Progetto pilota Bug Bounty di successo nell'amministrazione federale
Secondo il National Cyber Security Centre (NCSC), un progetto di hacking etico svoltosi a maggio ha avuto molto successo. In totale sono state segnalate dieci vulnerabilità, una delle quali si è rivelata critica, mentre altre sette sono state classificate come "medie".
I programmi Bug Bounty servono a identificare, documentare e porre rimedio alle vulnerabilità dei sistemi e delle applicazioni IT in collaborazione con gli hacker etici. Al progetto pilota hanno partecipato 15 hacker etici incaricati dalla Confederazione. Dal 10 al 21 maggio 2021, il Centro nazionale per la sicurezza informatica (NCSC) ha condotto un progetto pilota Bug Bounty in collaborazione con Bug Bounty Switzerland GmbH, il Dipartimento federale degli affari esteri (DFAE) e i Servizi parlamentari (PD).
Scoperte dieci vulnerabilità di sicurezza
Per il Attuazione del progetto pilota un totale di sei sistemi informatici del DFAE e dei servizi parlamentari sono stati analizzati da hacker etici alla ricerca di possibili vulnerabilità di sicurezza. All'NCSC sono state segnalate in totale dieci vulnerabilità di sicurezza. Di queste, una vulnerabilità è risultata "critica", sette vulnerabilità sono state classificate come "medie" e due come "basse".
Tutte le lacune sono state immediatamente colmate dai fornitori di servizi responsabili. L'avvenuta chiusura delle falle potrebbe essere successivamente verificata e confermata dagli hacker etici.
Conclusione positiva
Il progetto pilota ha dimostrato che le vulnerabilità dei sistemi e delle applicazioni informatiche possono essere identificate e risolte in modo efficiente grazie ai programmi di bug bounty. Il ritorno sull'investimento è stato giudicato elevato. Un programma di bug bounty per l'amministrazione federale, gestito dall'NCSC, fornisce un importante contributo alla riduzione del rischio informatico del governo federale.
Grazie all'esperienza acquisita con il progetto pilota e alle intuizioni di tutti i partecipanti, l'NCSC prevede di estendere costantemente il programma Bug Bounty al maggior numero possibile di sistemi dell'amministrazione federale.
Il processo di approvvigionamento dovrebbe quindi essere avviato il prima possibile. Nel frattempo, oltre a Bug Bounty Switzerland GmbH, anche altre aziende in Svizzera offrono programmi Bug Bounty. Per garantire la neutralità del processo di approvvigionamento, Florian Schütz, delegato della Confederazione per la sicurezza informatica, si ritira dal comitato consultivo di Bug Bounty Switzerland.
Fonte: NCSC
