Nell’ambito della implementazione di una strategia di cyber sicurezza nazionale, il Centre for Cyber Security Belgium (CCB), nelle sue funzioni di CSIRT nazionale, ha recepito la legge 5 aprile 2019 che stabilisce un framework di riferimento per la sicurezza dei sistemi informativi e delle reti, nell’interesse della sicurezza pubblica.
Cosa fanno gli hacker etici?
Gli ethical hackers sono tecnici qualificati ed esperti che, con competenza, valutano le vulnerabilità di sistemi IT e reti, riportando le evidenze a privati e organizzazioni proprietari dei sistemi.
Cosa cambia con l’adozione di questa misura?
Sino ad oggi, per effettuare un test di vulnerabilità (Vulnerability Assessment) o di intrusione (Penetration Test), occorreva un accordo e una specifica autorizzazione del committente.
Dal 15 febbraio 2023, gli hacker etici possono testare le vulnerabilità delle aziende belghe senza una autorizzazione preventiva, a patto che riportino, in breve tempo, eventuali criticità ai legittimi proprietari dei sistemi.
Chiaramente non sarà consentita alcuna richiesta di corrispettivo o ricompensa, che rischierebbe di essere assimilata ad una richiesta di riscatto.
Il Belgio farà da apripista?
In Belgio ci sono circa 3.000 hacker etici che, finalmente, potranno cooperare con le istituzioni per valutare la effettiva sicurezza dei sistemi e delle informazioni di cittadini e aziende.
Il Belgio è diventata la prima nazione UE ad adottare un quadro normativo nazionale che protegge legalmente gli ethical hackers che operano nel rispetto di rigorose regole.
Le aziende stesse potranno trarre beneficio dalle attività svolte dagli hackers, potendo contare sul “voluntary disclosure” da parte di una importante comunità di ricercatori ed esperti di settore.
Il framework adottato si applica indipendentemente dal fatto che le tecnologie vulnerabili siano di proprietà di organizzazioni del settore privato o pubblico.
Quali sono le regole?
Come stabilito nella politica di divulgazione delle vulnerabilità (VDP), pubblicata sul sito web del CCB, l’organo di risposta alle emergenze informatiche del Belgio (CSIRT), i segnalatori di bug devono aderire a cinque condizioni rigorose per godere della protezione legale relativa alle loro attività:
- Presentare una segnalazione scritta di vulnerabilità al CCB il prima possibile nel formato prescritto e prima dell’inizio di qualsiasi procedimento penale
- Informare rapidamente il proprietario della tecnologia vulnerabile
- Agire in buona fede senza intenti malevoli o fraudolenti
- Verificare l’esistenza delle vulnerabilità in modo opportuno e proporzionato
- Non divulgare pubblicamente informazioni sulla vulnerabilità senza il consenso del CCB
Gli hacker non saranno tenuti alla notifica al CCB se l’organizzazione target ha già una VDP (vulnerability disclosure policy), ma possono scegliere di farlo se le vulnerabilità riguardano altre organizzazioni prive di VDP o qualora dovessero sorgere difficoltà con la divulgazione e la correzione.
Come per la maggior parte dei VDP e dei programmi di bug bounty, le tecniche offensive come il phishing, l’ingegneria sociale e gli attacchi di brute force, possono essere considerate azioni sproporzionate e non opportune.
Il quadro relativo alle altre nazioni UE
Un rapporto dell’Agenzia UE per la sicurezza informatica (ENISA) del 13 aprile 2022 sulle politiche coordinate di divulgazione delle vulnerabilità (CVD) all’interno della comunità, ha rivelato che anche Francia, Lituania e Paesi Bassi stavano intraprendendo un lavoro simile, tuttavia, la regolamentazione belga è più completa.
Francia e Slovacchia, ad esempio, non offrono piena protezione legale e, la Lituania, limita le tutele alle infrastrutture critiche.
Nei Paesi Bassi l’hacker Victor Gevers ha già all’attivo più di 5.000 segnalazioni di vulnerabilità.
Numerosi altri Stati membri dell’UE stanno sviluppando, o pianificando di sviluppare, simili protezioni nazionali per gli hacker etici.
Lo scenario futuro
I ricercatori di sicurezza offrono, già oggi, il loro supporto alle organizzazioni, aiutandole a ottimizzare le rispettive posture di sicurezza. L’assenza di quadri normativi specifici costituisce un freno alla voluntary disclosure di vulnerabilità e, anche per questo, tante di esse continuano a costituire una minaccia anche per i sistemi a servizio delle infrastrutture critiche.
C’è da augurarsi che anche gli altri stati membri dell’UE recepiscano presto politiche coordinate a tutela della sicurezza pubblica relativa a reti, sistemi e dati.