martedì 6 dicembre 2016

Bug Bounty program: un programma nazionale per mettere al sicuro dati e infrastrutture della PA digitale

Scovare il talento informatico nascosto nei giovani italiani e contribuire così a colmare il gap di esperti del settore è il principale obiettivo di CyberChallenge.IT, nuovo progetto organizzato dal centro di Ricerca di Cyber Intelligence e Information Security dell’Università Sapienza. Destinato a una fascia d’età compresa tra i 18 e i 23 anni si svolgerà presso l’ateneo romano da marzo a maggio 2017 dopo una prima selezione.

Nel frattempo però vanno messe in sicurezza le reti informatiche della pubblica Amminsitrazione italiana e perciò facciamo una modesta proposta, quella di avviare un Bug Bounty Program a livello nazionale. Andiamo con ordine e facciamoci subito una domanda: quanto sono sicure le applicazioni che erogano servizi della Pubblica Amministrazione?

I recenti casi delle clamorose falle presenti nei portali 18app.italia.it e mobilita.gov.it hanno alimentato il dibattito sul reale livello di sicurezza offerto dalle piattaforme “di pubblica utilità” gestite dal nostro Governo.

Mi capita di sovente di ricevere segnalazioni di questo genere, molto spesso i tempi di risposta delle amministrazioni sono disarmanti e questo a tutto vantaggio di malintenzionati che possono sfruttare questa atavica lentezza nel risolvere i problemi per assestare duri colpi alla Pubblica Amministrazione, e quindi al cittadino.

paganini

Sicurezza digitale: dati allarmanti per la PA

I nostri dati sono spesso custoditi da software poco sicuri, per il cui sviluppo non sono state seguite le regole di “secure coding,” ovvero pratiche per lo sviluppo di applicazioni prive di falle come quelle emerse di recente.

Per quale motivo accade tutto ciò?

In primis, vi è scarsa attenzione agli aspetti di sicurezza, ci si accorge della necessità di dover adeguatamente proteggere i nostri dati solo dopo il verificarsi di incidenti più o meno clamorosi.
Va detto anche che la difesa di un patrimonio informativo così vasto, e che cresce in maniera esponenziale, è impresa tutt’altro che semplice e che richiede notevoli investimenti.

Di recente a Torino, nel corso del seminario “Cybersecurity: evoluzione e nuove sfide per la Pubblica Amministrazione” sono stati presentati dati allarmanti quanto prevedibili.

L’ultimo report di Clusit evidenzia una crescita del 9% delle attività di spionaggio ai danni del settore pubblico. Nel primo semestre 2016 la Sanità ha subito l’incremento percentuale più elevato di attacchi gravi (+ 144%).

Questi dati ci dicono qualcosa di estremamente importante, la PA è divenuto un bersaglio privilegiato di hacker, criminali informatici e nation-state actors intenti in attività di spionaggio.

bug-bounty

La proposta: il Bug Bounty Program

Come difendersi allora?
È necessario aumentare la consapevolezza della minaccia cibernetica ed adottare best practices che migliorino la nostra postura in materia di “cyber security.”

Partiamo dall’ABC, come avere applicazioni più sicure evitando seri incidenti?
Il bug bounty program potrebbe rappresentare un elemento di reale innovazione in un sistema come quello digitale del nostro paese.

Un bug bounty program è un’iniziativa che premia coloro che scovano una vulnerabilità in un sistema e la riportano in maniera etica a coloro che lo gestiscono.

La ricompensa è solitamente di natura economica, è variabile ed è funzione dell’impatto della vulnerabilità scoperta, e della semplicità con la quale può essere sfruttata in un attacco informatico. Pensiamo ad una falla in un sistema che consente l’autenticazione a molteplici servizi, ad esempio lo SPID, ed ai potenziali effetti sul cittadino.

Se una vulnerabilità simile dovesse esser scoperta potrebbe avere effetti catastrofici sull’identità digitale di ciascuno di noi, mentre un programma di bug bounty program potrebbe stimolare la comunità di white hat hacker (hacker etici) nella ricerca di problemi nelle applicazioni in uso dalla PA e la loro rapida risoluzione.

