Hacking etico: programmi per piccole imprese e comunità

Come possono le piccole organizzazioni, anche con risorse e know-how IT limitati, ottenere un facile accesso ai programmi bug bounty per aumentare efficacemente la loro sicurezza IT? Scoprirlo è l'obiettivo di uno studio lanciato da Bug Bounty Svizzera insieme all'Università di Scienze Applicate di Zurigo ZHAW, che è sostenuto dall'agenzia svizzera di finanziamento dell'innovazione Innosuisse. In un progetto preliminare che è iniziato di recente, il gruppo target delle PMI e dei comuni sarà prima indagato per capire quali bisogni speciali hanno queste organizzazioni, dove si trovano gli ostacoli all'hacking etico e come dovrebbe essere progettata un'offerta adeguata.

Hacking etico: il concetto di bug bounty

Il concetto di bug bounty, ovvero la ricerca di vulnerabilità nelle infrastrutture informatiche da parte di hacker etici che vengono ricompensati per le loro scoperte, ha preso piede anche in Svizzera, non da ultimo grazie al lavoro pionieristico di Bug Bounty Switzerland. Con la sua offerta di servizi completi (dalla consulenza all'impostazione del programma, dal supporto ai clienti all'assistenza per colmare le lacune di sicurezza) e la propria piattaforma ospitata in Svizzera, l'azienda è riuscita a rendere i programmi di bug bounty accessibili a un maggior numero di aziende. Tuttavia, oggi sono soprattutto le organizzazioni più grandi, come l'Ospedale universitario di Zurigo, Ringier, Valiant Bank, il Gruppo Baloise o BKW, a condurre programmi continui di hacking etico. Con il progetto di ricerca congiunto con la ZHAW, Bug Bounty Switzerland persegue ora l'obiettivo di ridurre ulteriormente la complessità del metodo, in modo che anche le piccole organizzazioni possano accedervi e avere la possibilità di migliorare costantemente la propria sicurezza informatica. Date le risorse finanziarie spesso scarse delle piccole organizzazioni, lo studio preliminare mira a scoprire quali modelli di finanziamento alternativi sono concepibili e quali incentivi non monetari potrebbero essere offerti agli hacker etici. Inoltre, c'è la questione di fornire il know-how necessario per affrontare le vulnerabilità identificate. In particolare, devono essere coinvolti anche i fornitori di servizi esterni che si occupano della gestione dei sistemi informatici come fornitori di outsourcing. Infine, i ricercatori sono anche interessati alla misura in cui una comunità di utenti di bug bounty potrebbe essere utile per lo scambio di informazioni tra loro e con gli hacker etici.

Nessuna digitalizzazione senza sicurezza informatica: "Digital Trust

La sicurezza informatica è importante per tutti coloro che si affidano a modelli e processi aziendali moderni nel contesto della digitalizzazione. Dopo tutto, la trasformazione digitale può avere successo solo se gli utenti e i clienti hanno fiducia nei processi e nella sicurezza dei loro dati e se questi rimangono eseguibili. In questo contesto si parla anche di "fiducia digitale". Tuttavia, questa fiducia è a rischio quando ogni settimana si verificano nuove fughe di dati e le lacune di sicurezza possono essere sfruttate. Oggi anche le PMI e i comuni cadono sempre più spesso nelle grinfie dei criminali informatici. "Se la trasformazione digitale in Svizzera nel suo complesso deve avere successo, non dobbiamo trascurare le PMI - e anche il settore pubblico - in termini di sicurezza", sottolinea Peter Heinrich dell'unità Gestione dei processi e sicurezza delle informazioni della ZHAW School of Management and Law. Non basta evidenziare le lacune in materia di sicurezza: "Dobbiamo creare una reale capacità di agire. Le organizzazioni devono avere i mezzi e le conoscenze per valutare correttamente la propria vulnerabilità e prendere decisioni sensate. Vogliamo scoprire dove hanno bisogno di aiuto per aiutarsi.

Un ecosistema svizzero per affrontare le vulnerabilità

In un progetto successivo, Bug Bounty Switzerland e la ZHAW vogliono lavorare sull'ulteriore sviluppo della piattaforma di Bug Bounty Switzerland in un ecosistema svizzero per la gestione olistica delle vulnerabilità. Questo ha lo scopo di collegare tutte le parti interessate (oltre agli hacker etici, ad esempio le autorità e i fornitori) in un processo continuo di sicurezza delle informazioni e anche essere accessibile e conveniente per le PMI, le micro-organizzazioni e la pubblica amministrazione. "Viviamo in un mondo in rete. Dobbiamo prendere in mano la protezione della Svizzera come sede di attività nella rete globale insieme", spiega Sandro Nafzger, CEO di Bug Bounty Switzerland. "Come pionieri svizzeri del bug bounty, vogliamo contribuire alla sicurezza del paese e al successo della trasformazione digitale: insieme per una Svizzera sicura". Fonte e ulteriori informazioni: www.bugbounty.ch

Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/ethical-hacking-programme-fuer-kleinunternehmen-und-gemeinden/