I cybercriminali utilizzano sempre nuovi espedienti per accedere ai computer e ai dati delle proprie vittime. Per questo motivo gli esperti di IT Security della Posta sviluppano costantemente nuovi metodi per migliorare la protezione dell’infrastruttura informatica aziendale. Una possibilità effettiva per individuare ed eliminare più rapidamente le falle di sicurezza è rappresentata dai programmi bug bounty, con cui gli hacker vengono invitati a controllare le vulnerabilità dei sistemi IT, ricevendo in cambio una ricompensa per ogni lacuna individuata. Ma ora la Posta si spinge oltre: anziché limitarsi a un semplice invito, apre a tutti la possibilità di mettersi a caccia di bug.
La Posta è stata una delle prime aziende svizzere ad avviare un programma permanente di bug bounty a maggio 2020. Si tratta di un’iniziativa che invita gli hacker a verificare le vulnerabilità di determinati sistemi IT, ricevendo in cambio una ricompensa per ogni problema di sicurezza individuato, con il fine ultimo di migliorare la sicurezza dei servizi digitali dell’azienda. Hacker ben intenzionati, detti anche «hunter», vengono così sguinzagliati per scovare eventuali falle di sicurezza, per ciascuna delle quali viene corrisposto un indennizzo o bounty. Marcel Zumbühl, Chief Information Security Officer della Posta, è convinto che il programma bug bounty rappresenti l’integrazione ottimale per i test di sicurezza già esistenti: «La sicurezza è un processo, non uno stato. Il programma bug bounty ci permette di potenziare la sicurezza delle nostre informazioni e, inoltre, di sfruttare le conoscenze collettive della community internazionale degli hacker per perfezionare i processi in uso». Nel momento in cui un hacker individua una vulnerabilità, la Posta avvia apposite misure per risolverla e incarica i propri esperti di verificare se il bug segnalato può avere un impatto su altre applicazioni. Ciò significa che, ad esempio in caso di una potenziale manipolazione, occorre appurare se tale criticità può colpire anche altri servizi. Se il problema ha delle ripercussioni, la Posta colma le falle di sicurezza riscontrate. «Dal lancio del programma abbiamo già trovato 500 vulnerabilità e pagato circa 250’000 franchi in ricompense» rivela soddisfatto Zumbühl, che aggiunge: «Solo dagli errori si può imparare e quindi migliorare».
Programma bug bounty al via con servizi specifici Ora la Posta è decisa a spingersi oltre. Fino a questo momento, infatti, ha adottato esclusivamente un programma privato, il che significa che gli hacker potevano ricercare le vulnerabilità dei sistemi solo se venivano invitati a farlo, perché soltanto in questo caso venivano autorizzati ad accedere al programma bug bounty. Ora, invece, ogni hacker registrato ha la possibilità di andare a caccia di bug attraverso la piattaforma bug bounty di YesWeHack. L’ammontare delle bounty, o ricompense per le vulnerabilità confermate, varia a seconda della criticità della vulnerabilità trovata. I premi vanno dai 50 fino a 10’000 franchi. Zumbühl precisa: «Inizialmente il programma pubblico bug bounty riguarderà i servizi che sono già stati migliorati nella prima parte privata: vale a dire il login clienti della Posta, il Postshop, la Post-App, il servizio di bike sharing PubliBike e tante altre prestazioni online come WebStamp, I miei invii, la gestione degli indirizzi, i servizi per i destinatari e la soluzione di pagamento BillingOnline».
«Stiamo progressivamente integrando nuovi servizi nel programma bug bounty privato e in futuro confidiamo di inserirli anche in quello pubblico», spiega Zumbühl.
Violare sistemi IT in Svizzera è considerato un reato. Per questo, in collaborazione con la Confederazione e i Cantoni, la Posta ha dovuto innanzitutto creare un quadro giuridico per tutelare gli hacker da azioni penali. È stato definito così un cosiddetto «Legal safe harbour», letteralmente approdo giuridico sicuro, ovvero un regolamento che consente di depenalizzare i cybercriminali in determinate condizioni, disciplinate chiaramente. In cambio, la Posta riceve informazioni sulla procedura adottata dagli hacker in modo da farne tesoro e, se necessario, avviare misure d’intervento.
Glossario dei principali termini collegati al programma bug bounty
Bug: vulnerabilità o falla di sicurezza di un sistema IT.
Bounty: somma di denaro che viene corrisposta come ricompensa a chi individua e segnala una falla di sicurezza.
Programma bug bounty: programma che invita gli hacker a controllare le falle di sicurezza presenti all’interno di determinati sistemi IT, ricevendo in cambio una ricompensa (bounty) per ciascuna vulnerabilità trovata.
Hunter: un ricercatore nel campo della sicurezza o un hacker etico che ricerca bug nell’ambito di programmi bug bounty.
Hacker etico: un hacker etico (cosiddetto white hat hacker) è un esperto di sicurezza altamente specializzato che accede a sistemi IT su incarico dei rispettivi proprietari per ricercare e segnalare loro vulnerabilità che potrebbero essere sfruttate anche da cybercriminali.
Cybercriminali: hacker malintenzionati (black hat hacker) che sfruttano le falle di sicurezza individuate in sistemi IT per scopi malevoli e illegali.
Penetration test / intrusion test: tipologia di test con cui gli esperti di IT Security testano accuratamente i punti deboli di un’applicazione per individuare eventuali falle di sicurezza.
Legal safe harbour: condizioni quadro legali del programma bug bounty che consentono di depenalizzare gli hacker etici.
Vulnerability Disclosure Policy (VDP):
Se gli hacker individuano delle falle di sicurezza nei servizi digitali della Posta non inclusi nel programma bug bounty possono segnalarle attraverso il programma VDP. In questo caso non sono previste, però, ricompense. Al programma VDP.