I bug bounty program oggi sono promossi e finanziati dalle principali aziende mondiali come Facebook, Apple, PayPal e Google, persino il Pentagono ha lanciato una simile iniziativa.
Quali sono i principali vantaggi del bounty program?

Quali gli effetti positivi della proposta?

  1. VANTAGGIO ECONOMICO Iniziative come il Bug Bounty Program consentono un notevole risparmio economico alla PA che dovrebbe remunerare solo la scoperta di falle realmente esistente e non farsi carico della loro ricerca.
  2. QUALITÀ DELLE APPLICAZIONI All’interno del Bug Bounty Program le applicazioni verrebbero testate da un’ampia comunità di hacker etici ottimizzando le attività finalizzate alla scoperta di falle e malfunzionamenti. Vulnerabilità simili a quelle scovate di recente nei nostri sistemi avrebbero vita breve.
    Applicazioni più sicure, minori rischi per gli utenti: Applicazioni sottoposte a bug bounty program sono sicuramente più difficili da bucare da parte degli hacker che dovranno inevitabilmente investire maggiori risorse per trovare falle da sfruttare in attacchi.
  3. RIDUZIONE DEI TEMI DI RISOLUZIONE DELLE VULNERABILITÀ: Il coinvolgimento di ampie comunità di hacker in attività di bug bounty potrebbe ridurre drasticamente il ciclo di vita di una vulnerabilità, in particolare il tempo che intercorre dalla sua scoperta alla messa in esercizio di una aggiornamento che la risolve.
    In questo modo le applicazioni risultano meno esposte ad attacchi. Inoltre tale relazione con le comunità di hacking consente di beneficiare del loro supporto per elaborare rapidamente soluzioni ai problemi riscontrati.
  4. RELAZIONE DIRETTA CON GLI HACKER ETICI: Uno dei benefici principali di tali relazioni consiste nella possibilità di selezionare i professionisti che si distinguono in tali attività con vantaggi per coloro che intendono assumerli e per i professionisti stessi che desiderano proporsi alle organizzazioni governative.
  5. SVILUPPO DELLE PRATICHE DI SECURE CODING NELLA PA: I fornitori di applicazioni per la pubblica amministrazioni dovranno inevitabilmente dedicare maggiore attenzione nella progettazione di codice sicuro.
    I bug bounty program sono pubblici e sviluppare applicazioni “sicure” per le PA potrebbe dare alle aziende private maggiore visibilità e aumentare la loro reputazione. In maniera duale, fornitori manchevoli sotto il profilo sicurezza verrebbero immediatamente individuate con ovvie ripercussioni.

Effetti collaterali del bug bounty program
I bug bounty program promuovono cultura dell’hacking etico: Sebbene rivendere la conoscenza di una falla al black market sia più redditizio, tali attività possono incentivare lo sviluppo di una cultura dell’hacking etico avvicinando i giovani a percorsi formativi legali e fondamentali per la nostra collettività.

Oltre ai bug bounty program potremo pensare di organizzare anche “contest” dedicati alla PA, ovvero manifestazioni in cui hacker etici si sfidano per trovare falle nei sistemi governativi ed essere remunerati.
Insomma è evidente che i vantaggi di tali iniziative sono tanti e proporli nell’attuale contesto italiano potrebbe rappresentare un elemento di innovazione storico per la “TRASFORMAZIONE DIGITALE” del nostro paese.
La cyber security come valore aggiunto nella nostra PA e volano di iniziative per lo sviluppo tecnologico del nostro paese.

PIERLUGI PAGANINI*

*Direttore del master in Cybersecurity della Link Campus University di Roma.
Blog: Security Affairs

L'articolo Bug Bounty program: un programma nazionale per mettere al sicuro dati e infrastrutture della PA digitale sembra essere il primo su Che Futuro!.



Fonte: http://www.chefuturo.it/2016/12/bug-bounty-program-un-programma-nazionale-per-mettere-al-sicuro-dati-e-infrastutture-della-pubblica-amministrazione-digitale/

Nessun commento:

Posta un commento