Il progetto pilota bug bounty nell’Amministrazione federale si è concluso con successo

01.07.2021 - Dal 10 al 21 maggio 2021 l'NCSC ha realizzato il progetto pilota bug bounty in collaborazione con la società Bug Bounty Switzerland Sagl (BBS), il Dipartimento federale degli affari esteri (DFAE) e i Servizi del Parlamento. Il progetto ha portato ottimi risultati e le conoscenze acquisite serviranno a eseguire ulteriori programmi di questo genere nell’Amministrazione federale.

Icon: Melden Sie Sicherheitslücken beim Covid-Zertifikat

Lo scopo dei programmi bug bounty è collaborare con hacker etici per individuare, documentare ed eliminare eventuali vulnerabilità nei sistemi informatici e nelle applicazioni. Al progetto pilota hanno partecipato in totale 15 hacker etici incaricati dalla Confederazione.

Scoperte dieci falle di sicurezza

Per l’esecuzione del progetto pilota gli hacker etici hanno cercato falle di sicurezza in sei sistemi del DFAE e dei Servizi del Parlamento. Nel complesso sono state segnalate all’NCSC dieci falle di sicurezza, di cui una classificata di livello «critico», sette di livello «medio» e due di livello «basso». Tutte le vulnerabilità sono state immediatamente eliminate dai fornitori di prestazioni responsabili. Gli hacker etici hanno successivamente verificato e confermato la corretta rimozione delle vulnerabilità.

Bilancio positivo

Il progetto pilota ha mostrato che i programmi bug bounty permettono di individuare ed eliminare in modo efficiente le vulnerabilità nei sistemi informatici e nelle applicazioni. Secondo le valutazioni effettuate il ritorno sull’investimento («return on invest») è da considerarsi elevato. L’esecuzione di un programma bug bounty per l’Amministrazione federale da parte dell’NCSC contribuisce in modo significativo alla riduzione dei ciber-rischi della Confederazione.

Sulla base delle esperienze e delle conoscenze acquisite con il progetto pilota, l’NCSC prevede di eseguire programmi bug bounty in maniera continuativa e sul maggior numero possibile di sistemi dell’Amministrazione federale.

Pertanto occorre avviare al più presto il processo di appalto. Oltre a BBS, ora anche altre aziende in Svizzera offrono programmi bug bounty. Per garantire la dovuta neutralità nel processo di appalto, Florian Schütz, delegato federale alla cibersicurezza, esce dal comitato consultivo di BBS.

Ultima modifica 01.07.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/abschlussbericht-bb.html