{"id":21759,"date":"2020-05-21T10:20:35","date_gmt":"2020-05-21T08:20:35","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21759"},"modified":"2020-05-21T10:20:35","modified_gmt":"2020-05-21T08:20:35","slug":"vulnerability-disclosure-ethics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/vulnerability-disclosure-ethics\/21759\/","title":{"rendered":"Etica della divulgazione delle vulnerabilit\u00e0"},"content":{"rendered":"

Errori e vulnerabilit\u00e0<\/strong> diventano quasi inevitabili quando si sviluppano sistemi informatici, software<\/strong><\/a> o hardware<\/strong> complessi. Spesso, questi problemi di sicurezza<\/strong> sono riscontrati non dai dipendenti e dai tecnici dell\u2019azienda che produce il software<\/strong> o l\u2019hardware<\/strong><\/a> ma da ricercatori esterni. Eliminare questi errori e le potenziali vulnerabilit\u00e0<\/strong> \u00e8 la chiave per una forte sicurezza informatica e anche i nostri ricercatori ed esperti sono impegnati su questo fronte. Pertanto, la principale fonte di errori e problemi<\/a><\/strong>, ovvero gli esseri umani, sono allo stesso tempo il fattore chiave per la loro tempestiva individuazione e correzione<\/strong>. Tuttavia, \u00e8 importante rendersi conto che questo processo di correzione degli errori<\/strong> pu\u00f2 potenzialmente creare nuovi rischi e problemi invece di offrire una soluzione al problema di cybersicurezza<\/strong>.<\/p>\n

Noi di Kaspersky<\/strong> ci atteniamo a principi etici<\/strong> chiari e trasparenti per quanto riguarda la divulgazione responsabile delle vulnerabilit\u00e0<\/strong> (dalla sigla inglese RVD, Responsible Vulnerability Disclosure), una procedura che seguiamo quando troviamo vulnerabilit\u00e0<\/strong> nei sistemi di altre aziende. I nostri cinque principi si basano su oltre 23 anni di lavoro a livello globale e continuiamo a ispirarci ad alcune delle best practices pi\u00f9 collaudate e, in particolare, al Codice Etico<\/a><\/strong> del Forum of Incident Response and Security Teams (FIRST<\/strong>). In qualsiasi caso, diamo la massima priorit\u00e0 alla sicurezza dei nostri utenti (le persone e le\u00a0aziende che utilizzano i prodotti e le soluzioni di sicurezza Kaspersky<\/strong>).<\/p>\n

Allo stesso tempo, rispettiamo gli interessi di tutte le parti coinvolte nella scoperta della vulnerabilit\u00e0<\/strong>: gli individui o le aziende il cui prodotto \u00e8 vulnerabile, i loro clienti (come possibili vittime) e il settore della sicurezza informatica<\/strong> nel suo complesso.<\/p>\n

Il rispetto di questi principi ci permette di agire in modo trasparente<\/a><\/strong>, responsabile e coerente, per costruire un ecosistema di tecnologie dell\u2019informazione e della comunicazione <\/strong>(TIC<\/strong>) pi\u00f9 sicuro. Per un tale approccio al lavoro in tutto il settore IT<\/strong>, tuttavia, anche altri vendor (e i loro utenti, i ricercatori indipendenti, gli enti regolatori e le altre parti interessate) devono attenersi a linee guida simili. Per questo motivo, abbiamo deciso di pubblicare i nostri principi etici per una divulgazione responsabile delle vulnerabilit\u00e0<\/strong> individuate nei programmi di software<\/strong> di altre aziende. Siamo all\u2019avanguardia.<\/p>\n

\"\"<\/p>\n

Principio #1: Costruire la fiducia<\/h2>\n

Un certo grado di diffidenza \u00e8 alla base della sicurezza delle informazioni<\/strong>. Ma la divulgazione delle vulnerabilit\u00e0 <\/strong>semplicemente non funzioner\u00e0 se manca la fiducia, quindi diamo sempre il beneficio del dubbio a tutte le parti, anche se naturalmente ci prendiamo il tempo e l\u2019impegno di coordinare le azioni e ridurre qualsiasi danno derivante dalla vulnerabilit\u00e0<\/strong> (sia la correzione che l\u2019apprendimento riguardo la \u00a0cybersicurezza<\/strong><\/a>): abbiamo fiducia ma comunque verifichiamo. Non pubblichiamo informazioni sulle vulnerabilit\u00e0<\/strong> per divertimento o per ambizione ma solo nell\u2019interesse e nella sicurezza degli utenti e della societ\u00e0.<\/p>\n

Principio #2: Informare prima la parte interessata<\/h2>\n

La divulgazione delle vulnerabilit\u00e0<\/strong> \u00e8 un processo complesso che pu\u00f2 incontrare numerosi ostacoli, come la mancata risposta o addirittura l\u2019impossibilit\u00e0 di contattare gli interessati. Nonostante tali problemi, \u00e8 fondamentale fornire informazioni tempestive e precise ai vendor coinvolti. In primo luogo, coordiniamo insieme gli sforzi per eliminare la vulnerabilit\u00e0<\/strong> e ridurre al minimo il rischio per gli utenti. Per questo, il vendor a sua volta deve fornire un modo chiaro e trasparente per segnalare ed elaborare le informazioni sulle vulnerabilit\u00e0<\/strong> (consultando questi link troverete maggiori informazioni sulla politica del bug bounty<\/strong><\/a> di Kaspersky e su come potete comunicare una vulnerabilit\u00e0<\/strong><\/a> in Kaspersky).<\/p>\n

