la proposta

Sicurezza PA, tempo di “responsible disclosure” e “bounty program” anche in Italia

Programmi con premi e incentivi a specialisti che segnalano le vulnerabilità individuate nei sistemi informatici della PA, come quelli avviati in molte aziende private e in alcune agenzie governative americane potrebbero dare un contributo importante alla sicurezza cyber negli enti pubblici, Ecco di cosa si tratta

27 Set 2019
sicurezza_598379723

Alcuni passi importanti sono stati fatti, in Italia, per migliorare la sicurezza cyber negli enti pubblici – pensiamo ad esempio all’introduzione del Cybersecurity Act o alle misure dell’ultimo Piano triennale per l’informatica nella PA –  ma ancora niente si è mosso per incentivare azioni per individuare le vulnerabilità informatiche; per avviare una campagna di responsible disclosure (annunciata due anni fa senza frutto dal Team Digitale).

Sarebbe interessante e pratico, ad esempio, avviare programmi con premi ed incentivi a specialisti informatici che segnalano le vulnerabilità individuate in un sistema, come quelli avviati in molte aziende private e in alcune agenzie governative americane.

E’ un passaggio urgente: la pubblica amministrazione è sempre più spesso nel mirino di attacchi informatici di vario tipo – si veda ad esempio il fenomeno ransomware – in grado di incidere tanto sulla vita di cittadini e imprese.

I Vulnerability Reward Programs

Una tecnica utilizzata per affrontare il problema delle vulnerabilità a livello internazionale, anche alla luce del fallimento dei sistemi di Intrusion Detection/Prevention, è rappresentata dai Vulnerability Reward Programs – anche noti come Bug Bounty Programs. Si tratta di un’evoluzione dei classici sistemi di penetration testing che prevede l’avvio di programmi ben definiti e regolamentati nei quali vengono riconosciuti premi ed incentivi a specialisti informatici che segnalano lealmente le vulnerabilità individuate in un sistema. Questi programmi possono essere di tipo chiuso, ovvero ammettere alla partecipazione solo utenti selezionati – ad esempio ricercatori fidati, con un certo livello di autorità, o altresì i dipendenti stessi dell’azienda – come possono anche essere di tipo aperto e rivolgersi quindi ad una platea più ampia di ricercatori che a livello globale mettono a disposizione le proprie competenze per testare l’affidabilità dei sistemi.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Mentre alcune tra le principali aziende del mercato IT hanno scelto di realizzare programmi privati, spesso accessibili solo su invito o riservati ai propri dipendenti – è il caso, ad esempio, di Google e dei suoi Vulnerability Reward Programs o dei vari Microsoft Bug Bounty Programs – altre importanti società leader del settore hanno scelto di aderire a piattaforme aperte, aprendosi ad una platea di hackers decisamente più ampia e caratterizzata da svariati profili ed esperienze. Infatti, negli ultimi anni sono nate numerose piattaforme che si occupano di fornire sia alle aziende che ai ricercatori tutti gli strumenti necessari a garantire riservatezza e correttezza, a tutela di entrambi gli attori in gioco. Alcune tra le piattaforme più diffuse sono HackerOne, che conta oltre 300.000 ricercatori registrati e ai quali nell’ultimo anno sono stati riconosciuti premi in denaro per circa 19 milioni di dollari, BugCrowd, con circa 37.000 vulnerabilità registrate e premi in denaro per oltre 6 milioni di dollari nell’ultimo anno, e YesWeHack, la prima piattaforma di Bug Bounty europea avviata a metà 2016 e sulla quale nel 2018 sono state scoperte circa 6.300 vulnerabilità. Molte importanti software house hanno aderito a questa tipologia di approccio per la ricerca delle vulnerabilità e, attualmente, queste piattaforme sono ampiamente diffuse in tutto il mondo e ospitano programmi di Bug Bounty di indubbio prestigio e ricercatori di comprovata professionalità e specializzazione.

