Primo programma bug bounty nell’Amministrazione federale

10.05.2021 - L’Amministrazione federale e la società Bug Bounty Switzerland Sagl lanciano in data odierna un progetto pilota congiunto. Nelle prossime due settimane verrà svolto un test sotto la guida del NCSC allo scopo di acquisire una prima esperienza con i programmi bug bounty e valutare il futuro utilizzo delle infrastrutture di amministrazioni pubbliche e imprese sotto il profilo della sicurezza.

L’Amministrazione federale intende sfruttare le possibilità offerte dai programmi bug bounty e capire come essi possano fornire un contributo decisivo alla sicurezza delle infrastrutture di amministrazioni pubbliche e imprese.

Avvio del progetto pilota

Per questo motivo l’NSCS e la società Bug Bounty Switzerland Sagl (BBS) avviano un progetto pilota congiunto, il primo in questo ambito nell’Amministrazione federale. Il test inizia il 10 maggio 2021 e durerà due settimane. Nei programmi bug bounty, i cosiddetti «hacker etici» – che operano in un quadro definito e nel rispetto della legge – sono incaricati di individuare eventuali vulnerabilità nei sistemi informatici di un’organizzazione. Per ciascuna vulnerabilità trovata e convalidata («bug») vengono ricompensati («bounty») in base alla gravità della vulnerabilità trovata.

Progetto chiaramente delimitato

Il progetto pilota della Confederazione è stato chiaramente delimitato definendo alcuni capisaldi. In primo luogo, il test verrà svolto su due sistemi del Dipartimento federale degli affari esteri (DFAE) e un sistema dei Servizi del Parlamento. In secondo luogo, per questo primo test il gruppo di hacker etici è stato circoscritto a professionisti noti all’NCSC o alla BBS che si sono già distinti in altri progetti. Poiché l’Amministrazione federale, come altri settori regolamentati, deve soddisfare requisiti severi in termini di protezione dei dati ed esige che i dati siano conservati su server in Svizzera, negli ultimi mesi BBS ha sviluppato, con il supporto tecnico di Microsoft Svizzera, una propria piattaforma di bug bounty completamente gestita sul territorio svizzero. La piattaforma si basa sulle più avanzate tecnologie cloud e soddisfa i requisiti della Confederazione e di altri settori regolamentati, come quello delle infrastrutture critiche.

L’attuazione del programma bug bounty è affidata a BBS e sarà seguita costantemente dall’NCSC nonché da rappresentanti del DFAE e dei Servizi del Parlamento. Il test servirà a gettare le basi per una discussione su come procedere nell’utilizzo dei programmi bug bounty.

BBS informa sul progetto pilota

D’intesa con i servizi della Confederazione coinvolti, giovedì 20 maggio a Berna BBS fornirà informazioni sul progetto pilota ai giornalisti interessati. Per maggiori dettagli rivolgersi a Bug Bounty Switzerland Sagl, hello@bugbounty.ch, +41 79 701 43 41.

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/start-pilot-bbs.html