Telecom Italia si affida agli hacker per scoprire se nei propri sistemi ci sono dei bug. L’azienda italiana delle telecomunicazioni ha pubblicato le linee guida per la ‘responsible disclosure’, ovvero il percorso che un esperto di sicurezza informatica può seguire per segnalare alla società eventuali vulnerabilità informatiche. Le strategie di divulgazione responsabile di un difetto in un servizio informatico sono una metodologia comune e ampiamente adottata dalle più grandi aziende, tra cui Google e Apple.
Novanta giorni di riservatezza in cambio di un posto nella hall of fame: questo è quanto Telecom Italia offre agli hacker che riusciranno a scoprire e dimostrare che nei loro sistemi si nasconde un bug. Secondo le linee guida pubblicate dall’azienda, se un white hat (hacker etico) dovesse scoprire dei difetti in prodotti o servizi da loro forniti, potrà segnalarli in modo che vengano prese le dovute contromisure.
“Utilizzando la procedura di Responsible Disclosure, chi segnala la vulnerabilità del sistema si impegna, nei confronti di TIM, ad effettuare una divulgazione responsabile così da non esporre altri clienti a rischi di sicurezza non necessari”, si legge nella pagina web del servizio. Dal momento della segnalazione, i tecnici di Telecom avranno tre mesi di tempo per risolvere il problema. Trascorso questo tempo, l’hacker potrà rendere pubbliche le informazioni in suo possesso per forzare la compagnia ad accelerare le operazioni di messa in sicurezza del sistema.
“È un passo nella giusta direzione, ma senza una ‘taglia’ per premiare chi scova una falla, rischia di essere un’iniziativa insufficiente”, ha spiegato ad Agi un esperto di sicurezza informatica che ha chiesto di rimanere anonimo. “La hall of fame può essere un modo per dare visibilità a quegli hacker che vogliono farsi un nome, in cambio di un lavoro di penetration testing (test della solidità di un sistema informatico, normalmente offerto da società specializzate, ndr) a titolo gratuito”.
Secondo le stime dell’Associazione italiana per la sicurezza informatica (Clusit), le vulnerabilità critiche in ambito informatico segnalate in Italia sono state 14600 nel 2017, rispetto alle 6300 dell’anno precedente. Il 15 per cento di queste sono state considerate critiche, e rivelano la fragilità dei sistemi informatici del Paese. Le stime sono conservative, rispetto a un contesto nel quale normalmente la gran parte delle vulnerabilità non vengono segnalate pubblicamente e non sono quindi conteggiate.
Situazione nella quale i programmi di ‘bug bounty’, con i quali si premia chi scopre delle vulnerabilità, sono particolarmente preziosi. Purché siano ben premiate: è il caso di Apple, che offre per i propri bug delle taglie troppo basse, rispetto a quanto si potrebbe guadagnare vendendole nel mercato nero. Più generosa Google, che sta investendo molte energie nel rendere sicuro il sistema operativo per smartphone, Android.