Il Manifesto: Caro hacker, ma quanto mi costi?

Hackers’ Dictionary. HackerOne, azienda di cybersecurity ha calcolato che i danni causati dalle vulnerabilità di software e sistemi potrebbero costare un decimo se individuati in tempo con un programma di Bug bounty

di ARTURO DI CORINTO per Il Manifesto del 7 Novembre 2019

A causa dell’attacco informatico NotPetya (variante di Wannacry), il gigante farmaceutico Merck l’anno scorso ha dovuto iscrivere nei libri contabili la perdita di 1 miliardo di dollari. Questo è uno dei motivi per cui le aziende temono i cyberattacchi, ma quando ne sono colpite lottano per non farlo sapere.
In Italia la banca Unicredit ha denunciato pochi giorni fa la violazione dei dati di 3 milioni di suoi clienti avvenuta pare nel 2015.

Che significa? Significa che un cyberattacco costa molto denaro e non può essere nascosto per sempre. Le violazioni dei dati possono costare alle aziende milioni di danni e multe ogni anno, oltre a avere un impatto devastante sulla fiducia, la reputazione e le finanze dei clienti.

In questi giorni una nuova ondata di attacchi a siti di avvocati, associazioni di polizia ed enti regionali da parte degli hacker attivisti di Anonymous, ha prodotto sconcerto perché hanno liberato migliaia di dati privati, perfino quelli dei clienti dell’operatore di telefonia Lyca Mobile.

Probabilmente gli attivisti potrebbero cercare strumenti diversi per denunciare la scarsa cultura informatica e la cattiva gestione della privacy nel nostro paese e tuttavia molte violazioni potrebbero essere evitate con una buona manutenzione dei sistemi informatici. Però. Reti, sistemi database sono ormai così tanti e complessi che è difficile proteggerli tutti e bene, sempre.

Una soluzione c’è ed è quella del bug bounty: se paghi qualcuno per testare sistemi e difese informatiche in genere ci guadagni. La prova ce la fornisce HackerOne, una piattaforma di bug bounty e di pentesting che ha calcolato come le azioni legali e le multe associate ai databreach che hanno interessato British Airways, TicketMaster, Carphone Warehouse e TalkTalk sono costate € 307 milioni. Ma se le vulnerabilità, i bug, fossero stati identificati e divulgati in modo responsabile dagli hacker nell’ambito di un programma di bug bounty le organizzazioni avrebbero dovuto pagare collettivamente solo una media di 25.000 euro per la scoperta delle vulnerabilità.

La stima si basa sulle ricompense medie pagate agli hacker che hanno riscontrato le stesse vulnerabilità nell’ambito di un programma di bug bounty, un’iniziativa che incentiva gli hacker a cacciare falle potenzialmente devastanti e segnalarle agli interessati prima che vengano sfruttate dai criminali informatici.

Le autorità inglesi hanno annunciato che prevedono di multare British Airways per 212 milioni di euro a causa di una violazione dei dati che ha visto rubare i dati personali di oltre mezzo milione di clienti lo scorso anno.

Si pensa che gli attaccanti abbiano ottenuto l’accesso ai sistemi di British Airways tramite una vulnerabilità JavaScript di terze parti, che, nel «mercato delle taglie» dei bug, costa una cifra tra 4.600 e 9.300 euro.

Secondo Prash Somaiya, ingegnere della sicurezza di HackerOne: «Eseguendo programmi di bug bounty e chiedendo agli hacker di trovare i punti deboli di software e sistemi, i nostri clienti hanno risolto in sicurezza oltre 120.000 vulnerabilità prima che potesse verificarsi una violazione. Le aziende possono risparmiare milioni e ridurre i rischi essendo proattive quando si tratta di identificare e correggere le proprie vulnerabilità»

All’inizio di quest’anno, HackerOne ha rivelato che quando viene lanciato un nuovo programma di bug bounty, nel 77% dei casi gli hacker segnalano entro 24 ore la prima vulnerabilità riscontrata. Pensate al risparmio. Immaginatevi adesso una «caccia all’errore» finanziata dallo Stato, da Confcommercio o da Confindustria.