Principio #3: Coordinare gli sforzi<\/h2>\n

Anche se pu\u00f2 sembrare ovvio, ogni vulnerabilit\u00e0<\/strong> \u00e8 unica. Alcune minacciano gli utenti di un singolo prodotto, mentre altre possono interessare pi\u00f9 parti (ad esempio, nei casi che coinvolgono aziende internazionali dalle supply chain complesse). Le vulnerabilit\u00e0 possono anche riguardare le infrastrutture critiche<\/strong><\/a> e le reti del settore pubblico<\/strong><\/a>, quando sono sfruttate dai rasomware<\/strong> e quindi minacciare<\/strong> la sicurezza nazionale. Allo stesso tempo, i ricercatori e i vendor non sono le uniche parti interessate; possono essere coinvolti anche le autorit\u00e0 di regolamentazione, i clienti, i ricercatori indipendenti e gli hacker white hat<\/strong>. Per un coordinamento efficace tra tutte le parti interessate, seguiamo le best practices internazionali (come lo standard ISO\/IEC 29147:2018<\/a><\/strong> per la divulgazione delle vulnerabilit\u00e0<\/strong>). In particolare, cerchiamo di dare a tutte le parti coinvolte il tempo sufficiente per un\u2019analisi approfondita delle vulnerabilit\u00e0<\/strong> e per lo sviluppo di soluzioni.<\/p>\n

Principio #4: Mantenere la riservatezza, se necessario<\/h2>\n

Se le informazioni tecniche<\/strong> su una vulnerabilit\u00e0 vengono rivelate troppo presto, i cyberc<\/strong>riminali<\/strong> possono<\/strong> sfruttare gli exploit<\/strong><\/a>. Ecco perch\u00e9 condividiamo le informazioni in modo confidenziale con le parti che devono sviluppare misure di mitigazione e poi lavorare attraverso i canali di comunicazione pi\u00f9 affidabili e sicuri per la segnalazione. Per lo stesso motivo, negoziamo i termini e le condizioni di divulgazione della vulnerabilit\u00e0<\/strong> con il vendor. Tuttavia, se un vendor non risponde, a seconda della gravit\u00e0 e dell\u2019entit\u00e0 della vulnerabilit\u00e0<\/strong> e dell\u2019immediatezza del rischio, effettuiamo la divulgazione attraverso i nostri canali di comunicazione e seguendo le nostre politiche interne, le normative locali e le best practices del settore, il tutto tenendo informato il vendor in questione.<\/p>\n

Principio #5: Incentivare i comportamenti giusti<\/h2>\n

Nonostante gli sforzi del nostro settore, i cybercriminali continuano a cercare (e a trovare) le vulnerabilit\u00e0<\/strong>. Pertanto, riteniamo importante sostenere apertamente tutti coloro che segnalano in modo responsabile la scoperta di vulnerabilit\u00e0<\/strong><\/a> e seguono le best practices del settore per una divulgazione responsabile.<\/p>\n

Salvaguardare la divulgazione delle vulnerabilit\u00e0<\/h2>\n

Siamo convinti che se tutte le parti aderiscono a principi etici<\/strong> nella divulgazione di vulnerabilit\u00e0<\/strong> simili, saremo in grado di lavorare insieme per rendere l\u2019ecosistema TIC non solo pi\u00f9 sicuro ma anche pi\u00f9 sano e prevedibile per i nostri utenti, le persone per cui lavoriamo.<\/p>\n

Potete saperne di pi\u00f9 sui nostri principi etici della RVD (Response Vulnerabilty Disclosure)<\/strong><\/a> nella nostra pagina sull\u2019Iniziativa globale di trasparenza<\/strong><\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Il Chief Technology Officer (CTO) di Kaspersky ci spiega i principi etici e le norme che l’azienda segue nella divulgazione delle vulnerabilit\u00e0.<\/p>\n","protected":false},"author":2597,"featured_media":21763,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[584],"class_list":{"0":"post-21759","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-disclosure-ethics\/21759\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-disclosure-ethics\/21319\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/16785\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/22348\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-disclosure-ethics\/20510\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/18812\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-disclosure-ethics\/22734\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-disclosure-ethics\/28424\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-disclosure-ethics\/8338\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/35581\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-disclosure-ethics\/14915\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-disclosure-ethics\/15203\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/vulnerability-disclosure-ethics\/13472\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-disclosure-ethics\/24004\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/vulnerability-disclosure-ethics\/11463\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/vulnerability-disclosure-ethics\/25429\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-disclosure-ethics\/22319\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-disclosure-ethics\/27607\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-disclosure-ethics\/27440\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2597"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=21759"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21759\/revisions"}],"predecessor-version":[{"id":21765,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21759\/revisions\/21765"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/21763"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=21759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=21759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=21759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}