Cosa sono i Bug Bounty Program e quali sono i vantaggi che porterebbero al business aziendale? E il ruolo della direttiva NIS2? A queste domande risponde Unguess. A partire dal 17 ottobre la normativa NIS2 è entrata in vigore per favorire il rafforzamento e la protezione contro le minacce informatiche di tutti i fornitori di servizi digitali, operatori di servizi essenziali. Sono quindi oltre 160.000 le aziende in Europa chiamate a rivedere e potenziare le misure di sicurezza dei loro prodotti.
La spesa per la sicurezza in crescita
La Commissione europea prevede che, nei primi anni successivi all’attuazione della NIS2, le organizzazioni dovranno affrontare un aumento massimo del 22% della spesa per la sicurezza informatica. Per quelle che rientrano già nell’ambito di applicazione dell’attuale direttiva sarà 12%. Su questa spinta, si stima che il mercato della cybersecurity in Europa raggiungerà i 60 miliardi alla fine del 2024, fino a toccare i 90 miliardi nel 2027.
Vulnerability Disclosure Policies e i Bug Bounty Program
Tra le misure a beneficio della riduzione del rischio informatico, la direttiva NIS2 parla anche di Vulnerability Disclosure Policies (VDP). Se incentivate, assumono le caratteristiche dei programmi di Bug Bounty e vengono normalmente gestite tramite le stesse piattaforme. Obiettivo creare una politica di divulgazione responsabile delle vulnerabilità e di raccoglierle per gli enti e per le aziende in maniera strutturata da parte delle decine di migliaia di hacker etici sparsi per il mondo.
Il ruolo degli hacker etici
Strutturano una metodologia, definiscono un processo e i corretti ruoli di gestione. Inoltre creano un dialogo strutturato con la comunità di hacker etici. In particolare, facilitano la corretta gestione e la risoluzione delle vulnerabilità. Si parla di “recognised” nel caso in cui i programmi VDP prevedono un riconoscimento all’hacker della vulnerabilità identificata. Diventano, invece, “incentivized” nel caso in cui prevedono il pagamento della vulnerabilità. In questo caso assumono le caratteristiche dei programmi di Bug Bounty (dove il “bounty” è appunto il valore pagato all’hacker).
Il ruolo delle aziende
Questi ultimi permettono alle aziende di scoprire e mitigare le vulnerabilità prima che possano essere sfruttate malevolmente. Inoltre di migliorare la resilienza dei sistemi accedendo a una vasta rete di talenti in cybersecurity attraverso il crowdsourcing. Secondo Unguess un Bug Bounty Program richiede competenza e dedizione per essere organizzato al meglio.
Ma quali sono i vantaggi di un Bug Bounty Program ben organizzato?
- Contare su una community di hacker affidabili. Sapere dove cercare e come scegliere i migliori hacker etici online è fondamentale per aiutare le aziende a raggiungere la maturità necessaria ad esporsi pubblicamente con i programmi VDP. Così il vantaggio principale che offre un buon programma di Bug Bounty è di migliorare la sicurezza aziendale. Sfruttando una comunità di centinaia di hacker etici certificati che collaborano tra loro e con i team di sicurezza per trovare le vulnerabilità. Stimolati da ricompense che li portano a dare sempre il meglio di sé.
- Dimostrare di conoscere il mercato. Un Bug Bounty Program non è una generica chiamata alle armi tramite un post sul sito aziendale o sui social. Si tratta, al contrario, di un’attività molto strutturata in termini di avvio e di gestione, anche per le organizzazioni già esperte del mondo della sicurezza informatica. Per le aziende che implementano programmi di Bug Bounty, vi è la possibilità di incrementare la conoscenza della sicurezza informatica aziendale grazie all’interazione con le comunità di ricercatori di sicurezza certificati.
- Ottimizzare la gestione interna tramite processi strutturati. Gli hacker etici e non etici, per natura, segnalano spesso le vulnerabilità alle aziende ed enti. Tuttavia, quando questo processo manca di coordinamento e gestione continua delle risorse in gioco, può generare un sovraccarico di gestione da parte dei tecnici interni. Con un regolamento chiaro e un’accurata profilazione delle figure professionali coinvolte nel progetto è possibile evitare questo spiacevole inconveniente.
I Bug Bounty Program possono aiutare le aziende?
Luca Manara, CEO di Unguess
Le attività obbligatorie previste dalla NIS2 stanno progressivamente spostando il focus da un approccio passivo nei confronti della sicurezza in rete a uno proattivo. In quest’ottica, i programmi di Bug Bounty si rivelano uno strumento efficace per qualsiasi realtà aziendale. Tuttavia, se non vengono gestiti al meglio, si corre il rischio reale di impattare sull’efficienza dell’azienda.Fin dal principio ci siamo posti il problema di come una qualsiasi azienda possa sviluppare un Bug Bounty Program di qualità e che potesse attirare alcuni dei migliori hacker etici. Pur non avendo strutture e disponibilità paragonabili a quelli di colossi come Google, Meta o Microsoft. Abbiamo trovato una soluzione a tutte queste e altre criticità creando Unguess Security.
Si tratta di una piattaforma di oltre 500 ethical hacker in crowdsourcing, sotto il nostro coordinamento. In questo modo l’ethical hacker, con la nostra piattaforma, smette di essere identificato ingiustamente come oscuro individuo. Diventa invece una risorsa affidabile, conosciuta e pronta a mettersi al servizio della sicurezza di un’impresa. Da sempre la sua natura.
