Cyber-sicurezza: arrivano i “Bug Bounty”, i cacciatori di falle informatiche

Intere generazioni di ragazzini in tutto il mondo sono cresciute guardando fra cinema e televisione le avvincenti storie dei “bounty hunter”, i cacciatori di taglie che giravano per il Far West dando la caccia ai criminali ricercati dalla giustizia su cui pendevano taglie sostanziose, vivi o morti che fossero. Fatte le dovute eccezioni e mettendo insieme i progressi della tecnologia, è più o meno lo stesso compito dei moderni “Bug Bounty”, tradotto al meglio possibile nell’idioma a noi più comodo, i “cacciatori di vulnerabilità”. Concetto che messo ancora più a terra indica le ricompense che enti e aziende assegnano a chi invia segnalazioni di vulnerabilità individuate nei propri sistemi informatici interni, prima che lo facciano i cyber-criminali.

Quelli informatici sono un pericolo che sta particolarmente a cuore all’UE, che spesso si è occupata della minaccia emanando norme e regole a cui, dallo scorso ottobre si è aggiunta la direttiva Nis2, una nuova legge sulla sicurezza informatica.

Nel dettaglio, la norma imporrà alle aziende di investire nella prevenzione dei cyber-crimini utilizzando i migliori e più attuali strumenti possibili, fra cui – appunto – i Bug Bounty.

Prendendo idealmente il posto degli sceriffi del selvaggio West americano, sarà compito delle società diramare “taglie” per motivare e premiare i “white hat hacker” - come sono definiti gli hacker “buoni” – che riusciranno a individuare falle nei propri sistemi informatici.

Tecnicamente, i Bug Bounty sono una sorta di “Vulnerability Disclosure Policies”, quelle pratiche che spingono le aziende a divulgare in modo volontario le proprie vulnerabilità informatiche, o almeno quelle che non rappresentano un invito a nozze per i criminali. In base alla gravità del bug che scoperto, le società mettono in palio decine di migliaia di euro per gli hacker che individuano le falle, assicurandosi allo stesso tempo di scongiurare che nel mondo del cyber-crimine si diffondano gli “zero-day”, bug individuati dai criminali prima delle aziende stesse, sfruttati su larga scala con molto anticipo rispetto alla società vittima.

La direttiva UE Nis2, entrata in vigore lo scorso 17 ottobre, ridefinisce gli obiettivi europei sulla sicurezza informatica per dotare il blocco dei Paesi membri di una politica e strumenti comuni per affrontare le minacce crescenti di cybersicurezza, necessarie per fare fronte comune di fronte al pericoloso aumento di attacchi informatici, cresciuti inizialmente come forma di estorsione ma cambiati radicalmente di fronte alle tensioni internazionali che hanno cambiato lo scenario della sicurezza informatica globale, sempre più spesso concentrata sull’arrecare danni a infrastrutture, istituzioni e aziende di importanza cruciale, colpite da organizzazioni di hacker che agiscono da Paesi ostili come Russia e Iran.

“Le attività obbligatorie previste dalla NIS2 stanno progressivamente spostando il focus da un approccio passivo nei confronti della sicurezza in rete a uno proattivo e orientato alla gestione del rischio - aggiunge Luca Manara, Ceo di Uniguess - in quest’ottica, i programmi di bug bounty possono rivelarsi uno strumento efficace per qualsiasi realtà aziendale. Tuttavia, se non vengono gestiti al meglio, si corre il rischio reale di impattare sull’efficienza dell’azienda”.

Vista con uno sguardo più ampio, la nuova norma dimostra in modo inequivocabile quanto il mercato della sicurezza informatica si sta sviluppando ad una velocità mai vista prima: costrette a reagire di fronte all’impellenza di proteggersi da minacce sempre più sofisticate, le aziende cercano sempre più professionisti che siano in grado di alzare tutti i livelli di protezione.

Secondo la UE, fra meno di tre anni, entro il 2027, il mercato europeo della cyber-security toccherà i 90 miliardi di euro, con le aziende che si vedranno costrette ad aumentare gli investimenti nel settore mediamente del 22%. Secondo l’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, in Italia è un mercato che nel 2023 ha raggiunto i 2,15 miliardi di euro, con una crescita del 16% rispetto all’anno precedente. Ma certe cose costano, e le dimensioni e le possibilità ridotte non permettono a molte Pmi di assicurarsi la consulenza di esperti nella sicurezza informatica, con il pericolo incombente di restare particolarmente esposte al rischio di attacchi.