Proprio a conferma della portata di questa tipologia di approccio, è significativo evidenziare che alcune importanti agenzie governative americane, da sempre all’avanguardia nel settore della cyber security, hanno scelto di utilizzare una piattaforma aperta per avviare alcuni programmi di ricerca delle vulnerabilità. Un ottimo esempio è rappresentato dal programma “Hack the Pentagon” una iniziativa pilota del Ministero per la Difesa del Governo degli Stati Uniti che, per circa 30 giorni nel 2016, è stata attivata sulla piattaforma HackerOne e ha visto partecipare oltre 1.400 ricercatori. Tra questi, 250 hacker hanno individuato circa 138 vulnerabilità nei sistemi governativi selezionati e sono stati premiati con oltre $75.000. Successivamente, sono stati avviati altri programmi di ricerca finanziati dal Ministero per la Difesa del Governo degli Stati Uniti, “Hack the U.S. Army” e “Hack the Air Force”, quest’ultimo risulta a tutt’oggi ancora attivo.

La cyber security nella PA italiana

L’impegno delle aziende governative americane nel settore della ricerca delle vulnerabilità informatiche dimostra l’importanza di mantenere alta l’attenzione sulla cyber-security anche nel settore delle Amministrazioni Pubbliche che sempre più di frequente sono soggette ad attacchi e minacce informatiche di vario genere. La cronaca recente racconta di come molti enti locali siano stati oggetto di attacchi crypto-ransomware e, alcuni di essi abbiano preferito pagare riscatti di fronte alla minaccia di perdere il possesso dei propri dati e delle proprie informazioni. Nella P.A. italiana devono ancora essere fatti molti passi avanti in questo ambito, in primis sviluppando un approccio critico e orientato al risultato. Una importante evoluzione può essere rappresentata dall’introduzione del Cybersecurity Act, il Regolamento emanato con D.Lgs. 65/2018 che recepisce la Direttiva Europea NIS 2016/1148 e che è entrato in vigore il 27 giugno 2019. Come definito all’art.1, il regolamento “stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea”.

Un ulteriore importante segnale è rappresentato dall’importanza che l’Agid ha voluto riservare nel Piano Triennale per l’informatica nella P.A. 2019-2021, alla catalogazione delle vulnerabilità informatiche mediante l’implementazione e lo sviluppo del National Vulnerability Database (NVD) con nuovi strumenti a supporto delle amministrazioni e dei ricercatori.

Bounty program anche in Italia

Tuttavia, allo stato non sono documentate azioni finalizzate ad incentivare la ricerca delle vulnerabilità negli Enti pubblici italiani; le norme al momento nemmeno contemplano la responsible disclosure (e spesso condannano i white hat o hacker etici per accesso abusivo ai sistemi informatici).

Potrebbe, invece, essere interessante ipotizzare anche nelle nostre P.A. l’avvio di simili programmi, eventualmente in forma chiusa e, magari, riservati esclusivamente al personale tecnico già operante presso l’amministrazione stessa. Ai partecipanti potrebbe essere riconosciuto un incentivo premiante nell’ambito delle previsioni normative del D.Lgs. 150/2019 e nell’ottica del miglioramento della performance organizzativa delle Amministrazioni. Un simile approccio avrebbe certamente consentito di individuare per tempo una falla nel sistema informatico, come ad esempio quella recentemente scoperta casualmente presso la Procura di Milano che, stando a quanto riportato dalla stampa nazionale, causava una inconsapevole promiscuità di alcune cartelle private dei PM, rendendone il contenuto accessibile anche ad altri utenti connessi alla rete ministeriale.

Qualunque sia la modalità di approccio che si preferisca intraprendere, bisogna prima di tutto rendersi conto che i tempi sono maturi affinché siano attuati i necessari investimenti nell’ambito della sicurezza informatica, guardando a soluzioni efficaci ed efficienti che possano finalmente alzare sensibilmente e consapevolmente il livello di sicurezza dei sistemi informatici, ai fini di mitigare il più possibile i rischi e le minacce, sempre nuove ed in evoluzione, a cui sono quotidianamente esposti i nostri sistemi.

Confidiamo quindi che si riprenda l’idea del Team Digitale di avviare una responsible disclosure in Italia.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati