Per aumentare la cibersicurezza dell’infrastruttura informatica e ridurre i ciber-rischi in modo efficace ed economico, nell’Amministrazione federale vengono condotti programmi «bug bounty» sotto la guida dell’Ufficio federale della cibersicurezza (UFCS) e in collaborazione con Bug Bounty Switzerland SA e le unità amministrative dell’Amministrazione federale.
A complemento di altre misure volte a garantire la sicurezza, i programmi «bug bounty» servono a identificare, documentare ed eliminare eventuali vulnerabilità nei sistemi e nelle applicazioni informatiche grazie alla collaborazione con hacker etici che, a differenza di quelli mossi da propositi criminali, si impegnano a rispettare le disposizioni giuridiche e operano con il consenso delle parti interessate.
Dopo il progetto pilota condotto nel 2021 dall’ex NCSC, nell’agosto 2022 la Confederazione ha acquisito la piattaforma per i programmi «bug bounty». Da allora l’UFCS permette agli hacker etici di impegnarsi a favore della sicurezza della Confederazione e di cercare costantemente lacune di sicurezza nell’ambito del programma «bug bounty».
Gli hacker etici interessati a partecipare al programma «bug bounty» della Confederazione e a testare i sistemi dell’Amministrazione federale possono annunciarsi al seguente link:
Cifre attuali: risultati del programma «bug bounty»
L’UFCS informa regolarmente in merito ai risultati del programma «bug bounty» dell’Amministrazione federale. Le esperienze acquisite finora sono pienamente positive. Il numero di segnalazioni e il loro contenuto mostrano chiaramente che con l’aiuto del programma «bug bounty» si trovano e si segnalano vulnerabilità che non sempre vengono identificate durante i controlli nell’ambito di test di sicurezza classici. Questo fatto dimostra che il programma «bug bounty» è sensato ed efficace come misura collaterale per i concetti di sicurezza informatica convenzionali o per i controlli di sicurezza nell’Amministrazione federale.
Indicazioni sui grafici
- Total: statistica dall’inizio del programma «bug bounty» il 30 agosto 2022
- Date: statistica degli ultimi dodici mesi, su base trimestrale
- Hackers: numero di hacker etici che hanno segnalato almeno una vulnerabilità
- Reported Findings: numero di vulnerabilità segnalate. Queste possono già essere state valutate e concluse (accettate, rifiutate) o trovarsi ancora nella fase di verifica.
- Rejected: numero di vulnerabilità che dopo l’analisi e la verifica non sono state accettate e che sono state rifiutate nei confronti dell’hacker etico (p. es. duplicati, non valide ecc.).
- Low/Medium/High/Critical: numero di vulnerabilità secondo il grado di criticità. La base per la classificazione è lo standard CVSS riconosciuto a livello internazionale. Per la valutazione finale della gravità vengono presi in considerazione ulteriori criteri come ad esempio l’impatto della vulnerabilità sull’Amministrazione federale.
- Reward: somma delle ricompense (bounty) versate agli hacker etici. La ricompensa dipende dal grado di criticità della vulnerabilità.
Grafico: vulnerabilità segnalate e la loro classificazione negli ultimi 12 mesi
Indicazione: la statistica riportata rappresenta un quadro momentaneo della situazione. La classificazione delle segnalazioni di vulnerabilità può cambiare in singoli casi.
Tabella: vulnerabilità segnalate e la loro classificazione negli ultimi 12 mesi
| Date | Reported Findings | Rejected | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|
| 2024 Q1 | 3 | 3 | 0 | 0 | 0 | 0 | 0 |
| 2023 Q4 | 116 | 51 | 6 | 35 | 14 | 10 | 61'400 |
| 2023 Q3 | 76 | 24 | 4 | 26 | 6 | 16 | 68'000 |
| 2023 Q2 | 12 | 7 | 0 | 5 | 0 | 0 | 2'100 |
Totale delle segnalazioni dall’avvio del programma nell’agosto 2022
| Hackers | Reported Findings | Rejected | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|
| 40 | 246 | 103 | 15 | 78 | 24 | 26 | 143'350 |
Ulteriori informazioni:
Ultima modifica 01.01.2024
