Etica della divulgazione delle vulnerabilità

Il Chief Technology Officer (CTO) di Kaspersky ci spiega i principi etici e le norme che l’azienda segue nella divulgazione delle vulnerabilità.

Errori e vulnerabilità diventano quasi inevitabili quando si sviluppano sistemi informatici, software o hardware complessi. Spesso, questi problemi di sicurezza sono riscontrati non dai dipendenti e dai tecnici dell’azienda che produce il software o l’hardware ma da ricercatori esterni. Eliminare questi errori e le potenziali vulnerabilità è la chiave per una forte sicurezza informatica e anche i nostri ricercatori ed esperti sono impegnati su questo fronte. Pertanto, la principale fonte di errori e problemi, ovvero gli esseri umani, sono allo stesso tempo il fattore chiave per la loro tempestiva individuazione e correzione. Tuttavia, è importante rendersi conto che questo processo di correzione degli errori può potenzialmente creare nuovi rischi e problemi invece di offrire una soluzione al problema di cybersicurezza.

Noi di Kaspersky ci atteniamo a principi etici chiari e trasparenti per quanto riguarda la divulgazione responsabile delle vulnerabilità (dalla sigla inglese RVD, Responsible Vulnerability Disclosure), una procedura che seguiamo quando troviamo vulnerabilità nei sistemi di altre aziende. I nostri cinque principi si basano su oltre 23 anni di lavoro a livello globale e continuiamo a ispirarci ad alcune delle best practices più collaudate e, in particolare, al Codice Etico del Forum of Incident Response and Security Teams (FIRST). In qualsiasi caso, diamo la massima priorità alla sicurezza dei nostri utenti (le persone e le aziende che utilizzano i prodotti e le soluzioni di sicurezza Kaspersky).

Allo stesso tempo, rispettiamo gli interessi di tutte le parti coinvolte nella scoperta della vulnerabilità: gli individui o le aziende il cui prodotto è vulnerabile, i loro clienti (come possibili vittime) e il settore della sicurezza informatica nel suo complesso.

Il rispetto di questi principi ci permette di agire in modo trasparente, responsabile e coerente, per costruire un ecosistema di tecnologie dell’informazione e della comunicazione (TIC) più sicuro. Per un tale approccio al lavoro in tutto il settore IT, tuttavia, anche altri vendor (e i loro utenti, i ricercatori indipendenti, gli enti regolatori e le altre parti interessate) devono attenersi a linee guida simili. Per questo motivo, abbiamo deciso di pubblicare i nostri principi etici per una divulgazione responsabile delle vulnerabilità individuate nei programmi di software di altre aziende. Siamo all’avanguardia.

Principio #1: Costruire la fiducia

Un certo grado di diffidenza è alla base della sicurezza delle informazioni. Ma la divulgazione delle vulnerabilità semplicemente non funzionerà se manca la fiducia, quindi diamo sempre il beneficio del dubbio a tutte le parti, anche se naturalmente ci prendiamo il tempo e l’impegno di coordinare le azioni e ridurre qualsiasi danno derivante dalla vulnerabilità (sia la correzione che l’apprendimento riguardo la  cybersicurezza): abbiamo fiducia ma comunque verifichiamo. Non pubblichiamo informazioni sulle vulnerabilità per divertimento o per ambizione ma solo nell’interesse e nella sicurezza degli utenti e della società.

Principio #2: Informare prima la parte interessata

La divulgazione delle vulnerabilità è un processo complesso che può incontrare numerosi ostacoli, come la mancata risposta o addirittura l’impossibilità di contattare gli interessati. Nonostante tali problemi, è fondamentale fornire informazioni tempestive e precise ai vendor coinvolti. In primo luogo, coordiniamo insieme gli sforzi per eliminare la vulnerabilità e ridurre al minimo il rischio per gli utenti. Per questo, il vendor a sua volta deve fornire un modo chiaro e trasparente per segnalare ed elaborare le informazioni sulle vulnerabilità (consultando questi link troverete maggiori informazioni sulla politica del bug bounty di Kaspersky e su come potete comunicare una vulnerabilità in Kaspersky).

Principio #3: Coordinare gli sforzi

Anche se può sembrare ovvio, ogni vulnerabilità è unica. Alcune minacciano gli utenti di un singolo prodotto, mentre altre possono interessare più parti (ad esempio, nei casi che coinvolgono aziende internazionali dalle supply chain complesse). Le vulnerabilità possono anche riguardare le infrastrutture critiche e le reti del settore pubblico, quando sono sfruttate dai rasomware e quindi minacciare la sicurezza nazionale. Allo stesso tempo, i ricercatori e i vendor non sono le uniche parti interessate; possono essere coinvolti anche le autorità di regolamentazione, i clienti, i ricercatori indipendenti e gli hacker white hat. Per un coordinamento efficace tra tutte le parti interessate, seguiamo le best practices internazionali (come lo standard ISO/IEC 29147:2018 per la divulgazione delle vulnerabilità). In particolare, cerchiamo di dare a tutte le parti coinvolte il tempo sufficiente per un’analisi approfondita delle vulnerabilità e per lo sviluppo di soluzioni.

Principio #4: Mantenere la riservatezza, se necessario

Se le informazioni tecniche su una vulnerabilità vengono rivelate troppo presto, i cybercriminali possono sfruttare gli exploit. Ecco perché condividiamo le informazioni in modo confidenziale con le parti che devono sviluppare misure di mitigazione e poi lavorare attraverso i canali di comunicazione più affidabili e sicuri per la segnalazione. Per lo stesso motivo, negoziamo i termini e le condizioni di divulgazione della vulnerabilità con il vendor. Tuttavia, se un vendor non risponde, a seconda della gravità e dell’entità della vulnerabilità e dell’immediatezza del rischio, effettuiamo la divulgazione attraverso i nostri canali di comunicazione e seguendo le nostre politiche interne, le normative locali e le best practices del settore, il tutto tenendo informato il vendor in questione.

Principio #5: Incentivare i comportamenti giusti

Nonostante gli sforzi del nostro settore, i cybercriminali continuano a cercare (e a trovare) le vulnerabilità. Pertanto, riteniamo importante sostenere apertamente tutti coloro che segnalano in modo responsabile la scoperta di vulnerabilità e seguono le best practices del settore per una divulgazione responsabile.

Salvaguardare la divulgazione delle vulnerabilità

Siamo convinti che se tutte le parti aderiscono a principi etici nella divulgazione di vulnerabilità simili, saremo in grado di lavorare insieme per rendere l’ecosistema TIC non solo più sicuro ma anche più sano e prevedibile per i nostri utenti, le persone per cui lavoriamo.

Potete saperne di più sui nostri principi etici della RVD (Response Vulnerabilty Disclosure) nella nostra pagina sull’Iniziativa globale di trasparenza.

Consigli