Il primo programma di bug bounty dell'amministrazione federale
Il 10 maggio 2021 l'Amministrazione federale e Bug Bounty Svizzera hanno lanciato un progetto congiunto di sicurezza informatica. Condotto dal National Cyber Security Centre (NCSC), il test di due settimane ha lo scopo di raccogliere le prime esperienze con i programmi Bug Bounty.
Secondo un comunicato, l'amministrazione federale vuole sfruttare le possibilità dei programmi di bug bounty e chiarire fino a che punto possono dare un contributo strategico alla sicurezza delle infrastrutture di amministrazioni e aziende.
A tal fine, il Centro nazionale per la sicurezza informatica (NCSC), insieme a Bug Bounty Switzerland GmbH (BBS), sta conducendo per la prima volta un progetto pilota corrispondente nell'amministrazione federale. Il test è iniziato il 10 maggio 2021 e durerà due settimane. Nell'ambito dei programmi Bug Bounty, gli "hacker etici" - hacker che cercano legalmente le vulnerabilità all'interno di un quadro definito - sono chiamati a trovare le vulnerabilità nei sistemi informatici di un'organizzazione. Per ogni vulnerabilità (bug) trovata e confermata, l'hacker che ha avuto successo riceve una ricompensa (bounty), classificata in base alla gravità della vulnerabilità trovata.
Il progetto pilota della Confederazione ha una portata chiaramente limitata. Sono stati scelti come obiettivi due sistemi informatici del Dipartimento federale degli affari esteri (DFAE) e uno dei servizi parlamentari. Inoltre, la cerchia dei cacciatori di bug bounty in questo primo test è limitata agli hacker etici che sono noti a BBS o all'NSCS e che hanno già dato prova di sé in altri progetti.
Poiché l'amministrazione federale, così come altri settori regolamentati, ha requisiti rigorosi in materia di protezione dei dati e richiede una sede in Svizzera, negli ultimi mesi BBS ha sviluppato la propria piattaforma Bug Bounty con l'assistenza tecnica di Microsoft Svizzera, che è gestita interamente in Svizzera. Questa piattaforma si basa su tecnologie cloud all'avanguardia e soddisfa le esigenze del governo federale e di altri settori regolamentati come le infrastrutture critiche.
L'attuazione del programma di bug bounty è di competenza dell'OMU, ma è strettamente monitorata dall'NCSC e dai rappresentanti del DFAE e dei servizi parlamentari. Il test ha lo scopo di creare le basi per una discussione sull'ulteriore procedura per l'utilizzo dei programmi di bug bounty.
Fonte: Dipartimento federale delle finanze
