STRATEGIE

Cybersecurity nelle mani degli “hacker buoni”, la scommessa di Piacentini

La “responsible disclosure” al centro della strategia del Team per la Trasformazione digitale della PA: rivelare i bug dei sistemi IT per consentire alla comunità di sviluppatori di proporre soluzioni. Via alla collaborazione con il Cert Nazionale e il Cert-PA

Pubblicato il 21 Dic 2016

Federica Meta

diego-piacentini-161219153227

Sicurezza e privacy sono i principi più importanti: mai, per nessuna ragione, si deve scendere a compromessi. Il Team per la Trasformazione digitale guidato da Diego Piacentini, in un post sul sito istituzionale, firmato da Giovanni Bajo, annuncia la vision che ispirerà il lavoro: la bussola è la “responsible disclosure” ovvero rendere pubblici i bug dei sistemi per incentivare il lavoro degli “ethical hacker” a proporre possibili soluzioni al problema.

Secondo Bajo “è molto meglio, e sicuramente conveniente, premiare un ethical hacker per il suo lavoro, migliorando la sicurezza del proprio software, piuttosto che infilare la testa sotto la sabbia e aspettare che “black hat hacker, gli hacker “cattivi”) scoprano gli stessi problemi e li usino indebitamente per arrecare danno”.

Un buon esempio di “responsible disclosure” arriva dall’applicazione 18app. Qualche settimana fa un ethical hacker diciottenne, Luca Milano, ha segnalato alcuni importanti problemi di sicurezza presenti nel software che gestisce il bonus cultura di 500 euro assegnato ai nati nel 1998. La segnalazione ha permesso a Sogei, che ha sviluppato 18app, ha risolto in poche ore il problema e messo online una versione corretta.

“Come Team Digitale, crediamo fermamente nella responsible disclosure come strumento principe per comunicare con la comunità di ethical hacker italiana e internazionale, perché la posta in palio è la privacy e la sicurezza di tutti noi e dei nostri dati personali – evidenzia il post – È per questo motivo che abbiamo intrapreso un percorso con il Cert Nazionale e il Cert-PA per definire e pubblicare una policy di responsible disclosure nazionale; stiamo contemporaneamente indagando lo scenario tecnico e normativo (inclusa la protezione legale di chi fa la disclosure) per verificare i presupposti per il lancio del programma. Valuteremo anche l’opportunità di sperimentare una forma di bug bounty”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!