L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha pubblicato il report Coordinated Vulnerability Disclosure Policies in the EU (CVD), una mappa delle politiche nazionali in materia di divulgazione coordinata delle vulnerabilità all’interno dell’UE che analizza le informazioni e offre una panoramica completa dello stato di avanzamento dei CVD, fornendo anche risultati chiave di alto livello e raccomandazioni per miglioramenti futuri.
Il Coordinated Vulnerability Disclosure (CVD) è un processo mediante il quale i rilevatori di vulnerabilità lavorano insieme e condividono le informazioni con le parti interessate come fornitori e proprietari di infrastrutture ICT. CVD garantisce che le vulnerabilità del software vengano divulgate al pubblico una volta che il fornitore è stato in grado di sviluppare una correzione, una patch o ha trovato una soluzione diversa.
Le national CVD policies sono quadri nazionali di regole e accordi progettati al fine di garantire che: i ricercatori contattano le parti giuste per rivelare la vulnerabilità; i fornitori possono sviluppare una correzione o una patch in modo tempestivo; i ricercatori ottengono il riconoscimento dal loro lavoro e sono protetti dall’azione penale.
La divulgazione delle vulnerabilità è diventata oggetto dell’attenzione degli esperti di sicurezza informatica impegnati nel rafforzamento della resilienza della sicurezza informatica dell’Unione europea. La valida fonte di preoccupazione deriva dalle minacce alla sicurezza informatica che incombono dietro le vulnerabilità, come dimostrato dall’impatto della vulnerabilità di Log4Shell.
I ricercatori di sicurezza e gli hacker etici esaminano costantemente i sistemi ICT – sia open source che software commerciali chiusi – per trovare punti deboli, configurazioni errate, vulnerabilità del software, ecc. Viene così rivelata un’ampia gamma di problemi: password deboli, difetti crittografici fondamentali o bug software profondamente nidificati.
L’identificazione delle vulnerabilità è quindi essenziale se vogliamo impedire agli aggressori di sfruttarle. È importante considerare che gli aggressori possono sempre sviluppare malware appositamente progettato per sfruttare le vulnerabilità divulgate al pubblico. Oltre all’identificazione stessa, i fornitori possono anche essere riluttanti a riconoscere le vulnerabilità poiché di conseguenza la loro reputazione potrebbe essere danneggiata.
Il rapporto pubblicato traccia una mappa delle politiche CVD nazionali in atto nell’UE, confronta i diversi approcci e mette in evidenza le buone pratiche.
L’analisi permette di osservare l’ampia disparità tra gli Stati membri in relazione al loro livello di realizzazione delle policies in materia di CVD. Al momento della raccolta dei dati utilizzati nella relazione, infatti, solo quattro Stati membri avevano già attuato tale politica in materia di CVD, mentre altri quattro stavano per farlo. I restanti Stati membri sono divisi in due gruppi: quelli che stanno attualmente discutendo su come andare avanti e quelli che non hanno ancora raggiunto quella fase.
Le principali raccomandazioni dell’ENISA per promuovere le CVD includono:
- Modifiche al diritto penale e alla Direttiva sulla criminalità informatica per offrire protezione legale ai ricercatori della sicurezza coinvolti nella scoperta di vulnerabilità;
- la definizione di criteri specifici per una netta distinzione tra attività di “hacking etico” e attività di “black hat” prima di istituire una tutela giuridica per i ricercatori in materia di sicurezza;
- incentivi da sviluppare affinché i ricercatori della sicurezza partecipino attivamente alla ricerca sulle malattie cardiovascolari, sia attraverso programmi di ricompense dei bug nazionali o europei, sia attraverso la promozione e lo svolgimento di corsi di formazione sulla sicurezza informatica.
Inoltre, sono state emesse raccomandazioni aggiuntive in relazione alle sfide economiche e politiche e riguardano anche le attività operative e di gestione delle crisi.
La proposta della Commissione per la revisione della direttiva sulla sicurezza delle reti e dell’informazione o proposta NIS2, prevede che i paesi dell’UE attuino una politica nazionale di CVD. L’ENISA sosterrà gli Stati membri dell’UE nell’attuazione di questa disposizione e svilupperà una linea guida per aiutare gli Stati membri dell’UE a definire le loro politiche nazionali in materia di CVD.
https://www.enisa.europa.eu/news/enisa-news/coordinated-vulnerability-disclosure-policies-in-the-eu
