Il sistema di accesso e autorizzazione dell’Amministrazione federale è l’infrastruttura di connessione centrale della Confederazione. Vi fanno capo oltre 1000 applicazioni specialistiche. L’eIAM gestisce una media di 550 000 connessioni al giorno. La sicurezza di questa infrastruttura è quindi fondamentale per la Confederazione.

A complemento di altre misure volte a garantire la sicurezza, i programmi «bug bounty» prevedono il coinvolgimento di hacker etici per identificare, documentare e risolvere le potenziali vulnerabilità dei sistemi e delle applicazioni IT. Gli hacker etici, a differenza di quelli mossi da propositi criminali, operano legalmente su richiesta delle parti interessate. Dopo il successo del progetto pilota condotto lo scorso anno dal Centro nazionale per la cibersicurezza (NCSC), l’eIAM è stato sottoposto a tale verifica. 32 hacker etici hanno accettato l’invito a partecipare al programma «bug bounty» che si è svolto dal 30 agosto all’11 ottobre.

La Bug Bounty Switzerland AG ha svolto la verifica di sistema di cui sopra in collaborazione con il settore Trasformazione digitale e governance delle TIC (TDT) della Cancelleria federale, responsabile del servizio eIAM, con l’Ufficio federale dell’informatica e della telecomunicazione (UFIT), che gestisce il sistema, e con l’NCSC, responsabile del programma «bug bounty».

Le vulnerabilità sono state classificate – secondo una scala di criticità riconosciuta a livello internazionale – come «bassa» (la correzione è facoltativa), «media» (la correzione è prevista in occasione della versione successiva), «elevata» (la correzione è necessaria quanto prima) o «critica» (la correzione è necessaria immediatamente). In totale sono state identificate 28 vulnerabilità, 14 delle quali sono state confermate. Tutte le vulnerabilità sono state analizzate ed elaborate immediatamente. Una delle vulnerabilità segnalate è stata classificata come «elevata». Nove sono state considerate «medie» e quattro «basse». Non sono state trovate vulnerabilità «critiche». Le ricompense versate complessivamente agli hacker etici per le vulnerabilità individuate ammontano a 5 700 franchi.

Questo primo programma «bug bounty» ha permesso di acquisire un’esperienza preziosa: si è infatti rivelato uno strumento efficace per identificare e correggere le vulnerabilità finora sconosciute dei sistemi e delle applicazioni IT. Attualmente la Confederazione sta valutando la possibilità di effettuare altri controlli di sicurezza esterni di questo tipo per l’eIAM.

Il programma «bug bounty» della Confederazione

Oggi i test di sicurezza standardizzati spesso non sono più sufficienti per individuare vulnerabilità nascoste. Il progetto pilota condotto nella primavera del 2021 ha dimostrato che i programmi «bug bounty» sono stati efficaci nell’identificare e correggere le vulnerabilità dei sistemi e delle applicazioni IT. La Confederazione ha pertanto deciso di acquisire, nell’agosto 2022, una piattaforma per questo tipo di programmi. Sotto la guida dell’NCSC, gli hacker etici sono invitati a cercare le vulnerabilità nei sistemi e nelle applicazioni informatiche dell’Amministrazione federale nell’ambito dei programmi «bug bounty». L’eIAM è la prima applicazione a essere testata in questo settore.
Gli hacker etici interessati a testare i sistemi dell’Amministrazione federale nell’ambito di futuri programmi «bug bounty» e a partecipare al programma «bug bounty» della Confederazione possono annunciarsi al seguente link: www.bugbounty.ch/ncsc

Svolto il programma «bug bounty» per il sistema centrale di accesso della Confederazione eIAM