NIS2 e Vulnerability Disclosure: una rete di ethical hacker per testare le resilienza
A partire dal 17 ottobre, la direttiva NIS2, parte del più ampio Cyber Resilience Act approvato dal Parlamento Europeo nel marzo 2024, è entrata in vigore con l’obiettivo di rafforzare la protezione contro le minacce informatiche per tutti i fornitori di servizi digitali, gli operatori di servizi essenziali (come energia, trasporti, sanità, e servizi finanziari), e gli enti pubblici. Questa nuova normativa coinvolge oltre 160.000 aziende in Europa, chiamate a rivedere e potenziare le misure di sicurezza dei propri sistemi e prodotti digitali.
La Commissione Europea prevede che, nei primi anni di attuazione della NIS2, le organizzazioni potrebbero dover affrontare un incremento massimo del 22% nella spesa per la sicurezza informatica, mentre le aziende già conformi alla precedente direttiva vedranno un aumento del 12%. Questa spinta normativa contribuirà a far crescere il mercato della cybersecurity in Europa, che si stima raggiungerà i 60 miliardi di euro entro la fine del 2024, fino a toccare i 90 miliardi nel 2027.
Una delle novità introdotte dalla direttiva NIS2 riguarda le Vulnerability Disclosure Policies (VDP), strumenti pensati per facilitare la divulgazione responsabile delle vulnerabilità di sicurezza. Le Vulnerability Disclosure Policies promuovono la creazione di un processo strutturato per la raccolta e la gestione delle segnalazioni da parte di hacker etici, con l’obiettivo di mitigare i rischi prima che vengano sfruttati da attori malintenzionati. Queste politiche possono assumere le caratteristiche dei programmi di Bug Bounty, che offrono un riconoscimento, o addirittura un compenso economico, agli hacker che identificano e segnalano vulnerabilità.
I programmi di Bug Bounty permettono alle aziende di scoprire falle di sicurezza accedendo a una vasta rete di esperti in cybersecurity tramite il crowdsourcing. Secondo UNGUESS, una piattaforma italiana leader nel campo del crowdtesting applicato alla cybersecurity, un Bug Bounty Program richiede una gestione strutturata per essere efficace.
UNGUESS ha sviluppato UNGUESS SECURITY, una piattaforma che coordina oltre 500 ethical hacker in crowdsourcing. Questo approccio consente di superare le sfide di gestione tipiche dei Bug Bounty Programs, rendendo gli hacker etici una risorsa affidabile per le aziende anche senza le risorse dei colossi tech come Google o Meta. L’idea è trasformare l’hacker etico da figura stereotipata in un partner di fiducia, pronto a collaborare per migliorare la sicurezza aziendale.
Ma quali sono i vantaggi di un Bug Bounty Program ben organizzato? Secondo UNGUESS sono essenzialmente tre:
- Accesso a una community di hacker etici affidabili: collaborare con una rete di hacker certificati consente alle aziende di migliorare la propria sicurezza sfruttando competenze esterne. Gli hacker etici, incentivati da ricompense, lavorano insieme ai team interni per identificare vulnerabilità che potrebbero passare inosservate
- Migliore comprensione del panorama della sicurezza: i Bug Bounty Programs non sono semplici appelli generici online, ma richiedono un approccio strutturato. Le aziende che adottano questi programmi possono accrescere la loro conoscenza delle pratiche di sicurezza interagendo con ricercatori qualificati e certificati
- Ottimizzazione dei processi interni: gestire segnalazioni di vulnerabilità in modo disorganizzato può generare un sovraccarico per i team IT. Con una chiara definizione dei ruoli e una profilazione accurata delle competenze coinvolte, è possibile migliorare l’efficienza interna e prevenire problemi legati alla gestione delle vulnerabilità