18.10.2022 - Da agosto 2022 l’intera Amministrazione federale ha a disposizione una piattaforma centrale di «bug bounty», che è stata utilizzata in modo produttivo per la prima volta. Il Centro nazionale per la cibersicurezza (NCSC), il settore Trasformazione digitale e governance delle TIC (TDT) della Cancelleria federale e l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) in collaborazione con Bug Bounty Switzerland SA hanno fatto setacciare da hacker etici il sistema di accesso centrale eIAM del governo federale alla ricerca di possibili vulnerabilità.
Il sistema di accesso e autorizzazione dell’Amministrazione federale è l’infrastruttura di connessione centrale della Confederazione. Vi fanno capo oltre 1000 applicazioni specialistiche. L’eIAM gestisce una media di 550 000 connessioni al giorno. La sicurezza di questa infrastruttura è quindi fondamentale per la Confederazione.
A complemento di altre misure volte a garantire la sicurezza, i programmi «bug bounty» prevedono il coinvolgimento di hacker etici per identificare, documentare e risolvere le potenziali vulnerabilità dei sistemi e delle applicazioni IT. Gli hacker etici, a differenza di quelli mossi da propositi criminali, operano legalmente su richiesta delle parti interessate. Dopo il successo del progetto pilota condotto lo scorso anno dal Centro nazionale per la cibersicurezza (NCSC), l’eIAM è stato sottoposto a tale verifica. 32 hacker etici hanno accettato l’invito a partecipare al programma «bug bounty» che si è svolto dal 30 agosto all’11 ottobre.
Le vulnerabilità sono state classificate – secondo una scala di criticità riconosciuta a livello internazionale – come «bassa» (la correzione è facoltativa), «media» (la correzione è prevista in occasione della versione successiva), «elevata» (la correzione è necessaria quanto prima) o «critica» (la correzione è necessaria immediatamente). In totale sono state identificate 28 vulnerabilità, 14 delle quali sono state confermate. Tutte le vulnerabilità sono state analizzate ed elaborate immediatamente. Una delle vulnerabilità segnalate è stata classificata come «elevata». Nove sono state considerate «medie» e quattro «bassi». Non sono state trovate vulnerabilità «critiche». Le ricompense versate complessivamente agli hacker etici per le vulnerabilità individuate ammontano a 5 700 franchi.
Programma «bug bounty» eIAM
Hacker etici interessati a partecipare al programma «bug bounty» della Confederazione
Gli hacker etici interessati a testare i sistemi dell’Amministrazione federale nell’ambito di futuri programmi «bug bounty» e a partecipare al programma «bug bounty» della Confederazione possono annunciarsi al seguente link:
Ulteriori informazioni
Ultima modifica 18.10.2022
