possibili conseguenze legali o dell’indifferenza delle autorità.

Con questo articolo, ribadiamo l’importanza di avviare un programma di “responsable disclosure” a livello nazionale. Questa iniziativa non solo dimostrerebbe una visione avanzata del rischio a livello internazionale, ma porterebbe anche notevoli vantaggi per il nostro Paese con una spesa minima.

La carenza delle attività di controllo

Supporta Red Hot Cyber attraverso

Seguendo RHC su Telegram

La cybersecurity è una materia complessa, ma alla base c’è un semplice concetto: evitare che un criminale informatico irrompa all’interno di una infrastruttura informatica. Ma il criminale informatico è altamente tecnologico e lavora spesso allo stato dell’arte. Per poterlo contrastare occorre porsi sul suo stesso livello con tecnici altamente specializzati. Ma questi dove sono? Hanno capacità di agire a 360 gradi sulle infrastrutture critiche nazionali?

In Italia esistono due entità distinte che svolgono ruoli chiave in questo contesto. La prima definisce come operare, definendo regole e principi guida per le organizzazioni. La seconda è dedicata più a quello che si definisce in gergo tecnico “Post mortem”. Quindi interviene in caso di violazioni di sicurezza e incidenti informatici per mitigarne gli effetti e avviare le indagini del caso.

Tuttavia, un grave vuoto persiste nell’ecosistema della sicurezza informatica in Italia: le attività di controllo.

In ottica di ICT Risk Management, manca quindi una entità che possa effettuare cicli di assessment per verificare l’adozione delle policy e normative emesse. Inoltre potrebbe attuare sanzioni, ma soprattutto consentire di avviare quel circolo virtuoso del Do Check, Act e Plan, proprio del ciclo di Deming.

Manca quindi un’entità specifica incaricata ad effettuare controlli tecnici operativi e definire azioni di remediation. Un elemento fondamentale per individuare i problemi e successivamente risolverli. Ad oggi questo non è possibile sia per carenza di personale tecnico specializzato, ma ancor meno per problematiche di interpretazione di mandato. Infatti a livello di decreti, non è stato mai riportato da nessuna parte il concetto di Controllo o di Assessment. Questa mancanza può avere un impatto significativo sulla capacità del paese di affrontare i processi inerenti le minacce cibernetiche in modo efficace, strutturato e proattivo.

Affrontare queste lacune anche a livello normativo risulta essenziale per rafforzare la sicurezza nazionale in Italia, soprattutto quando si parla di infrastrutture critiche nazionali.

La necessità di definire un programma di Responsible Disclosure Nazionale

Siccome la Cybersecurity è collaborazione, in questo contesto, emerge sempre di più la necessità di attivare un programma di “Responsible Disclosure” nazionale. Una strategia che permetta di segnalare vulnerabilità in modo responsabile e trasparente da parte dei semplici cittadini che hanno capacità di “hacking” in modo responsabile e controllato sulle infrastrutture della PA.

Un programma di “Responsible Disclosure” è un processo che entra in vigore solo quando un’entità (sia essa pubblica o privata) comprende che la condivisione e la collaborazione tra tutte le parti coinvolte possa offrire un vantaggio strategico in termini di efficienza e di tempestività nell’azione. È importante notare che questo è un percorso virtuoso che si avvia dopo anni di adozione di un programma di sicurezza cibernetica allo stato dell’arte. Quindi quanto siamo indietro?

Infatti, nel corso del tempo, le organizzazioni tendono a evolversi da una prima fase in cui nascondono le vulnerabilità di sicurezza a un approccio più trasparente. Infatti si può arrivare fino ad offrire “compensazioni” alle persone che segnalano bug di sicurezza, attraverso programmi noti come “bug bounty”.

Il Responsible Disclosure incentiva l’atto di scoprire e segnalare vulnerabilità e falle di sicurezza ad un’organizzazione, consentendo a questi ultimi di correggere i problemi. Sul piano normativo, oggi, un test di sicurezza su un’infrastruttura che non è dotata di una specifica policy di “responsible disclosure” è considerato un attacco informatico perseguibile dalla legge. Tuttavia, la sfida sta nel coinvolgere in modo efficace gli hacker etici portando un beneficio alla sicurezza nazionale.

