Il paese è il primo in Europa ad approvare un “safe harbor” per proteggere legalmente i ricercatori di sicurezza e hacker etici che svelano falle e vulnerabilità
Uno dei rischi che corrono gli hacker “buoni” e i ricercatori di sicurezza quando svelano falle e vulnerabilità è di finire coinvolti in lunghe controversie legali con le aziende o le organizzazioni compromesse. Colpa delle zone grigie delle legislazioni di molti paesi, che permettono talvolta di equiparare gli hacker etici a cybercriminali che invece quelle falle le sfruttano per scopi illegali.
Il risultato di questa assenza di protezione è che i ricercatori di sicurezza spesso preferiscono non rivelare falle importanti proprio per paura delle conseguenze.
Un recente report dell’azienda di cybersecurity HackerOne condotto intervistando più di 5700 hacker etici, ha mostrato come metà degli intervistati in passato non ha riportato una vulnerabilità: più di uno su dieci non lo ha fatto a causa del “linguaggio legale minaccioso usato dalle organizzazioni il cui codice conteneva la falla”, mentre il 20% ha evitato di svelare i bug perché a conoscenza della litigiosità pregressa dell’organizzazione interessata.
Molte aziende tecnologiche, per le quali il contributo degli hacker etici è fondamentale, prevedono programmi di “bug bounty” che incentivano con premi in denaro la segnalazione di falle e includono clausole di “safe harbor” che proteggono i ricercatori da possibili conseguenze legali.
Ma che fare quindi nel caso di aziende o organizzazioni, magari di importanza strategica, che non prevedono clausole di protezione?
Il Belgio è il primo stato europeo ad adottare una soluzione legale concreta al problema, con la creazione di un nuovo framework promosso dal CCB, il centro per la cybersicurezza nazionale. Il meccanismo di protezione si applica sia agli individui sia alle società (come le agenzie di cybersicurezza) e si basa su una serie di condizioni vincolanti.
Per essere protetti dallo scudo legale, gli hacker etici devono segnalare le vulnerabilità con un report al team di emergenza cybernetica belga (CSIRT), notificare l’ente o azienda proprietario della tecnologia vulnerabile, inviare un report scritto al CCB, e soprattutto agire in maniera “necessaria e proporzionata” al solo fine di dimostrare la vulnerabilità, senza mai rivelare pubblicamente la falla né agire con “intento lesivo o fraudolento”.
In altri paesi europei simili sforzi legislativi arrancano ancora. Secondo un report dell’ENISA, l’agenzia europea per la cybersicurezza, solo Francia, Lituania e Olanda stanno lavorando a una regolamentazione delle pratiche di “vulnerability disclosure”, ma le norme già in vigore non sono così avanzate come la soluzione adottata dal Belgio.
La necessità di una protezione legale per gli hacker etici a livello normativo è evidenziata dal fatto che solo il 20% delle grandi aziende della lista Fortune 500 ad oggi prevedano una policy per la segnalazione delle vulnerabilità (VDP). La speranza degli esperti di settore è che l’esempio del Belgio possa influenzare le scelte politiche di altri paesi dell’Unione Europea e che si possa arrivare a un “effetto GDPR” che costringa anche le aziende più riluttanti a dotarsi di una policy di cybersicurezza adeguata ai tempi in cui viviamo.
Phishing sotto l’albero: le 5 tecniche più pericolose per l’identità digitale e i tuoi risparmi
Matteo Zaccardo
7 December, 2023
Con l’avvicinarsi delle festività natalizie, le caselle di posta elettronica e le chat di messaggistica iniziano a riempirsi di cartoline elettroniche, offerte di sconti e
