Quale sarà l’approccio UE alla software vulnerability disclosure?

Quale sarà l’approccio UE alla software vulnerability disclosure?

Quale sarà l’approccio UE alla software vulnerability disclosure?

Un tema che è sempre di più all’attenzione degli esperti di Cybersecurity è quello della Coordinated Vulnerability Disclosure, ossia della condivisione di informazioni sulle vulnerabilità del software, gestite in modo appropriato. Di cosa si tratta e perché sta diventando una possibile soluzione per tenere sotto controllo la diffusione di malware molto pericoloso e potenzialmente “epidemico”, come hanno dimostrato lo scorso anno gli attacchi WannaCry e NotPetya? Ne abbiamo parlato con Gianluca Varisco, esperto di cybersecurity del Team Digitale del Governo italiano, che di questo argomento parlerà anche al CYBERSECURITY SUMMIT 2018 di The Innovation Group, il prossimo 21 marzo 2018 a Roma.
Gianluca Varisco. Un processo di Software Coordinated Vulnerability Disclosure (CVD) consiste nella condivisione di informazioni sulle vulnerabilità del software, appena queste vengono scoperte da un ricercatore di sicurezza, o White Hat Hacker, che in modo sicuro condivide la vulnerabilità individuata in modo che, chi potrebbe essere attaccato attraverso essa, sia in grado, in tempi rapidi, di ridurne o eliminare gli effetti negativi. Particolarmente pericolose sono le “zero-day vulnerabilities”, cioè le vulnerabilità per cui non esistono ancora i rimedi volti a neutralizzarne gli effetti: questi bug, una volta conosciuti, devono essere riportati rapidamente al produttore del software in modo che questi effettui i necessari fix. Oggi tutto il processo è ostacolato dal fatto che da un punto di vista legale, un ricercatore non ha tecnicamente il permesso di svolgere un’analisi di vulnerabilità senza il permesso. Per rendere più fluido il meccanismo CVD servirebbe stabilire un processo completo di Disclosure applicabile in vari contesti e il perimetro entro il quale i ricercatori possono indagare e quindi comunicare alle aziende le eventuali vulnerabilità.

TIG. All’estero qual è la situazione? Sono più avanti rispetto a noi? esistono già schemi comuni di Vulnerability Disclosure?

Gianluca Varisco. Al momento ogni singola organizzazione, pubblica o privata, decide in autonomia se vuole definire una propria policy. Alcuni già lo fanno, ad esempio Facebook, Microsoft o Google, che spendono anche milioni di dollari in programmi Bug Bounty con premi per gli hacker che individuano vulnerabilità nel software. C’è poi l’iniziativa della piattaforma HackerOne, guidata da Marten Mickos (fondatore della società open source MySQL), che ha lo scopo di aiutare le aziende a stringere partnership con la community globale degli hacker etici. Negli USA di recente la Camera dei Rappresentati del Congresso ha approvato il “Cyber Vulnerability Disclosure Reporting Act” che affida al DHS il compito di preparare le procedure per queste attività, di concerto con le aziende private.

In Europa invece, in alcuni paesi come Olanda, Francia, Lituania, viene già seguito un modello di CVD che funziona. Il CEPS (Centre for European Policy Studies) ha avviato lo scorso anno una Task Force a cui partecipano aziende del settore privato, istituzioni europee e la società civile con lo scopo di definire una serie di raccomandazioni e di policy per rendere operativo un processo di Coordinated Vulnerability Disclosure in Europa. Inoltre – mentre norme precedenti come GDPR e Direttiva NIS non facevano cenno alla CVD – la nuova strategia sulla Cybersecurity della Commissione Europea, ora in via di definizione, nomina tra le nuove iniziative necessarie per aumentare la cyber resilience in tutti gli stati membri, la necessità di sviluppare processi di Software Coordinated Vulnerability Disclosure. In Italia il Team Digitale del Governo partecipa ai lavori del CEPS puntando alla realizzazione di uno schema CVD europeo.

TIG. Su questi temi, come ha dimostrato anche il recente caso dell’hacker etico Evariste, che dopo aver segnalato le vulnerabilità della piattaforma Rousseau del Movimento 5 Stelle avrebbe subito una denuncia per accesso abusivo, è necessario procedere con molta attenzione. Oggi tra l’altro manca del tutto nella società civile italiana la percezione della differenza tra hacker Black Hat (cattivi) e White Hat (buoni). Come deve configurarsi un processo di disclosure delle vulnerabilità per funzionare bene? quali modifiche saranno necessarie per farlo recepire nell’ordinamento legislativo?

Gianluca Varisco. La vulnerability disclosure non sostituisce le attività e le misure esistenti per la sicurezza, ma si aggiunge, e si avvale dello sforzo di molte più persone. Per funzionare deve essere basata su un canale di comunicazione tra ricercatori, o hacker etici, ed azienda, che tuteli chi fa la segnalazione, che deve rimanere anonimo, e permetta così all’azienda di conoscere la vulnerabilità concordando con l’hacker il tempo necessario per renderla nota. L’azienda deve infatti poter sistemare il software prima che chiunque sia informato del bug. Inoltre è importante che siano coinvolti in questo processo persone che sono in grado di gestirlo al meglio, che non interpretino la comunicazione sulla vulnerabilità come un attacco in corso! Per queste attività esistono poi già degli standard internazionali, dell’ISO, relativi sia alla gestione della vulnerabilità sia alla gestione interna della segnalazione. Per quanto riguarda la legge, è necessario che sia armonizzata per tener conto di queste possibilità, perché altrimenti, così come sono le cose adesso, d’ufficio si apre un procedimento giudiziario.

INTERVISTA A:

GIANLUCA VARISCO,

Esperto di cybersecurity del Team Digitale del Governo italiano


Il tema della software coordinated vulnerability disclosure (CVD) sarà al centro dei lavori del “CYBERSECURITY SUMMIT 2018”, organizzato da The Innovation Group il prossimo 21 marzo a Roma. Parteciperanno all’evento i migliori Esperti italiani e internazionali, tra cui Gianluca Varisco del Team Digitale del Governo italiano (elenco completo degli Speaker).

Il CYBERSECURITY SUMMIT 2018 crea un’occasione unica di scambio di esperienze e di networking, di discussione all’interno di Lab verticali specialistici, per approfondire quali sono le esigenze emergenti di sicurezza, identificare le contromisure da adottare, progettare e sviluppare soluzioni innovative sul fronte della Security Governance e del Cyber Risk Management.

Cybersecurity Summit 2018

REGISTRATI SUBITO ALL’EVENTO!

(posti limitati e soggetti all’approvazione della Segreteria Organizzativa).