“Hacker etici”, fatevi avanti? La Confederazione potrebbe pagare chi trova vulnerabilità nei suoi sistemi

“Hacker etici”, fatevi avanti? La Confederazione potrebbe pagare chi trova vulnerabilità nei suoi sistemi

Maggio 10, 2021 - 17:38

Per ora si tratta solo di un progetto pilota ristretto a professionisti selezionati, che partirà il 10 di maggio. A seconda degli esiti la Confederazione potrebbe aprire al “bug bounty”, la pratica di ricompensare chi trova vulnerabilità informatiche nei suoi sistemi.

Il 10 maggio l’Amministrazione federale e la società Bug Bounty Switzerland lanciano un progetto pilota nell’ambito del cosiddetto “bug bounty”, la pratica con cui vengono ricompensati gli “hacker etici” che trovano delle vulnerabilità in un sistema informatico. Lo comunica oggi la stessa Amministrazione federale.

“Nelle prossime due settimane verrà svolto un test sotto la guida del Centro nazionale per la cibersicurezza (NCSC) allo scopo di acquisire una prima esperienza con i programmi bug bounty e valutare il futuro utilizzo delle infrastrutture di amministrazioni pubbliche e imprese sotto il profilo della sicurezza”, spiega il comunicato.

“L’Amministrazione federale intende sfruttare le possibilità offerte dai programmi bug bounty e capire come essi possano fornire un contributo decisivo alla sicurezza delle infrastrutture di amministrazioni pubbliche e imprese”, si legge.

Si tratta del primo progetto in quest’ambito dell’Amministrazione federale. “Il test inizia il 10 maggio 2021 e durerà due settimane”, spiega l’amministrazione federale. “Nei programmi bug bounty, i cosiddetti «hacker etici» – che operano in un quadro definito e nel rispetto della legge – sono incaricati di individuare eventuali vulnerabilità nei sistemi informatici di un’organizzazione. Per ciascuna vulnerabilità trovata e convalidata («bug») vengono ricompensati («bounty») in base alla gravità della vulnerabilità trovata”.

“Il progetto pilota della Confederazione è stato chiaramente delimitato definendo alcuni capisaldi”, precisa il comunicato. “In primo luogo, il test verrà svolto su due sistemi del Dipartimento federale degli affari esteri (DFAE) e un sistema dei Servizi del Parlamento. In secondo luogo, per questo primo test il gruppo di hacker etici è stato circoscritto a professionisti noti all’NCSC o alla BBS che si sono già distinti in altri progetti. Poiché l’Amministrazione federale, come altri settori regolamentati, deve soddisfare requisiti severi in termini di protezione dei dati ed esige che i dati siano conservati su server in Svizzera, negli ultimi mesi BBS ha sviluppato, con il supporto tecnico di Microsoft Svizzera, una propria piattaforma di bug bounty completamente gestita sul territorio svizzero. La piattaforma si basa sulle più avanzate tecnologie cloud e soddisfa i requisiti della Confederazione e di altri settori regolamentati, come quello delle infrastrutture critiche”.

“L’attuazione del programma bug bounty è affidata a BBS e sarà seguita costantemente dall’NCSC nonché da rappresentanti del DFAE e dei Servizi del Parlamento. Il test servirà a gettare le basi per una discussione su come procedere nell’utilizzo dei programmi bug bounty”.

Maggiori informazioni sono previste per giovedì 20 maggio, quando BBS fornirà ulteriori informazioni sul progetto pilota.