«La sicurezza digitale ha bisogno di apertura, e della comunità di hacker»

Che ruolo svolge la community di hacker nel rafforzare la fiducia in processi democratici digitali come il voto elettronico?

La community di hacker svolge un ruolo centrale per la sicurezza dei sistemi digitali: si va ad aggiungere, infatti, alle misure di protezione esistenti, individua le vulnerabilità e rafforza la fiducia, soprattutto nel caso di applicazioni sensibili come il voto elettronico. In contesti come il voto online e la fiducia digitale in senso lato, questo processo offre alla popolazione un’importante garanzia: la certezza di aver mobilitato tutte le tecniche e risorse possibili per garantire la massima sicurezza. Alla luce delle difficoltà e delle potenziali minacce, le aspettative sono ovviamente molto alte.

Selim Jaafar lavora dal 2019 presso YesWeHack dove, in qualità di VP Customer Success, è responsabile dello sviluppo e dell’assistenza di programmi bug bounty per clienti in tutto il mondo. Ha conseguito un bachelor e un master in gestione dei sistemi informativi presso l’Università Paris-Dauphine e, dopo aver maturato le prime esperienze lavorative nel settore della sicurezza informatica e della gestione progetti presso Natixis, ha svolto un’attività come consulente presso Harmonie Technologie. Con YesWeHack supporta le organizzazioni, tra cui anche enti pubblici, nell’introduzione e nell’ottimizzazione di iniziative di sicurezza e si impegna per una collaborazione trasparente ed efficace con la community globale di hacker.

Perché i test di intrusione pubblici sono così importanti per organizzazioni come la Posta che utilizzano servizi digitali sensibili?

Perché consentono di eseguire test di sicurezza approfonditi che vanno oltre le procedure di verifica classiche. I programmi bug bounty mobilitano, infatti, molte figure specializzate per un periodo di tempo prolungato e individuano le vulnerabilità in modo più rapido e completo. Come nel caso del voto elettronico, i programmi pubblici aumentano la trasparenza, invitano a un’ampia partecipazione e lanciano un segnale chiaro: la sicurezza ha la massima priorità.

Come è cambiato nel corso degli anni l’approccio di YesWeHack verso i test di intrusione pubblici, in particolare in relazione ai sistemi per la gestione di dati sensibili?

YesWeHack arbeitet weltweit mit Behörden und in sensiblen Projekten, um digitale Sicherheit YesWeHack collabora con le autorità di tutto il mondo e a progetti sensibili per rafforzare la sicurezza digitale attraverso programmi bug bounty. Nell’ambito del programma di voto elettronico della Posta sono stati resi pubblici il codice sorgente e l’ambiente di test e sono stati messi a disposizione premi elevati, il che ha favorito la partecipazione di hacker particolarmente qualificati. L’ampia comunicazione motiva anche ricercatrici e ricercatori al di fuori della community di hacker e mostra come questi programmi contribuiscano ad aumentare la sicurezza e la fiducia nei servizi digitali.

Secondo lei, cosa contraddistingue l’iniziativa di sicurezza della Posta rispetto ad altri programmi bug bounty pubblici in Svizzera e all’estero?

L’unicità risiede in primo luogo nel sistema stesso, nella sua complessità e nel dispendio necessario per renderlo accessibile a un gran numero di partecipanti al test in condizioni pressoché reali. Ciò include la creazione e il mantenimento di un ambiente scalabile e dedicato che offre l’accesso self-service a grandi quantità di schede di voto falsificate, consentendo così di eseguire numerosi test. In secondo luogo, le ricompense finanziarie sono nettamente al di sopra della media del settore. Vengono inoltre predisposti scenari precisi per spiegare il modello di rischio specifico per il voto elettronico. Un’altra caratteristica straordinaria è la trasparenza: i risultati, incluse le vulnerabilità che nel frattempo sono state eliminate, vengono pubblicati sistematicamente, il che, insieme alla pubblicazione del codice sorgente, garantisce una verificabilità più approfondita e rafforza la fiducia. Dall’anno scorso la Posta ha reso accessibili per i test di sicurezza tutte le sue applicazioni digitali nel programma bug bounty. Infine, il punto di forza del programma risiede nell’ampiezza dei temi trattati, davvero rara per i programmi bug bounty.

Che consiglio darebbe ad altre istituzioni pubbliche o aziende che stanno valutando l’introduzione di un test di intrusione pubblico o di un programma bug bounty?

Avvalersi di programmi bug bounty, anche su piccola scala, è molto utile perché aiuta le organizzazioni di ogni dimensione a proteggere in modo mirato i propri sistemi. YesWeHack mette a disposizione esperienza e soluzioni efficaci da questo punto di vista. Il bug bounty, infatti, è da tempo una prassi consolidata, un approccio che vale la pena adottare.

Qual è stato finora il più grande successo del test pubblico di intrusione sul voto elettronico?

Per me il più grande successo è che il test di intrusione si è trasformato in una pratica ricorrente, che la Posta e i suoi partner sono decisi a svolgere ogni anno alle migliori condizioni possibili. Già questo impegno è di per sé un grande risultato. Inoltre, ogni anno vedo dei progressi: una migliore organizzazione, un maggiore supporto per le persone che partecipano ai test, una comunicazione più ampia e una maggiore partecipazione. L’iniziativa continua a crescere in termini di entità ed efficacia.

Come si può misurare il successo del test di intrusione della Posta, ad esempio sulla base del traffico dati o rispetto a test simili?

I parametri sono difficili da confrontare, soprattutto in sistemi complessi come il voto elettronico. Le critiche nei confronti di premi o ambizioni spesso non tengono conto del contesto: il programma di voto elettronico è tra i più impegnativi al mondo e richiede un’elevata trasparenza, una metodica chiara e uno sviluppo costante.