A partire da metà ottobre è entrata in vigore la direttiva Nis2, la nuova legge europea sulla sicurezza informatica. Una normativa che imporrà alle aziende di investire molto in questo ambito tramite diversi strumenti, tra cui i bug bounty. Le società sono incentivate a mettere delle “taglie” sulle vulnerabilità dei propri sistemi informatici per spingere i cosiddetti white hat hacker a trovarle e segnalarle.
I bug bounty sono un tipo di Vulnerability Disclosure Policies, pratiche che spingono le aziende a divulgare in maniera cauta e responsabile le proprie vulnerabilità informatiche. Grazie anche alla Nis2, il mercato della cybersicurezza europeo continuerà ad aumentare di valore nei prossimi anni fino a toccare i 90 miliardi di euro di fatturato.
La nuova normativa europea sulla cybersicurezza
Il 17 ottobre scorso è entrata in vigore la direttiva europea Nis2, che ridefinisce gli obiettivi dell’Ue in materia di sicurezza informatica. La finalità di questa nuova legge è dare all’interno blocco una comune politica di cybersicurezza, in modo che gli Stati membri e le aziende europei siano pronti ad affrontare le crescenti minacce, provenienti soprattutto dall’estero, in materia di sicurezza informatica. La Nis2 stabilisce alcuni requisiti principali da attuare per garantire un buon livello di cybersecurity:
- Politiche di sicurezza dei sistemi informatici e analisi dei rischi
- Strategie di gestione degli incidenti
- Garanzia di continuità operativa in caso di attacchi
- Sicurezza nella supply chain, non solo nell’azienda finale
- Sicurezza anche nell’acquisizione, sviluppo e manutenzione dei sistemi informatici
- Valutazione delle misure di gestione del rischio
- Formazione e implementazione di politiche di igiene digitale di base
- Politiche relative all’uso estensivo della crittografia
- Strategie di controllo dell’accesso e della gestione degli utenti attivi
- Diffusione dell’autenticazione in due fattori
Un lungo elenco che di politiche che si sono rese necessarie, dopo l’aumento dei fattori di rischio degli attacchi informatici. Se infatti nei decenni scorsi questo tipo di eventi non solo non erano così diffusi, ma avevano principalmente come matrice quella economica, le tensioni internazionali hanno cambiato lo scenario della sicurezza informatica globale. Sempre più spesso stati esteri ostili, come la Russia o l’Iran, utilizzano metodi di guerra ibrida che prevedono proprio attacchi informatici a infrastrutture, istituzioni e aziende di importanza cruciale.
Per prepararsi a questi cambiamenti le aziende dovranno adottare numerosi accorgimenti. Da una maggiore formazione del personale, fondamentale per evitare gli attacchi di ingegneria sociale come il phishing, all’implementazione di nuovi sistemi di sicurezza, come l’autenticazione in due fattori, se non già presenti. Tra le strategie che si potranno adottare ci sono però anche le Vulnerability Disclosure Policies, o Vdp.
Come funzionano e a cosa servono i bug bounty
Da ormai molti anni le grandi aziende, soprattutto quelle informatiche, hanno adottato le Vdp. Invece di nascondere i propri problemi informatici, li diffondono. L’obiettivo è quello di creare una politica di divulgazione responsabile delle vulnerabilità e di raccoglierle per gli enti e per le aziende in maniera strutturata da parte delle decine di migliaia di hacker etici sparsi per il mondo. Per hacker etici, o white hat hacker, si intendono esperti di informatica, spesso riuniti in team di ricerca, che si occupano di scovare bug nei sistemi informatici delle aziende che li assumono.
Oltre ai normali contratti però, alcune aziende mettono delle vere e proprie taglie sulle loro vulnerabilità, i bug bounty. A seconda della gravità del bug che può essere scoperto, le società possono mettere in palio decine di migliaia di euro per gli hacker in grado di scoprire una vulnerabilità. In questo modo le aziende si assicurano di evitare che nel mondo del crimine informatico si diffondano i cosiddetti zero-day. Questi bug vengono scoperti prima da criminali informatici che dalle aziende stesse, e possono quindi essere sfruttati su larga scala spesso senza che la società vittima se ne possa accorgere.
“Le attività obbligatorie previste dalla NIS2 stanno progressivamente spostando il focus da un approccio passivo nei confronti della sicurezza in rete a uno proattivo e orientato alla gestione del rischio. In quest’ottica, i programmi di bug bounty possono rivelarsi uno strumento efficace per qualsiasi realtà aziendale. Tuttavia, se non vengono gestiti al meglio, si corre il rischio reale di impattare sull’efficienza dell’azienda”, ha dichiarato Luca Manara, Ceo di Uniguess, leader italiano nel crowdtesting applicato alla cybersicurezza.
Investimenti e mercato della sicurezza informatica in Europa
Il mercato della sicurezza informatica si sta sviluppando a grande velocità. Con la necessità di proteggersi dalle nuove minacce in arrivo, causate dalle tensioni internazionali, le aziende sono alla ricerca di professionisti in grado di implementare tutti i livelli di protezione richiesti dalla nuova direttiva europea Nis2. Per questa ragione, nei prossimi anni la Commissione europea prevede un aumento molto rapido del fatturato di questo segmento, con grandi aziende che potrebbero nascere nei prossimi anni.
Entro la fine del 2024, stando ai dati dell’Ue, il valore del mercato della cybersecurity europeo potrebbe arrivare a 60 miliardi di euro in totale. Tra soli 3 anni, entro il 2027, questa cifra sarà aumentata a 90 miliardi di euro. Una crescita frutto degli investimenti delle istituzioni e delle aziende, che dovranno aumentare del 22% in media l’impiego di denaro per garantire ai propri sistemi informatici la necessaria protezione dalle minacce esterne.
Anche in Italia questo mercato è in forte crescita. Secondo i dati dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, il mercato della sicurezza informatica ha raggiunto i 2,15 miliardi di euro in valore nel 2023, crescendo del 16% rispetto al 2022. Il 62% delle grandi aziende ha incrementato gli investimenti e l’81% ha stabilito un piano di sviluppo strutturato per affrontare le minacce del futuro. Rimane però il punto dolente delle piccole e medie imprese.
A causa delle dimensioni ridotte, molte Pmi con fatturati bassi e pochi dipendenti non riescono a permettersi una o più figure che si occupino esclusivamente della sicurezza informatica e per questo risultano molto esposte agli attacchi. In altri Paesi si stanno diffondendo professionisti che coprono questa lacuna, offrendo i propri servizi a più piccole aziende contemporaneamente per una frazione del prezzo che avrebbe l’assunzione a tempo pieno. Non si tratta di una soluzione perfetta, ma potrebbe limitare i danni di gravi incidenti.
