Il Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera ha annunciato oggi che l’amministrazione federale ha acquisito una piattaforma centrale per gestire dei bug bounty “allo scopo di potenziare la sicurezza dell’infrastruttura IT e ridurre i ciber-rischi in modo efficace ed economicamente vantaggioso”. L’annuncio è stato dato anche dal Dipartimento federale delle finanze.
Secondo lo schema classico dei bug bounty, gli hacker verranno invitati a testare la sicurezza dei sistemi informatici dell’amministrazione rispettando un regolamento e dei vincoli di riservatezza. Il progetto verrà gestito in collaborazione con la società lucernese Bug Bounty Switzerland SA. I dettagli delle condizioni di partecipazione non sono ancora stati resi pubblici.
Non è la prima esperienza federale del genere: per esempio, nel 2021 è stato realizzato un progetto pilota che ha scoperto dieci vulnerabilità (una delle quali era considerata critica) nei sistemi informatici del Dipartimento federale degli affari esteri e del Parlamento. Un analogo test pubblico di sicurezza è stato effettuato a giugno 2021 per verificare la sicurezza dell’app Covid Certificate di gestione dei certificati Covid. Nel 2019 un bug bounty organizzato dalla Posta svizzera per testare il sistema di voto elettronico, offrendo premi fino a 50.000 CHF, ha rivelato errori che hanno poi portato alla sospensione del progetto di e-voting.
I bug bounty possono sembrare strani ai non addetti ai lavori: vengono spesso considerati l’equivalente di pagare uno scassinatore per far valutare la sicurezza di una cassaforte. In realtà il paragone andrebbe fatto coinvolgendo un fabbro più che uno scassinatore. In ogni caso, si è visto che il sistema funziona e costa relativamente poco, tant’è vero che praticamente tutte le società informatiche più grandi del mondo offrono bug bounty, spesso molto sostanziosi.
Fonti aggiuntive: La Regione, RSI, Swissinfo, Netzwoche, Bugbounty.
Nessun commento:
Posta un commento