La community di hacker svolge un ruolo centrale per la sicurezza dei sistemi digitali: si va ad aggiungere, infatti, alle misure di protezione esistenti, individua le vulnerabilità e rafforza la fiducia, soprattutto nel caso di applicazioni sensibili come il voto elettronico. In contesti come il voto online e la fiducia digitale in senso lato, questo processo offre alla popolazione un’importante garanzia: la certezza di aver mobilitato tutte le tecniche e risorse possibili per garantire la massima sicurezza. Alla luce delle difficoltà e delle potenziali minacce, le aspettative sono ovviamente molto alte.
Perché consentono di eseguire test di sicurezza approfonditi che vanno oltre le procedure di verifica classiche. I programmi bug bounty mobilitano, infatti, molte figure specializzate per un periodo di tempo prolungato e individuano le vulnerabilità in modo più rapido e completo. Come nel caso del voto elettronico, i programmi pubblici aumentano la trasparenza, invitano a un’ampia partecipazione e lanciano un segnale chiaro: la sicurezza ha la massima priorità.
YesWeHack arbeitet weltweit mit Behörden und in sensiblen Projekten, um digitale Sicherheit YesWeHack collabora con le autorità di tutto il mondo e a progetti sensibili per rafforzare la sicurezza digitale attraverso programmi bug bounty. Nell’ambito del programma di voto elettronico della Posta sono stati resi pubblici il codice sorgente e l’ambiente di test e sono stati messi a disposizione premi elevati, il che ha favorito la partecipazione di hacker particolarmente qualificati. L’ampia comunicazione motiva anche ricercatrici e ricercatori al di fuori della community di hacker e mostra come questi programmi contribuiscano ad aumentare la sicurezza e la fiducia nei servizi digitali.
L’unicità risiede in primo luogo nel sistema stesso, nella sua complessità e nel dispendio necessario per renderlo accessibile a un gran numero di partecipanti al test in condizioni pressoché reali. Ciò include la creazione e il mantenimento di un ambiente scalabile e dedicato che offre l’accesso self-service a grandi quantità di schede di voto falsificate, consentendo così di eseguire numerosi test. In secondo luogo, le ricompense finanziarie sono nettamente al di sopra della media del settore. Vengono inoltre predisposti scenari precisi per spiegare il modello di rischio specifico per il voto elettronico. Un’altra caratteristica straordinaria è la trasparenza: i risultati, incluse le vulnerabilità che nel frattempo sono state eliminate, vengono pubblicati sistematicamente, il che, insieme alla pubblicazione del codice sorgente, garantisce una verificabilità più approfondita e rafforza la fiducia. Dall’anno scorso la Posta ha reso accessibili per i test di sicurezza tutte le sue applicazioni digitali nel programma bug bounty. Infine, il punto di forza del programma risiede nell’ampiezza dei temi trattati, davvero rara per i programmi bug bounty.
Avvalersi di programmi bug bounty, anche su piccola scala, è molto utile perché aiuta le organizzazioni di ogni dimensione a proteggere in modo mirato i propri sistemi. YesWeHack mette a disposizione esperienza e soluzioni efficaci da questo punto di vista. Il bug bounty, infatti, è da tempo una prassi consolidata, un approccio che vale la pena adottare.
Per me il più grande successo è che il test di intrusione si è trasformato in una pratica ricorrente, che la Posta e i suoi partner sono decisi a svolgere ogni anno alle migliori condizioni possibili. Già questo impegno è di per sé un grande risultato. Inoltre, ogni anno vedo dei progressi: una migliore organizzazione, un maggiore supporto per le persone che partecipano ai test, una comunicazione più ampia e una maggiore partecipazione. L’iniziativa continua a crescere in termini di entità ed efficacia.
I parametri sono difficili da confrontare, soprattutto in sistemi complessi come il voto elettronico. Le critiche nei confronti di premi o ambizioni spesso non tengono conto del contesto: il programma di voto elettronico è tra i più impegnativi al mondo e richiede un’elevata trasparenza, una metodica chiara e uno sviluppo costante.