Hacking etico: programmi per piccole imprese e comunità
Bug Bounty Switzerland e l'Università di Scienze Applicate di Zurigo ZHAW hanno lanciato un progetto di ricerca comune con l'obiettivo di rendere i programmi di ethical hacking accessibili alle PMI e ai comuni. Uno studio preliminare è già in corso ed è sostenuto dalla Innosuisse.
Come possono le piccole organizzazioni, anche con risorse e know-how IT limitati, ottenere un facile accesso ai programmi bug bounty per aumentare efficacemente la loro sicurezza IT? Scoprirlo è l'obiettivo di uno studio lanciato da Bug Bounty Svizzera insieme all'Università di Scienze Applicate di Zurigo ZHAW, che è sostenuto dall'agenzia svizzera di finanziamento dell'innovazione Innosuisse. In un progetto preliminare che è iniziato di recente, il gruppo target delle PMI e dei comuni sarà prima indagato per capire quali bisogni speciali hanno queste organizzazioni, dove si trovano gli ostacoli all'hacking etico e come dovrebbe essere progettata un'offerta adeguata.
Hacking etico: il concetto di bug bounty
Il concetto di bug bounty, vale a dire la ricerca di vulnerabilità nelle infrastrutture IT da parte di hacker etici che vengono ricompensati per le loro scoperte, ha ora preso piede in Svizzera - non da ultimo grazie al lavoro pionieristico di Bug Bounty Switzerland. Con la sua offerta di servizi olistici (dalla consulenza all'impostazione del programma e al supporto ai clienti fino all'assistenza per colmare le lacune di sicurezza) e la sua piattaforma ospitata in Svizzera, l'azienda è riuscita a rendere i programmi di bug bounty accessibili a più aziende. Tuttavia, oggi sono soprattutto le organizzazioni più grandi come l'Ospedale Universitario di Zurigo, Ringier, Valiant Bank, il Gruppo Baloise o BKW a condurre programmi continui di ethical hacking. Con il progetto di ricerca congiunto con la ZHAW, Bug Bounty Switzerland persegue ora l'obiettivo di ridurre ulteriormente la complessità del metodo, in modo che anche le piccole organizzazioni possano avere accesso ed essere autorizzate a migliorare continuamente la loro sicurezza informatica.
Date le spesso scarse risorse finanziarie IT nelle piccole organizzazioni, lo studio preliminare consiste nello scoprire quali modelli di finanziamento alternativi sono concepibili e quali incentivi non monetari potrebbero essere offerti agli hacker etici. Inoltre, c'è la questione di fornire il know-how necessario per affrontare le vulnerabilità identificate. In particolare, devono essere coinvolti anche i fornitori di servizi esterni che si occupano della gestione dei sistemi informatici come fornitori di outsourcing. Infine, i ricercatori sono anche interessati alla misura in cui una comunità di utenti di bug bounty potrebbe essere utile per lo scambio di informazioni tra di loro e con gli hacker etici.
Nessuna digitalizzazione senza sicurezza informatica: "Digital Trust
La sicurezza informatica è rilevante per tutti coloro che si affidano a modelli e processi aziendali moderni nel contesto della digitalizzazione. Dopo tutto, la trasformazione digitale può avere successo solo se gli utenti e i clienti hanno fiducia nei processi e nella sicurezza dei loro dati e questi rimangono eseguibili. In questo contesto, si parla anche di "fiducia digitale". Tuttavia, questa fiducia è a rischio quando ogni settimana si verificano nuove fughe di dati e le lacune di sicurezza possono essere sfruttate. Oggi, anche le PMI e i comuni cadono sempre più spesso nelle grinfie dei criminali informatici.
"Se la trasformazione digitale in tutta la Svizzera deve avere successo, non dobbiamo trascurare le PMI - e anche il settore pubblico - in termini di sicurezza", sottolinea Peter Heinrich dell'unità di gestione dei processi e sicurezza dell'informazione presso la Scuola di management e diritto ZHAW. Non è sufficiente indicare semplicemente le lacune di sicurezza: "Dobbiamo creare una reale capacità di azione". Le organizzazioni devono avere i mezzi e il know-how per valutare correttamente la loro vulnerabilità e prendere decisioni sensate. Vogliamo scoprire dove hanno bisogno di aiuto per aiutarsi.
Un ecosistema svizzero per affrontare le vulnerabilità
In un progetto successivo, Bug Bounty Switzerland e la ZHAW vogliono lavorare sull'ulteriore sviluppo della piattaforma di Bug Bounty Switzerland in un ecosistema svizzero per la gestione olistica delle vulnerabilità. Questo ha lo scopo di collegare tutte le parti interessate (oltre agli hacker etici, ad esempio le autorità e i fornitori) in un processo continuo di sicurezza delle informazioni e anche essere accessibile e conveniente per le PMI, le micro-organizzazioni e la pubblica amministrazione. "Viviamo in un mondo in rete. Dobbiamo prendere in mano la protezione della Svizzera come sede di attività nella rete globale insieme", spiega Sandro Nafzger, CEO di Bug Bounty Switzerland. "Come pionieri svizzeri del bug bounty, vogliamo contribuire alla sicurezza del paese e al successo della trasformazione digitale: insieme per una Svizzera sicura".
Fonte e ulteriori informazioni: www.bugbounty.ch
