Programmi «bug bounty» per potenziare la ciber-resilienza nell’Amministrazione federale

Service navigation

Ricerca

Navigazione

Programmi «bug bounty» per potenziare la ciber-resilienza nell’Amministrazione federale

Per aumentare la cibersicurezza dell’infrastruttura informatica e ridurre i ciber-rischi in modo efficace ed economicamente vantaggioso, nell’Amministrazione federale vengono condotti programmi «bug bounty» sotto la guida del Centro nazionale per la cibersicurezza (NCSC) in collaborazione con Bug Bounty Switzerland SA e le unità amministrative in quanto destinatarie del servizio.

A complemento di altre misure volte a garantire la sicurezza, i programmi «bug bounty» prevedono il coinvolgimento di hacker etici per identificare, documentare e risolvere le potenziali vulnerabilità dei sistemi e delle applicazioni IT. Gli hacker etici, a differenza di quelli mossi da propositi criminali, operano legalmente su richiesta delle parti interessate. Dopo il progetto pilota condotto nel 2021 dal Centro nazionale per la cibersicurezza (NCSC), nell’agosto 2022 la Confederazione ha acquisito la piattaforma per i programmi «bug bounty».

Hacker etici interessati a partecipare al programma «bug bounty» della Confederazione
Gli hacker etici interessati a testare i sistemi dell’Amministrazione federale nell’ambito di futuri programmi «bug bounty» e a partecipare al programma «bug bounty» della Confederazione possono annunciarsi al seguente link:
www.bugbounty.ch/ncsc

Risultati dei programmi «bug bounty»

L’NCSC informa regolarmente sui risultati dei programmi «bug bounty» dell’Amministrazione federale. Questi programmi hanno evidenziato come le vulnerabilità possano essere identificate e affrontate in modo efficiente. La qualità e il contenuto delle segnalazioni dimostrano che questo metodo è complementare ad altri metodi, in quanto gli hacker etici segnalano vulnerabilità che non sempre possono essere individuate con i consueti test di sicurezza.

Programma «bug bounty» sull’eIAM

eIAM è il sistema di accesso e autorizzazione dell’Amministrazione federale per le applicazioni web e le applicazioni mobili native.

Parti coinvolte:

  • Centro nazionale per la cibersicurezza (NCSC);
  • settore Trasformazione digitale e governance delle TIC (TDI) della Cancelleria federale, responsabile del servizio eIAM;
  • Ufficio federale dell’informatica e della telecomunicazione (UFIT), gestore del sistema eIAM;
  • Bug Bounty Switzerland SA.

Periodo:

dal 30 agosto all’11 ottobre 2022

Vulnerabilità individuate:

Il seguente grafico mostra la ripartizione delle segnalazioni per settimana.

Le falle di sicurezza confermate si suddividono nelle seguenti categorie:

Il programma «bug bounty» sull’eIAM viene temporaneamente sospeso per valutare le esperienze acquisite e implementare gli eventuali adeguamenti organizzativi necessari per una possibile ulteriore esecuzione.

Ulteriori informazioni:

FAQ

Q&A Programma «bug bounty» dell’Amministrazione federale (PDF, 216 kB, 23.12.2022)

Comunicato stampa e rapporto

18.10.2022

Svolto il programma «bug bounty» per il sistema centrale di accesso della Confederazione eIAM

03.08.2022

L’Amministrazione federale acquisisce una piattaforma per i programmi «bug bounty»

Link

Primo programma bug bounty nell’Amministrazione federale

L’Amministrazione federale acquisisce una piattaforma per i programmi «bug bounty»

Il progetto pilota bug bounty nell’Amministrazione federale si è concluso con successo

Risultati dei test di sicurezza relativi al «certificato COVID»

Ultima modifica 06.01.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden/bug-bounty-programme.html