Sviluppando programmi nazionali di vulnerabilità (Report Enisa, Febbraio 2023)
Lo scorso febbraio è stato pubblicato il nuovo rapporto dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) che esplora come sviluppare programmi ed iniziative nazionali in materia di vulnerabilità nell’UE (Developing National Vulnerabilities Programmes).
L’obiettivo della Relazione è di raccogliere prove relative agli ultimi sviluppi dei programmi CVD (Divulgazione Coordinata della Vulnerabilità) nel territorio europeo, nonché di analizzare le problematiche attuali affrontate da enti pubblici, industrie e ricercatori al momento della distribuzione di tali progetti.
Si evidenzia come l’ecosistema della divulgazione sia ancora oggi frammentato. Difatti, nonostante i recenti sforzi dei governi nazionali, si avverte la necessità di una politica CVD a livello europeo – in armonia con lo standard internazionale esistente –, che gestisca le vulnerabilità come una priorità.
In tal senso, i Paesi sono incoraggiati dall’Unione stessa ad istituire strategie nazionali di cybersicurezza e programmi di resilienza, includendo piani d’azione sulla gestione delle vulnerabilità. Ciononostante, ad oggi solo Belgio, Francia, Lituania e Paesi Bassi hanno un sistema pienamente consolidato.
Gli esperti consultati hanno segnalato in che modo queste politiche CVD nazionali dovrebbero essere sviluppate, prestando particolare attenzione a determinati elementi: contenuto – chiaro e scritto sia nella lingua nazionale del Paese che in inglese –, formato, trasparenza – concernente gli obiettivi, la portata, gli strumenti informatici ed il processo di divulgazione della politica stessa – e coerenza (non contraddizione o sovrapposizione con altre politiche). Queste dovrebbero essere indirizzate a tutte le parti interessate e dovrebbero, altresì, chiarire ruoli, responsabilità e governance all’interno della CVD nazionale.
A fondamento di tali progetti vi è, inoltre, la protezione legale dei ricercatori in materia di sicurezza e previsione di incentivi per la segnalazione delle vulnerabilità: quest’ultima avviene attraverso canali legali, al fine di condividere esperienze e scoperte tra i vari attori.
A tal proposito, ulteriore focus della relazione concerne i programmi bug bounty (BBP), dedicati a ricercatori di sicurezza e professionisti che possono inviare le vulnerabilità che hanno scoperto in cambio di un compenso.
Vi sono due tipi di BBP: gestiti internamente od esternamente. Si distinguono, poi, tre modelli principali: i BBP chiusi, basati su inviti che coinvolgono un numero limitato di ricercatori selezionati ed invitati a partecipare esclusivamente dall’organizzazione; i BBP ibridi, basati sulla registrazione, interessano studiosi che possono registrarsi liberamente e vengono quindi controllati prima dall’ente organizzatore; i BBP aperti, programmi pubblici che comprendono qualsiasi indagatore interessato che desideri prendervi parte.
Nel decidere quale programma utilizzare, l’ente deve considerare i vantaggi, i contro ed i compromessi di ciascun modello. Essi, infatti, possono essere la soluzione completa e definitiva alle vulnerabilità della sicurezza per qualsiasi organizzazione, anche pubblica.
Un capitolo importante riguarda, infine, l’aumento di efficienza ed efficacia. In tale contesto, spiccano le tecnologie di intelligence.
In conclusione, si prevede che l’attuazione delle politiche in analisi avrebbe un impatto significativamente positivo sulla ricerca della sicurezza intorno alle vulnerabilità e la loro tempestiva scoperta, segnalazione e trattamento. Per questo motivo la sfida più importante si ritiene sia la creazione di un quadro giuridico chiaro ed uniforme che costituisca una guida univoca in termini di cooperazione UE.