Direttiva NIS2: come i Bug Bounty Program possono aiutare le aziende?
A partire dal 17 ottobre la normativa NIS2, parte del più ampio Cyber Resilience Act approvato dal Parlamento Europeo nel marzo 2024, è entrata in vigore per favorire il rafforzamento e la protezione contro le minacce informatiche di tutti i fornitori di servizi digitali, operatori di servizi essenziali (energia, trasporti, salute, servizi finanziari) ed enti pubblici[1]. Sono quindi oltre 160.000 le aziende in Europa chiamate a rivedere e potenziare le misure di sicurezza dei loro prodotti.
La Commissione europea prevede che, nei primi anni successivi all’attuazione della NIS2, le organizzazioni dovranno affrontare un aumento massimo del 22% della spesa per la sicurezza informatica e del 12% per quelle che rientrano già nell’ambito di applicazione dell’attuale direttiva[2]. Su questa spinta, si stima che il mercato della cybersecurity in Europa raggiungerà i 60 miliardi alla fine del 2024, fino a toccare i 90 miliardi nel 2027[3].
Ma cosa sono le Vulnerability Disclosure Policies?
Tra le misure a beneficio della riduzione del rischio informatico, la direttiva NIS2 parla anche di Vulnerability Disclosure Policies (VDP), che, se incentivate, assumono le caratteristiche dei programmi di Bug Bounty e vengono normalmente gestite tramite le stesse piattaforme.
Le VDP hanno l’obiettivo di creare una politica di divulgazione responsabile delle vulnerabilità e di raccoglierle per gli enti e per le aziende in maniera strutturata da parte delle decine di migliaia di hacker etici sparsi per il mondo. Una parte importante di queste politiche è che strutturano una metodologia, definiscono un processo e i corretti ruoli di gestione, creano un dialogo strutturato con la comunità di hacker etici e, in particolare, facilitano la corretta gestione e la risoluzione delle vulnerabilità.
Si parla di “recognised” nel caso in cui i programmi VDP prevedono un riconoscimento all’hacker della vulnerabilità identificata; diventano, invece, “incentivized” nel caso in cui prevedono il pagamento della vulnerabilità e in questo caso assumono le caratteristiche dei programmi di Bug Bounty (dove il “bounty” è appunto il valore pagato all’hacker).
Questi ultimi permettono alle aziende di scoprire e mitigare le vulnerabilità prima che possano essere sfruttate malevolmente, e di migliorare la resilienza dei sistemi accedendo a una vasta rete di talenti in cybersecurity attraverso il crowdsourcing. Secondo UNGUESS, (unguess.io/it/), la piattaforma italiana leader del crowdtesting applicato alla cybersecurity, un Bug Bounty Program richiede competenza e dedizione per essere organizzato al meglio.
Ma quali sono i vantaggi di un Bug Bounty Program ben organizzato?
- Contare su una community di hacker affidabili: sapere dove cercare e come scegliere i migliori hacker etici online è fondamentale per aiutare le aziende a raggiungere la maturità necessaria ad esporsi pubblicamente con i programmi VDP. Per questo motivo, il vantaggio principale che offre un buon programma di Bug Bounty è di migliorare la sicurezza aziendale sfruttando una comunità di centinaia di hacker etici certificati che collaborano tra loro e con i team di sicurezza per trovare le vulnerabilità, stimolati da ricompense che li portano a dare sempre il meglio di sé.
- Dimostrare di conoscere il mercato: al contrario di ciò che dipinge l’immaginario collettivo, un Bug Bounty Program non è una generica chiamata alle armi tramite un post sul sito aziendale o sui social. Si tratta, al contrario, di un’attività molto strutturata in termini di avvio e di gestione, anche per le organizzazioni già esperte del mondo della sicurezza informatica. Per le aziende che implementano programmi di Bug Bounty, vi è la possibilità di incrementare la conoscenza della sicurezza informatica aziendale grazie all’interazione con le comunità di ricercatori di sicurezza certificati.
- Ottimizzare la gestione interna tramite processi strutturati: gli hacker etici e non etici, per natura, segnalano spesso le vulnerabilità alle aziende ed enti, tuttavia, quando questo processo manca di coordinamento e gestione continua delle risorse in gioco, può generare un sovraccarico di gestione da parte dei tecnici interni. Con un regolamento chiaro e un’accurata profilazione delle figure professionali coinvolte nel progetto è possibile evitare questo spiacevole inconveniente.
“Le attività obbligatorie previste dalla NIS2 stanno progressivamente spostando il focus da un approccio passivo nei confronti della sicurezza in rete a uno proattivo e orientato alla gestione del rischio. In quest’ottica, i programmi di Bug Bounty possono rivelarsi uno strumento efficace per qualsiasi realtà aziendale. Tuttavia, se non vengono gestiti al meglio, si corre il rischio reale di impattare sull’efficienza dell’azienda. In UNGUESS fin dal principio, ci siamo posti il problema di come una qualsiasi azienda possa sviluppare un Bug Bounty Program di qualità e che potesse attirare alcuni dei migliori hacker etici, pur non avendo strutture e disponibilità paragonabili a quelli di colossi come Google, Meta o Microsoft. Abbiamo trovato una soluzione a tutte queste e altre criticità creando UNGUESS SECURITY, una piattaforma di oltre 500 ethical hacker in crowdsourcing, sotto il nostro coordinamento. In questo modo l’ethical hacker, con la nostra piattaforma, smette di essere identificato ingiustamente come oscuro individuo e diventa invece una risorsa affidabile, conosciuta e pronta a mettersi al servizio della sicurezza di un’impresa. Da sempre la sua natura.” afferma Luca Manara, CEO di UNGUESS.
[1] In alcuni casi vigono anche criteri dimensionali: almeno 50 dipendenti e 10 milioni di fatturato.
[2] https://www.mondaq.com/unitedstates/security/1238272/nis2-directive-new-cybersecurity-rules-expected-in-the-eu
[3] https://www.mordorintelligence.com/industry-reports/europe-cybersecurity-market