Molte nazioni si stanno già organizzando in tal senso per coinvolgere hacker etici e incentivare la comunità a segnalare vulnerabilità e falle di sicurezza nelle infrastrutture critiche nazionali. Ad esempio, in Belgio è stata recentemente introdotta una normativa che permette agli hacker etici di testare i siti web e segnalare le vulnerabilità rilevate entro 72 ore. Questo è solo un esempio di come le nazioni stiano riconoscendo il valore della collaborazione tra hacker etici e organizzazioni governative.

Ipotesi di sviluppo di un programma di Responsible Disclosure Nazionale

Cosa potrebbe fare l’Italia per sfruttare appieno questa risorsa preziosa? Come detto, la risposta potrebbe essere l’istituzione di una “Responsible Disclosure” nazionale. In questo modello, gli hacker etici interessati dovrebbero:

Registrarsi ad esempio tramite SPID in un portale fornendo i loro dati prima di poter partecipare al programma. Il nominativo che verrà visualizzato alla community potrà anche essere uno pseudonimo scelto dall’hacker;

All’interno del sito, una volta registrati, si potrà accedere all’elenco dei target testabili. Si dovrebbe implementare una sorta di HackerOne governativo;
All’interno del sito saranno presenti sia gli entry-point web e gli Indirizzi IP delle organizzazioni governative che prendono parte al programma che risulteranno testabili;
Ogni tester potrà scaricare il pacchetto VPN, che verrà fornita solo dopo la registrazione e la verifica dell’identità. Tale VPN consentirà di identificare gli indirizzi IP associati agli account degli hacker etici. Questo approccio consente di distinguere chi sta svolgendo attività etiche di controllo rispetto a chi sta effettuando attacchi reali;

All’interno del sito verrà riportata una classifica degli hacker etici che hanno scoperto più bug di sicurezza. All’interno della dashboard verrà pubblicato il nome (o lo pseudonimo dell’hacker) e il numero dei bug rilevati. Sarà possibile selezionare i dettagli che mostreranno solo il nome dell’entità governativa (qualora questa acconsenta) sulla quale sono stati rilevati i bug di sicurezza;
La classifica sarà pubblica in modo da consentire alle testate giornalistiche di individuare i migliori hacker che collaborano in questa challenge e darne lustro;
Alla fine dell’anno solare, verranno dati dei premi in denaro agli hacker che hanno rilevato il maggior numero di bug sulle infrastrutture testabili.

Tutto questo consente anche di stabilire una graduatoria sulle capacità degli hacker etici utilizzabile sia per fini di protezione che di contro-attacco, qualora fosse necessario.

Gestione dei piani di rientro

Questo consentirebbe di individuare falle di sicurezza che dovranno essere risolte per mettere in sicurezza le infrastrutture prima che un criminale informatico le possa sfruttare. Sarà necessario un processo di monitoraggio verso le pubbliche amministrazioni per verificare che tali piani di rientro vengano messi in atto in tempi relativamente brevi.

Tale processo potrà essere implementato all’interno del sistema di gestione del programma di Responsible Disclosure. Si tratta dell’implementazione di un GRC che permetta il monitoraggio dei piani di rientro nel tempo e consenta la mitigazione o l’eliminazione del rischio.

Conclusioni

In sintesi, l’attivazione di una “Responsible Disclosure” nazionale rappresenterebbe un passo importante per migliorare la sicurezza informatica in Italia. Tutto questo fino a quando non si definirà chi avrà la responsabilità di effettuare attività di Controllo. Chiudere le porte alla comunità degli hacker etici in un momento storico in cui la sicurezza informatica è fondamentale sarebbe una scelta errata. Dovremmo vedere questo come una occasione per far partecipare alla protezione delle nostre infrastrutture persone capaci e generose ma che al momento non possono operare.

RHC consiglia al decisore politico di rivedere le normative esistenti e di adottare un’approccio che incoraggi e sostenga chi vuole contribuire al bene del paese. Segnalare una vulnerabilità di sicurezza potrebbe rivelarsi un asset prezioso per rafforzare la sicurezza informatica nazionale. Tutto questo in un’era in cui le minacce informatiche sono sempre più insidiose, diffuse e sofisticate.

Come Red Hot Cyber, rimaniamo come sempre a disposizione qualora ci sia la voglia di collaborare per realizzare tutto questo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.